Penetration Testing - FH Wedel

Weitere Magazine

Empfehlungen

Info

2 Penetration Testing 2.1 Allgemein Beim Penetration Testing handelt es sich um den legalen und authorisierten Versuch die Schwachstellen eines Computersystems zu finden und auszunutzen. Dadurch soll die Sicherheit des Systems gegen zukünftige Angriffe gesteigert werden. Wichtig ist, dass die Schwachstellen nicht nur theoretisch betrachtet, sondern auch durch ein ” Proof of Concept“ bewiesen werden. Daher werden in der Regel auch konkrete Angriffe gegen das System durchgeführt [4]. Generell teilt sich der Penetration Test in drei Phasen auf. Zunächst gibt es eine Verhandlungsphase zwischen dem Unternehmen, welches den Penetration Test in Auftrag gibt und dem Unternehmen, das den Penetration Test durchführt. Wenn die Verhandlungen abgeschlossen sind, wird der Penetration Test durchgeführt. Zum Abschluss des Penetration Tests werden die Ergebnisse dem Auf- traggeber präsentiert. In den folgenden Abschnitten werden die drei Phasen genauer beschrieben. 2.2 Verhandlung In der Verhandlungsphase werden wie bei jedem Servicevertrag, Leistungsumfang, Zeit- räume oder Kosten besprochen. Zusätzlich kommen noch Penetration Testing spezifisch Themengebiete hinzu. Diese Themengebiete werden in den nächsten Abschnitten genauer erläutert. 4
2.2.1 Art des Penetration Tests Zunächst muss die Art des Penetration Tests festgelegt werden. Laut Whitaker und Newman [1] wird zwischen drei Arten unterschieden: • Black-Box Test: Beim Black-Box Test bekommt der Penetration Tester keine Informationen vom Unternehmen. Das heißt er weiß nur, welches Unternehmen das Ziel sein soll und muss alle Informationen über das Unternehmenssystem selbst herausfinden. • White-Box Test: Beim White-Box Test erhält der Penetration Tester alle In- formationen die er benötigt. Diese umfassen dann zum Beispiel die Netzwerk- Architektur des Unternehmens oder eine Übersicht aller Betriebssysteme und den Anwendungen, die auf den einzelnen Maschinen laufen. • Grey-Box Test: Beim Grey-Box Test wird der Angriff eines Angestellten simuliert. Daher bekommt der Penetration Tester einen Zugang zum internen Netzwerk mit Standard-Zugriffsrechten. Welche Art von Test im Endeffekt durchgeführt werden soll hängt vom Unternehmen ab. Der Black-Box Test simuliert am ehesten den Fall eines bösartigen Angreifers von außerhalb, wohingegen der White-Box Test die akkuratesten Ergebnisse liefert. 2.2.2 Bereiche Nachdem die Testart festgelegt wurde, muss bestimmt werden, welche Bereiche des Sys- tems getestet werden sollen. So kann der Penetration Test auf das gesamte System angewendet werden oder auch nur auf Teile des Systems, zum Beispiel nur auf den Webauftritt des Unternehmens. 2.2.3 Erlaubte Techniken Ein wichtiger Punkt der zu klären ist, sind die erlaubten Techniken. Dabei wird festgelegt, welche Techniken der Penetration Tester verwenden darf, um den Test durch- zuführen. So wird zum Beispiel von vielen Unternehmen festgelegt, dass keine Denial of Service Attacken durchgeführt werden, da hierdurch der Geschäftsbetrieb massiv gestört 5
Seite 1 und 2: Fachhochschule Wedel University of
Seite 3: 1 Einleitung In den letzten Jahren
Seite 7 und 8: das Unternehmen gesammelt. Hier gre
Seite 9 und 10: 3 Automatisiertes Penetration Testi
Seite 11 und 12: aus Knoten zusammen, die den jeweil
Seite 13 und 14: Auf Grund der Belief States kann ma
Seite 15 und 16: sicherheit, wodurch die Bestimmung
Seite 17 und 18: der Abschätzung des Belief States
Seite 19 und 20: Literaturverzeichnis [1] Andrew Whi

Penetration Testing - FH Wedel

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?