Einordnung, Zielsetzung und Klassifikation von Penetrationstests

Transkript

1 Einordnung, Zielsetzung und Klassifikation von Penetrationstests Vortrag zur Vorlesung Sicherheit in Netzen Marco Spina 12 Jan Inhalt (1) Penetrationstest Definitionen Nach Bundesamt für Sicherheit in der Informationstechnik (BSI) National Institute of Standards and Technology (NIST) Einordnung und Zielsetzung Einordnung und Abgrenzung im Informatik (IT) Umfeld anhand eines Beispiels Ziele 12 Jan

2 Inhalt (2) Klassifikation Nach BSI Kriterienübersicht Betrachtung der Einzelkriterien Nach NIST Penetrations -Angiffsklassifikation nach International IT security evaluation community Fazit Literatur 12 Jan Penetrationstest Definitionen Definition nach Bundesamt für Sicherheit in der Informationstechnik (BSI): Der Penetrationstest ist der kontrollierte Versuch, von außen in ein bestimmtes Computersystem bzw. -netzwerk einzudringen, um Schwachstellen zu identifizieren. Nach National Institute of Standards and Technology (NIST): Penetration testing is security testing in which evaluators attempt to circumvent the security features of a system based on their understanding of the system design and implementation. 12 Jan

3 Einordnung u. Zielsetzung (1) Einordnung im IT Umfeld Systeme, die über Verbindungen zu öffentlichen Netzen sind Missbrauch/Angriffen ausgesetzt. Zur Schadenvorbeugung Penetrationstests. Testobjekte sind Firewalls, Web-, Mail-, FTP-, DNS-Server, RAS Zugänge und Funknetze. Abgrenzungsbeispiel im IT Umfeld IT-Sicherheits-Audits bzw. IT-Revision prüfen ob die Datenwiederherstellung funktioniert, während Penetrationstest aussagt, ob auf diese Daten unerlaubter Zugriff erlangt werden könnte. 12 Jan Einordnung u. Zielsetzung (2) Ziele Erhöhung der Sicherheit der technischen Systeme Bestätigung der IT-Sicherheit durch einen externen Dritten Erhöhung der Sicherheit in der organisatorischen und personellen Infrastruktur Außerdem werden neben Schwachstellenauflistungen, auch konkrete Lösungsvorschläge und die Dokumentation verfolgt. 12 Jan

4 Einordnung u. Zielsetzung (3) Erhöhung der Sicherheit der technischen Systeme: Tests beschränken sich auf die technischen Systeme, wie Firewall,Router, Web-Server. Ergebnisse der Tests sind nicht benötigte offene Ports der Firewall, verwundbare Versionen der eingesetzten Internet-Applikationen, Betriebssystemen. Bestätigung der IT-Sicherheit durch einen externen Dritten: Mittels Zertifizierung, um erhöhte Sicherheit z.b. eines Webshops zu demonstrieren. 12 Jan Einordnung u. Zielsetzung (4) Erhöhung der Sicherheit der organisatorischen und personellen Infrastruktur: Kontrolle von Eskalationsprozeduren (Vorgehen, bei erkannten Hacker-Angriff), Sicherheitsbewusstsein. 12 Jan

5 Klassifikation nach BSI (1) Kriterienübersicht 12 Jan Klassifikation nach BSI (2) Betrachtung der Einzelkriterien Informationsbasis: Angenommener Wissenstand über Testobjekt Black-Box-Test: Simuliert realistischen Angriff eines typischen Internet-Hackers. Recherchiert benötigte Informationen in öffentlich zugänglichen Datenbanken oder erfragt von außen als Unternehmensfremder. 12 Jan

6 Klassifikation nach BSI (3) White-Box-Test: Angriff eines (Ex-) Mitarbeiters oder eines externen Dienstleisters mit bestimmten Detailkenntnisse. Unterschiedlicher Kenntnisumfang, von normal bis hoch z.b. bei externer Dienstleister, durch die Installation von sicherheitsrelevanten Systemen. 12 Jan Klassifikation nach BSI (4) Aggressivität: Passiv: Gefundene Schwachstellen werden nicht ausgenutzt. Vorsichtig: Nutzung gefundener Schwachstellen, wenn Beeinträchtigung des untersuchten Systems ausgeschlossen z.b. Ausprobieren von Verzeichniszugriffen bei einem Web-Server. 12 Jan

7 Klassifikation nach BSI (5) Abwägend: Schwachstellen mit Systembeeinträchtigungen auszunutzen z. B. Buffer-Overflows bei genau identifizierten Zielsystemen. Aggressiv: Schwachstellen auszunutzen, z. B. Buffer- Overflows auch bei nicht eindeutig identifizierten Zielsystemen oder Sicherungssysteme deaktivieren durch gezielte Überlastung (Denial of Service, DoS-Attacken). 12 Jan Klassifikation nach BSI (6) Umfang: Erstmalig -> vollst. empfehlenswert. Prüfung identischer Systeme bei unterschiedlicher Konfiguration nötig. Fokussiert: Prüfung eines bestimmten Systems oder ein bestimmter Dienst, z. B. nach einer Änderung oder Erweiterung der Systemlandschaft. Begrenzt: Begrenzte Anzahl von Systemen oder Diensten, die funktionalen Verbund bilden. Vollständig: Prüft alle erreichbaren Systeme. 12 Jan

8 Klassifikation nach BSI (7) Vorgehensweise: Verdeckt: Am Anfang sinnvoll zur Prüfung von sekundären Sicherheits-Systemen (z.b. IDS oder im organisatorischen/personellen Bereich, die Eskalationsprozeduren). Offensichtlich: Umfangreiche Port-Scans mit direktem Connects durchgeführt. 12 Jan Klassifikation nach BSI (8) Technik (Methodik): Netzwerkzugang: Simuliert Vorgehen eines typischen Hackerangriff. Meiste IT-Netzwerke über TCP/IP Protokoll -> IP Penetrationstests. Sonstige Kommunikation: Neben Telefonnetzen (Modem), auch drahtlose Netze, z. B. WLAN und BlueTooth. 12 Jan

9 Klassifikation nach BSI (9) Physischer Zugang: Direkter Datenzugriff an einer nicht passwortgeschützten Arbeitsstation nach Erlangung von unberechtigtem Zugang in die Gebäude und/oder Serverräume. Social-Engineering: Unzureichende Sicherheitskenntnisse oder ein mangelndes Sicherheitsbewusstsein ausnutzen. 12 Jan Klassifikation nach BSI (10) Ausgangspunkt: Von außen: Typischerweise über Netzwerkanbindung an das Internet. Firewall, Systeme in der DMZ sowie RAS-Verbindungen untersucht. Von innen: Unterschied, keine Firewalls bzw. Eingangskontrollen. Aber auch z.b. bei einem Fehler in der Firewall- Konfiguration oder für Fall des erfolgreichen Angriff auf die Firewall. Kombinationen sind möglich. 12 Jan

10 Klassifikation nach NIST (1) Offen: Oberes Management und IT-Angestellte des Testobjektes wissen, dass ein Penetrationstest durchgeführt werden soll. Verdeckt: Nur das obere Management des Testobjektes weiß, dass ein Penetrationstest durchgeführt werden soll. 12 Jan Klassifikation nach NIST (2) Von Außen: Nur Kenntnis von IP Adressbereich des Testobjektes. Weitere Informationen selbst zu ermitteln, z.b. Website, Foren,... Technisch unter Verwendung z.b. folgender Protokolle: FTP, HTTP, SMTP und POP. Von Innen: Test wird auf der Innenseite des Netzwerkes durchgeführt, d.h. muss keine Firewall überwunden werden. Wissenstandunterscheidung: Normaler Mitarbeiter IT-Administrator 12 Jan

11 Klassifikation nach NIST (3) Schwachstellenumgang: Nur Detektion Detektion und Ausnutzung 12 Jan P-Angriffklassifikation n. CEM (1) 1) benötigte Zeit, um die Schwachstelle zu finden bzw. auszunutzen: Innerhalb Minuten Innerhalb Stunden Innerhalb Tage 2) benötigter Grad an technischer Expertise. Laymen: keine spezielle Erfahrung im Bereich der Internetsicherheit. Proficient: Personen, die ein gewisses Wissen um Internetsicherheit im Allgemeinen haben. Experts: kennen Algorithmen, Protokolle, Hardware, Strukturen, etc. 12 Jan

12 P-Angriffklassifikation n. CEM (2) 3) benötigtes Wissen über das Design und die Implementierung des Systems. Kein spezielles Wissen vorhanden. Zugang zu halböffentlichen Informationen ist verfügbar (z.b. Informationen, die durch social engineering ). Zugang zu sensiblen Informationen über das System. 4) benötigter Zugriff auf das System. Ein Zugang von weniger als einer halben Stunde, ein Tag, ein Monat, min. ein Monat, ausreichend ist. 12 Jan P-Angriffklassifikation n. CEM (3) Benötigte Hardware / Software / Equipment für die Analyse bzw. Ausnutzung. Standard Geräte und Programme Spezialisierte Geräte und Programme (z.b. Protokoll Analysator), komplexere Angriffsskripte Für die Öffentlichkeit nicht verfügbar, weil Vertrieb kontrolliert. 12 Jan

13 Fazit (1) Penetrationstest sind Ergebnisse von Momentaufnahmen. Um kontinuierliche Sicherheit zu gewährleisten sind diese regelmäßig durchzuführen. Die Klassifikation nach BSI ist im Vergleich zu den anderen Quellen sehr detailiert, wenn auch die Kombinationsdarstellung als Baum nicht ganz zutrifft. 12 Jan Fazit (2) Viele Organisationen und Firmen führen Beispiele zur Ausführung der Penetrationstest, es gibt aber nur wenige, welche sich mit deren Klassifikation beschäftigen. 12 Jan

14 Literatur (1) Bundesamt für Sicherheit in der Informationstechnik, Studie "Durchführungskonzept für Penetrationstests", rationstest.pdf, 2001 John Wack, Miles Tracy, Murugiah Souppaya, "Guideline on Network Security Testing", National Institute of Standards and Technology, October Jan Literatur (2) Pete Herzog, "Open Source Security Testing Methodology Manual", OSSTMM, Saturday, August 23, 2003 International IT security evaluation community, Common Methodology for Information Technology Security Evaluation (CEM), Vers. 2.2, Revision Januar Jan