Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de
Einleitung Durch einen Penetrationstest kann geprüft werden, inwieweit die Sicherheit der IT- Systeme durch Bedrohungen von Hackern gefährdet ist bzw. ob die IT-Sicherheit durch die eingesetzten Sicherheitsmaßnahmen aktuell gewährleistet ist. Bei dem Produkt Schneider & Wulf Penetrationstest Intern handelt es sich um einen umfassenden Sicherheitstest interner Computersysteme. Dieser Test kann ausschließlich vor Ort durchgeführt werden und erfordert einen vom Kunden bereitgestellten Netzzugang. Der Fokus dieses Tests liegt auf dem aufdecken und ausnutzen von internen Schwachstellen, wir decken dabei folgende Bereiche ab: Netzwerk-Infrastruktur Server-Infrastruktur Client-Infrastruktur Drahtlose Netzwerke VoIP Systeme Physikalische Sicherheit Organisatorische Sicherheit Es existieren große Unterschiede bezüglich der Qualität der als Penetrationstest bezeichneten Dienstleistung. Das Niveau und der praktische Nutzen eines Penetrationstests wird im Wesentlichen davon bestimmt, inwieweit auf die individuelle Situation des Auftraggebers eingegangen, wie viel Zeit und Ressourcen auf die Ausforschung von Schwachstellen verwendet und wie kreativ dabei vorgegangen wird. Die Ziele eines Penetrationstest sind u.a. folgende. Erhöhung der Sicherheit Ihrer technischen Systeme Identifikation von Schwachstellen Bestätigung der IT-Sicherheit durch einen externen Dritten Erhöhung der Sicherheit Ihrer organisatorischen und personellen Infrastruktur 1
Klassifikation Anhand der abgebildeten sechs Kriterien wird ein Penetrationstest typischerweise geplant. Das erste Kriterium ist die Informationsbasis, diese sagt aus, nach welchem Modell vorgegangen wird und welche Informationen vom Kunden bereitgestellt werden. Die Aggressivität legt fest, mit welcher Intensität ein Test durchgeführt wird. In hochkritischen Umgebungen empfiehlt sich eine vorsichtige Herangehensweise. Eine denkbare Klassifikation würde zum Beispiel wie folgt aussehen. Black Box» aggressiv» vollständig» verdeckt» Netzwerkzugang» von innen 2
5-Phasen-Modell Ein Penetrationstest gliedert sich üblicherweise in 5 Phasen, diese lauten wie folgt: Vorbereitungsphase In der Vorbereitungsphase werden gemeinsam mit dem Kunden die exakten Ziele des Penetrationstest besprochen, wie bspw. der Umfang, die Informationsbasis und die Aggressivität des Tests. Während eines Tests kann es in seltenen Fällen zu Ausfällen von Diensten kommen (Denial of Service). So ist es beispielsweise möglich, dass durch die automatisierten Tests vereinzelt Dienste abstürzen. Dies geschieht in der Regel bei extrem veralteter oder schlecht programmierter Software, aus diesem Grund bieten wir dem Kunden auch eine Durchführung außerhalb der normalen Arbeitszeiten an. Informationsbeschaffungsphase Im Vorfeld wird mit dem Kunden besprochen, ob ein sogenannter Blackbox oder Whitebox Test durchgeführt werden soll. Bei einem Blackbox Test werden von dem Kunden lediglich die Ziele wie IP-Adressen und Hostnamen mitgeteilt bzw. ein Netzzugang bereitgestellt. Entscheidet sich der Kunde für einen Whitebox Test, erhalten wir detaillierte Informationen über das Ziel, diese umfassen üblicherweise die eingesetzten Softwareprodukte und Versionen der Systeme und Informationen über das zugrundeliegende Netzwerk. Anschließend kann mit der eigentlichen Informationsbeschaffung begonnen werden. Ziel ist es, eine möglichst komplette und detaillierte Übersicht über die installierten Systeme inklusive der potenziellen Angriffspunkte bzw. der bekannten Sicherheitsmängel zu erlangen. Bewertungsphase Die aus der Phase 2 gewonnen Informationen werden nun auf potenzielle Gefährdungen hin geprüft, die daraus resultierenden Gefährdungen fließen anschließend in Phase 4 ein. Aktive Eindringungsversuche Hierbei werden aktive Versuche unternommen, in die zuvor ausgewählten Systeme einzudringen, da diese Phase von allen anderen die Risikoreichste ist, wird dieser Schritt ausschließlich manuell und mit großer Sorgfalt durchgeführt. Abschlussanalyse / Berichtsphase In der Abschlussphase wird ein detaillierter Bericht mit allen gefundenen Sicherheitsmängeln erstellt, jeder Sicherheitsmangel wird einzeln Bewertet und Sie erhalten Vorschläge zu Maßnahmen, wie der Mangel behoben werden kann. In einem gemeinsamen Abschlussgespräch besprechen wir den aus dem Penetrationstest resultierenden Bericht. 3
Leistungen Nachfolgend finden Sie die wichtigsten der -von uns angebotenen- Leistungen. Den genauen Leistungsumfang definieren wir gemeinsam in der Vorbereitungsphase im Rahmen eines persönlichen Gesprächs. Analyse der grundlegenden Netzwerkstruktur Prüfen aller ermittelten Serversysteme (Windows, Linux, Unix etc.) Prüfen aller ermittelten Serverdienste (Web, Mail, Datenbank, Directory etc.) Prüfen aller ermittelten Netzwerksysteme (Switche, Router, Firewalls, WAFs etc.) Prüfen aller ermittelten Netzwerkdienste (SNMP, SSH, DNS, DHCP etc.) Prüfen von drahtlosen Kommunikationswegen (WLAN, DECT, Bluetooth etc.) Social-Engineering Attacken (Telefonisch oder per E-Mail) Prüfen der physikalischen Sicherheit (Patchschränke, Zugangskontrollen etc.) Schwachstellenanalyse und Bewertung Ausnutzen von Schwachstellen Erstellen eines zusammenfassenden Berichts Besprechung des Berichts und der daraus resultierenden Maßnahmen Gemeinsames definieren von Routineaufgaben in der IT-Sicherheit Hilfestellung beim schließen von Schwachstellen Nachtest, prüfen ob alle Schwachstellen ordnungsgemäß geschlossen wurden 4
Firmenprofil Die Schneider & Wulf EDV-Beratung wurde 1988 von Christian Schneider gegründet. Leistungsschwerpunkte sind die Themen IT-Sicherheit, Auditierung und unser Dienstleistungskonzept Mobile Admin Service sowie die Entwicklung und Implementierung von Lösungen rund um das CRM-System SuperOffice. Derzeit beschäftigt das Unternehmen 30 Mitarbeiterinnen und Mitarbeiter. Kontakt Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen Telefon +49 6073 6001-0 Fax +49 6073 6001-99 www.schneider-wulf.de info@schneider-wulf.de 5