Penetrationstest Intern Leistungsbeschreibung



Ähnliche Dokumente
Penetrationstest Extern Leistungsbeschreibung

IT Security-Dienstleistungen Produktbeschreibung Stand 06. Juli 2016

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

Rundum-G. Die Anforderungen durch ständig steigende

Installation und Test von Android Apps in der Entwicklungs- und Testphase

IT- Wir machen das! Leistungskatalog. M3B Service GmbH Alter Sportplatz Lake Schmallenberg

ANYWHERE Zugriff von externen Arbeitsplätzen

Anlegen eines virtuellen http Server unter Exchange 2003 mittels HOSTNAME

Upgrade von Starke Praxis

Horstbox VoIP. Stefan Dahler. 1. HorstBox Konfiguration. 1.1 Einleitung

LSF-Anleitung für Studierende

Guide DynDNS und Portforwarding

1. Laden Sie sich zunächst das aktuelle Installationspaket auf herunter:

Anleitung. zum Einrichten Ihrer. manitu DSL - Verbindung

Installationsanleitung FRITZ!BOX Fon 7270

Internet online Update (Internet Explorer)

Software-Entwicklungsprozesse zertifizieren

EOS Utility WLAN Installation

Anleitung zur Datensicherung und -rücksicherung in der VR-NetWorld Software

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

Rillsoft Project - Installation der Software

GeoPilot (Android) die App

Anleitung zum BW-Bank Computer-Check Windows-Firewall aktivieren

BüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen

GS-Programme 2015 Allgemeines Zentralupdate

Fusion: Umstellungsleitfaden «VR-NetWorld Software» (ausschließlich für Kunden der ehemaligen Volksbank Oelde-Ennigerloh-Neubeckum eg)

Ablaufbeschreibung für das neu Aufsetzen von Firebird und Interbase Datenbanken mit der IBOConsole

Leitfaden zur ersten Nutzung der R FOM Portable-Version für Windows (Version 1.0)

Installationsanleitung dateiagent Pro

> HBCI PIN/TAN und T-Online Banking 6.0

ANLEITUNG. Firmware Flash. Seite 1 von 7

Installationsanleitung. Installieren Sie an PC1 CESIO-Ladedaten einschl. dem Firebird Datenbankserver, wie in der Anleitung beschrieben.

Penetrationtests: Praxisnahe IT-Sicherheit

MANUELLE DATENSICHERUNG

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Einspielanleitung für das Update DdD Cowis backoffice DdD Cowis pos

Installationsanleitung Webserver - Datenkommunikation

statuscheck im Unternehmen

Wiederkehrende Bestellungen. Tipps & Tricks

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

GPP Projekte gemeinsam zum Erfolg führen

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

Antoine de Saint-Exupéry fr. Schriftst.

Anmeldung eines Tiptel IP-Telefons an einer FritzBox

Gussnummern-Lesesystem

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Anleitung Grundsetup C3 Mail & SMS Gateway V

Anleitung für die Umstellung auf das plus Verfahren mit manueller und optischer Übertragung

Updateanleitung für SFirm 3.1

Social Media Einsatz in saarländischen Unternehmen. Ergebnisse einer Umfrage im Mai 2014

Wie richten Sie Ihr Web Paket bei Netpage24 ein

Lizenzierung von StarMoney 8.0 bzw. StarMoney Business 5.0 durchführen

Installation älterer Programmversionen unter Windows 7

Kompatibilitätsmodus und UAC

Update-Anleitung für SFirm 3.1

Vermittlung von Unternehmensbeteiligungen für kleine und mittlere Unternehmen (KMU) Prozessablauf

Durchführung der Datenübernahme nach Reisekosten 2011

Integration mit. Wie AristaFlow Sie in Ihrem Unternehmen unterstützen kann, zeigen wir Ihnen am nachfolgenden Beispiel einer Support-Anfrage.

AppCenter Handbuch August 2015, Copyright Webland AG 2015

Kompetenz ist Basis für Erfolg

Windows Server 2008 für die RADIUS-Authentisierung einrichten

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto in Outlook 2003

BSV Software Support Mobile Portal (SMP) Stand

Anleitung: Confixx auf virtuellem Server installieren

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

IT-Schwachstellenampel: Produktsicherheit auf einen Blick+

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto in Windows Live Mail

WebCar Mobil Betriebssystem Windows Phone 7.5 Bedienungsanleitung kwse 2012, Albershausen Im Morgen 67

Prüfung Netzwerk. Sicherheitslücken im IT-Verbund

Weiterbildung zum Prozessmanagement Fachmann

Downloadfehler in DEHSt-VPSMail. Workaround zum Umgang mit einem Downloadfehler

Einrichten des fhb-wlan

2. Konfiguration der Adobe Software für die Überprüfung von digitalen Unterschriften

Smap3D PDM 10. Installation. Stand-Alone-Migration-Analyzer

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

HTBVIEWER INBETRIEBNAHME

Installation von horizont 4 bei Verwendung mehrerer Datenbanken


united hoster GmbH Preis- und Leistungsverzeichnis Support

Aktualisierung des Internet-Browsers

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

Sagem IP-Phonefax 49A

Diese Anleitung enthält Anweisungen, die nur durch erfahrene Anwender durchgeführt werden sollten!

ICS-Addin. Benutzerhandbuch. Version: 1.0

PC-Kaufmann 2014 Installationsanleitung

Fusion 2015 Änderungen Ihres Zahlungverkehrsprogrammes VR-Networld

3. Klicken Sie im folgenden Fenster unbedingt auf "Installation fortsetzen", um die für das Update benötigten Treiber zu installieren.

Fusion: Umstellungsleitfaden «Profi cash» (ausschließlich für Kunden der ehemaligen Volksbank Oelde-Ennigerloh-Neubeckum eg)

Powermanager Server- Client- Installation

Penetration Test Zielsetzung & Methodik

OCTOPUS Appointment System von ADCOTEL -- System Architektur Version 1.1 vom Adcotel GmbH. I. Übersicht

Digitale Zertifikate

Step by Step Webserver unter Windows Server von Christian Bartl

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto in Outlook Express

Hilfestellung. ALL500VDSL2 Rev.B & ALL02400N. Zugriff aus dem Internet / Portweiterleitung / Fernwartung. Router. Endgeräte. lokales.

Transkript:

Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de

Einleitung Durch einen Penetrationstest kann geprüft werden, inwieweit die Sicherheit der IT- Systeme durch Bedrohungen von Hackern gefährdet ist bzw. ob die IT-Sicherheit durch die eingesetzten Sicherheitsmaßnahmen aktuell gewährleistet ist. Bei dem Produkt Schneider & Wulf Penetrationstest Intern handelt es sich um einen umfassenden Sicherheitstest interner Computersysteme. Dieser Test kann ausschließlich vor Ort durchgeführt werden und erfordert einen vom Kunden bereitgestellten Netzzugang. Der Fokus dieses Tests liegt auf dem aufdecken und ausnutzen von internen Schwachstellen, wir decken dabei folgende Bereiche ab: Netzwerk-Infrastruktur Server-Infrastruktur Client-Infrastruktur Drahtlose Netzwerke VoIP Systeme Physikalische Sicherheit Organisatorische Sicherheit Es existieren große Unterschiede bezüglich der Qualität der als Penetrationstest bezeichneten Dienstleistung. Das Niveau und der praktische Nutzen eines Penetrationstests wird im Wesentlichen davon bestimmt, inwieweit auf die individuelle Situation des Auftraggebers eingegangen, wie viel Zeit und Ressourcen auf die Ausforschung von Schwachstellen verwendet und wie kreativ dabei vorgegangen wird. Die Ziele eines Penetrationstest sind u.a. folgende. Erhöhung der Sicherheit Ihrer technischen Systeme Identifikation von Schwachstellen Bestätigung der IT-Sicherheit durch einen externen Dritten Erhöhung der Sicherheit Ihrer organisatorischen und personellen Infrastruktur 1

Klassifikation Anhand der abgebildeten sechs Kriterien wird ein Penetrationstest typischerweise geplant. Das erste Kriterium ist die Informationsbasis, diese sagt aus, nach welchem Modell vorgegangen wird und welche Informationen vom Kunden bereitgestellt werden. Die Aggressivität legt fest, mit welcher Intensität ein Test durchgeführt wird. In hochkritischen Umgebungen empfiehlt sich eine vorsichtige Herangehensweise. Eine denkbare Klassifikation würde zum Beispiel wie folgt aussehen. Black Box» aggressiv» vollständig» verdeckt» Netzwerkzugang» von innen 2

5-Phasen-Modell Ein Penetrationstest gliedert sich üblicherweise in 5 Phasen, diese lauten wie folgt: Vorbereitungsphase In der Vorbereitungsphase werden gemeinsam mit dem Kunden die exakten Ziele des Penetrationstest besprochen, wie bspw. der Umfang, die Informationsbasis und die Aggressivität des Tests. Während eines Tests kann es in seltenen Fällen zu Ausfällen von Diensten kommen (Denial of Service). So ist es beispielsweise möglich, dass durch die automatisierten Tests vereinzelt Dienste abstürzen. Dies geschieht in der Regel bei extrem veralteter oder schlecht programmierter Software, aus diesem Grund bieten wir dem Kunden auch eine Durchführung außerhalb der normalen Arbeitszeiten an. Informationsbeschaffungsphase Im Vorfeld wird mit dem Kunden besprochen, ob ein sogenannter Blackbox oder Whitebox Test durchgeführt werden soll. Bei einem Blackbox Test werden von dem Kunden lediglich die Ziele wie IP-Adressen und Hostnamen mitgeteilt bzw. ein Netzzugang bereitgestellt. Entscheidet sich der Kunde für einen Whitebox Test, erhalten wir detaillierte Informationen über das Ziel, diese umfassen üblicherweise die eingesetzten Softwareprodukte und Versionen der Systeme und Informationen über das zugrundeliegende Netzwerk. Anschließend kann mit der eigentlichen Informationsbeschaffung begonnen werden. Ziel ist es, eine möglichst komplette und detaillierte Übersicht über die installierten Systeme inklusive der potenziellen Angriffspunkte bzw. der bekannten Sicherheitsmängel zu erlangen. Bewertungsphase Die aus der Phase 2 gewonnen Informationen werden nun auf potenzielle Gefährdungen hin geprüft, die daraus resultierenden Gefährdungen fließen anschließend in Phase 4 ein. Aktive Eindringungsversuche Hierbei werden aktive Versuche unternommen, in die zuvor ausgewählten Systeme einzudringen, da diese Phase von allen anderen die Risikoreichste ist, wird dieser Schritt ausschließlich manuell und mit großer Sorgfalt durchgeführt. Abschlussanalyse / Berichtsphase In der Abschlussphase wird ein detaillierter Bericht mit allen gefundenen Sicherheitsmängeln erstellt, jeder Sicherheitsmangel wird einzeln Bewertet und Sie erhalten Vorschläge zu Maßnahmen, wie der Mangel behoben werden kann. In einem gemeinsamen Abschlussgespräch besprechen wir den aus dem Penetrationstest resultierenden Bericht. 3

Leistungen Nachfolgend finden Sie die wichtigsten der -von uns angebotenen- Leistungen. Den genauen Leistungsumfang definieren wir gemeinsam in der Vorbereitungsphase im Rahmen eines persönlichen Gesprächs. Analyse der grundlegenden Netzwerkstruktur Prüfen aller ermittelten Serversysteme (Windows, Linux, Unix etc.) Prüfen aller ermittelten Serverdienste (Web, Mail, Datenbank, Directory etc.) Prüfen aller ermittelten Netzwerksysteme (Switche, Router, Firewalls, WAFs etc.) Prüfen aller ermittelten Netzwerkdienste (SNMP, SSH, DNS, DHCP etc.) Prüfen von drahtlosen Kommunikationswegen (WLAN, DECT, Bluetooth etc.) Social-Engineering Attacken (Telefonisch oder per E-Mail) Prüfen der physikalischen Sicherheit (Patchschränke, Zugangskontrollen etc.) Schwachstellenanalyse und Bewertung Ausnutzen von Schwachstellen Erstellen eines zusammenfassenden Berichts Besprechung des Berichts und der daraus resultierenden Maßnahmen Gemeinsames definieren von Routineaufgaben in der IT-Sicherheit Hilfestellung beim schließen von Schwachstellen Nachtest, prüfen ob alle Schwachstellen ordnungsgemäß geschlossen wurden 4

Firmenprofil Die Schneider & Wulf EDV-Beratung wurde 1988 von Christian Schneider gegründet. Leistungsschwerpunkte sind die Themen IT-Sicherheit, Auditierung und unser Dienstleistungskonzept Mobile Admin Service sowie die Entwicklung und Implementierung von Lösungen rund um das CRM-System SuperOffice. Derzeit beschäftigt das Unternehmen 30 Mitarbeiterinnen und Mitarbeiter. Kontakt Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen Telefon +49 6073 6001-0 Fax +49 6073 6001-99 www.schneider-wulf.de info@schneider-wulf.de 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback