[DE]Penetration Testing Theorie #2

In dieser kleinen Serie möchte ich eine kurze Einleitung zur theoretischen Vorgehensweise von Penetrationstests geben.
Aufgeteilt ist diese Serie in folgende Beiträge:

• #1 Was ist Penetrationtesting, Schutzziele, Täterprofile
• #2 Klassifikation von Penetrationtests
• #3 Phasen eines Penetrationstests
• #4 Bewertung von Schwachstellen
  
  ^{Diese Serie ist nicht vollständig und soll lediglich einen groben Überblick geben. Bei offenen Fragen zu einem Thema beantworte ich diese natürlich gerne in den Kommentaren oder schreibe einen weiteren Beitrag !}
  

---

Um einen Penetrationstest an die entsprechende Zielsetzung anzupassen, definiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) in ^[S.12ff.][3] sechs Kriterien, um einen Penetrationstest zu klassifizieren.

^{Bildquelle: [S.13][3]}

Informationsbasis

In der Informationsbasis wird beschrieben, welche Informationen zu beginn eines Testes vorhanden sind.
Grundlegend wird zwischen einem Black- und White-Box-Test unterschieden.

Bei einem Black-Box-Test sind zu beginn keine internen Informationen zu den Systemen vorhanden. Dadurch kann ein externer Angriff simuliert werden, bei dem die Informationsbeschaffung ein wichtiger Bestandteil ist.

Ein White-Box-Test dagegen ermöglicht dem Penetrationtester Einsicht in interne Strukturen, wie beispielsweise der Aufbau des Netzwerkes oder genutzte Technologien und Dienste. Durch diesen Test kann ein ehemaliger Mitarbeiter simuliert werden ^[S.14][3].

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt grundsätzlich White-Box-Tests durchzuführen, da der zeitliche Aufwand zur Informationsbeschaffung hierbei geringer ist ^[S.5][4].

Michael Messner ergänzt dieses Modell in ^[S.9][2] zusätzlich durch Gray-Box-Tests, die eine Kombination aus Black- und White-Box-Tests darstellen und nur bestimmte Informationen zur Verfügung stehen.

Aggressivität

Das BSI definiert in ^[S.14][3] vier Stufen, die eine Aussage über die Aggressivität der Tests aussagen.

Bei einem passiven Test werden keinerlei Schwachstellen ausgenutzt. Somit besteht kein Risiko, dass Systeme ausfallen oder von ihrem normalen Betrieb abweichen.

In der Stufe vorsichtig werden Schwachstellen nur dann ausgenutzt, wenn davon ausgegangen werden kann, dass dies keine Auswirkungen auf die Funktionalität des Systems hat.

Abwägend werden Tests bezeichnet, bei denen das System unter Umständen beeinträchtigt werden kann. Allerdings wird das Risiko und die Erfolgswahrscheinlichkeit vorher abgeschätzt.

Bei einem aggressiven Test werden alle Schwachstellen ausgenutzt. Hierbei wird keine Rücksicht auf die Verfügbarkeit der Systeme genommen. Tests dieser Art können zu unvorhersagbarem Verhalten des Systems führen.

Umfang

Der Aspekt Umfang des Tests definiert welche Systeme und Komponenten getestet werden sollen und welche explizit aus dem Test ausgeschlossen werden.

Ein vollständiger Test beinhaltet alle Systeme. Ausgenommen hiervon sind Dienste externer Anbieter, da hierfür keine Berechtigungen vorliegen und entsprechende Tests außerhalb des rechtlichen Rahmens liegen.

Durch Ausschluss bestimmter Teilsysteme wird ein Test der Kategorie begrenzter Penetrationtest zugewiesen.

Als fokussiert werden Tests bezeichnet, die nur einen bestimmten Netzbereich, ein bestimmtes System oder bestimmte Funktionalitäten adressieren.

Vorgehensweise

In der Vorgehensweise wird zwischen verdeckten und offensichtlichen Tests unterschieden.

Anders als bei einem verdeckten Test wird werden bei einem offensichtlichen Test keine Maßnahmen zur Verschleierung der Angriffe unternommen.
Die Angriffe zu verschleiern hat den Vorteil, dass schützende Komponenten wie beispielsweise ein Intrusion Detection System (IDS)geprüft werden können.
Ein Network Intusion Detection System (NIDS) analysiert den Netzwerkverkehr innerhalb eines Netzes erkennt Angriffe anhand von auffälligen Netzwerkpaketen ^[S.172][1]. Entsprechend kann hier getestet werden, welche Art von Angriffen vom NIDS erkannt werden und welche nicht.

Des weiteren können einige Angriffe wie Denial of Service-Angriffe (DoS)nicht verdeckt durchgeführt werden.

Technik

Um Angriffstechniken zu differenzieren unterscheidet das BSI zwischen vier entsprechenden Vorgehensweisen.

Bei einem klassischen Netzwerkzugriff wird über das TCP/IP Protokoll zugegriffen.

Neben dem IP/TCP Protokoll können auch andere Kommunikationswege wie Bluetooth, ZigBee oder das Telefon als Angriffsvektor dienen. Diese werden unter dem Begriff sonstige Kommunikation zusammen gefasst.

Neben dem Zugriff über Computersysteme können auch Tests der physischen Sicherheit durchgeführt werden. Hierbei wird geprüft, ob es möglich ist unbemerkt an Systeme zu gelangen um von diesen aus den Angriff fortzuführen.

Eine weitere Angriffstechnik ist das Social Engineering. Hierbei wird der Mensch als Schwachstelle angesehen und über psychologische Tricks versucht an an vertrauliche Informationen zu gelangen ^[S.262][1]. Hierzu hatte bereits vor einiger Zeit einen Beitrag verfasst.

Ausgangspunkt

Das letzte Kriterium zur Klassifikation von Penetrationstests ist der Ausgangspunkt von dem ein Angriff aus geht.

Unterschieden wird zwischen einem Angriff von außen, bei dem Schwachstellen in öffentlich zugänglichen Diensten gesucht werden und internen Angriffen.
Bei einem internen Angriff startet dieser innerhalb des Netzwerks.

"Daher kann mit einem Test von innen bewertet werden, was z. B. bei einem
Fehler in der Firewall-Konfiguration oder bei einem erfolgreichen Angriff auf die
Firewall passieren könnte bzw. welche Zugriffsmöglichkeiten Personen mit Zugang
zum internen Netzwerk erlangen könnten "^[S.17][3].

---

Quellen

• [1] - [Ori16]: Sean-Philip Oriyano. Penetration Testing Essentials . John Wiley and Sons, New York, 2016.
• [2] - [Mes17]: Michael Messner. Hacking mit Metasploit - Das umfassende Handbuch zu Penetration Testing und Metasploit. dpunkt.verlag, Heidelberg, 2017.
• [3] - [BSI_Durchführungskonzept]: BSI Durchführungskonzept für Penetrationstest. Aufgerufen am 22.05.2018. URL: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/Penetrationstest/penetrationstest.pdf?__blob=publicationFile&v=3
• [4] - [BSI_Leitfaden]: BSI Praxis-Leitfaden für Penetrationtests. November 2016, Aufgerufen am 22.05.2018. URL: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Sicherheitsberatung/Pentest_Webcheck/Leitfaden_Penetrationstest.pdf?__blob=publicationFile&v=10.
  

---

Vielen Dank fürs Lesen. Fragen beantworte ich wie immer gerne in den Kommentaren :)