Die fünf Phasen eines Penetrationstests - Teil 6

Der sechste Teile der Reihe schließt mit der theoretischen Grundlagen eines Penetrationstests ab. Der folgende Artikel befasst sich mit den fünf Phasen für die Durchführung eines Penetrationstests.
Weiterlesen   >>
Bild des Benutzers pentester

Veröffentlicht von:

pentester
aktualisiert am:  30.05.2015

Ein Penetrationstest läuft meist nach dem gleichen Schema ab. Bewährt hat sich die Aufteilung in fünf Phasen, die in diesem Artikel erläutert werden.

Phase 1: Vorbereitung

Eine genaue Abstimmung der Ziele des Penetrationst ist wichtig, um die Erwartungen des Auftraggebers zu erfüllen. Zu Beginn des Penetrations müssen daher die Ziele des Auftraggebers zusammen mit ihm definiert werden.

Die Durchführung eines Penetrationstest ohne vollständiger Berücksichtigung gesetzlicher Bestimmungen, wird möglicherweise straf- oder zivilrechtliche Konsequenzen nach sich ziehen!

Ein Ausfall eines Systems aufgrund nicht abgestimmter Techniken oder nicht kommunizierter Risiken, könnten Regressforderungen auslösen. Deshalb dokumentieren Sie unbedingt das Vorgehen und die daraus resultierenden Risiken.

Alle vereinbarten Details sollten, soweit möglich schriftlich in einem Vertrag festgehalten werden. Fangen Sie niemals einen Penetrationstest vor dem Vertragsabschluß an.

Zur Wahrung des Vier-Augenprinzip empfiehlt das BSI, ein Testteam aus mindestens zwei Personen einzusetzen. Entscheidend ist aber letztendlich der Kostenfaktor.

Phase 2: Beschaffung von Informationen

Nachdem Ziele, Umfang, Vorgehen und Notfallmaßnahmen definiert worden sind. Beginnt die Sammlung von Informationen über das Ziel. Diese Phase wird als passiver Penetrationstest bezeichnet.

Ziel ist es, eine detaillierte Übersicht über die installierten Systeme und potenzielle Angriffspunkte zu erlangen.

Je nach Umfang des Penetrationstests, kann diese Phase sehr viel Zeit benötigen. Die Untersuchung von über 200 möglichen IP-Adressen in einem Netz, kann mehrere Wochen betragen.

Phase 3: Bewertung von Informationen

Die gesammelten Informationen aus Phase 2, werden in dieser Phase analysiert und bewertet. In die Bewertung sollten neben den vereinbarten Zielen des Penetrationstest, auch die potenzielle Gefährdung der Systeme, sowie der geschätzte Aufwand für die nachfolgenden Eindringversuche einfließen.

Anhand dieser Bewertung werden die Angriffsziele für die Phase 4 ausgewählt. Die Auswahl richtet sich nach den Systemen, für die potenzielle Schwachstellen bekannt sind oder der Tester detaillierte Kenntnisse verfügt.

Die vorgenommene Auswahl muss ausführlich dokumentiert und begründet werden, da dadurch die Aussagekraft des Penetrationstests eingeschränkt wird. Dieses muss dem Auftraggeber klar kommuniziert werden.

Phase 4: Eindringversuche

Diese Phase birgt das größte Risiko innerhalb eines Penetrationstest. Hier zeigt sich auch erst ob die vermeintlichen Schwachstellen tatsächlich Risiken darstellen. Im Rahmen eines White-Box Tests muss vor der Durchführung des Tests verfügbare Patchs installiert werden. Die Prüfung wird dann wahrscheinlich keine Schwachstelle feststellen, dafür aber die Sicherheit des Systems dokummentieren.

Phase 5: Abschlussanalyse

Der Abschlussbericht enthölt neben den Aufzeichnungen der einzelnen Prüfungsschritten auch eine Bewertung der gefundenen Schwachstellen. Die potenzielle Risiken sowie Empfehlungen zur Beseitigung der Schwachstelle bzw. Minderung der Risiken sollten dabei kommuniziert werden. Der Bericht muss die Nachvollziehbarkeit der Tests garantieren.

Die Feststellungen des Penetrationstests und die daraus resultierenden Risiken für die IT-Sicherheit sollten in einem Abschlussgespräch mit dem Auftraggeber ausführlich besprochen werden.

Das waren die fünf Phasen des Penetrationstest. Der theoretische Teil meiner Reihe endet auch damit. Die nächsten Artikel werden sich mit den Penetration-Testing-Tools befassen. Ich stelle euch die Arbeitsstation eines Penetrationstester vor und gehe auf verschiedene Tools ein, die sich m.E. gut für einen Pentest eignen. Abonniert euch den RSS-Feed wenn ihr den nächsten Artikel nicht verpassen wollt.

Noch eine Frage zum Schluss:

Ich habe einige Tools die ich euch vorstellen möchte, auf einige werde ich auch detailliert eingehen. Gibt es von eurer Seite Wünsche, auf welche Tools ich genauer eingehen sollte?

nach oben
166 User haben sich bedankt.
Bild-CAPTCHA
Geben Sie die Zeichen ein, die im Bild gezeigt werden.
Kommentar schreiben