Cirio_iMes
Level-2
- Beiträge
- 53
- Reaktionspunkte
- 2
-> Hier kostenlos registrieren
Ein Penetrationstest stellt einen simulierten Eindringversuch in Computernetzwerke dar – ein Penetrationstest deckt Sicherheitslücken und Schwachstellen auf und garantiert so die nachhaltige Sicherheit von Systemen und Netzwerken.
Es ist sinnvoll den IT-Penetrationstests in verschiedene Gruppen einzuteilen. Man kann zwischen sog. Black-Box- und White-Box-Penetrationstests unterscheiden. Ebenso kann ein Penetrationstest von extern oder innerhalb des IT-Systems durchgeführt werden.
Bei einem Black-Box-Test ist das zu testende System unbekannt. Der Tester weiß nicht, auf welches System er trifft. Bei den White-Box-Tests sind Betriebssystem, laufende Dienste und weitere Interna bekannt. Es kann das komplette IT-Netzwerk des Unternehmens oder auch einzelne Bereiche wie WLAN-,VPN-Anbindung oder Webanwendungen einem Penetrationstest unterzogen werden.
Der eigentliche Penetrationstest lässt sich in sieben Phasen gliedern, wobei Phase zwei und vier mehrmals zyklisch durchlaufen werden.
Erste Phase
►Erwartungen werden geklärt und Ziele festgelegt
►Fixieren von Eskalationsstufen für den Notfall
►Festlegung von Ansprechpartnern
►Klassifizierung der Sicherheitsanalyse
►Bestimmung des Testzeitraums
Zweite Phase:
►Recherche über das Zielsystem in…
► Offenen Datenbanken für DNS-Einträge
► Newsgruppen
► Web-Foren
► etc.
Dritte Phase:
►Betriebssystem des Rechners und angebotene Dienste werden eruiert
►Zu überprüfenden Rechnersysteme werden einem sog. Portscann unterzogen
► offene Ports lassen Rückschlüsse auf die zugeordneten Anwendungen zu
►Fingerprinting
► Name und Version von Betriebssystemen und Anwendungen werden in Erfahrung gebracht
►Teilweiser Einsatz von Schwachstellenscannern
► ABER: kein Ersatz für das manuelle Vorgehen
►als Abschluss von Phase vier erfolgt eine erste Bewertung des Zielsystems
►Erste Aufwandsschätzung für unautorisierte Zugriffe auf Computersysteme und Netzwerke
Vierte Phase:
►Schwachstellenrecherche
► zielgerichtete Suche nach Schwachstellen in Betriebssystemen und Anwendungen
► wenn verfügbar: Exploit (Programm zur Ausnutzung der Schwachstellen)
Fünfte Phase:
►Ausnutzung der aufgedeckten Sicherheitslücken
► ZWECK: Zugriff auf das System bzw. Vorbereitung weiterer Angriffe
Sechste Phase:
►Abschlussbewertung
►Erstellung des Abschlussberichts und einer Managementzusammenfassung:
► Prüfungsauftrag, Prüfungsergebnisse
► Empfohlene Vorgehensweise
► Logfiles, Einsatzzeiten (welcher Angriff wurde zu welcher Zeit durchgeführt)
► Gezielte Angriffe auf Rechnersysteme
Siebte Phase:
►Durchführung eines Nachtests etwa 30 Tage nach dem Penetrationstest
►Wirksamkeit der Sicherungsmaßnahmen wird überprüft
Ein professioneller Penetrationstest ist elementarer Teil jedes Sicherheitsaudits und überprüft Ihr Netzwerk systematisch auf Schwachstellen und Sicherheitslücken. Damit wendet der IT-Penetrationstest eine Vorgehensweise an, die im Wesentlichen der eines Hackerangriffs entspricht.
iMes Solutions GmbH - Ihr Partner für innovative MES-Software und Industrie 4.0-Lösungen
iMes Solutions GmbH
Telefon: +49 8677 9618-0
Telefax: +49 8677 9618-27
info@imes-solutions.com
www.imes-solutions.com
Es ist sinnvoll den IT-Penetrationstests in verschiedene Gruppen einzuteilen. Man kann zwischen sog. Black-Box- und White-Box-Penetrationstests unterscheiden. Ebenso kann ein Penetrationstest von extern oder innerhalb des IT-Systems durchgeführt werden.
Bei einem Black-Box-Test ist das zu testende System unbekannt. Der Tester weiß nicht, auf welches System er trifft. Bei den White-Box-Tests sind Betriebssystem, laufende Dienste und weitere Interna bekannt. Es kann das komplette IT-Netzwerk des Unternehmens oder auch einzelne Bereiche wie WLAN-,VPN-Anbindung oder Webanwendungen einem Penetrationstest unterzogen werden.
Der eigentliche Penetrationstest lässt sich in sieben Phasen gliedern, wobei Phase zwei und vier mehrmals zyklisch durchlaufen werden.
Erste Phase
►Erwartungen werden geklärt und Ziele festgelegt
►Fixieren von Eskalationsstufen für den Notfall
►Festlegung von Ansprechpartnern
►Klassifizierung der Sicherheitsanalyse
►Bestimmung des Testzeitraums
Zweite Phase:
►Recherche über das Zielsystem in…
► Offenen Datenbanken für DNS-Einträge
► Newsgruppen
► Web-Foren
► etc.
Dritte Phase:
►Betriebssystem des Rechners und angebotene Dienste werden eruiert
►Zu überprüfenden Rechnersysteme werden einem sog. Portscann unterzogen
► offene Ports lassen Rückschlüsse auf die zugeordneten Anwendungen zu
►Fingerprinting
► Name und Version von Betriebssystemen und Anwendungen werden in Erfahrung gebracht
►Teilweiser Einsatz von Schwachstellenscannern
► ABER: kein Ersatz für das manuelle Vorgehen
►als Abschluss von Phase vier erfolgt eine erste Bewertung des Zielsystems
►Erste Aufwandsschätzung für unautorisierte Zugriffe auf Computersysteme und Netzwerke
Vierte Phase:
►Schwachstellenrecherche
► zielgerichtete Suche nach Schwachstellen in Betriebssystemen und Anwendungen
► wenn verfügbar: Exploit (Programm zur Ausnutzung der Schwachstellen)
Fünfte Phase:
►Ausnutzung der aufgedeckten Sicherheitslücken
► ZWECK: Zugriff auf das System bzw. Vorbereitung weiterer Angriffe
Sechste Phase:
►Abschlussbewertung
►Erstellung des Abschlussberichts und einer Managementzusammenfassung:
► Prüfungsauftrag, Prüfungsergebnisse
► Empfohlene Vorgehensweise
► Logfiles, Einsatzzeiten (welcher Angriff wurde zu welcher Zeit durchgeführt)
► Gezielte Angriffe auf Rechnersysteme
Siebte Phase:
►Durchführung eines Nachtests etwa 30 Tage nach dem Penetrationstest
►Wirksamkeit der Sicherungsmaßnahmen wird überprüft
Ein professioneller Penetrationstest ist elementarer Teil jedes Sicherheitsaudits und überprüft Ihr Netzwerk systematisch auf Schwachstellen und Sicherheitslücken. Damit wendet der IT-Penetrationstest eine Vorgehensweise an, die im Wesentlichen der eines Hackerangriffs entspricht.
iMes Solutions GmbH - Ihr Partner für innovative MES-Software und Industrie 4.0-Lösungen
iMes Solutions GmbH
Telefon: +49 8677 9618-0
Telefax: +49 8677 9618-27
info@imes-solutions.com
www.imes-solutions.com
Zuletzt bearbeitet: