[DE]Penetration Testing Theorie #3

In dieser kleinen Serie möchte ich eine kurze Einleitung zur theoretischen Vorgehensweise von Penetrationstests geben.
Aufgeteilt ist diese Serie in folgende Beiträge:

• #1 Was ist Penetrationtesting, Schutzziele, Täterprofile
• #2 Klassifikation von Penetrationstests
• #3 Phasen eines Penetrationstests
• #4 Bewertung von Schwachstellen
  
  ^{Diese Serie ist nicht vollständig und soll lediglich einen groben Überblick geben. Bei offenen Fragen zu einem Thema beantworte ich diese natürlich gerne in den Kommentaren oder schreibe einen weiteren Beitrag !}
  

---

Um einen Penetrationstest strukturiert durchführen zu können werden in ^[1] fünf Phasen eines Penetrationstests definiert, die im Folgenden kurz beschrieben werden sollen.

Phase 1 - Vorbereitung

In der ersten Phase werden die Ziele definiert, die durch den Test erreicht werden sollen. Entsprechend der in Klassifikation von Penetrationstests beschriebenen Kriterien wird der Penetrationstest klassifiziert. Zusätzlich werden Zeitrahmen definiert, in denen der Test durchgeführt werden soll. Im Rahmen von Sicherheitsanalysen spezieller Compliance-Anforderungen kommt es zur Abstimmung von Vorgehensweisen und vorhandener Bestimmungen. Auch werden in dieser Phase gesetzliche Bestimmungen überprüft, um straf- oder zivilrechtliche Konsequenzen zu vermeiden ^[S.45][2]. Vereinbarte Details werden schriftlich in einem Vertrag festgehalten.

Phase 2 - Informationsbeschaffung

Abhängig davon, ob es sich um einen Black-, White- oder Gray-Box-Test handelt müssen Informationen zu den Zielsystemen gesammelt oder aufbereitet werden.
Zur Informationsbeschaffung gehören neben der Nutzung von Online-Suchmaschinen auch der Einsatz von Netzwerkscannern wie nmap.
Somit können neben der IT-Infrastruktur auch Service-Versionen identifiziert werden.
Diese Phase sollte einen möglichst detaillierten Überblick über die zu prüfende Umgebung verschaffen. Der erstellte Überblick umfasst vorhandene Systeme, Dienste und mögliche Schwachstellen bzw. Angriffspunkte ^[S.5][1].

Phase 3 - Bewertung der Informationen/Risikoanalyse

Die in der Phase 2 gesammelten Informationen werden in dieser Phase auf mögliche Schwachstellen analysiert. So können bereits bekannte Sicherheitslücken anhand der Version bestimmter Services identifiziert werden. Unkontrollierbare Risiken sollten vor Start der Phase 4 mit den verantwortlichen Auftraggebern abgesprochen werden.

In die Bewertung müssen die vereinbarten Ziele des
Penetrationstests, die potenzielle Gefährdung der Systeme und der geschätzte Aufwand für das Evaluieren der potenziellen Sicherheitsmängel für die nachfolgenden aktiven Eindringsversuche einfließen ^{[S. 45f.][2]}.

Phase 4 - Aktive Eindringungsversuche

Falls eine Verifikation der potentiellen Schwachstellen gefordert ist, werden diese aktiv ausgenutzt. In dieser Phase können entsprechende Funktionalitäten des Zielsystems eingeschränkt werden. Dies ist abhängig von der gewählten Aggressivität der Tests.

Bevor diese Phase eingeleitet wird, sollten unbedingt Kontaktinformationen aller Ansprechpartner vorliegen, um im Ernstfall die richtigen Personen möglichst rasch zu Informieren ^[S.6][1].

Nach entsprechendem Zugriff auf ein System wird versucht die erlangten Benutzerrechte auszuweiten. Auch wird wieder in Phase 2 begonnen, wenn Zugriff auf vorher unbekannte Netzwerkbereiche möglich ist. Dieses Vorgehen wird als Pivoting bezeichnet.

Phase 5 - Abschlussphase

Alle Informationen, die während des Tests gesammelt wurden, werden im Report des Tests zusammengefasst und aufgearbeitet. Dieser Report sollte die genauen Vorgehensweisen dokumentieren, sodass alle Ergebnisse nachvollziehbar sind. Neben der Auflistung der Schwachstellen mit einem Proof-of-Concept enthält der Bericht eine Managementübersicht und eine entsprechende Bewertung. Eine Möglichkeit die Schwachstellen zu bewerten ist das Common Vulnerability Scoring System welches im nächsten Beitrag dieser Reihe erläutert wird. Jegliche durch den Penetrationstest entstandenen Änderungen werden rückgängig gemacht.

---

Quellen

• [1] - [Mes17]: Michael Messner. Hacking mit Metasploit - Das umfassende Handbuch zu Penetration Testing und Metasploit. dpunkt.verlag, Heidelberg, 2017.
• [2] - BSI_Durchführungskonzept: BSI Durchführungskonzept für Penetrationstest. Aufgerufen am 17.08.2018

---

Vielen Dank fürs Lesen. Fragen beantworte ich wie immer gerne in den Kommentaren :)