|
Penetrationstests und
Security-Audits
Auch moderne Firmennetzwerke
bestehen aus historischen Gründen oftmals aus einer Vielzahl verschiedener
Hard- und Softwaresysteme. Die Überwachung eines solchen inhomogenen
Netzwerks auf Sicherheitslücken und das Einspielen der entsprechenden Fixe
und Patche ist meistens aus zeitlicher und finanzieller Sicht nicht von
einem Mitarbeiter durchzuführen.
Eine Abschätzung über die
Sicherheit des Netzwerkes, sei es nun gegen Angriffe von Aussen (Internet)
oder durch Angriffe von Innen durch eigene Mitarbeiter oder Fremdfirmen
mit Netzwerkzugang, ist extrem aufwändig und verlangt in diesem Bereich
ein geschultes Spezialwissen.
Diese Schulungen der IT-Mitarbeiter
und die nachfolgende Umsetzung des Erlernten sind ohne großen Aufwand
nicht durchzuführen.
Wir bieten Ihnen eine
kostengünstige Überprüfung der bestehenden Infrastuktur durch unsere
Experten an. Diese Security-Audits und Penetrationstests können nach Ihren
Wünschen und Vorstellungen ausgeführt werden. Von einer grundlegenden
Überprüfung der Firewall und der vom Internet zu erreichenden Dienste bis
hin zur vollständigen Überprüfung Ihres Netzwerkes (Server, Datenbanken)
auch auf z.B. unsichere Passwörter bieten wir Ihnen eine abgestimmte
Lösung an. Unser Ziel ist es die Sicherheitsschwächen ihrer
IT-Infrastruktur zu erkennen und zu beseitigen.
Überblick über Analysetechniken und
Module
Analyse aus dem Internet
Das Security-Audit aus dem Internet
identifiziert Schwachstellen der öffentlich erreichbaren Systeme in ihrem
Netzwerk, je nach Bedarf kann dieser unterschiedlich aufgebaut sein und
beinhaltet folgende Testmethoden:
· Test mit Hilfe eines
Sicherheitsscanners (z.B. Nessuss,ISS)
· Portscans (z.B. Nmap)
· Manuelle Tests mit individuellen
Methoden (über 27% der während eines Tests gefundenen Schwachstellen
können nur durch Erfahrung, Phantasie und menschliche Intelligenz entdeckt
werden).
Als Testergebnis bekommen Sie einen
detailliert ausgearbeiteten Sicherheitsbericht über eventuell gefundene
Schwachstellen mit Verbesserungsvorschlägen, der etwa 20-1000 Seiten
umfassen kann und sich an den Richtlinien des BSI ( Bundesamt für
Sicherheit in der Informationstechnik) orientiert. Bei den Ergebnissen der
Sicherheitsschwächen halten wir uns an die Vorgaben des CVE Combatibility
Standards (siehe auch:
cve.mitre.org) und geben zur Identifizierung des Mangels sofern
möglich die CVE-ID an. Diese CVE-ID versetzt Sie in die Lage die
Ergebnisse von unterschiedlichen Beratungsunternehemen aus der Security
Branche miteinander zu vergleichen
Folgende Module werden beim
externen Security Audit angeboten:
Modul Zero-Knowledge : Auf Wunsch
findet ein Angriff von Außen ohne jedes Vorwissen und Informationen über
Firewallsysteme oder Netzwerkinfrastruktur vom Kunden statt. Die Angriffe
werden mit gängigen Hackertools und Methoden von unseren Spezialisten
durchgeführt. Da mit wirklichen „Hackermethoden“ gearbeitet wird und es
vorher nicht abzuschätzen ist wie lange ein Angriff dauert, wird nach
tatsächlichem Aufwand abgerechnet.
Modul Knowledge : In einer
Vorbesprechung (auch telefonisch), wird die Vorhergehensweise des Security
Audits besprochen. Um Zeit und Kosten zu sparen gibt der Kunde uns einen
Überblick über die Netzwerkinfrastruktur und die Patchlevels der
kritischen Systeme. Der Angriff von Außen erfolgt dann gezielt auf die
kritischen Systeme
Bei beiden Tests sind folgende
Punkte beinhaltet:
· Erstellung einer Übersicht der
öffentlich erreichbaren Systeme und Ports.
· Übersicht der im Internet
bekannten DNS-Namen und IP-Adressen, der öffentlich erreichbaren Systeme
· Mail-System, Mailrouting,
(Übersicht über Headerinformationen, offene Relays)
· Liste der gefundenen
Sicherheitsmängel ( offene Ports, angreifbare Dienste) und
Verbesserungsvorschläge der erreichbaren Systeme.
· Überprüfung der auf den
öffentlich zugänglichen Systemen eingesetzten Software auf
Sicherheitsmängel und Patchlevel.
· Passwortrateattacken
· Portscanns mit nicht RFC
konformen Paketen ( SYN-, ACK-, FIN-, und Xmas-Scans.
· Gezielte Überprüfung der
Betriebsysteme der öffentlich erreichbaren Systeme und der erreichbaren
Dienste mit diversen Angriffsmöglichkeiten (Exploits) und Softwaretools.
· Überprüfung der gängigen Dienste
wie z.B. DNS, SMTP, FTP und HTTP (z.B. anfällige-CGI Skripte auf
Webservern).
· Dokumentation
Auf Wunsch führen wir auch so
genannte „Agressive Scans“ durch, die als Ziel den Absturz eines Systems
haben. Dies kann auch nach vorheriger Absprache außerhalb der Arbeitszeit
(.z.B. am Wochenende) stattfinden.
Analyse des Corporate Networks
Die Analyse ihres Corporate
Networks beinhaltet zusätzlich zu dem Modul Knowledge Test von extern,
noch ein Sicherheitsaudit das vor Ort in ihrem Intranet stattfindet und in
dem nach vorheriger Absprache für ihr Intranet repräsentative Systeme, für
den Test ausgewählt werden.
Modul Corporate: Bei diesem
Intranet Test sind folgende Punkte beinhaltet:
· Passwort Audits ( z..B. Cracking
von Passwort-Hashes, Brutforce-attacken…)
· Prüfung einer Webapplikation bzw.
Webserver auf Sicherheitsmängel
· Überprüfung der Server Sicherheit
(.z.B. Rechtevergabe, Patchlevel, Fernzugriffsberechtigungen, Dienste die
aktiviert sind aber nicht gebraucht werden..)
· Organisatorische Schwächen (z.B.
ist eine Dokumentation über Sicherheitskonzepte, Security Policies,
Alarmierungsabläufe etc. vorhanden.).
In jedem Fall klären wir Sie über
das Risiko einer gefundenen Schwachstelle auf und erarbeiten so in
Zusammenarbeit mit Ihnen einen angepassten Sicherheitslevel für Ihre
Systeme und erstellen auf Wunsch eine Security-Policy um eine Einhaltung
der gesetzten Standards auch für die Zukunft sicherstellen zu können.
Modul individual Basic: Dauer: ca.8
Stunden
Inhalt: nach vorheriger Absprache
werden gezielte Systeme, wie z.B. Firewall oder Webserver in der DMZ
überprüft und getestet. Anschließen wird ein Prüfbericht mit
Verbesserungsvorschlägen erstellt.
Modul Zero-Knowledge: Dauer:
Preis,Dauer und Umfang nach vorheriger Absprache
Modul Knowledge: Dauer ca. 2 Tage
Modul Corporate: Dauer ca. 3 Tage,
beinhaltet Knowledge Test und ein Tag vor Ort |
.JPG){kind=small}
