Dieser Beitrag geht auf die Unterschiede des internen und externen Penetrationstest ein. Falls das Thema Pentesting für Sie Neuland ist, können Sie sich unter dem Reiter „Penetration Testing“ informieren, was wir unter einem Penetrationstest verstehen.
Die grundsätzliche Unterscheidung liegt darin, dass dem Penetrationstester beim internen Penetrationstest ein Zugang zum Netzwerk des Unternehmens gewährleistet ist. Beim externen Penetrationstest hingegen muss er mit öffentlich erreichbaren Diensten und Informationen arbeiten. Der externe Penetrationstest wird momentan noch als traditioneller Ansatz angesehen, jedoch verlagert sich diese Ansicht zunehmend. Das hat mit der Vielzahl an Angriffsvektoren zu tun, die einen Zugriff ins interne Netzwerk ermöglichen. Zunächst erfolgt eine detaillierte Unterscheidung zwischen dem externen und internen Penetrationstest.
Beim externen Penetrationstest werden die öffentlich erreichbaren Systeme nach Schwachstellen, sowie Information disclosures überprüft. DNS Enumerationen werden durchgeführt, um Abhängigkeiten im Zusammenhang mit dem Unternehmen zu identifizieren.
Des Weiteren können Log-in Bereiche auch Denial of Service sowie Bruteforce Anfälligkeiten aufweisen. Im schlimmsten Fall kann z. B. durch ein erratenes Passwort Zugang über ein öffentlich erreichbares Adminpanel erreicht werden. Ein klassisches Beispiel wäre der Log-in-Bereich eines CMS-Systems. Dadurch ergeben sich neue Angriffsmöglichkeiten oder Informationleaks. Auch ein finanzieller Schaden kann mit einem erfolgreichen Zugang einhergehen.
Ziele eines externen Angriffs aus Sicht eines Blackhats können sensible Informationen, Zugriff auf Systeme, Manipulation der Systeme, sowie Eintrittstore ins interne Netz sein. Das übernommene System kann aber auch zu Phishing-Zwecken oder zur Image-Schädigung vom Angreifer missbraucht werden.
Um extern erreichbare Systeme ausfindig zu machen, wäre der erste Schritt eine DNS-Enumeration. Hier gibt es Webseiten, die eine umfassende Darstellung der erreichbaren Systeme aufzeigen, die sich unter der Hauptdomäne befinden.
Des Weiteren werden Bannerinformationen preisgegeben, die eventuell neue Angriffsfläche bieten – darunter Betriebssysteme, Versionsstände, IPs, Protokolle und Ports. Anhand dieser Informationen lassen sich unter Umständen Exploits erfolgreich ausführen.
Ein Angriff von innen hat in den meisten Fällen ein weitaus größeres Potenzial, als ein Angriff von außen, da es im internen Netzwerk oftmals mehr verwundbare Systeme gibt.
Tiefgreifendere Sicherheitsmaßnahmen, wie Gruppenrichtlinien, Nutzerrollenkonzept, Netztrennung und IDS Systeme sind oftmals nicht vorhanden oder fehlerhaft konfiguriert.
Beim internen Penetrationstest werden u. a. diese Sicherheitsmaßnahmen entsprechend überprüft.
Da es eine Vielzahl an Möglichkeiten gibt, Zugang zum internen Netz zu erhalten, muss dieses möglichst gut abgesichert sein.
Dem Penetrationstester wird in Absprache mit der IT des Unternehmens ein Zugang zum internen Netz ermöglicht. Hier gibt es verschiedene Möglichkeiten zur Realisierung. Es kann entsprechende Hardware im Netzwerk installiert werden, auf die sich der Pentester per VPN verbinden kann. Alternativ kann der Pentester auch im Unternehmen sitzen und sich entsprechend mit dem Netzwerk verbinden.
Der Pentest startet vorzugsweise mit der Prüfung im Client-Netzwerk. Dies simuliert einen erfolgreich übernommenen Client-PC, der z. B. durch eine Phishing-Kampagne kompromittiert wurde. Zudem ist es für die IT wertvoll zu sehen, in welche Bereiche man aus dem Client Netzwerk vordringen kann, sofern eine Netztrennung, oder eine DMZ bereits implementiert wurde.
Sind nicht alle Bereiche des Netzwerks erreichbar, kann die Pentest-Hardware in einem anderen Netzbereich (z. B. Server Netz) angeschlossen werden. Dies wird als Staging bezeichnet.
Externe und interne Penetrationstest stehen in Abhängigkeit zueinander und sollten gemeinsam durchgeführt werden. Gibt es keine Entry-Points von extern, lassen sich, wie beschrieben, viele Möglichkeiten finden, das interne Netz zu infiltrieren. Das interne Netz bietet grundsätzlich mehr Angriffsfläche, daher sollte auch mehr Prüfzeit investiert werden.
Da sich die Infrastruktur eines Netzwerks stetig verändert, stellt der Penetrationstest nur eine aktuelle Bestandsaufnahme dar und sollte regelmäßig durchgeführt werden, um eine möglichst sichere IT-Infrastruktur zu gewährleisten. Es gibt mehrere etablierte Standards, die den Ablauf eines Penetrationstests beschreiben.
