Externe und interne Penetrationstests

Was ist ein externer und interner Penetrationstest?

Dieser Beitrag geht auf die Unterschiede des internen und externen Penetrationstest ein. Falls das Thema Pentesting für Sie Neuland ist, können Sie sich unter dem Reiter „Penetration Testing“ informieren, was wir unter einem Penetrationstest verstehen.

Die grundsätzliche Unterscheidung liegt darin, dass dem Penetrationstester beim internen Penetrationstest ein Zugang zum Netzwerk des Unternehmens gewährleistet ist. Beim externen Penetrationstest hingegen muss er mit öffentlich erreichbaren Diensten und Informationen arbeiten. Der externe Penetrationstest wird momentan noch als traditioneller Ansatz angesehen, jedoch verlagert sich diese Ansicht zunehmend. Das hat mit der Vielzahl an Angriffsvektoren zu tun, die einen Zugriff ins interne Netzwerk ermöglichen. Zunächst erfolgt eine detaillierte Unterscheidung zwischen dem externen und internen Penetrationstest.

Du suchst einen Penetrationtest Anbieter?
Mit diesen 5 Tipps möchten wir Dir helfen, eine fundierte Entscheidung zu treffen!
Jetzt informieren

Externer Penetrationstest

Externe und interne Penetrationstests

Beim externen Penetrationstest werden die öffentlich erreichbaren Systeme nach Schwachstellen, sowie Information disclosures überprüft. DNS Enumerationen werden durchgeführt, um Abhängigkeiten im Zusammenhang mit dem Unternehmen zu identifizieren.

Des Weiteren können Log-in Bereiche auch Denial of Service sowie Bruteforce Anfälligkeiten aufweisen. Im schlimmsten Fall kann z. B. durch ein erratenes Passwort Zugang über ein öffentlich erreichbares Adminpanel erreicht werden. Ein klassisches Beispiel wäre der Log-in-Bereich eines CMS-Systems. Dadurch ergeben sich neue Angriffsmöglichkeiten oder Informationleaks. Auch ein finanzieller Schaden kann mit einem erfolgreichen Zugang einhergehen.

Ziele eines externen Angriffs aus Sicht eines Blackhats können sensible Informationen, Zugriff auf Systeme, Manipulation der Systeme, sowie Eintrittstore ins interne Netz sein. Das übernommene System kann aber auch zu Phishing-Zwecken oder zur Image-Schädigung vom Angreifer missbraucht werden.

Gängige extern erreichbare Systeme sind folgende:

  • Mailserver
  • Homepage
  • Firewall
  • CMS-Systeme
  • Dateifreigaben (FTP, SMB, sonstige Shares)
  • APIs
  • Datenbanken
  • SSH
  • Testserver

Um extern erreichbare Systeme ausfindig zu machen, wäre der erste Schritt eine DNS-Enumeration. Hier gibt es Webseiten, die eine umfassende Darstellung der erreichbaren Systeme aufzeigen, die sich unter der Hauptdomäne befinden.

Des Weiteren werden Bannerinformationen preisgegeben, die eventuell neue Angriffsfläche bieten – darunter Betriebssysteme, Versionsstände, IPs, Protokolle und Ports. Anhand dieser Informationen lassen sich unter Umständen Exploits erfolgreich ausführen.

Interner Penetrationstest

Ein Angriff von innen hat in den meisten Fällen ein weitaus größeres Potenzial, als ein Angriff von außen, da es im internen Netzwerk oftmals mehr verwundbare Systeme gibt.

Tiefgreifendere Sicherheitsmaßnahmen, wie Gruppenrichtlinien, Nutzerrollenkonzept, Netztrennung und IDS Systeme sind oftmals nicht vorhanden oder fehlerhaft konfiguriert.

Beim internen Penetrationstest werden u. a. diese Sicherheitsmaßnahmen entsprechend überprüft.

Da es eine Vielzahl an Möglichkeiten gibt, Zugang zum internen Netz zu erhalten, muss dieses möglichst gut abgesichert sein.

Mögliche Entry Points in das interne Netzwerk sind:

  • Phishing Kampagnen (infizieren eines Client-PCs oder Abgreifen von Credentials)
  • Physical Access mit dem Ziel, entsprechende Hardware im Netzwerk anzuschließen
  • Über ein extern erreichbares System Zugriff erhalten
  • Watering Hole Attacks
Externe und interne Penetrationstests

Dem Penetrationstester wird in Absprache mit der IT des Unternehmens ein Zugang zum internen Netz ermöglicht. Hier gibt es verschiedene Möglichkeiten zur Realisierung. Es kann entsprechende Hardware im Netzwerk installiert werden, auf die sich der Pentester per VPN verbinden kann. Alternativ kann der Pentester auch im Unternehmen sitzen und sich entsprechend mit dem Netzwerk verbinden.

Der Pentest startet vorzugsweise mit der Prüfung im Client-Netzwerk. Dies simuliert einen erfolgreich übernommenen Client-PC, der z. B. durch eine Phishing-Kampagne kompromittiert wurde. Zudem ist es für die IT wertvoll zu sehen, in welche Bereiche man aus dem Client Netzwerk vordringen kann, sofern eine Netztrennung, oder eine DMZ bereits implementiert wurde.

Sind nicht alle Bereiche des Netzwerks erreichbar, kann die Pentest-Hardware in einem anderen Netzbereich (z. B. Server Netz) angeschlossen werden. Dies wird als Staging bezeichnet.

Ein interner Penetrationstest legt den Fokus auf die Prüfung folgender Bausteine:

  • Misskonfigurationen
  • Patch Management & End of live Systeme
  • Default Kennwörter
  • Überprüfung der Netztrennung & VLANs
  • Auslastung und Belastbarkeit des Netzwerks
  • Verschlüsselung / men in the middle protection
  • Überwachung
  • Erreichbarkeit sensitiver Systeme
  • User Awareness (z. B. Phishing)

Resümee

Externe und interne Penetrationstest stehen in Abhängigkeit zueinander und sollten gemeinsam durchgeführt werden. Gibt es keine Entry-Points von extern, lassen sich, wie beschrieben, viele Möglichkeiten finden, das interne Netz zu infiltrieren. Das interne Netz bietet grundsätzlich mehr Angriffsfläche, daher sollte auch mehr Prüfzeit investiert werden.

Externe und interne Penetrationstests

Da sich die Infrastruktur eines Netzwerks stetig verändert, stellt der Penetrationstest nur eine aktuelle Bestandsaufnahme dar und sollte regelmäßig durchgeführt werden, um eine möglichst sichere IT-Infrastruktur zu gewährleisten. Es gibt mehrere etablierte Standards, die den Ablauf eines Penetrationstests beschreiben.

Gewähre Hackern keinen Zugriff
auf Deine IT!
Informiere Dich jetzt über Penetrationstests!
Zum Kontakt
ANDERE BEITRÄGE

Inhaltsverzeichnis

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung zu bieten. Wenn Sie unsere Website weiterhin besuchen, stimmen Sie der Verwendung von Cookies zu, wie in unserer Datenschutzerklärung beschrieben.