Penetrationstests

Ein Schwerpunkt unserer Arbeit liegt im Bereich der Sicherheitsaudits, also der Untersuchung von Systemen und Applikationen auf mögliche Schwachstellen und der Kontrolle von bereits etablierten Schutzmaßnahmen. Wir konzentrieren uns, neben der mehr als 15-jährgen Erfahrung im Bereich der Firewall- und System-Audits, auch auf moderne Technologien wie VDI, Mobile Apps, Web Clients in Form von Windows Arbeitsstationen, Web Services und andere Protokolle des Web 2.0.

Im Folgenden soll ein kurzer Überblick das Spektrum unseres Angebots im Bereich der Penetrationstests aufzeigen.

Penetrationstest des Internetübergangs

In diesem Penetrationstest wird der Internetübergang untersucht und dabei die Perspektive eines  Angreifers aus dem Internet eingenommen. Es werden im Zuge dessen alle zum Internet hin angebotenen Dienste untersucht. Besonderes Augenmerk liegt dabei  auf Web-, DNS- und Mail-Servern, sowie Remote-Zugängen per SSH, RDP, FTP, Telnet aber auch VPN- und SSL-Gateways.

Vor allem die Webserver, aber auch DNS- und Mail-Server weisen auch heute noch teilweise erhebliche Sicherheitsmängel auf, deren Ausnutzung durch einen Angreifer nicht nur die Daten des Systems sondern in der Konsequenz auch andere angeschlossene System wie auch interne Arbeitsstationen bedrohen.

Besonders die Untersuchung von Webservern erweist sich als zeitaufwändig aber äußerst lohnenswert. Im Gegensatz zu anderen Diensten ergeben sich durch eine moderne Website mit Kontakt-, Upload und Anmelde-Formularen oft zahlreiche Angriffsvektoren. Die Untersuchung eines Web-Portals wird daher bevorzugt separat beauftragt und dokumentiert. (s.h. Penetrationstest von Webportalen und webbasierten Projektplattformen)

Beim Penetrationstest des Internetübergangs werden bekannte Port- und Schwachstellenscanner zur ersten Erkundung der Dienste und Schnittstellen eingesetzt. Diese werden danach vornehmlich mittels manueller Methoden auf Schwachstellen hin untersucht. Dabei kommen rudimentäre Werkzeuge aber auch eigens entwickelte Programme und Skripte zum Einsatz.

Firewall Regelsatz-Review

Die Analyse der Firewall-Regelsätze dient dazu, Schwachstellen in der Firewall-Konfiguration zu erkennen und etwaige Wechselwirkungen innerhalb der Regelsätze auszuschließen. Es handelt sich um einen sogenannten White-Box-Tests, bei dem der Auditor vollen Einblick in die Regelsätze erhält, ohne diese mühsam mittels Portscans von außen Stück für Stück aufnehmen zu müssen.

Das Regelsatz-Review wird durch geeignete Werkzeuge unterstützt, da manche Plattformen wie z.B. Cisco PIX/ASA die Kontrolle durch komplexe Regelwerke und unzureichende Darstellung von Querbeziehungen erschweren.

Dieses Audit wird vor allem als Ergänzung zum „Penetrationstests des Internetübergangs“ gesehen, da hierdurch Verbindungen und eventuelle Fehlkonfigurationen sichtbar werden, die aus Sicht eines externen Angreifers nur zufällig oder sehr schwierig gefunden werden können. Dazu zählen beispielsweise Fehler bei der Anbindung von Partnernetzen, Außenstellen, extern gehosteten Diensten, Remote-Arbeitsstationen und Mobilen Endgeräten.

Penetrationstest von Webseiten und Webapplikationen

Auch im Bereich der Web Application Security kann unser Haus einen großen Erfahrungsschatz und Know-How vorweisen. Moderne Werkzeuge, Scanner und eigene Programme dienen der Untersuchung auf unterschiedlichen Ebenen. Als Ziele dienen statische Webseiten, stark dynamische Webseiten, Web Applikationen und Web Services. Mittels diverser Schwachstellenscanner werden die Dienste auf Fehlerzustände, Inkonsistenzen und Sicherheitslücken hin untersucht. Die Scans dienen dem Auditor als Basis für die gezielten, manuellen Tests.

Schwachstellenscans bleiben bei der den heutigen, teilweise Web 2.0 basierten Webseiten, nur an der Oberfläche, da sie nur eingeschränkt mit interaktiv erzeugte Anfragen umgehen und darin Schwachstellen entdecken können.

Vor allem durch manuelle Prüfungen mit sog. Software-Proxies, die jede Anfrage und Antwort vom Webserver abfangen, um nach möglichen Schwachpunkten in der Kommunikation zu suchen, werden schwerwiegende Schwachstellen sichtbar. Der Auditor ist mit Hilfe der Software-Proxies in der Lage, durch Javascript erzeugte Anfragen oder auch SOAP Requests abzufangen und zu analysieren.
SSL-geschützte Verbindungen werden einfach aufgebrochen, vermeintlich gesicherte Werte sichtbar gemacht und manipuliert. Dabei ist es unerheblich, ob es sich beim Client um einen Browser, ein Flash- oder Java-Applet oder eine Standalone-Anwendung handelt.
Häufig werden auch Schwachpunkt sichtbar, die die Sitzung des zugreifenden Benutzers bedrohen, wie z.B. Cross-Site-Scripting (XSS) oder Cross-Site-Request-Forgery (CSRF). Mittels dieser Angriffsmethoden kann die Benutzersitzung gestohlen, im Sitzungskontext Anfragen gestellt oder der Benutzer auf schadhafte Inhalte umgelenkt werden.

Zusätzlich können Schutzmaßnahmen von sog. Web Application Firewalls (WAF) können von uns auf Wirksamkeit hin überprüft werden. In der Vergangenheit wurden durch uns bereits mangelhafte Filterungen von Web Application Firewalls sichtbar gemacht und dem Hersteller gemeldet (z.B. Barracuda Networks).

Penetrationstest von Citrix / VDI – Infrastrukturen

Die Erfahrung zeigte, dass die üblichen Sicherungsmaßnahmen auf Citrix oder VDI Systemen mittels Gruppenrichtlinien, NTFS-Zugriffsbeschränkungen oder dergleichen in keinem der untersuchten Fälle zu einem nachhaltigen Schutz der Systeme führten. Bisher war es uns ausnahmslos möglich, aus der für uns vorbereiteten Umgebung auszubrechen, Daten anderer Benutzer einzusehen, eigene Werkzeuge auf das System zu bringen oder andere schadhafte Aktivitäten einzuleiten.

Der Penetrationstest von Citrix- und VDI-Infrastrukturen zeigt Schwachstellen in der Konfiguration auf und liefert eine umfassende Beschreibung der möglichen Angriffsvektoren auf das untersuchte System. Dabei werden Angriffe von Dritten genauso betrachtet wie Angriffe durch Benutzer oder die Folgen eines Virenausbruch.

Neben der reinen Analyse verfügen wir auch über Erfahrung in der Sicherung und Härtung einer Citrix / VDI Systemumgebung, sodass Nutzer tatsächlich nur noch auf diejenigen Funktionen zuzugreifen können, die für sie vorgesehen sind.

Web Client Security Audit

Das Sicherheitsniveau einer Unternehmensinfrastruktur ergibt sich an Hand seiner Angriffsfläche gegenüber Angreifern aus dem Internet. Diese Angriffsfläche beschränkt sich seit geraumer Zeit nicht mehr nur auf den Network Perimeter, der zumeist regelmäßig kontrolliert und ausgiebig geschützt ist.

Unsere Erfahrungen zeigen, dass in den letzten Jahren vor allem Schwachstellen auf den Web Clients zu schwerwiegenden Sicherheitsvorfällen geführt haben.

Auch wenn es seitens der Sicherheitsorganisation noch nicht so betrachtet wird, haben die Angreifer die Angriffsfläche bis auf den Arbeitsplatzrechner der Mitarbeiter ausgedehnt. Um das Sicherheitsniveau einer Unternehmensinfrastruktur gegenüber dem Internet beurteilen zu können, muss streng genommen auch der Web Client in die Betrachtung einbezogen werden.

Wir haben ein Set von Tests entwickelt, welches die Gefahrenlage für die im Kundenumfeld eingesetzte Arbeitsstation mit Internetzugang bewertet. Basierend auf diesen Ergebnissen geben wir praktische Empfehlungen zum Schutz der Arbeitsstationen.