Penetrationstest (Informatik)

Penetrationstest ist der fachsprachliche Ausdruck für einen umfassenden Sicherheitstest einzelner Rechner oder Netzwerke jeglicher Größe. Unter einem Penetrationstest versteht der Sicherheitsfachmann in der Informationstechnik die Prüfung der Sicherheit möglichst aller Systembestandteile und Anwendungen eines Netzwerks- oder Softwaresystems mit Mitteln und Methoden, die ein Angreifer (ugs. "Hacker") anwenden würde, um unautorisiert in das System einzudringen (Penetration). Der Penetrationstest ermittelt somit die Empfindlichkeit des zu testenden Systems gegen derartige Angriffe. Wesentlicher Teil eines Penetrationtests sind Werkzeuge die dabei helfen, möglichst alle Angriffsmuster nachzubilden, die sich aus den zahlreichen bekannten Angriffsmethoden herausbilden.

Die Art der Sicherheitstests orientiert sich am Gefahrenpotential eines gefährdeten Systems, Netzwerks oder einer Anwendung, was heißt, beispielsweise ein Webserver besitzt eine höhere Gefahrenpriorität als eine einfache Textverarbeitung. Entsprechend zahlreich ist das Hilfswerkzeug für Penetrationtests und entsprechend sollten derart umfassende Sicherheitstests lediglich erfahrene Sicherheitsforscher oder Systemadministratoren durchführen, die wissen was sie machen, welche Ereignisse sie damit verursachen und welche Ergebnisse sie damit erzielen möchten.

Der Begriff Penetrationstest wird gelegentlich auch fälschlich für einen automatischen Vulnerability Scan verwendet. Während der Schwachstellen (engl. und fachsprachlich 'Vulnerability') Scan weitgehend automatisch abläuft, bedarf es bei einem echten Penetrationstest manueller Vorbereitung in Form von Sichtung des Prüflings, Planung der Testverfahren und Ziele, Auswahl der notwendigen Werkzeuge und schließlich die Durchführung. Der Security Scan wiederum unterscheidet sich vom Schwachstellen Scan durch die manuelle Verifikation der Testergebnisse. Die Verwendung der jeweiligen Begriffe erfolgt im semi-professionellen Bereich jedoch oft uneinheitlich, während in der professionellen Welt der Sicherheitsforscher und Fachunternehmen Standards zur Durchführung von Penetrationtests akzeptiert und weltweit anerkannt werden.

Der Penetrationstest wird oft als empirischer Teil einer allgemeineren Sicherheitsanalyse durchgeführt.

Zielsetzung

Ziele eines Penetrationstests sind:

• die Identifikation von Schwachstellen,
• das Aufdecken potentieller Fehler, die sich aus der (fehlerhaften) Bedienung ergeben
• die Erhöhung der Sicherheit auf technischer und organisatorischer Ebene und
• die Bestätigung der IT-Sicherheit durch einen externen Dritten.

Durch die ständige Änderung der Bedrohungsbilder und sicherheitsrelevanten Faktoren in der Informationstechnik ist ein Penetrationstest allerdings eher als Momentaufnahme zu begreifen. Im Extremfall kann ein System unmittelbar nach dem Beheben der durch den Test aufgedeckten Schwachstellen durch eine neue Sicherheitslücke wieder verwundbar sein. Allerdings deckt ein Test in der Regel auch die Ursachen auf, welche zu den festgestellten Problemen führen (z.B. Personalmangel). Jedoch ist die Behebung der Ursachen in der Regel Sache des Betreibers der getesten Systeme und Anwendungen. Die Behebungsmaßnahmen reichen von besserer Betreuung der Systeme und Anwendungen bis hin zur Abschaltung oder Verkauf.

Testaufbau und Durchführung

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Klassifikationsschema entwickelt, anhand dessen sich ein Test beschreiben lässt. Im Wesentlichen werden sechs verschiedene Kriterien betrachtet:

• Informationsbasis
• Aggressivität
• Umfang
• Vorgehensweise
• Technik
• Ausgangspunkt

Anhand dieser Kriterien wird dann zusammen mit dem Kunden ein individueller Test zusammengestellt. In der Praxis werden meist mehrstufige Tests durchgeführt, bei denen mehrere Kriterien nacheinander zur Anwendung kommen. Beispielsweise wird zuerst ein Blackbox-Test und danach ein Whitebox-Test durchgeführt. Im Test selbst werden einzelne Testmodule ausgeführt. Bei den Testmodulen werden I- und E-Module unterschieden. I-Module bezeichnen Testschritte die zur reinen Informationsbeschaffung dienen, E-Module bezeichnen aktive Eindringungsversuche. Einem E-Modul geht meist ein entsprechendes I-Modul voraus.

Legalität

Sowohl Penetrations- und andere Sicherheitstests können in Deutschland, Österreich und der Schweiz (sowie anderen Ländern) nur durchgeführt werden, wenn dies zwischen der zu testenden und der den Test durchführenden Organisation vereinbart wurde. Dies ist in der Tatsache begründet, dass einzelne Tests Straftaten sein können. Ein Beispiel für Deutschland ist das Ausspähen von Daten - um eine Geltung zu vermeiden, muss der Testende eine eindeutige Befugnis erhalten. Dies gilt immer, wenn der Testende nicht die Erlaubnis hat, auf Daten, welche er im Rahmen eines Testes auslesen könnte, zuzugreifen, unabhängig von seiner Position oder Anstellungsverhältnissen.

Dabei kann die Organisation, welche den Penetrationstest wünscht, diese nur für Objekte in Auftrag geben, die sich unter ihrer Hoheit befinden. Konkret heißt dies, dass eine Organisation nicht Dritte beauftragen darf, wiederum fremde Netze zu testen. Sie muss daher vor Testbeginn Klarheit über den Testgegenstand schaffen und Rechtsberatung in Anspruch nehmen, falls dies nicht möglich ist. Dies betrifft auch den Test von beliebigen Dienstleistungen, die sie bezieht.

Heutzutage wird typischerweise ein sehr großer Teil sowohl der IT-Infrastruktur als auch der Internet-Aktivitäten in der Form von Dienstleistung mit den unterschiedlichsten Vertragsverhältnissen (Miete, Leasing usw.) bezogen - dies kann auch innerhalb eines Unternehmens der Fall sein. Selbst Hardware (z.B. Router und Firewalls) welche sich physikalisch in Gebäuden eines Unternehmens befinden, müssen diesem nicht zwangsläufig gehören. Derartige Informationen sind daher von der testenden Organisation nicht zu beschaffen, weswegen diese Aufgabe dem Auftraggeber zufällt.

Prozessbeschreibung

Das BSI empfiehlt beim Durchführen eines Penetrationstests einen fünfstufigen Prozess. Die Vorbereitungsphase dient zur gemeinsamen Zielsetzung und dem Testaufbau mit dem Kunden. In der Informationsbeschaffungsphase versucht der Sicherheitsanalyst möglichst viele Informationen über das zu testende System zu erhalten. Die gewonnen Informationen werden anschließend einer Bewertung unterzogen. Erst danach werden aktive Eindringungsversuche unternommen. Anschließend werden die Ergebnisse gesammelt und in Form eines Berichts gebündelt. Dieser Bericht enthält auch Empfehlungen, wie mit eventuellen Sicherheitsproblemen umgegangen werden soll. Begleitend zu allen fünf Phasen ist eine akribische Dokumentation der einzelnen Arbeitsschritte notwendig.

Risiken

Bei der Testdurchführung kann es zu Störungen des normalen IT-Betriebs kommen. Beispielsweise zielen DoS-Attacken darauf ab, den Zugriff auf einzelne Services, Rechner oder Netzsegmente zu unterbinden. Werden DoS-Attacken im Rahmen eines Moduls simuliert, so muss das außerhalb der Nutzungszeiten des Systems erfolgen. Auch bei gewöhnlichen I- oder E- Modulen kann es unter Umständen zum Absturz von einzelnen Systemen kommen. In der Vorbereitungsphase muss auch eine Übereinkunft zwischen Auftraggeber und Kunden getroffen werden, wie mit den erhaltenen Erkenntnissen umgegangen wird. So könnten die Tester im Rahmen des Tests an unternehmenskritische Informationen gelangen.

Software

Die Durchführung von Penetrationstests kann durch verschiedene Softwareprodukte unterstützt werden. Dazu zählen etwa Portscanner wie Nmap, Vulnerability Scanner wie Nessus, Sniffer wie Wireshark, Paketgeneratoren wie HPing 2/3 oder Mausezahn und Passwortcracker wie John the Ripper. Zudem stehen zunehmend mehr Werkzeuge zur Verfügung, die speziell für Sicherheitstests entwickelt wurden, häufig aufgrund der Überprüfbarkeit des Quellcodes aus dem Open-Source Bereich stammen und auf sehr spezielle Testbereiche zugeschnitten sind.

ARP0c ist beispielsweise ein Verbindungs-Interceptor, der mit einem ARP Spoofing- und Bridging Modul arbeitet. ARP Anfragen von beliebigen Quellen in einem Netzwerkverbund werden mit gefälschten ARP Anfragen versehen, um den Host zu erreichen, der ARP0c Packets sendet. Packets von diesem Host werden weitergeleitet zu einem internen Modul und die normale Adresse wird weitergeleitet zum Ziel, um eine normale Netzverbindung aufrechtzuerhalten. Mit Hilfe des Tools ist entsprechend ein "Man in the Middle" Monitoring möglich. Ziel des Einsatzes ist die Austestung von Firewall-Regeln, die auf einer Stateful Packet Inspection Basis beruhen und ARP Packets mit fremden IP-Adressen verwerfen sollten.

Ein weiteres Beispiel eines solchen Spezialwerkzeugs ist Egressor. Egressor ist ein freies und von MITRE entwickeltes Tool zur Überprüfung der Konfiguration von Internet Punkt-zu-Punkt Routern. Egressor hilft Unternehmen dabei, Router unempfindlich gegen Denial of Service Attacken zu konfigurieren. Das Egress Filtersystem reduziert die Gefahr, ein Netzwerk zum Teil von verteilten Denial of Service Attacken (DDoS) werden zu lassen.

Zunehmend häufiger werden auch umfassende Werkzeugsammlungen für Penetrationtests angeboten, die in der Regel von erfahrenen Sicherheitsfachkräften zusammengestellt wurden und auf Basis einer stabilen Linux Distribution arbeiten, die als Live-CD angeboten wird. Der Vorteil solcher Penetrationtest Distributionen ist die, sämtliche relevanten Werkzeuge unter einer gemeinsamen Oberfläche zur Verfügung zu haben. Zudem sind sie meist vorkonfiguriert und fertig zur Anwendung. Ein gutes Beispiel für solche Live-CDs ist die BackTrack Distribution, die aus zwei unabhängigen Projekten verschmolzen wurde und aktuell das Maß aller Dinge darstellt, weil sie wirklich komplett ist und alle Werkzeuge beinhaltet, die für ausgedehnte Sicherheitstests benötigt werden.

Die zahlreichen Werkzeuge, die für Penetrationstests herangezogen werden können, lassen sich in folgende Kategorien einteilen:

• Viele Werkzeuge überprüfen nur eine einzelne Schwachstelle.
• Vulnerability Scanner überprüfen oft automatisiert eine Reihe von applikations- oder protokollbasierten Schwachstellen. Einige lassen sich durch eigene Skriptsprachen erweitern.
• Einige Programme dienen ursprünglich oder zusätzlich zu ihrer Funktion in Penetrationstests auch dem allgemeinen Netzwerkmanagement, darunter z. B. einige Scanner und Sniffer.
• Auch normale Programme, die beim Betriebssystem mitgeliefert werden, können einem Penetrationstester bei einer Untersuchung dienen.

Das BSI stellt eine Sammlung solcher Tools unter dem Namen BSI OSS Security Suite kostenlos zur Verfügung. Spezialisierte Linux Live CDs wie PHLAK, Pentoo, S-t-d oder BackTrack (vormals Auditor-LiveCD und WHAX Linux) enthalten eine Vielzahl zweckdienlicher Werkzeuge. Weitere bekannte Tools für Penetrationstests sind Attack Tool Kit (ATK) oder Metasploit.

Qualität und Aussagekraft eines Penetrationstests lassen sich aber kaum an den eingesetzten Werkzeugen festmachen; sie sind in erster Linie von der Genauigkeit der getroffenen Annahmen („Szenario“) und der strukturierten Durchführung abhängig.

Weblinks

• Bundesamt für Sicherheit in der Informationstechnologie, Studie zur Durchführung von Penetrationstests (PDF-Datei; 1,07 MB)
• SecurityFocus Penetration Testing Listenarchiv
• BackTrack Projektseite
• Security Focus Pen-Test Mailingliste