Netzwerk Penetrationstest

Entdecken Sie Sicherheitslücken in ihrem internen oder externen Netzwerk, bevor es ein Hacker oder Advanced Persistent Threat tut!

Wir identifizieren alle relevanten IT-Systeme und Dienste in Ihrem Netzwerk und prüfen, ob diese erreichbar sind. Anschließend wird nach Fehlern, falschen Einstellungen sowie Sicherheitslücken gesucht. Das Vorgehen erlaubt es Ihnen außerdem zu sehen, ob das Blue Team/die Verteidiger die Angriffe erkennen würden.

Netzwerk enetrationstests

Was ist ein Netzwerk-Pentest?

Bei Netzwerk-Penetrationstests wird allgemein zwischen dem Pentest eines internen Netzwerks und dem Test eines externen Netzwerks unterschieden. Im ersten Fall befindet sich der Angreifer im internen Netzwerk - welches nicht aus dem Internet zu erreichen sein sollte. Beim externen Netzwerk-Pentest kommt der Angreifer "von außen". Er versucht also über das Internet das Netzwerk anzugreifen. In beiden Fällen ist das Ziel das Netzwerk in irgendeiner Art und Weise zu kompromittieren und Sicherheitslücken zu finden. Je nach Fall kann das Ziel auch sein vom externen auf das interne Netzwerk zu gelangen. Ist das passiert, hält den Angreifer leider in der Praxis recht wenig auf viele Daten zu stehlen oder das Unternehmen zu erpressen, in dem die Übernahme des internen Netzwerks dazu verwendet wird es komplett zu verschlüsseln (Stichwort Ransomware).

Unterschiede zwischen internem und externem Netzwerk-Pentest

Simpel und einfach gesagt: Beim externen Pentest ist der Penetrationtester ein normaler Internetnutzer ohne weitere Rechte. Beim internen Pentest befindet er sich quasi "im Unternehmen" und kann auf Ressourcen zugreifen, die aus dem Internet nicht erreichbar sind. In der Regel bedeutet das, dass der Penetrationstester mittels VPN oder direkt im Unternehmen sitzt.

Wie geht man bei einem Netzwerk-Pentest vor?

Das hängt natürlich vom konkreten Auftrag ab. Im Allgemeinen entspricht das Vorgehen dem Standardprozess bei einem Penetrationstest (Briefing, Durchführung, Berichterstattung).

Fall: externes Netzwerk

Wir nutzen Argos External Attack Surface Management, um den gesamten Perimeter zu erfassen und zu scannen. Anschließend verwenden wir die Daten, um zu entscheiden, was wir uns wie manuell anschauen. Argos ist in der Lage die gesamte öffentliche Infrastruktur automatisch in Sekunden zu enumerieren. Es werden alle Dienste, die auf den Servern laufen, aufgezeigt. Portscans und Filescans sind die Ausgangslage, um ein gutes Bild über die externe IT-Sicherheit zu bekommen. Häufig finden wir dabei schon Probleme - beispielsweise Backup-Archive, schwache Zugangsdaten, bekannte Sicherheitslücken oder Anomalien, die ggf. sicherheitsrelevant sein könnten.

Fall: internes Netzwerk

Je nach Kundenwunsch, Scope und Konfiguration des internen Netzwerks loggen wir uns ein. Möglichkeiten hierzu sind die klassische VPN-Verbindung, eine Pentest-Box, die vom Auftraggeber ans LAN angeschlossen wurde oder ein Vor-Ort-Termin. Wir suchen die privaten IP-Addressbereiche nach Diensten ab und enumerieren diese, um herauszufinden, um was es sich handelt - das passiert mit Hilfe von Tools, wie nmap oder masscan. Wenn ein ausführliches Bild der IT-Systemlandschaft erstellt werden konnte, werden automatisierte sowie manuelle Methoden verwendet, um Sicherheitslücken ausfindig zu machen. Das Vorgehen gleich hier einem manuellen Blackbox-Penetrationstest - man hat ein System, weiß nicht viel darüber und versucht eine Schwachstelle zu finden.

In beiden Arten von Netzwerk-Penetrationstests begegnen dem Tester diverse Systeme und Fälle:

Webseiten API CMS SSH und FTP-Server Datenbankserver Test/Dev/QA-Umgebungen Shadow IT in der Cloud Vergessene/Veraltete Dienste Unvollständige Netzwerksegretation Router Überwachungskameras Interfaces für Produktionsstätten

Interner Pentest: Segregation und Segmentierung von Netzwerken im Fokus

Der interne Penetrationstest in einem Netzwerk ist ein besonders interessanter Fall, da hier nicht nur die rein technische Sicherheit geprüft werden sollte sondern der Fokus auch auf weitere Sicherheitsmaßnahmen gesetzt werden muss bzw. sollte. Die Realität zeigt leider, dass der Mensch am häufigsten das Einfallstor in das Unternehmensnetzwerk ist - sei es durch Phishing oder gestohlene Zugangsdaten aus dem Darknet. Das wird man nie verhindern können. Daher ist es besonders wichtig sicherzustellen, dass ein potentieller Angreifer sich nicht einfach so zum Domain Admin machen kann und auch nicht einfach so auf das gesamte Netzwerk Zugriff hat. Ein solide geplantes Netzwerk sollte dem "Segregation of Networks"-Prinzip folgende. Netzwerke mit unterschiedlichen Sicherheitsniveaus und Funktionen sollten nicht miteinander verbunden sein. Ein Angreifer, der in einem Netzwerk ist, sollte nicht einfach so in ein anderes Netzwerk gelangen können. Das ist leider in der Praxis oft nicht der Fall. Ein interner Penetrationstest sollte daher auch die Segregation und Segmentierung von Netzwerken prüfen.

Interner Pentest: Herausforderung für das Blue Team

In gewachsenen und etwas reiferen Unternehmen kann ein interner Penetrationstest dazu verwendet werden zu prüfen, ob das Blue Team (das interne IT-Sicherheitsteam) in der Lage ist einen Angreifer zu erkennen (und theoretisch einzugreifen und abzuwehren). Zwar geht dieses Vorgehen schon sehr stark in Richtung Red Teaming und sollte gut mit dem Auftraggeber abgesprochen werden, da unter normalen Umständen der Penetrationstester nicht behindert werden sollte. Trotzdem können die Verteidiger an dieser Stelle sicherlich das ein oder andere mitnehmen und ihre Systeme und Überwachungsmaßnahmen optimieren - schaden wird es nicht.

Damian Strobel

"Ist man im internen Netzwerk eines Unternehmens, hat man oft leichtes Spiel, weil die interne Sicherheit leider zu oft vernachlässigt wird."

Damian Strobel - Gründer von DSecured

Wir finden die Schwachstellen Ihres Netzwerks! Machen Sie es echten Angreifern schwer!

Einige Unternehmen, denen wir bisher helfen konnten

Grab
PayPal
BMW
Goldman Sachs
Starbucks
ATT
TikTok
Hilton
Kontaktieren Sie DSecured

Netzwerk-Pentest anfragen