Skip to main content
main-content

Inhaltsverzeichnis

Frontmatter

1. Sinn und Zweck von Penetrations-Tests

Zusammenfassung
Improving the Security of Your Site by Breaking Into it – so lautete der Titel eines 1993 von Dan Farmer und Wietse Venema im Usenet geposteten Papers [1], in dessen Folge sie dann auch den ersten frei verfügbaren Vulnerability-Scanner (SATAN, Security Administrator Tool for Analyzing Networks) veröffentlichten.
Enno Rey, Michael Thumann, Dominick Baier

2. Standards und rechtliche Aspekte

Zusammenfassung
Im Gegensatz zur IT-Revision, innerhalb derer bei der Durchführung von Audits durch gesetzliche Vorgaben (schon zur Revision selbst) und durch die Prüfziele Gegenstand und Form eines Audits weitgehend determiniert sind, ist der formale Rahmen von Penetrations-Tests nur wenig eingeschränkt.
Enno Rey, Michael Thumann, Dominick Baier

3. Ablauf eines Penetrations-Tests

Zusammenfassung
Ein Penetrations-Test besteht üblicherweise aus verschiedenen Teilschritten, von denen wir die wichtigsten hier in ihrer Funktion und Ausgestaltung vorstellen wollen.
Enno Rey, Michael Thumann, Dominick Baier

4. Die Werkzeuge

Zusammenfassung
Dieses Kapitel soll Sie mit den wichtigsten Werkzeugen eines Pen-Testers vertraut machen. Die vorgestellten Werkzeuge haben sich in unserer Praxis immer wieder bewährt und kommen regelmässig zum Einsatz, der Umgang mit ihnen sollte also vertraut sein.
Enno Rey, Michael Thumann, Dominick Baier

5. Scanning

Zusammenfassung
Im Kapitel „Scanning“ werden die Tools und Methoden vorgestellt, um gezielte und ausführliche Informationen zu den zu untersuchenden Systemen zusammenzustellen. Hierbei ist der richtige Einsatz der Tools massgeblich, aber auch die richtige Interpretation der gelieferten Ergebnisse.
Enno Rey, Michael Thumann, Dominick Baier

6. Pen-Testing Windows

Zusammenfassung
Es gibt wohl keine Netzwerk-Umgebung ohne Windows-Maschinen.
Enno Rey, Michael Thumann, Dominick Baier

7. Pen-Testing Unix

Zusammenfassung
Dieses Kapitel stellt die gängigen Praktiken und Methodiken vor, mit deren Hilfe ein Unix- basiertes System auf Sicherheitslücken untersucht werden kann, und wie potentiell gefundene Schwachstellen üblicherweise ausgenutzt werden können, um Information zu stehlen oder aber das ganze System zu übernehmen (oder zu kompromittieren, wie der Fachmann gerne sagt).
Enno Rey, Michael Thumann, Dominick Baier

8. Pen-Testing Web-Anwendungen

Zusammenfassung
Web-Anwendungen sind ein fester Bestandteil unserer IT-Infrastruktur geworden.
Enno Rey, Michael Thumann, Dominick Baier

9. Netzwerk-Devices

Zusammenfassung
Die Rolle von Netzwerk-Devices im Rahmen der IT-Sicherheit wird in vielen Netzen ebenso unterschätzt wie auch ihre Behandlung innerhalb von Penetrations-Tests meist gering ausfällt. Dabei kann die Kompromittierung von Netzwerk-Devices gravierende Folgen haben; neben dem nahe liegenden Verfügbarkeits-Verlust durch simples Herunterfahren sind hier – nach erfolgter ‚Übernahme‘ des Devices – die Möglichkeit der Umleitung von Netzwerk-Verkehr oder die Deaktivierung von Filterregeln zu nennen.
Enno Rey, Michael Thumann, Dominick Baier

10. Pen-Testing Wireless und VPN

Zusammenfassung
Gerade das Pen-Testen von Wireless LANs und auch von VPNs (Virtual Private Networks) ist ein boomender Markt, da diese Techniken immer verbreiteter werden.
Enno Rey, Michael Thumann, Dominick Baier

11. Exploit Frameworks

Zusammenfassung
In qualifizierten Pen-Tests gibt es in der Regel auch eine sogenannte Proof of Concept-Phase, in welcher der Pen-Tester kritische Sicherheitslücken auch ausnutzen muss, um Zugang zu einem System zu erlangen.
Enno Rey, Michael Thumann, Dominick Baier

12. Der Bericht

Zusammenfassung
Am Abschluss eines jeden Pen-Tests steht ein Bericht über die gefundenen Sicherheitslücken, den zu schreiben sicherlich die unbeliebteste Aufgabe ist.
Enno Rey, Michael Thumann, Dominick Baier

13. Zusätzliche Links

Ohne Zusammenfassung
Enno Rey, Michael Thumann, Dominick Baier

Backmatter

Weitere Informationen