goSecurity BLOG

In unserer täglichen Arbeit begegnen wir häufig der Frage, warum die Kunden bei einem externen Penetration Test eine Ausnahme (Exception) für unsere IP-Adressen in ihren Intrusion Prevention Systemen (IPS) hinterlegen sollten. Schliesslich könnte dies das Testergebnis verfälschen und würde nicht einem realistischen Angriffsszenario entsprechen.

In diesem Blog werde ich die verschiedenen Methoden, Herangehensweisen und Hintergründe detailliert erläutern, um diese Frage zu beantworten und ein besseres Verständnis für diesen Schritt in der Vorbereitung auf eine solche Sicherheits-Kontrolle zu schaffen.

Penetration Testing

Penetration Testing ist ein fundamentaler Bestandteil der IT-Sicherheitsstrategie von Unternehmen. Es simuliert Angriffe auf die IT-Infrastruktur, um potenzielle Sicherheitslücken zu identifizieren, bevor sie von tatsächlichen Angreifern ausgenutzt werden können. Whitelisting spielt dabei eine wesentliche Rolle: Es handelt sich hierbei um die gezielte Freischaltung bestimmter IP-Adressen, sodass der Netzwerkverkehr des IT-Security-Partners von den Sicherheitssystemen des Kunden zugelassen wird. Ohne dieses Whitelisting könnte es passieren, dass Sicherheitsmechanismen wie Firewalls via IDS (Intrusion Detection Systeme) IPS (Intrusion Prevention System) den Testverkehr blockieren, was die Aussagekraft der Testergebnisse je nach definiertem Test Scope erheblich beeinträchtigen würde.

Warum ist das Whitelisting von IP-Adressen wichtig?

Beim Penetration Testing ist das Ziel, das Verhalten der Systeme und Anwendungen in einem Angriffsszenario zu beobachten. Doch die Sicherheitssysteme eines Unternehmens sind darauf ausgelegt, verdächtige Aktivitäten zu erkennen und zu blockieren. Wenn die IP-Adressen der Penetration Tester nicht für die IPS-Systeme ausgeschlossen werden, kann es zu folgenden Problemen kommen:

• Unterbrechungen im Testablauf: Firewalls und andere Sicherheitssysteme können den Testverkehr als echte Bedrohung identifizieren und blockieren. Dies führt zu Testabbrüchen, und die Penetration-Tester können bestimmte Angriffspunkte nicht überprüfen. Dies führt zu unvollständigen Testergebnissen.

• Verschiedene Angriffsmodelle: Ein professionelles Penetration Testing erfordert, dass die Tests vollständig und ohne Eingriffe durch Sicherheitsmechanismen durchgeführt werden können, um Schwachstellen zu identifizieren, die unter realen Angriffen entstehen könnten. Durch das Whitelisting der IP-Adressen wird sichergestellt, dass die Tests effektiv und vollständig durchgeführt werden können.

• Effiziente Ressourcennutzung der vereinbarten Zeit: Indem die IP-Adressen des IT-Security-Partners vorab auf die Whitelist gesetzt werden, entfallen unnötige Verzögerungen durch Sicherheitsblockaden. Dadurch wird wertvolle Zeit eingespart, die stattdessen für eine gründlichere Sicherheitsanalyse genutzt werden kann, um eine möglichst umfassende Sicherheitsanalyse in der vereinbarten Zeit zu erstellen. Hierbei ist zu beachten, dass ein realer Angreifer nahezu unbegrenzt Zeit dafür verwenden kann, die öffentlich erreichbaren Dienste zu analysieren. Dadurch ist es ihm möglich, über einen längeren Zeitraum hinweg für IPS-Systeme unauffällig alle verfügbaren Informationen über diese Dienste zu sammeln.

Drei Arten des Penetration Testing

Die drei häufigsten Ansätze im Penetration Testing sind White Box, Grey Box und Black Box Testing. Jede Methode unterscheidet sich im Grad des Zugriffs und der Informationen, die der IT-Security-Partner über die Ziel-Infrastruktur des Kunden erhält.

White Box Testing
Beim White Box Testing wird dem IT-Security-Team umfassender Zugang zu internen Systeminformationen gewährt, einschliesslich Netzwerkarchitekturen, Konfigurationen, Quellcode und oft auch Zugangsdaten. Diese Methode simuliert das Verhalten eines Insiders oder eines erfahrenen Angreifers mit detailliertem Wissen über die Infrastruktur.

Vorteile:

• Detaillierte Sicherheitsanalyse: Durch den vollständigen Einblick in die Architektur können auch tiefgreifende Schwachstellen, wie Programmierfehler oder Konfigurationsprobleme, erkannt werden, die nur durch Insiderwissen auffindbar sind.

• Effizienz: Da das IT-Security-Team mit allen relevanten Informationen ausgestattet ist, können Schwachstellen schneller identifiziert und analysiert werden.

Nachteile:

• Schwierigkeit, externe Angriffsszenarien zu simulieren: Das IT-Security-Team sieht tief ins System und simuliert weniger die Perspektive eines völlig aussenstehenden Angreifers.

• Die Analyse erfordert einen hohen Zeitaufwand, da je nach Definition des Scopes eine detaillierte Untersuchung der umfangreich bereitgestellten Daten der Zielinfrastruktur notwendig ist.

Grey Box Testing
Das Grey Box Testing bildet einen Mittelweg: Hier verfügt das IT-Security-Team über einige grundlegende Informationen über die Zielumgebung, wie Benutzerkonten oder Netzwerkstruktur, jedoch keinen vollständigen Zugriff auf Details wie Quellcode oder Konfigurationen. Diese Art von Test simuliert die Rolle eines eingeschränkten Nutzers, wie beispielsweise eines Kunden oder Partners, der bereits eine Basiszugangsstufe hat.

Vorteile:

• Effektiver Zeit- und Ressourcenaufwand: Das Grey Box Testing kann Schwachstellen mit realistischem Angreifer-Szenario abbilden, ohne aufwendige Informationen wie im White Box Test erforderlich zu machen.

• Praktische Sicherheitsbewertung: Diese Methode eignet sich gut für Unternehmen, die sowohl interne als auch externe Angriffs-Szenarien mit mittlerem Risiko testen möchten.

Nachteile:

• Begrenzte Sichtbarkeit: Da das IT-Security-Team nur über begrenzte Informationen verfügt, könnten tiefere Schwachstellen, die nur durch umfassendes Wissen entdeckt werden könnten, unentdeckt bleiben.

• Weniger Detailtiefe als White Box Testing: Möglicherweise nicht alle internen Schwachstellen werden aufgedeckt.

Black Box Testing
Das Black Box Testing wird aus der Perspektive eines vollständig Aussenstehenden durchgeführt, der keinerlei Informationen über die Zielumgebung besitzt. Diese Tests simulieren den Angriff eines externen Angreifers, der sich ohne interne Kenntnisse Zugriff auf das Netzwerk oder die Anwendungen verschaffen möchte.

Vorteile:

• Realität: Da das IT-Security-Team nicht über interne Informationen verfügt, werden Schwachstellen entdeckt, die für einen externen Angreifer ebenfalls zugänglich sind.

• Geringe Vorbereitungszeit: Ohne interne Informationen wird weniger Vorarbeit benötigt, was die Durchführung der Tests beschleunigen kann.

Nachteile:

• Begrenzte Analyse tiefgehender Schwachstellen: Da das IT-Security-Team keine internen Informationen hat, kann es Schwachstellen übersehen, die nur bei detaillierter Systemkenntnis auffallen.

• Höhere Wahrscheinlichkeit von Blockaden/Einschränkungen: Da Black Box Testing oft durch die Sicherheitssysteme blockiert werden, ist das Whitelisting hier besonders wichtig, um das Testen zu gewährleisten.

Fazit

Das Whitelisting von IP-Adressen ist je nach Auftrag und Umfang eines Penetrationstests ein entscheidender Vorbereitungsschritt. Es stellt sicher, dass die Sicherheitssysteme des Unternehmens den Testverkehr nicht als Bedrohung einstufen und blockieren.

Die Wahl zwischen White Box, Grey Box und Black Box Testing hängt von den spezifischen Sicherheitszielen und verfügbaren Ressourcen ab. White Box Tests ermöglichen eine umfassende, tiefgehende Analyse der IT-Sicherheit. Grey Box Tests bieten eine realistische Angreiferperspektive mit begrenztem Vorwissen und eignen sich besonders zur Bewertung von Schwachstellen auf mittlerer Informationsstufe. Black-Box-Tests hingegen simulieren einen Angriff ohne interne Kenntnisse und sind ideal, um die externe Perimetersicherheit zu überprüfen. Letztendlich sollte die Teststrategie sorgfältig auf die individuellen Sicherheitsanforderungen and die IT-Infrstruktur abgestimmt werden, um eine effektive Risikobewertung und gezielte Schutzmassnahmen zu gewährleisten.