8.2. Definition von Analyse und Test
Schwachstellenanalysen können in zwei Arten klassifiziert werden: von außen innen herumschnüffeln und innen herumschnüffeln.
Wenn Sie eine Schwachstellenanalyse von außen betrachtet durchführen, so versuchen Sie, Ihr System von außen zu beeinflussen. Wenn Sie Ihre Firma extern betrachten, gibt Ihnen dies die Sichtweise eines Crackers. Sie sehen, was der Cracker sehen kann — öffentlich-weiterleitbare IP-Adressen, Systeme auf Ihrer DMZ, externe Schnittstellen Ihrer Firewall und vieles mehr. DMZ steht für "Demilitarized Zone", was einem Computer oder einem kleinen Subnetzwerk entspricht und welche sich zwischen einem internen, zuverlässigen Netzwerk befindet, wie z.B. einem gemeinschaftlichen privaten LAN und einem unzuverlässigen, externen Netzwerk, wie z.B. das öffentliche Internet. Üblicherweise beinhaltet die DMZ Geräte, die für den Internetverkehr zugänglich sind, wie z.B. Web(HTTP)-Server, FTP-Server, SMTP(E-Mail)-Server und DNS-Server.
Wenn Sie eine Schwachstellenanalyse von innen betrachtet durchführen, haben Sie den gewissen Vorteil, das Sie bereits intern sind, und Sie einen Status des vertrauens haben. Dies ist der Blickwinkel, den Sie und Ihre Kollegen haben, wenn Sie sich einmal im System angemeldet haben. Sie sehen Druckserver, Dateiserver, Datenbanken und andere Ressourcen.
Es gibt klare Unterschiede zwischen diesen beiden Arten der Schwachstellenanalyse. Als interner Mitarbeiter Ihres Unternehmens besitzen Sie erhöhte Privilegien — weit mehr als jeder Außenstehende. In den meisten Unternehmen sind Sicherheitsvorkehrungen derartig getroffen, um Eindringlinge fernzuhalten. Es wird nur sehr wenig für die interne Sicherung des Unternehmens getan (z.B. Firewalls für Abteilungen, Zugangskontrollen auf Benutzerebene, Authentifizierungsvorgänge für interne Ressourcen und so weiter. Üblicherweise gibt es wesentlich mehr Ressourcen, wenn man sich intern umschaut, da die meisten Systeme in einem Unternehmen intern sind. Sobald Sie sich einaml außerhalb eines Unternehmens befinden, erhalten Sie sofort den Status vertrauensunwürdig zu sein. Die extern zugänglichen Systeme und Ressourcen sind für gewöhnlich wesentlich stärker eingeschränkt.
Betrachten Sie die Unterschiede zwischen Schwachstellenanalyse und Eindringungstests. Sehen Sie die Schwachstellenanalyse als ersten Schritt zu einem Eindringungstest an. Die Informationen aus der Schwachstellenanalyse werden im Test angewendet. Mit der Analyse wird nach Löchern und möglichen Schwachstellen im System gesucht, während der Eindringungstest die Ergebnisse in die Tat umsetzt.
Die Einschätzung der Netzwerk-Infrastruktur ist ein dynamischer Prozess. Das Durchführen der Analyse gibt einen Überblick über positive sowie negative Aspekte.
Sicherheits-Administratoren sind nur so gut wie die Tools, die diese benutzen, und das Wissen, das diese bewahren. Nehmen Sie eines der aktuell erhältlichen Analysetools und lassen Sie es über Ihr System laufen Dabei ist fast garantiert, dass einige Schwachstellen gefunden werden, die gar nicht existieren. Ob durch einen Programmfehler oder Benutzerfehler hervorgerugen, das Ergebnis ist das gleiche. Das Tool findet Schwachstellen, die gar nicht existieren, oder schlimmer noch, findet wirklich existierende Schwachstellen nicht.
Da wir nun den Unterschied zwischen Schwachstellenanalyse und Eindringungstest definiert haben, ist es ratsam, die Ergebnisse der Analyse sorgfältig zu prüfen, bevor Sie den Eindringungstest tatsächlich durchführen.
 | Achtung |
|---|---|
Der Versuch, Schwachstellen in Produktionsressourcen aufzudecken, kann einen negativen Effekt auf die Produktivität und Effizienz Ihrer Systeme und Netzwerke haben. |
In der folgenden Liste werden einige der Vorteile einer Schwachstellenanalyse aufgezeigt.
Proaktiver Fokus auf Informationssicherheit
Auffinden potentieller Schwachstellen, bevor diese von Crackern gefunden werden
Resultiert normalerweise darin, dass Systeme aktuell gehalten und mit Patches versehen werden
Fördert Wachstum und hilft bei der Entwicklung von Mitarbeiter-Kompetenz
Vermindert finanzielle Verluste und negative Publicity
8.2.1. Entwickeln einer Methode
Um die Auswahl der richtigen Tools für die Schwachstellenanalyse zu unterstützen, ist es sinnvoll, zuerst eine Methode für die Schwachstellenanalyse zu entwickeln. Es gibt zur Zeit leider keine vordefinierten oder industrieweit bewährten Methoden, jedoch reichen meistens gesunder Menschenverstand und optimale Verfahren als Leitfaden aus.
Was ist das Ziel? Betrachten wir nur einen Server, oder das gesamte Netzwerk und alles innerhalb des Netzwerks? Betrachten wir die Firma intern oder extern? Die Antworten auf diese Fragen sind wichtig, da diese Ihnen bei der Entscheidung über die richtigen Tools und den Einsatz derer helfen.
Weitere Informationen zur Entwicklung von Methoden finden Sie auf den folgenden Webseiten:
http://www.isecom.org/projects/osstmm.htm — The Open Source Security Testing Methodology Manual (OSSTMM)
http://www.owasp.org/ — The Open Web Application Security Project