PENETRATIONSTEST EXTERNER SYSTEME

Schutz & Härtung öffentlich erreichbarer Systeme

Öffentlich über das Internet erreichbare Systeme und IP-Bereiche sind permanent den Risiken eines Angriffs ausgesetzt. Daher sollten diese Systeme besonders vor solchen geschützt und gehärtet sein. Durch einen Penetrationstest werden die eingesetzten Systeme und die exponierten Dienste identifiziert sowie mögliche Angriffsvektoren und -methoden ermittelt.

Pentest-Kompetenz

  • zertifizierte Ethical Hacker (CEH / OSCP) und IT-Forensiker (IHK)
  • Durchführung von über 300 Pentest-Projekten pro Jahr
  • Pentests nach BSI-Standard​

Kurzfristige Umsetzung

  • Kickoff innerhalb weniger Tage nach Auftragserteilung
  • Pentest-Umsetzung meist innerhalb von 2-4 Wochen
  • Zuverlässige Einhaltung von Deadlines

Faire & transparente Preise

  • Standard-Pentests zu Festpreisen
  • individuelle Pentests mit voller Kostenkontrolle / Budget-Obergrenzen
  • Angebote aus eigenständigen Modulen, die einzeln beauftragt werden können

Ablauf & Ergebnis

  1. Terminplanung
  2. Besprechung des Vorgehens und der Rahmenbedingungen
  3. Festlegung der Zielsysteme (IP-Adressen, Domains, Hostnamen)
  1. Phishing (Optional)
  2. Information Gathering
    – Abgleich der IP-Bereiche mit der Whois-Datenbank
    – Überprüfung auf Passwort-Leaks
    – Überprüfung der Metadaten verfügbarer Dokumente
    – Enumeration von Subdomains
  3. Portscan zur Identifizierung der Dienste
  4. Automatisierter Schwachstellenscan der identifizierten Dienste
  5. Manuelle Überprüfung der identifizierten Dienste

Für die Anwendungen erfolgt eine Überprüfung auf bereits bekannte und öffentliche Schwachstellen. Zusätzlich werden Komponenten überprüft, die zu einer Übernahme des Servers führen könnten (z.B. die Möglichkeit des Datei-Uploads). Die Überprüfung ist nicht mit einem Webpenetrationstest gleichzusetzen,
da hier eine andere Testmethodik zur Anwendung kommt und ein größerer Aufwand entsteht.

  • Automatisierter Schwachstellenscan von Webservern
  • Enumeration von Verzeichnissen
  • Wird ein Login mitgeliefert oder sollte eine Registrierung möglich sein, erfolgt ebenfalls eine Überprüfung der geschützten Funktionen

Exploits, die Auswirkungen auf die Verfügbarkeit des Dienstes haben könnten, werden nur in Absprache und auf ausdrücklichen Wunsch des Kunden getestet.

Dokumentation
Beschreibung der gefundenen Schwachstellen und Behebungsmaßnahmen sowohl für das Management als auch für die technisch Verantwortlichen. Die Resultate werden anhand ihres Schweregrads kategorisiert und priorisiert.

Externe Netzwerke

Servernetzwerke
ab 3.750 €
  • Analyse der öffentlich zugänglichen Systeme
  • Check von DNS-Servern, Mail-Servern, Firewall etc.
  • Automatisierte und manuelle Testverfahren

alle Pentests im Überblick