Ved hjælp af pe­ne­tra­tions­tests (ofte kaldet pentests) er det muligt at vurdere risikoen for et angreb på dit netværk, herunder de enkelte systemer i netværket samt spe­ci­fik­ke ap­pli­ka­tio­ner. Find ud af, hvordan sådanne tests gen­nem­fø­res, og hvad de betyder for et netværk, der allerede er i brug.

Hvad er pe­ne­tra­tions­test?

I IT-branchen er en pe­ne­tra­tions­test et planlagt angreb på et netværk af enhver størrelse eller på enkelte computere, der har til formål at afdække sår­bar­he­der. Til dette formål anvendes for­skel­li­ge værktøjer til at simulere for­skel­li­ge an­grebs­møn­stre, der er baseret på al­min­de­li­ge an­grebs­me­to­der. Typiske kom­po­nen­ter, der un­der­ka­stes en pe­ne­tra­tions­test, er:

  • Net­værks­kob­lings­en­he­der såsom routere, switche og gateways
  • Sik­ker­heds­ga­teways såsom software- og hardware-firewalls, pak­ke­fil­tre, virus­scan­ne­re, load balancers, IDS og IPS osv.
  • Servere såsom web­ser­ve­re, da­ta­ba­se­ser­ve­re, fil­ser­ve­re osv.
  • Tele­kom­mu­ni­ka­tions­sy­ste­mer
  • Alle typer we­bap­pli­ka­tio­ner
  • In­fra­struk­turin­stal­la­tio­ner, f.eks. me­ka­nis­mer til ad­gangs­kon­trol
  • Trådløse netværk, der er en del af systemet, såsom WiFi eller Bluetooth

Testning inddeles normalt i black box-, white box- og gray box-test: Ved black box-test får pe­ne­tra­tions­teste­re kun op­lys­nin­ger om adressen på målnettet eller -systemet. Ved white box-test har testerne indgående kendskab til de systemer, de skal teste. Ud over IP-adressen modtager de også op­lys­nin­ger om de software- og hardwa­re­kom­po­nen­ter, der anvendes. Gray box-test, som er den mest al­min­de­li­ge form for pe­ne­tra­tions­test, kom­bi­ne­rer black box- og white box-test­me­to­der. Der stilles grund­læg­gen­de op­lys­nin­ger om IT-in­fra­struk­tu­ren til rådighed, f.eks. hvad sy­ste­mer­ne bruges til og deres generelle opbygning.

Hvad skal jeg bruge til en pentest?

Hvordan kan du udarbejde en skræd­der­sy­et pe­ne­tra­tions­test til dit eget netværk? Nedenfor finder du vigtige op­lys­nin­ger om, hvad du skal tage højde for, når du gen­nem­fø­rer en pe­ne­tra­tions­test.

Hvordan kan jeg forberede mig til en pentest?

For at gen­nem­fø­re en pe­ne­tra­tions­test med succes er det vigtigt først at lægge en klar plan. Find ud af, hvilke kom­po­nen­ter der skal testes, om du har alle de nød­ven­di­ge værktøjer til rådighed, og fastlæg tids­ram­men for hver enkelt test samt for den samlede vurdering af dit netværk.

For­be­re­del­ses­fa­sen er endnu mere afgørende, hvis du ansætter eksterne testere og ønsker at anvende white box-test­me­to­den. Hvis det er denne metode, du vil benytte, skal du give test­tea­met alle op­lys­nin­ger om dit netværk og dets systemer samt den do­ku­men­ta­tion, du har til dit system. Ved en black box-test er processen an­der­le­des. Med denne metode behøver du kun at oplyse må­ladres­ser­ne for de kom­po­nen­ter, der skal testes.

Note

Pen-testere bør have eks­per­ti­se inden for centrale tekniske områder såsom sy­stemad­mi­ni­stra­tion, net­værks­pro­tokol­ler, pro­gram­me­rings­sprog, it-sik­ker­heds­pro­duk­ter, ap­pli­ka­tions­sy­ste­mer og net­værks­kom­po­nen­ter.

Hvilke værktøjer er bedst til pe­ne­tra­tions­test?

Da der findes så mange for­skel­li­ge former for angreb, er det for­nuf­tigt at have en lang række for­skel­li­ge værktøjer til rådighed til pe­ne­tra­tions­test. Nogle af de vigtigste er:

  • Po­rt­scan­ne­re: Po­rt­scan­ne­re bruger spe­ci­al­værk­tø­jer til at iden­ti­fi­ce­re åbne porte i et system.
  • Sår­bar­heds­scan­ne­re: Sår­bar­heds­scan­ne­re un­der­sø­ger systemer for at finde ek­si­ste­ren­de sik­ker­heds­sår­bar­he­der, fejl­kon­fi­gu­ra­tio­ner og util­stræk­ke­li­ge ad­gangs­ko­de- og bru­ger­po­li­tik­ker.
  • Sniffere: En sniffer bruges til at analysere net­værk­stra­fik. Jo stærkere kryp­te­rin­gen er, desto færre op­lys­nin­ger vil den kunne indsamle.
  • Pakke-ge­ne­ra­to­rer: Pakke-ge­ne­ra­to­rer er værktøjer, der bruges til at generere eller simulere net­værk­stra­fik­da­ta. Dette gør det muligt at ef­ter­lig­ne net­værk­stra­fik under en pe­ne­tra­tions­test.
  • Ad­gangs­ko­dek­næk­ke­re: Pe­ne­tra­tions­teste­re bruger ad­gangs­ko­dek­næk­ke­re som en måde at få fat i ad­gangs­ko­der, der ikke er sikre.

Mange af de ovenfor nævnte værktøjer er udviklet specifikt til net­værks­sik­ker­hed­s­test og er derfor skræd­der­sy­et til bestemte te­st­om­rå­der. Selvom langt stør­ste­delen af disse pro­gram­mer stammer fra open source-sektoren, findes der også nogle kom­merci­el­le sik­ker­heds­pro­gram­mer, som generelt er bedre do­ku­men­te­re­de og leveres med om­fat­ten­de IT-support.

Hvad er de for­skel­li­ge trin i en pe­ne­tra­tions­test?

Test­pro­ce­du­ren for en pentest kan opdeles i følgende fire trin:

Gen­nem­gang af net­værks­kon­cep­tet

En pe­ne­tra­tions­test kan afsløre uove­r­ens­stem­mel­ser eller svagheder i ud­form­nin­gen af et netværk eller i enkelte kom­po­nen­ter allerede i for­be­re­del­ses­fa­sen. Hvis flere ap­pli­ka­tio­ner f.eks. er kon­fi­gu­re­ret med for­skel­li­ge ad­gangs­grup­per, kan dette hurtigt skabe kom­pli­ka­tio­ner og udgøre en sik­ker­heds­ri­si­ko for hele netværket, selvom netværket og de enkelte hostede pro­gram­mer er til­stræk­ke­ligt beskyttet. Nogle af disse tilfælde kan løses allerede under en ind­le­den­de drøftelse, mens andre kun kan bekræftes ved at gen­nem­fø­re en praktisk test.

For­an­stalt­nin­ger til sikring af test

At sikre, at de systemer, der anvendes i et netværk, er så sikre som muligt, er afgørende for at have et sikkert virk­som­heds­net­værk. Under pentesten er det vigtigt at kon­trol­le­re de sik­ker­heds­for­an­stalt­nin­ger, der allerede er iværksat. Dette omfatter kontrol af in­stal­le­ret software såsom ope­ra­tiv­sy­ste­mer, sy­stemtje­ne­ster og ap­pli­ka­tio­ner, som altid bør være opdateret. Hvis der anvendes ældre versioner, fordi de er kom­pa­tib­le med andre ap­pli­ka­tio­ner, skal du træffe al­ter­na­ti­ve for­an­stalt­nin­ger for at beskytte dit system. Derudover spiller adgangs- og god­ken­del­ses­krav til in­di­vi­du­el­le systemer og pro­gram­mer en vigtig rolle. Her behandler pentesten emner som:

  • Ad­gangs­ret­tig­he­der
  • Brug af ad­gangs­ko­der og kryp­te­ring
  • Brug af ek­si­ste­ren­de græn­se­fla­der og åbne porte
  • De­fi­ne­re­de regler (f.eks. firewall-regler)

Søg efter kendte sår­bar­he­der

Det tager som regel ikke lang tid at opdage sik­ker­heds­svag­he­der, og derfor kender pe­ne­tra­tions­teste­re ofte allerede de sårbare punkter i de systemer, de un­der­sø­ger. Med de op­lys­nin­ger, som testerne har indsamlet om ver­sions­sta­tus og patch-niveau under deres un­der­sø­gel­se af net­værks­kom­po­nen­ter­nes sikkerhed, kan de hurtigt iden­ti­fi­ce­re, hvilke ap­pli­ka­tio­ner der udgør en sik­ker­heds­ri­si­ko. Hvis der skal ana­ly­se­res mange systemer på kort tid, kan det være en hjælp at bruge sår­bar­heds­scan­ne­re, selvom de ikke altid giver et præcist resultat.

Målrettet brug af sik­ker­heds­hul­ler

Testeren kan kun afgøre, om de opdagede sår­bar­he­der kan udnyttes eller ej, ved rent faktisk at udnytte dem. De kom­man­do­se­kven­ser, der anvendes til sådanne ud­nyt­tel­ser, er typisk scripts hentet fra for­skel­li­ge kilder på in­ter­net­tet. Disse er dog ikke altid pro­gram­me­ret på en sikker måde. Hvis der udføres et usikkert angreb, er der risiko for, at den ap­pli­ka­tion eller det system, der testes, går ned, og i værste fald kan vigtige data blive over­skre­vet. Derfor bør pe­ne­tra­tions­teste­re være for­sig­ti­ge og kun bruge på­li­de­li­ge scripts fra vel­renom­me­re­de kilder eller helt undlade at teste sår­bar­he­den.

Note

Test­tea­met bør notere alle trin og re­sul­ta­ter fra pe­ne­tra­tions­te­sten. På den måde får du det bedste grundlag for at forstå de enkelte trin og vurdere si­tu­a­tio­nen. Ud fra an­be­fa­le­de pri­o­ri­tets­li­ster kan du trin for trin optimere processen til be­skyt­tel­se af dit system. Det anbefales generelt at gen­nem­fø­re en pe­ne­tra­tions­test mindst én gang om året.

Hvad er fordele og ulemper ved pe­ne­tra­tions­test?

Homogene com­pu­ter­sy­ste­mer hører fortiden til. Dagens de­cen­tra­li­se­re­de it-systemer kan dagligt medføre nye sår­bar­he­der og fejl. Selvom softwa­re­ud­vik­le­re nogle gange hurtigt kan rette disse fejl, kan det andre gange tage dem lidt længere tid at løse sådanne problemer.

Det er her, pe­ne­tra­tions­test viser deres styrker og giver følgende fordele:

  • Pe­ne­tra­tions­test un­der­sø­ger systemer langt mere indgående end en al­min­de­lig sik­ker­heds­kon­trol.
  • Det grund­læg­gen­de mål med pe­ne­tra­tions­test er at kon­trol­le­re, hvor godt de enkelte kom­po­nen­ter fungerer sammen.
  • Med en ekstern tester får du en yder­li­ge­re vurdering samt et andet syn på dit un­der­lig­gen­de sik­ker­heds­kon­cept.
  • Pro­fes­sio­nel­le pe­ne­tra­tions­teste­re er spe­ci­a­lud­dan­ne­de og nærmer sig dit system, som en hacker ville gøre.

Pe­ne­tra­tions­test, og især sam­ar­bej­det med eksterne testere, har dog også sine ulemper:

  • Mens pe­ne­tra­tions­te­sten gen­nem­fø­res, har test­tea­met adgang til interne op­lys­nin­ger og processer.
  • Ved pe­ne­tra­tions­test er der altid en risiko for, at testen kan forårsage uop­ret­te­lig skade.
  • Pe­ne­tra­tions­tests giver kun et øje­bliks­bil­le­de af dine net­værks­sy­ste­mer og bør derfor aldrig bruges som en und­skyld­ning for at undlade at anvende al­min­de­li­ge sik­ker­heds­for­an­stalt­nin­ger.

Det er også vigtigt at huske på, at tra­di­tio­nel­le pe­ne­tra­tions­tests ikke vurderer risici forbundet med social en­gi­ne­e­ring. Mange virk­som­he­der tilbyder tjenester, der kan afdække sådanne sår­bar­he­der, og afholder desuden særlige kurser i, hvordan man fore­byg­ger angreb via social en­gi­ne­e­ring.

Gå til ho­ved­me­nu­en