Wat is een penetratietest (pentest)?

Inhoudsopgave

Met penetratietests (ook wel pentests genoemd) kan worden bepaald hoe groot de kans is op een aanval op uw netwerk, inclusief individuele systemen binnen het netwerk en specifieke applicaties. Ontdek hoe dergelijke tests worden uitgevoerd en wat ze betekenen voor een netwerk dat al in gebruik is.

Wat is penetratietesten?

In de IT-sector is een penetratietest een geplande aanval op een netwerk van elke omvang of op individuele computers, met als doel kwetsbaarheden bloot te leggen. Hiervoor worden verschillende tools gebruikt om verschillende aanvalspatronen te simuleren, die zijn gemodelleerd naar veelvoorkomende aanvalsmethoden. Typische componenten die een penetratietest ondergaan zijn:

Netwerkkoppelingselementen zoals routers, switches en gateways
Beveiligingsgateways zoals software- en hardwarefirewalls, pakketfilters, virusscanners, load balancers, IDS en IPS enz.
Servers zoals webservers, databaseservers, bestandsservers enz.
Telecommunicatiesystemen
Alle soorten webapplicaties
Infrastructuurinstallaties, bijvoorbeeld toegangscontrolesystemen
Draadloze netwerken die deel uitmaken van het systeem, zoals wifi of Bluetooth

Testen worden doorgaans onderverdeeld in black box-, white box- en grey box-testen: bij black box-testen krijgen penetratietesters alleen informatie over het adres van het doelnetwerk of -systeem. Bij white box-testen hebben de testers uitgebreide kennis van de systemen die ze gaan testen. Naast het IP-adres krijgen ze ook informatie over de gebruikte software- en hardwarecomponenten. Grey box-testen, de meest voorkomende vorm van penetratietesten, combineert black box- en white box-testmethoden. Er wordt basisinformatie over de IT-infrastructuur beschikbaar gesteld, zoals waarvoor de systemen worden gebruikt en hoe ze in grote lijnen zijn opgebouwd.

Wat heb ik nodig voor een pentest?

Hoe kunt u een aangepaste penetratietest voor uw eigen netwerk maken? Hieronder vindt u essentiële informatie over waar u rekening mee moet houden bij het uitvoeren van een penetratietest.

Hoe kan ik me voorbereiden op een pentest?

Om een pentest succesvol uit te voeren, is het belangrijk om eerst een duidelijk plan op te stellen. Bepaal welke componenten moeten worden getest, of u over alle benodigde tools beschikt en wat het tijdsbestek is voor elke afzonderlijke test en voor de algehele beoordeling van uw netwerk.

De voorbereidingsfase is nog belangrijker als u externe testers inhuurt en u de white box-testmethode wilt gebruiken. Als u deze methode wilt gebruiken, moet u het testteam alle informatie over uw netwerk en de bijbehorende systemen verstrekken, evenals de documentatie die u over uw systeem hebt. Voor een black box-test is het proces anders. Bij deze methode hoeft u alleen de doeladressen van de componenten die getest moeten worden bekend te maken.

Opmerking

Pen-testers moeten expertise hebben op belangrijke technische gebieden, zoals systeembeheer, netwerkprotocollen, programmeertalen, IT-beveiligingsproducten, applicatiesystemen en netwerkcomponenten.

Wat zijn de beste tools voor penetratietesten?

Aangezien er zoveel verschillende soorten aanvallen zijn, is het logisch om over veel verschillende tools voor penetratietesten te beschikken. Enkele van de belangrijkste zijn:

Poortscanners: poortscanners gebruiken gespecialiseerde tools om open poorten in een systeem te identificeren.
Kwetsbaarheidsscanners: kwetsbaarheidsscanners onderzoeken systemen om te controleren op bestaande beveiligingskwetsbaarheden, foutieve configuraties en ontoereikend wachtwoord- en gebruikersbeleid.
Sniffers: een sniffer wordt gebruikt om netwerkverkeer te analyseren. Hoe sterker de versleuteling, hoe minder informatie er kan worden verzameld.
Pakketgeneratoren: pakketgeneratoren zijn tools die worden gebruikt om netwerkverkeersgegevens te genereren of te simuleren. Hierdoor kan het netwerkverkeer tijdens een penetratietest worden nagebootst.
Wachtwoordkrakers: pentesters gebruiken wachtwoordkrakers om wachtwoorden te verkrijgen die niet veilig zijn.

Veel van de hierboven genoemde tools zijn expliciet ontwikkeld voor netwerkbeveiligingstests en zijn daarom afgestemd op specifieke testgebieden. Hoewel het overgrote deel van deze programma’s afkomstig is uit de open-source sector, zijn er ook enkele commerciële beveiligingsapplicaties, die over het algemeen beter gedocumenteerd zijn en uitgebreide IT-ondersteuning bieden.

Wat zijn de verschillende stappen van een penetratietest?

De testprocedure voor een pentest kan worden onderverdeeld in de volgende vier stappen:

Concept van het beoordelingsnetwerk

Een penetratietest kan al in de voorbereidingsfase inconsistenties of zwakke punten in het ontwerp van een netwerk of in afzonderlijke componenten aan het licht brengen. Als bijvoorbeeld meerdere applicaties met verschillende toegangsgroepen zijn geconfigureerd, kan dit al snel tot complicaties leiden en een veiligheidsrisico voor het hele netwerk vormen, zelfs als het netwerk en de afzonderlijke gehoste programma’s voldoende beveiligd zijn. Sommige van deze gevallen kunnen al tijdens een voorafgaand gesprek worden opgelost, terwijl andere alleen door een praktische test kunnen worden bevestigd.

Maatregelen voor het testen van de hardheid

Het waarborgen van een zo veilig mogelijk gebruik van de systemen in een netwerk vormt de kern van een veilig bedrijfsnetwerk. Tijdens de pentest is het belangrijk om de reeds genomen beveiligingsmaatregelen te controleren. Dit omvat het controleren van geïnstalleerde software, zoals besturingssystemen, systeemservices en applicaties, die altijd up-to-date moeten zijn. Als er oudere versies worden gebruikt omdat deze compatibel zijn met andere applicaties, moet u alternatieve voorzorgsmaatregelen nemen om uw systeem te beschermen. Daarnaast spelen toegangs- en authenticatievereisten voor individuele systemen en programma’s een belangrijke rol. Hier behandelt de pentest onderwerpen als:

Toegangsrechten
Wachtwoordgebruik en encryptie
Gebruik van bestaande interfaces en open poorten
Gedefinieerde regels (bijv. firewallregels)

Zoeken naar bekende kwetsbaarheden

Het duurt meestal niet lang om beveiligingskwetsbaarheden op te sporen. Daarom zijn penetratietesters doorgaans bekend met de aanvalspunten van de testobjecten die ze onderzoeken. Met de informatie die de testers tijdens hun onderzoek naar het beveiligen van netwerkcomponenten hebben verzameld over de versiestatus en het patchniveau, kunnen ze snel vaststellen welke applicaties een beveiligingsrisico vormen. Als er in korte tijd veel systemen moeten worden geanalyseerd, kan het gebruik van kwetsbaarheidsscanners nuttig zijn, hoewel deze niet altijd een nauwkeurig resultaat opleveren.

Gericht gebruik van exploits

De tester kan alleen vaststellen of de ontdekte kwetsbaarheden kunnen worden misbruikt door ze daadwerkelijk te misbruiken. De commandosequenties die voor dergelijke exploits worden gebruikt, zijn doorgaans scripts die uit verschillende internetbronnen zijn verkregen. Deze zijn echter niet altijd veilig geprogrammeerd. Als een onveilige exploit wordt uitgevoerd, bestaat het risico dat de geteste applicatie of het geteste systeem crasht en dat in het ergste geval belangrijke gegevens worden overschreven. Daarom moeten penetratietesters voorzichtig zijn en alleen betrouwbare scripts van gerenommeerde bronnen gebruiken, of helemaal afzien van het testen van de kwetsbaarheid.

Opmerking

Het testteam moet alle stappen en resultaten van de pentest noteren. Zo beschikt u over een optimale basis om de afzonderlijke stappen te begrijpen en de situatie te evalueren. Op basis van aanbevolen prioriteitenlijsten kunt u het proces voor de bescherming van uw systeem stap voor stap optimaliseren. Over het algemeen wordt aanbevolen om minstens één keer per jaar een penetratietest uit te voeren.

Wat zijn de voor- en nadelen van penetratietesten?

Homogene computerstructuren behoren tot het verleden. De gedecentraliseerde IT-structuren van vandaag kunnen dagelijks nieuwe kwetsbaarheden en fouten veroorzaken. Hoewel softwareontwikkelaars deze fouten soms snel kunnen verhelpen, kan het soms wat langer duren om dergelijke problemen op te lossen.

Dit is waar penetratietesten hun kracht laten zien en de volgende voordelen bieden:

Penetratietests onderzoeken systemen veel gedetailleerder dan een gewone beveiligingscontrole.
Het basisdoel van penetratietesten is om te controleren hoe goed afzonderlijke componenten samenwerken.
Met een externe tester krijgt u een extra mening en een andere kijk op uw onderliggende beveiligingsconcept.
Professionele penetratietesters zijn speciaal opgeleid en benaderen uw systeem zoals een hacker dat zou doen.

Penetratietesten, en met name de samenwerking met externe testers, hebben echter ook een aantal nadelen:

Tijdens het uitvoeren van de pentest heeft het testteam toegang tot interne informatie en processen.
Bij penetratietests bestaat altijd de mogelijkheid dat de test onherstelbare schade veroorzaakt.
Penetratietests geven alleen een momentopname van uw netwerksystemen en mogen daarom nooit worden gebruikt als reden om af te zien van het nemen van algemene veiligheidsmaatregelen.

Het is ook belangrijk om in gedachten te houden dat traditionele pentests geen risico’s in verband met social engineering beoordelen. Veel bedrijven bieden diensten aan om dergelijke kwetsbaarheden te identificeren en geven ook speciale trainingen over hoe social engineering-aanvallen kunnen worden voorkomen.

Wat is een pe­ne­tra­tie­test (pentest)?

Wat is pe­ne­tra­tie­tes­ten?

Wat heb ik nodig voor een pentest?

Hoe kan ik me voor­be­rei­den op een pentest?

Wat zijn de beste tools voor pe­ne­tra­tie­tes­ten?

Wat zijn de ver­schil­len­de stappen van een pe­ne­tra­tie­test?

Concept van het be­oor­de­lings­net­werk

Maat­re­ge­len voor het testen van de hardheid

Zoeken naar bekende kwets­baar­he­den