Title (deu): Durchführung von Penetration Tests

Author: Mitterer, B. (Bernhard)

Description (deu): St. Pölten, FH-Stg. Telekommunikation und Medien, Dipl.-Arb., 2005

Description (deu): Vernetzte Systeme sind in besonderer Weise unautorisierten Zugriffsversuchen ausgesetzt und bedürfen somit einer besonderen Betreuung im Hinblick auf ihre Sicherheit. Für die Feststellung des aktuellen Sicherheitsstatus der Systeme werden unter möglichst realen Testbedingungen Angriffe simuliert. Diese Testmethoden werden unter dem Begriff „Penetration Testing“
zusammengefasst. Ziel der vorliegenden Arbeit ist die Erstellung eines generischen Vorgehensmodells für Penetration Tests. Die darin angeführten Phasen werden wiederum in einzeln auswählbare Module unterteilt. Zu jedem dieser Module werden die genaue Vorgehensweise und die dafür benötigten Informationen und Tools beschrieben. Zu ausgewählten Modulen werden auch der technische Hintergrund, mögliche Schwachstellen und die daraus resultierende Möglichkeit diese auszunützen näher beleuchtet. Nach einer gesonderten Behandlung der Klassifizierung des Penetration Tests in Kapitel 3 werden fünf Phasen dargestellt und eine vertiefende Strukturierung durch Aufgliederung in Module vorgenommen. Um eine ergebnisorientierte Vorgehensweise für den Abschluss der Module zu erhalten, wird in Kapitel 4 die Durchführung von Penetration Tests ausführlich beleuchtet. Dabei zeigte sich, dass aufgrund der Komplexität der Thematik keine Schritt-für-Schritt-
Anleitung definierbar ist. Hinsichtlich der Ergebnisdarstellung wurden Reporting Templates sowie Hilfestellungen zur inhaltlichen Gestaltung der laufenden Dokumentation und des Abschlussberichtes entwickelt.

Description (eng): Linked systems are particularly subject to unauthorized access attempts. Special treatment concerning their security is therefore indispensable. In order to evaluate the current security status of these systems, attacks are simulated under realistic testing conditions. These testing methods can all be subsumed under the heading “Penetration Testing”. This thesis aims at developing a generic process model of penetration testing. The mentioned phases are subdivided into individually selectable modules. Detailed process steps and required information as well as necessary tools are presented for each of these modules. Additionally the technical background, possible vulnerabilities and the subsequent opportunity to exploit this lack of security are discussed for selected modules. After classifying the penetration test in Chapter 3, five phases are described and further on subdivided into certain modules. In Chapter 4 the execution of penetration tests is presented in detail, in order to obtain a results-oriented procedure for the closure of the modules. It appeared that due to the complexity of the topic, no step-by-step instruction could be derived. Regarding the presentation of results, reporting templates as well as textual shaping notes for the current documentation and the final report are developed.

Object languages: German

Date: 2005

Rights: © All rights reserved

Classification: Internet; Datensicherung

Permanent Identifier