Med pe­netra­tions­tes­ter (ofta kallade pentester) är det möjligt att fast­stäl­la san­no­lik­he­ten för en attack mot ditt nätverk, inklusive enskilda system inom nätverket och specifika ap­pli­ka­tio­ner. Ta reda på hur sådana tester genomförs och vad de innebär för ett nätverk som redan är i bruk.

Vad är pe­netra­tions­test­ning?

Inom IT-sektorn är ett pe­netra­tions­test en planerad attack mot ett nätverk av valfri storlek eller enskilda datorer som syftar till att upptäcka sår­bar­he­ter. För att uppnå detta används olika verktyg för att simulera olika at­tack­möns­ter, som är mo­del­le­ra­de efter vanliga at­tack­me­to­der. Typiska kom­po­nen­ter som genomgår ett pe­netra­tions­test är:

  • Nät­verkskopp­ling­se­le­ment såsom routrar, switchar och gateways
  • Sä­ker­hets­ga­te­ways såsom mjukvaru- och hård­va­ru­brand­väg­gar, pa­ket­fil­ter, vi­rus­scann­rar, last­ba­lan­se­ra­re, IDS och IPS etc.
  • Servrar såsom webb­serv­rar, da­ta­bas­serv­rar, fil­serv­rar etc.
  • Te­le­kom­mu­ni­ka­tions­sy­stem
  • Alla typer av web­bap­pli­ka­tio­ner
  • In­fra­struk­turin­stal­la­tio­ner, t.ex. me­ka­nis­mer för åt­komst­kon­troll
  • Trådlösa nätverk som ingår i systemet, såsom WiFi eller Bluetooth

Testning delas normalt in i black box-, white box- och grey box-testning: vid black box-testning får pe­netra­tions­testa­re endast in­for­ma­tion om adressen till mål­nät­ver­ket eller mål­sy­ste­met. Vid white box-testning har testarna om­fat­tan­de kunskap om de system de ska testa. Förutom IP-adressen får de även in­for­ma­tion om de pro­gram­va­ru- och hård­va­ru­kom­po­nen­ter som används. Grey box-testning, som är den van­li­gas­te formen av pe­netra­tions­test­ning, kom­bi­ne­rar black box- och white box-test­nings­me­to­der. Grund­läg­gan­de in­for­ma­tion om IT-in­fra­struk­tu­ren görs till­gäng­lig, till exempel vad systemen används till och deras allmänna upp­bygg­nad.

Vad behöver jag för ett pentest?

Hur kan du skapa ett anpassat pe­netra­tions­test för ditt eget nätverk? Nedan hittar du viktig in­for­ma­tion om vad du behöver tänka på när du genomför ett pe­netra­tions­test.

Hur kan jag förbereda mig för ett pentest?

För att genomföra ett pe­netra­tions­test på ett fram­gångs­rikt sätt är det viktigt att först upprätta en tydlig plan. Iden­ti­fi­e­ra vilka kom­po­nen­ter som behöver testas, om du har alla nöd­vän­di­ga verktyg till hands och tidsramen för varje enskilt test samt för den över­gri­pan­de ut­vär­de­ring­en av ditt nätverk.

För­be­re­del­se­fa­sen är ännu viktigare om du anlitar externa testare och vill använda white box-test­me­to­den. Om det är den metoden du vill använda måste du förse test­tea­met med all in­for­ma­tion om ditt nätverk och dess system samt med den do­ku­men­ta­tion du har för ditt system. För ett black box-test är processen an­norlun­da. Med den metoden behöver du bara avslöja mål­a­dres­ser­na för de kom­po­nen­ter som ska testas.

Notis

Pen-testare bör ha ex­pert­kun­ska­per inom viktiga tekniska områden såsom sys­te­mad­mi­nist­ra­tion, nät­verks­pro­to­koll, pro­gram­me­rings­språk, IT-sä­ker­hets­pro­duk­ter, ap­pli­ka­tions­sy­stem och nät­verks­kom­po­nen­ter.

Vilka är de bästa verktygen för pe­netra­tions­test­ning?

Eftersom det finns så många olika typer av attacker är det vettigt att ha många olika verktyg till­gäng­li­ga för pe­netra­tions­test­ning. Några av de vik­ti­gas­te är:

  • Portskann­rar: Portskann­rar använder spe­ci­a­li­se­ra­de verktyg för att iden­ti­fi­e­ra öppna portar i ett system.
  • Sår­bar­hets­skann­rar: Sår­bar­hets­skann­rar un­der­sö­ker system för att kon­trol­le­ra om det finns sä­ker­hets­bris­ter, felaktiga kon­fi­gu­ra­tio­ner och otill­räck­li­ga lösenords- och an­vän­dar­po­li­cy­er.
  • Sniffers: en sniffer används för att analysera nät­verk­stra­fik. Ju starkare kryp­te­ring, desto mindre in­for­ma­tion kan den samla in.
  • Pa­ket­ge­ne­ra­to­rer: Pa­ket­ge­ne­ra­to­rer är verktyg som används för att generera eller simulera nät­verk­stra­fik­da­ta. Detta gör det möjligt att ef­ter­lik­na nät­verk­stra­fik under ett pe­netra­tions­test.
  • Lö­senords­knäc­ka­re: pe­netra­tions­testa­re använder lö­senords­knäc­ka­re för att få tag på lösenord som inte är säkra.

Många av de verktyg som anges ovan har ut­veck­lats specifikt för nät­verks­sä­ker­hets­tes­ter och är därför anpassade för specifika test­om­rå­den. Medan de allra flesta av dessa program kommer från open source-sektorn finns det även några kom­mer­si­el­la sä­ker­hets­ap­pli­ka­tio­ner, som i allmänhet är bättre do­ku­men­te­ra­de och har om­fat­tan­de IT-support.

Vilka är de olika stegen i ett pe­netra­tions­test?

Test­för­fa­ran­det för ett pennprov kan delas in i följande fyra steg:

Granska nät­verkskon­cep­tet

Ett pe­netra­tions­test kan avslöja in­kon­se­kven­ser eller svagheter i ut­form­ning­en av ett nätverk eller i enskilda kom­po­nen­ter redan i för­be­re­del­se­fa­sen. Om till exempel flera ap­pli­ka­tio­ner är kon­fi­gu­re­ra­de med olika åt­komst­grup­per kan det snabbt skapa kom­pli­ka­tio­ner och utgöra en sä­ker­hets­risk för hela nätverket, även om nätverket och enskilda värd­pro­gram är till­räck­ligt skyddade. Vissa av dessa fall kan redan lösas under en pre­li­mi­när dis­kus­sion, medan andra endast kan bekräftas genom att man genomför ett praktiskt test.

Åtgärder för att stärka test­ning­en

Att sä­ker­stäl­la att de system som används i ett nätverk är så säkra som möjligt är avgörande för att ha ett säkert fö­re­tags­nät­verk. Under pe­netra­tions­testet är det viktigt att kon­trol­le­ra de för­svars­åt­gär­der som redan vidtagits. Detta in­ne­fat­tar att kon­trol­le­ra in­stal­le­rad pro­gram­va­ra såsom ope­ra­tiv­sy­stem, system­tjäns­ter och ap­pli­ka­tio­ner, som alltid bör vara upp­da­te­ra­de. Om äldre versioner används eftersom de är kom­pa­tib­la med andra ap­pli­ka­tio­ner måste du vidta al­ter­na­ti­va för­sik­tig­hets­åt­gär­der för att skydda ditt system. Dessutom spelar åtkomst- och au­ten­ti­se­rings­krav för enskilda system och program en viktig roll. Här behandlar pe­netra­tions­testet frågor såsom:

  • Åt­komsträt­tig­he­ter
  • An­vänd­ning av lösenord och kryp­te­ring
  • An­vänd­ning av be­fint­li­ga gräns­snitt och öppna portar
  • De­fi­ni­e­ra­de regler (t.ex. brand­vägg­s­reg­ler)

Sök efter kända sår­bar­he­ter

Det tar van­ligt­vis inte lång tid att upptäcka sä­ker­hets­bris­ter, vilket är an­led­ning­en till att pe­netra­tions­testa­re i allmänhet är väl förtrogna med at­tack­punk­ter­na hos de test­ob­jekt de un­der­sö­ker. Med den in­for­ma­tion som testarna samlat in om ver­sions­sta­tus och patchnivå under sin forskning om för­stärk­ning av nät­verks­kom­po­nen­ter kan de snabbt iden­ti­fi­e­ra vilka ap­pli­ka­tio­ner som utgör en sä­ker­hets­risk. Om många system ska ana­ly­se­ras på kort tid kan det vara till hjälp att använda sår­bar­hets­skann­rar, även om de inte alltid ger ett exakt resultat.

Riktad an­vänd­ning av ex­plo­a­te­ring­ar

Testaren kan endast avgöra om de upptäckta sår­bar­he­ter­na kan utnyttjas eller inte genom att faktiskt utnyttja dem. Kom­man­do­se­kven­ser­na som används för sådana ut­nytt­jan­den är van­ligt­vis skript som hämtas från olika in­ter­net­käl­lor. Dessa är dock inte alltid säkert pro­gram­me­ra­de. Om en osäker ex­plo­a­te­ring genomförs finns det en risk att den ap­pli­ka­tion eller det system som testas kraschar och, i värsta fall, att viktiga data skrivs över. Därför bör pe­netra­tions­testa­re vara för­sik­ti­ga och endast använda till­för­lit­li­ga skript från ansedda källor, eller helt avstå från att testa sår­bar­he­ten.

Notis

Test­tea­met bör anteckna alla steg och resultat från pe­netra­tions­testet. På så sätt får du en optimal grund för att förstå enskilda steg och utvärdera si­tu­a­tio­nen. Baserat på re­kom­men­de­ra­de pri­o­ri­te­rings­lis­tor kan du steg för steg optimera processen för att skydda ditt system. Det re­kom­men­de­ras generellt att genomföra ett pe­netra­tions­test minst en gång om året.

Vilka är för- och nack­de­lar­na med pe­netra­tions­test­ning?

Homogena da­tor­struk­tu­rer hör till det förflutna. Dagens de­cent­ra­li­se­ra­de IT-struk­tu­rer kan dagligen orsaka nya sår­bar­he­ter och fel. Ibland kan pro­gram­va­ru­ut­veck­la­re snabbt åtgärda dessa fel, men ibland kan det ta lite längre tid att lösa sådana problem.

Det är här pe­netra­tions­test­ning visar sina styrkor och ger följande fördelar:

  • Pe­netra­tions­tes­ter un­der­sö­ker system mycket mer de­tal­je­rat än en vanlig sä­ker­hets­kon­troll.
  • Det grund­läg­gan­de målet med pe­netra­tions­test­ning är att kon­trol­le­ra hur väl enskilda kom­po­nen­ter fungerar till­sam­mans.
  • Med en extern testare får du en yt­ter­li­ga­re åsikt samt en annan syn på ditt un­der­lig­gan­de sä­ker­hetskon­cept.
  • Pro­fes­sio­nel­la pe­netra­tions­testa­re är spe­ci­al­ut­bil­da­de och närmar sig ditt system på samma sätt som en hackare skulle göra.

Pe­netra­tions­test­ning, och särskilt samarbete med externa testare, har dock också sina nackdelar:

  • Under pe­netra­tions­testet har test­tea­met tillgång till intern in­for­ma­tion och interna processer.
  • Med pe­netra­tions­tes­ter finns det alltid en risk att testet kan orsaka ir­re­pa­ra­bel skada.
  • Pe­netra­tions­tes­ter ger endast en ögon­blicks­bild av dina nät­verks­sy­stem och bör därför aldrig användas som skäl för att avstå från att använda vanliga sä­ker­hets­åt­gär­der.

Det är också viktigt att komma ihåg att tra­di­tio­nel­la pe­netra­tions­tes­ter inte ut­vär­de­rar risker för­knip­pa­de med social ma­ni­pu­la­tion. Många företag erbjuder tjänster för att iden­ti­fi­e­ra sådana sår­bar­he­ter och till­han­da­hål­ler även spe­ci­al­ut­bild­ning­ar om hur man kan förebygga attacker med social ma­ni­pu­la­tion.

Gå till huvudmeny