Security Summary Report

Zusammenfassung

Die mehrschichtige Sicherheitsarchitektur hat alle offensichtlichen Angriffe erkannt und angemessene Gegenmaßnahmen eingeleitet. Es konnten lediglich nicht kritische Informationen über das Gesamtsystem gewonnen werden. Alle gefundenen Schwachstellen wurden durch CUS-IT im Nachgang behoben.

Ziele:

Getestet wurden die folgenden Netze an den Standorten Osnabrück und Georgsmarienhütte:

  • 212.95.119.96/27
  • 212.95.119.128/30

Der Test wurde auf allen Ebenen (Betriebssystem, Dienste, Firewalls, gehostete Domains und Anwendungen), mit Ausnahme des Angriffsvektors „Social Engineering“ durchgeführt.

Methodik

Der Test erfolgte als sogenannter „Black-Box Test“, d.h. es lagen keine weiteren Informationen, als die von extern zugänglichen IP-Adressen vor.

Hauptsächlich kamen folgende Softwareprodukte bei dem Test zum Einsatz:

  • OpenVAS (Vulnerability-Scanner)
  • Nikto (Web-Vulnerability-Scanner)/li>
  • Metasploit Framework (Exploit-Toolkit)
  • nmap (Portscanner)

Bewertung:

Der Penetrationstest verlief für den Auftragnehmer weitestgehend erfolglos. Es wurden nur Schwachstellen mit geringem Impact gefunden (und durch den Auftraggeber umgehend behoben). Die Software- und Hardware-Produkte sind mit den neuesten Sicherheitsupdates bespielt. Die
implementierten Maßnahmen (IPS, Firewalls, Virenscanner, etc.) funktionierten einwandfrei und haben die meisten Angriffsversuche erkannt und blockiert.

Björn Voitel, Mental-IT, 18.05.2017

Sie können den Report auch als PDF herunterladen.