Kauschinger, M. (2017):Penetrationstesting als Service für einen IT-Provider am Beispiel des Web-Hosting- und IaaS-Services des Leibniz-Rechenzentrum (LRZ)Die Sicherheit von IT-Systemen wird vor allem in Unternehmen und Organisationen ein immer wichtigeres Thema. Um die Sicherheit der IT-Systeme zu erhoehen, werden Penetrationstests durchgefuehrt. Diese koennen dabei helfen, Schwachstellen zu identifizieren und deren potenzielle Gefaehrlichkeit zu erkennen. Da professionelle Penetrationstests einer externen Firma sehr teuer und bei einer grossen Anzahl betriebener Webanwendungen nicht wirtschaftlich sind, soll eine Moeglichkeit geschaffen werden, Penetrationstests bei einer Vielzahl von Webservern kostenguenstiger zu gestalten. In dieser Arbeit wurden die Anforderungen fuer einen Service fuer Penetrationstests analysiert. Dazu wurde eine Umfrage erstellt, bei der insgesamt 67 Kunden und Mitarbeiter des LRZ teilgenommen haben. Im Anschluss wurde ein Konzept fuer einen solchen Service ausgearbeitet. Im weiteren Verlauf der Arbeit wurde der Service prototypisch implementiert und an einigen Testobjekten evaluiert. Fuer die Implementierung des Service wurden verschiedene Sicherheitstools angebunden, um Schwachstellen zu identifizieren und im Anschluss automatisiert auszunutzen. Die Evaluation des Service an einer Auswahl von Webanwendungen hat ergeben, dass der Prototyp gut funktioniert. Der Service konnte die meisten Schwachstellen automatisch erkennen und auch das Ausnutzen der Schwachstellen war in den meisten Faellen erfolgreich.
|