Öffentliche IT-Infrastruktur
Öffentliche IT-Infrastruktur
IT-Systeme, die öffentlich im Internet erreichbar sind, stellen für Hacker, Crawler und Bots leicht erreichbare Ziele dar.
Auditumfang
Ich werde werden bei diesem Penetrationstest Ihre öffentliche IT-Infrastruktur auf Sicherheitsschwachstellen und Konfigurationsfehler untersuchen. Die Tests werden sowohl auf Netzwerk- als ggf. auch auf Anwendungsebene und in der Regel remote durchgeführt.
Prüfobjekte (Beispiel):
Web-Portale
Web-Applikationen wie Homepages, Kundenportale oder Webshops auf IIS, Apache oder Nginx.
Datei-Server
Netzwerkprotokolle wie SFTP, FTP oder WebDAV für den Dateizugriff.
VPN-Server
Ein VPN-Server ermöglicht Ihnen eine sichere und verschlüsselte Verbindung in Ihr internes Netzwerk.
E-Mail Server
SMTP, POP3 oder IMAP zur Verwaltung von E-Mails.
Mobile Device Management (MDM)
Mobilgeräte-Management-Software und Netzwerkdienste
Cloud-Dienste
Wie z.B. Docker, Kubernetes oder OpenShift
Pentest der öffentlichen IT-Infrastruktur
Wie gehe ich vor?
Im Rahmen dieses Pentests wird eine umfassende Sicherheitsanalyse Ihrer öffentlich zugängliche IT-Infrastruktur durchgeführt, der aus der Perspektive eines externen Angreifers betrachtet wird. Dabei führe ich eine umfassende Sicherheitsanalyse aller Systeme durch, die über das Internet erreichbar sind. Mein Ziel ist es, zu simulieren, wie ein echter Angreifer ohne Vorwissen versucht, auf Ihre Systeme zuzugreifen (Black-Box-Test).
Zu Beginn führe ich eine passive Analyse öffentlich zugänglicher Informationen über Ihre Infrastruktur durch (Passive Reconnaissance Addon). Hierbei liegt der Fokus insbesondere auf der Identifikation und dem Abgleich der identifizierten IT-Systeme mit Ihren Asset-Listen sowie der Suche nach Schwachstellen (CVEs) und Passwortleaks von Mitarbeitern.
Im Anschluss führe ich aktive Tests durch, die aus einem automatisierten Schwachstellenscan und einer manuellen Analyse aller aktiven Netzwerkdienste Ihrer extern zugänglichen IT-Systeme bestehen.
Mein Ziel ist es, Ihnen eine fundierte Aussage über die potenzielle Gefahr eines Angriffs auf Ihre externe IT-Infrastruktur zu geben. Ich führe meine Tests ohne jegliche Informationen über den Umfang Ihrer IT-Infrastruktur sowie ohne gültige Nutzerkonten für eine mögliche Authentifizierung durch (Black-Box-Tests).
Kontakt
secario-IT
Bjoern Franck
Gartenstraße 19b | 24558 Henstedt-Ulzburg
Telefon +49 4193 8821998 | Mobil +49 1515 9899889