Öffentliche IT-Infrastruktur

Öffentliche IT-Infrastruktur

IT-Systeme, die öffentlich im Internet erreichbar sind, stellen für Hacker, Crawler und Bots leicht erreichbare Ziele dar.

Auditumfang

Ich werde werden bei diesem Penetrationstest Ihre öffentliche IT-Infrastruktur auf Sicherheitsschwachstellen und Konfigurationsfehler untersuchen. Die Tests werden sowohl auf Netzwerk- als ggf. auch auf Anwendungsebene und in der Regel remote durchgeführt.

Prüfobjekte (Beispiel):

Web-Portale

Web-Applikationen wie Homepages, Kundenportale oder Webshops auf IIS, Apache oder Nginx.

Datei-Server

Netzwerkprotokolle wie SFTP, FTP oder WebDAV für den Dateizugriff.

VPN-Server

Ein VPN-Server ermöglicht Ihnen eine sichere und verschlüsselte Verbindung in Ihr internes Netzwerk.

E-Mail Server

SMTP, POP3 oder IMAP zur Verwaltung von E-Mails.

Mobile Device Management (MDM)

Mobilgeräte-Management-Software und Netzwerkdienste

Cloud-Dienste

Wie z.B. Docker, Kubernetes oder OpenShift

Pentest der öffentlichen IT-Infrastruktur

Wie gehe ich vor?
Im Rahmen dieses Pentests wird eine umfassende Sicherheitsanalyse Ihrer öffentlich zugängliche IT-Infrastruktur durchgeführt, der aus der Perspektive eines externen Angreifers betrachtet wird. Dabei führe ich eine umfassende Sicherheitsanalyse aller Systeme durch, die über das Internet erreichbar sind. Mein Ziel ist es, zu simulieren, wie ein echter Angreifer ohne Vorwissen versucht, auf Ihre Systeme zuzugreifen (Black-Box-Test).

Zu Beginn führe ich eine passive Analyse öffentlich zugänglicher Informationen über Ihre Infrastruktur durch (Passive Reconnaissance Addon). Hierbei liegt der Fokus insbesondere auf der Identifikation und dem Abgleich der identifizierten IT-Systeme mit Ihren Asset-Listen sowie der Suche nach Schwachstellen (CVEs) und Passwortleaks von Mitarbeitern.

Im Anschluss führe ich aktive Tests durch, die aus einem automatisierten Schwachstellenscan und einer manuellen Analyse aller aktiven Netzwerkdienste Ihrer extern zugänglichen IT-Systeme bestehen.

Mein Ziel ist es, Ihnen eine fundierte Aussage über die potenzielle Gefahr eines Angriffs auf Ihre externe IT-Infrastruktur zu geben. Ich führe meine Tests ohne jegliche Informationen über den Umfang Ihrer IT-Infrastruktur sowie ohne gültige Nutzerkonten für eine mögliche Authentifizierung durch (Black-Box-Tests).

        Unverbindlich anfragen       

Kontakt                                                      E-Mail

Kontakt

secario-IT
Bjoern Franck
Gartenstraße 19b | 24558 Henstedt-Ulzburg
Telefon +49 4193 8821998 | Mobil +49 1515 9899889

Rechtliches

 
 
Datenschutzerklärung
Impressum