Dieser Katalog beinhaltet Test-Module und Angriffe, die über das Netzwerk vorgenommen werden können. Diese können auf Ethernet, IP oder einem Transportprotokoll wie TCP oder UDP bis hin zu Anwendungsprotokollen wie SSH, telnet oder HTTP vorgenommen werden. Die Angriffe gehen gegen auf den Systemen laufende Services und Anwendungen, wobei kein physischer Kontakt voraussetzt wird, sondern ein Tester im selben Netzwerk agiert. Dieser Katalog findet Anwendung für OT-Systeme, die sich in einem Unternehmensnetzwerk befinden und sich über IP-Protokolle administrieren, bedienen oder ansteuern lassen.
| Test-Modul | Modulbeschreibung | Test-Durchführung | Externer Angriff möglich? | Aggressivität | Externe Quellen |
|---|---|---|---|---|---|
| N.1 - veraltete Software | Es wird veraltete Software auf dem untersuchten System verwendet. Für die veraltete Software sind unter Umständen Schwachstellen und Angriffe bekannt. | Scannen und Fingerprinting von Servern und Schnittstellen, durch teilweise ungültigen Anfragen. Auslesen des zurückgegebenen Inhalts, der Metadaten, Banner, Header, und Fehlermeldungen. | Ja | Abwägend | OWASP Top 10: Using Components with Known Vulnerabilities |
| N.2 - administrative Interfaces | Es werden administrative Interfaces identifiziert, welche nicht oder nur gering gesichert sind. Dies kann eine Übernahme des Systems bedeuten. | Überprüfen, ob bei gefunden Services oder Schnittstellen ein Admin-Panel vorhanden ist. | Ja | Abwägend | WSTG-CONF-05 |
| N.3 - Informationsoffenlegung | Laufende Services offenbaren unnötig viele Informationen bezüglich eingesetzter Software, Bibliotheken und deren Versionen. Dies kann in Headern, Bannern, Fehlermeldungen oder durch bestimmte Netzwerkprotokolle passieren. Die Informationen können unter Umständen ohne weitere Rechte erlangt werden und dienen als Grundlage für weitere Angriffe. | Scannen und Fingerprinting von Servern und Schnittstellen, durch teilweise ungültigen Anfragen. Auslesen des zurückgegebenen Inhalts, der Metadaten, Banner, Header, und Fehlermeldungen. | Ja | Passiv | WSTG-INFO-02 WSTG-INFO-03 |
| N.4 - unsichere Fehlerbehandlung | Bei auftretenden Fehlern werden die Fehlermeldungen direkt an den Anwender zurückgegeben. Durch Fehlermeldungen in Form von Stack-Traces und Debugging-Informationen kann ein Angreifer ein tiefgehendes Verständnis einer Anwendung und eines Servers erlangen. | Senden von ungültigen Paketen, Headern und Einsatz von falschen Versionen. Hervorrufen von Randbedingungen: ungültiger Typ (Zahlen statt Zeichen), leere oder lange Eingaben, binäre Eingaben und Sonderzeichen. | Ja | Abwägend | WSTG-ERRH-01 |
| N.5 - unzureichende Authentifizierung | Auf dem System laufende Dienste erfordern keine Authentifizierung für Funktionen oder einen Authentifizierungsmechanismus mit voreingestellten Zugangsdaten oder schwachen Kennwörtern. | Testen von Standardzugangsdaten und schwachen/häufigen Kennwörtern. | Ja | Vorsichtig | WSTG-ATHN-02 |
| N.6 - unsichere Netzwerkkomponenten | Das zu testende System benötigt für den Betrieb bestimmte Netzwerkkomponenten innerhalb der Infrastruktur, welche ausnutzbare Schwachstellen aufweisen. Beispiele können sein: DNS- ,NTP- ,DHCP- , NAS-Server oder Router und Switches. Eine Kompromittierung einer Netzwerkkomponente bedeutet die Bedrohung für das OT-System. | Testen von vom System abhängigen Systemkomponenten. | Ja | Vorsichtig | DNS-Angriffe NTP-Angriffe |
| N.7 - unzureichend abgesicherte Kommunikation | Bei der Kommunikation zwischen Systemen und Clients kommt es zu keiner oder einer unsicheren Verwendung von Verschlüsselung und Integritätsschutz. Das führt dazu, dass ein in die Kommunikation dazwischengeschalteter Akteur die Kommunikation mitlesen und/oder verändern ohne, dass beim Kommunikationspartner Fehler auftreten. | In einem Man-in-the-Middle Szenario Pakete mitschneiden und ggf. manipulieren oder wiederholend senden. | Ja | Vorsichtig | WSTG-CRYP-01 WSTG-CRYP-04 |
| N.8 - unzureichendes Assetmanagement | In der zu testenden Infrastruktur konnten Systeme oder Services gefunden werden, welche nicht inventarisiert sind und nicht gewartet werden. Dies können beispielsweise vergessene und nicht mehr genutzte Test- oder Entwicklungssysteme sein. Diese Systeme sind anfällig gegenüber schwachen bis nicht vorhandenen Authentifizierungsmechanismen und könnten so eine Kompromittierung eines Systems zur Folge haben. | Scnanning des Netzwerks und Abgleichen mit bereitgestellter Inventarliste. | Ja | Vorsichtig | Asset Management für sichere Netzwerke Asset Management für OT Systeme im Energiesektor Pentesting IPv6 |
| N.9 - unsichere Public Key Infrastructure (PKI) | In der eingesetzten PKI konnten Schwachstellen gefunden werden, wie die unsichere Ablage von Schlüsselmaterial, schwache Ciphersuites, abgelaufene oder ungültige Zertifikate und unzureichendes PKI-Management für das Erneuern und Zurückweisen von Zertifikaten. Eine schwache PKI kann unsicherer Kommunikation im Netzwerk führen. | Scannen von TLS-Diensten und Überprüfen von Serverzertifikaten. | Ja | Abwägend | WSTG-CRYP-01 PKI Pentesting |
-
nmap: nmap ist ein IP-basierter Netzwerkscanner, mit dem automatisch offene TCP- und UDP-Ports eines Ziels oder einer Liste von Zielen gefunden werden können. Darüber hinaus analysiert nmap auch laufende Services und findet eingesetzte Software und deren Versionen heraus und kann auch das eingesetzte Betriebssystem erkennen.
-
netcat: netcat erlaubt die Kommunikation mit einem Service über eine TCP- oder UDP-Verbindung. Bei der Kommunikation kommt demnach kein Anwendungsprotokoll zum Einsatz, sondern der Tester kann selbst die gesendeten Daten festlegen. Dies erlaubt eine tiefgehende Analyse von Diensten, vor allen Dingen, wenn das Anwendungsprotokoll nicht bekannt ist.
-
Wireshark: Wireshark ist ein beliebtes Open-Source-Netzwerkprotokoll-Analyseprogramm. Es ermöglicht, den Netzwerkverkehr zu erfassen und zu analysieren. Dabei wird sämtliche über einen Netzwerkadapter laufende Kommunikation mitgeschnitten. Da die Aufnahme über alle Schichten hinweg geschieht, erlaubt dies ausgetauschte Pakete zu untersuchen und so Schwachstellen zu identifizieren, Kommunikationsmuster zu analysieren oder Anomalien zu erkennen. Das dazugehörige Kommandozeilen-Werkzeug ist tshark.
-
hydra: Mit Hydra können Benutzernamen, Passwörter und andere Zugangsdaten automatisch und parallelisierbar durchgetestet werden. Dies erlaubt das Testen von unsicheren Zugangsdaten. Das Tool kann für eine Vielzahl von Protokollen, wie SSH, FTP oder HTTP, angewendet werden.
-
Nessus: Nessus ist ein Netzwerk- und Schwachstellenscanner für IP-basierte Netzwerke. Ausgestattet mit einer großen Datenbank an bekannten Schwachstellen, kann Nessus diese bei einer vordefinierten Liste an Zielen finden und automatisch Berichte generieren.
-
sslscan: Schwachstellen in SSL-/TLS-Diensten, wie die Unterstützung von veralteten Protokollen oder abgelaufene Zertifikate können mit sslscan gefunden werden.
-
Burp Suite: Burp Suite ist ein Intercepting-Proxy für HTTP. Das Programm schaltet sich in die HTTP-Kommunikation zwischen Client und Server und erlaubt so das Testen von Webanwendungen.