CYBER SECURITY.
CYBER SECURITY.
Preventie
Inzicht
Cyberlab

Internal en external network pentesting

14 november, 2019

In mijn vorige blog vertelde ik hoe social engineering pentesten in zijn werk gaat. Met social engineering maken we gebruik van de zwakste schakel in de beveiliging van bedrijven: de mens. Dat is vaak een kwestie van een paar slimme telefoontjes, of het overbluffen van de receptionist. Maar meestal is social engineering onderdeel van een bredere pentest, waarbij we bijvoorbeeld onderzoeken wat we op het netwerk van de klant kunnen doen als we eenmaal binnen zijn, of wat we met de verkregen informatie van buitenaf voor elkaar kunnen krijgen. Vandaag bespreek ik het verschil tussen internal en external network pentesting en waarom beide vormen belangrijk zijn voor een veilige bedrijfsvoering.

Door: Tom Heesmans, Ethisch Hacker

Ook voor internal en external network pentration testing geldt natuurlijk, net als bij andere vormen van pentesting, dat er eerst in overleg met de klant wordt bepaald wat de doelstellingen zijn en wat de scope van het onderzoek is. Het kan bijvoorbeeld zo zijn dat we slechts één bepaalde server mogen onderzoeken: we krijgen een IP-adres en we gaan onderzoeken of we kwetsbaarheden kunnen exploiteren om binnen te komen. Zeker als het om een wat groter netwerk gaat, zal de scope beperkt zijn. Als je iedere laptop of pc die met het netwerk verbonden is moet gaan testen op kwetsbaarheden, dan ben je natuurlijk heel lang bezig. Afhankelijk van de doelstellingen bepalen we de ‘aanvalsvector’. Proberen we binnen te komen op het netwerk vanaf de buitenkant, of werken we van binnenuit?

External network penetration testing

External network penetration testing is gericht op de systemen van een organisatie die van buitenaf te benaderen zijn. Denk bijvoorbeeld aan webservers, emailservers, of fileservers: eigenlijk alles wat verbinding naar buiten maakt via de firewall. Het kan om een specifieke service gaan die getest moet worden, maar het komt ook voor dat we alles testen, omdat een klant simpelweg wil weten wat er zoal openstaat. Tegenwoordig is dat doorgaans niet meer zo heel veel, omdat de meerderheid van de bedrijven zijn applicaties in de cloud draait. Maar ook voor de cloud moet er een verbinding naar buiten worden gemaakt en er blijven altijd wel onderdelen van het netwerk bestaan die niet in de cloud worden gehost.

Internal network penetration testing

Internal network penetration testing gaat daar verder waar we met de externe pentest stoppen. Als het met external network penetration testing lukt om op een bepaalde server te komen, dan houdt het onderzoek daar in principe op, tenzij we met de klant hebben afgesproken dat we ook testen hoever we op het interne netwerk kunnen komen. Een interne pentest kan dus een voortzetting zijn van een externe pentest, maar dat is niet per se noodzakelijk. We kunnen ons ook, bijvoorbeeld via social engineering, fysiek toegang tot een bedrijf verschaffen en van binnenuit op het netwerk proberen te komen. Dat kan door een kastje achter de netwerkprinter te hangen, dat met een van onze eigen servers communiceert, of zelfs door gewoon met een laptop ergens te gaan zitten werken. Ook het wifinetwerk wordt aan uitgebreide tests onderworpen. Kunnen we bijvoorbeeld vanaf het gastennetwerk op het corporate netwerk komen? Is het corporate netwerk met een goede versleuteling beveiligd?

Wat treffen we aan?

Tijdens een interne of externe pentest treffen we altijd wel kwetsbaarheden aan. Het is dan ook aan te raden om de pentest eens in de zoveel tijd te herhalen, om erachter te komen of er nieuwe kwetsbaarheden zijn ontstaan en om zeker te weten dat de oude kwetsbaarheden zijn opgelost. Maar wat zijn de meest voorkomende problemen die wij zien naar aanleiding van een netwerk-pentest?

Op eenzame hoogte staat apparatuur en software die niet up-to-date is. Het gaat dan vaak om oude software, oude webservers of oude netwerkonderdelen die een risico vormen: omdat het zo oud is en allerlei afhankelijkheden in het netwerk heeft, weet men niet altijd wat er gebeurt als je een update installeert. Misschien zorgt een update er bijvoorbeeld wel voor dat de fileserver niet meer te bereiken is. Omdat het nu nog werkt, besluiten bedrijven vaak om dan maar niet te updaten. De gevolgen kunnen immers erg kostbaar zijn. Wij adviseren echter met klem om er toch voor te zorgen dat alle updates geïnstalleerd zijn, omdat de gevolgen van een digitale inbraak potentieel nóg kostbaarder zijn.

Ook verouderde apparatuur die op het netwerk is aangesloten kan voor beveiligingsproblemen zorgen. Het gaat dan vaak om ‘vergeten’ apparatuur, zoals die ene aanmeldzuil in de lobby, die nog altijd op Windows XP draait. Omdat die pc ook op het netwerk is aangesloten, kun je vanaf daar misschien weer vrij eenvoudig naar andere systemen verbinden en op die manier de kwetsbaarheden in kaart brengen.
Een ander probleem wat ik veel tegenkom, is het niet volgen van bestaande beveiligingsstandaarden. Zo kan een goed wachtwoordbeleid bijvoorbeeld ontbreken en kunnen we met simpele wachtwoorden hele accounts overnemen. Of de versleuteling van het wifinetwerk is verouderd en daardoor eenvoudig te kraken. Hoewel dit soort zaken vrij eenvoudig op te lossen is, gebeurt het regelmatig dat organisaties nalaten de standaarden te volgen.

Het belang van pentesten

Nadat het pentesten voltooid is, presenteren wij onze bevindingen in een rapportage. Dat is niet alleen een technische rapportage, die misschien alleen door de CTO begrepen kan worden, maar ook een managementrapportage, die de bevindingen duidelijk omschrijft en voorziet van uitgewerkte oplossingen met referenties. Zo wordt meteen voor iedereen in de organisatie duidelijk wat er moet gebeuren om de beveiliging op orde te krijgen.

Onze bevindingen worden voorzien van een ernstniveau volgens de CVSS-classificatie dat bestaat uit vier lagen: laag, medium, hoog en kritisch. Bij een laag niveau is er wel een kleine kans op gevaar, maar is het niet erg realistisch dat er iets zal gebeuren. Bij een kritisch niveau is het aan te raden om het betreffende systeem direct offline te halen, bijvoorbeeld omdat de mogelijkheid bestaat dat iemand de hele server over zal nemen. We geven duidelijk aan hoe de kwetsbaarheid is ontdekt en hoe hij in een paar eenvoudige stappen kan worden gereproduceerd.

Het belang van zowel externe als interne pentesting mag niet worden onderschat. Het identificeren van exploiteerbare kwetsbaarheden in het bedrijfsnetwerk is een onmisbaar onderdeel van een omvattende beveiligingsstrategie. Het regelmatig laten uitvoeren van pentesten door ethische hackers, zowel intern als extern, helpt bedrijven immers om onopgemerkte kwetsbaarheden op te lossen vóór ze worden ontdekt door minder ethische hackers.

Wij werken met veel plezier o.a. voor