Penetrationstest auf eine virtualisierte Testumgebung

Merle Labusch, Juni 2015
Dualer Studiengang Informatik (Bachelor)

Die Arbeit beschreibt die Durchführung eines Penetrationstests auf eine virtualisierte Testumgebung – das Dataport Ausbildungsnetz. Solche Umgebungen stellen für ihre Benutzer mit Techniken der Virtualisierung voneinander abgetrennte Teilumgebungen beispielsweise für den Test von neuen Anwendungen oder Updates vor ihrem produktiven Einsatz zur Verfügung. Eine große Gefahr für virtualisierte Testumgebungen geht von Insider-Angriffen aus, die im Folgenden betrachtet werden. Die Arbeit beginnt mit einer Strukturanalyse des Ausbildungsnetzes, an die sich der Penetrationstest anschließt. Dieser gliedert sich in die Phasen Vorbereitung, Informationsbeschaffung, Bewertung der Informationen, aktiver Angriff und Abschlussanalyse. Der Test wurde mit Hilfe der Werkzeugsammlung Kali Linux sowie ausgewählten Skripten vorgenommen. Als Ergebnis konnten diverse Informationen über die im Ausbildungsnetz betriebenen virtuellen Maschinen und die zugrunde liegende Hardware extrahiert werden, welche auf der Grundlage dieser Informationen angegriffen wurden. Im Rahmen des aktiven Angriffes gelang es unter anderem, die Struktur des gesamten Ausbildungsnetzes abzubilden und eine Möglichkeit zu finden, mit der ein Absturz der gesamten Umgebung herbeigeführt werden kann. Die aufgedeckten Schwachstellen wurden abschließend bewertet sowie Maßnahmen zu ihrer Schließung aufgeführt.