Im Rahmen von Penetrationstests werden viele Netzwerkpakete durch Prüfer:innen mithilfe von Prüfsystemen generiert und an Zielsysteme über ein Netzwerk gesendet. Sofern Prüfziele nur aus Netzwerken des Kunden erreichbar sind, musste bisher das Prüfsystem samt Prüfenden daher auch an Ort und Stelle gebracht werden. Nicht gerade effizient und ressourcenschonend. Obendrein z. B. in Zeiten einer Pandemie und damit einhergehender Reduzierung der Kontakte auch eine Herausforderung. Wir haben uns etwas aus unserer Sicht effizienteres und ökologisch sinnvolleres ausgedacht, das gleichzeitig auch noch Kontakte minimiert. Die Pentest-Box. Was das ist, wie diese funktioniert und wie wir sie einsetzen wird in diesem Beitrag näher erläutert.
Aus schlechten Ausgangssituationen das Beste machen
Während Corona bedurfte es einem Umdenken in der Durchführung von Penetrationstests bei Kunden vor Ort. Aus diesem Bedarf heraus entstand die Idee statt Prüfpersonal und Prüfgerät einzig einen Router zu Kunden zu senden. Aber wie gestaltet man das am sichersten?
Paketvermittler als Feind in den eigenen Reihen
Die Pentest Box ist nichts anderes als ein Router, um Netzwerkpakete aus dem Pentest-Netzwerk der secuvera zu Prüfgegenständen in Netzwerken des Kunden zu übertragen. Statt Prüfer:in und Laptop wird ein kleines Routing-Device an Ort und Stelle des Geschehens gesandt (statt Prüfer:in mitsamt aus Kundensicht fremden Gerät anreisen zu lassen).
Die Box wird dann durch den Kunden entlang einer beiliegenden Anleitung aufgebaut, wobei der Prozess auch durch einen Ansprechpartner der secuvera virtuell begleitet werden kann.
Die Pentest-Box baut eine gesicherte VPN-Verbindung zu einem speziellen Netzwerk der secuvera her, sobald es ans Stromnetz angeschlossen und mit ausreichend Mobilfunkempfang versehen wurde. Sollte mal kein Mobilfunkempfang möglich sein, so kann eine VPN-Verbindung alternativ über drahtgebundene oder auch drahtlose Netzwerke beschritten werden.
Technik
Es handelt sich um ein Gerät aus dem Hause Teltonika. Zum Zeitpunkt der Erstellung dieses Beitrags haben wir bereits fünf davon zeitgleich im aktiven Einsatz in Kundennetzen. Das Betriebssystem des Geräts basiert auf openWRT. Ein neues Gerät wird im Rahmen der Ersteinrichtung entlang einer Richtlinie zur Einrichtung und Härtung des Geräts konfiguriert (eben genau so, wie wir im Übrigen auch unsere Prüfgeräte vor dem Einsatz in Kundennetzwerk auf unsere Bedürfnisse anpassen und härten).
Nach erfolgter Ersteinrichtung und Härtung ist ein Zugriff auf die Management-Oberfläche bzw. auf eine Kommandozeile zur Fernwartung ausschließlich aus dem Pentest-Netzwerk der secuvera und von dort auch nur unter Einhaltung gewisser Randbedingungen möglich. So werden pro Projekt vor dem Versand individuelle Kennworte zusätzlich zur verpflichtenden Mehrfaktor-Authentisierung konfiguriert. Andere Schnittstellen des Geräts, als die für die Prüfung vorgesehenen, werden deaktiviert und können daher auch nicht – versehentlich oder willentlich – verwendet werden.
An unterschiedlichen Stellen (sowohl im Netzwerk der secuvera, als auch durch die Box selbst) wird sichergestellt, dass nur definierte Kommunikationsbeziehungen zwischen Prüfenden und Prüfgegenständen (und nicht umgekehrt) möglich sind – auch um die Gefahr einer Vernetzung unterschiedlicher Netzwerke ausschließen zu können.
Als VPN-Lösung zur gesicherten Informationsübertragung kommt wireguard zum Einsatz, da dies neben sehr guter Performance in Benchmarks unter anderem auch eine sehr feingranulare Beschränkung der Kommunikationsbeziehungen unterstützt.
Spießroutenlauf
Der Transport zum Kunden stellt beim Einsatz der Pentest-Box eine besondere Herausforderung dar. Schließlich wird ein Gerät später – wie Geräte von Tester:innen, die vor Ort kommen – an sensible Kundennetzwerke angeschlossen, nachdem Dritte es auf unbekannten Wegen dorthin transportiert haben. Da auf dem Weg viel mit dem Gerät passieren kann, mussten die Gefahren betrachtet und für identifizierte Gefährdungen entsprechende Risiko minimierende Maßnahmen getroffen werden.
Ein Versand erfolgt ausschließlich mit Nachverfolgung. Gegen die Gefahr der physischen Zerstörung auf dem Transportweg werden die Geräte in stabilen Kunststoffkoffern mit ausreichender, enganliegender Polsterung versendet. Der Transportkoffer wird mit einmalig nummerierten Abreißplomben versehen, die eine Öffnung auf dem Transportweg erkennbar machen. Sicherlich war hier der möglichst sichere Transport von Smart-Meter-Gateways (Stichwort: „Sichere Lieferkette“ bzw. „Silke“) eine Art Vorbild.
Einer Box werden auch für den Rückweg neue Plomben beigelegt, wobei jedoch durch die Dokumentation der eindeutigen Nummern sichergestellt wird, dass diese nicht unterwegs für die erneute Versiegelung durch Dritte genutzt werden.
Aber auch vor Ort kann dem Gerät vieles widerfahren. Daher ist das Gerät entsprechend so gewählt, dass es auch etwas rauere Einsatzumgebungen halbwegs unbeschadet überstehen sollte. Um versehentlichen Ausfall durch fehlende Stromzufuhr zu begegnen, bietet der gewählte Gerätetyp eine Sicherung vor ungewollter Entfernung der Spannungsversorgung.
Fazit (Aus Raider wird Twix…)
Es verändert sich durch den Einsatz einer Pentest-Box also lediglich, dass statt Prüfer:innen samt (aus Kundensicht fremden) Prüfgerät nur noch ein Routing-Device an Kunden gesandt wird. Verglichen zum Penetrationstestenden vor Ort ist der Transport ressourcenschonender und das Gerät eher pflegeleichter. Es muss durch den Kunden nur einmalig auf- und nach Prüfungsende wieder abgebaut und einem Versanddienstleister übergeben werden (es muss also höchstens einmalig und nicht täglich in Empfang genommen und betreut werden 🙂). Der Kontakt zum Prüfenden bleibt über Videoanrufe erhalten, sodass soziale Kontakte weiterhin stattfinden.