Penetratietest

Uit Wikipedia, de vrije encyclopedie
Naar navigatie springen Naar zoeken springen

Een penetratietest of pentest (binnendringingstest) is een toets van een of meer computersystemen op kwetsbaarheden, waarbij deze kwetsbaarheden ook werkelijk gebruikt worden om in deze systemen in te breken. Een penetratietest vindt normaal gesproken om rechtmatige redenen plaats, met toestemming van de eigenaars van de systemen die getest worden, met als doel de systemen juist beter te beveiligen. Indien het niet om rechtmatige redenen plaatsvindt, zonder toestemming van eigenaars van systemen, is er sprake van een inbraak, zelfs als de bedoeling van de persoon die de test uitvoert opbouwend bedoeld is.

De persoon die een penetratietest uitvoert heet wel een penetratietester of pentester, ethical hacker of white hat hacker.

Een penetratietest kan handmatig plaatsvinden, met gebruik van softwareprogramma's zoals nmap en telnet, of het kan geautomatiseerd plaatsvinden met softwarepakketten die dit soort complete penetratietests kunnen uitvoeren. Voorbeelden van dit soort pakketten zijn Nessus, OpenVAS, Retina, SecPoint, GFI Languard, Core Impact en SAINT.

Soorten penetratietests[bewerken | brontekst bewerken]

Er kunnen diverse soorten penetratietests worden onderscheiden, de witte doos penetratietests (Engels: white box / crystal box pentest), grijze doos (Engels: Grey box pentest), of de zwarte doos penetratietests (Engels: black box pentest).[1]

Black box pentest[bewerken | brontekst bewerken]

Bij Black box pentesten krijgt de pentester vooraf beperkte informatie om binnen de scope te testen zoals IP-adressen of een URL en moet verder door middel van tools en 'hacken' de IT-omgeving kraken. Die techniek gaat uit van een externe hacker die de systemen probeert te kraken zonder voorafgaande kennis te hebben over het bedrijf. De test wordt dan ook vaak gebruikt bij het controleren van de algemene veiligheid van een applicatie, netwerk of omgeving.

Grey box pentest[bewerken | brontekst bewerken]

De grey box pentest kan beschouwd worden als een combinatie van de black box en white box pentesten. De tester krijgt voorafgaand de test beperkte informatie over het netwerk en achterliggende systemen, en een gebruikersaccount in het systeem of applicatie. Die techniek simuleert een hacker of kwaadwillende insider die al een zekere toegang heeft tot het systeem of de applicatie alvorens hij de aanval start. Grey box pentesting maakt het mogelijk om de systemen te testen vanuit gebruikersperspectief. Deze techniek is bovendien efficiënter dan black box pentesting: de aanvaller kan gerichter kwetsbare plekken in het systeem opsporen en daardoor als bijgevolg ook efficiënter te werk gaan.[2]

White box pentest (Crystal Box)[bewerken | brontekst bewerken]

Een white box pentest, soms ook crytal box pentest genoemd, is een methode waarbij de tester volledige toegang krijgt tot het netwerk, en onder meer broncode en architectuurdiagrammen kan inkijken en gevorderde rechten krijgt binnen het netwerk. In deze test wordt het volledige netwerk geëvalueerd op basis van kennis die niet ter beschikking staat van externe hackers.[2] Hierdoor worden white box penetratietests vaak ingezet voor kleinere, doch bedrijfskritische, applicaties.

Verschil Penetratietest en Audit[bewerken | brontekst bewerken]

Een verschil tussen een penetratietest en een audit (beveiligingscontrole) is, dat bij een audit geen poging wordt gedaan om daadwerkelijk in te breken, maar enkel mogelijke kwetsbaarheden in kaart gebracht worden. Bij een penetratietest worden kwetsbaarheden juist wel gebruikt om in te breken.