The Munich Network Management Team

Penetrationstesting als Service für einen IT-Provider am Beispiel des Web-Hosting- und IaaS-Service des LRZ

Hintergrund der Arbeit

Das Leibniz-Rechenzentrum (LRZ) ist der IT-Dienstleister für die Münchner Universäten und Hochschulen sowie eine stetig wachsende Zahl an wissenschaftlichen Einrichtungen im Großraum München bzw. im Freistaat Bayern. In seinem Service-Portfolio bietet das LRZ unter anderem auch das Hosting von Webapplikationen sowie die Bereitstellung virtueller Maschinen im Rahmen eines Infrastructure-as-a-service (IaaS). Beide Dienst bieten Instituten die Möglichkeit eigens entwickelte Webapplikationen aus dem Internet erreichbar und nutzbar zu machen. Dabei stehen meist die angebotene Funktionalität, das Design sowie die Benutzungsfreundlichkeit im Vordergrund, während die Sicherheit oftmals weniger beachtet wird.

Sicherheitstests, auch als Penetrationstests bezeichnet, sind ein probates Mittel, Webapplikationen auf vorhandene Lücken zu prüfen und diese zu schließen, bevor sie im Rahmen eines Angriffs erfolgreich ausgenutzt werden. Jedoch sind professionell durchgeführte Penetrationstests sehr teuer und können daher nicht auf alle Webapplikationen angewendet werden.

Ziele der Arbeit:

Im Rahmen dieser Arbeit soll ein Service konzipiert und prototypisch implementiert werden, der einzelne Schritte, die im Rahmen eines Penetrationstests durchlaufen werden, automatisiert bzw. von Betreibern einer Webapplikation sehr einfach und bei Bedarf verwendet werden können. Dazu sollen folgende Teilaufgaben bearbeitet werden:

• Identifikation, Analyse und Bewertung von Anforderungen an einen solchen Penetrationstest-Service durch z.B. die Durchführung einer Onlineumfrage und Zusammenfassung dieser in einem gewichteten Anforderungskatalog.
• Konzeption eines Dienstes, der verschiedenen Nutzergruppen die Möglichkeit bietet, Penetrationstests zu planen, eingeschränkt auf ihren Zuständigkeitsbereich durchzuführen inklusive aussagekräftigem und einfach verständlichem Reporting.
• Prototypische Implementierung des konzipierten Dienstes (bestenfalls direkte Einbettung dessen in bereits vorhandene Werkzeuge, z.B. Dr.Portscan)
• Anwendung des Prototyps auf ausgewählte Webapplikationen im Rahmen des vom LRZ betriebenen Web-Hosting- bzw. IaaS-Services

Aufgabensteller:
Prof. Dr. Helmut Reiser

Anforderungen:

• Gute Kenntnisse in Rechnernetze und Netztechnologien
• Gute Kenntnisse im Bereich Webtechnologien und deren Sicherheit
• Freude am selbständigen Arbeiten
• Analytische Fähigkeiten, technisches Verständnis, ausgeprägte Leistungs- und Teamorientierung

Dauer der Diplomarbeit bzw. der Masterarbeit: gemäß Studienordnung

Anzahl Bearbeiter: 1

Betreuer:

• Stefan Metzger
  
• Simon Graf (LRZ)