Firewall Audit (Firewall 1 und Nessus) |
||
|---|---|---|
| #0
| ||
|
26.09.2005, 15:34
...neu hier
Beiträge: 1 |
||
 
|
|
|
|
13.10.2005, 22:50
Member
Beiträge: 18 |
#2
Hallo mnees,
vorab: Sicherheitsaudits / Penetrationtests sind kein einfaches Thema. Nessus ist ein Vulnerability Scanner (spürt Sicherheitslücken in Netzwerkapplikationen auf), also nicht nur für Netzwerk- oder Portscans zu gebrauchen. Die "Netzwerkscantechnik" von Nessus ist recht gut, reicht aber oft nicht aus (wie du auch bemerkt hast). Als reinen Port- / Netzwerkscanner kann ich dir nmap empfehlen (dieser kann u.a. auch in Nessus verwendet werden), für spezifische TCP/IP Analysen ist hping ebenfalls sehr hilfreich. Für Professionelle Penetrationstests gibt es vom deutschen BSI einen recht hilfreichen Leitfaden, auch wenn dieser noch einiges mehr behandelt als die rein technische Seite Link. Zusätzlich gibt es noch verschiedene Herangehensweisen (kennt man das Netzwerkdesign/die Infrastruktur oder nicht?), also Blackbox- (keine Kenntnis) oder Whitebox-Verfahren (Vollständige Kenntnis). Meist ist es eher ein "Greybox"-Verfahren. Generelles (technisches) Vorgehen bei einem Pentest ist (grob): 1. Informationsbeschaffung 2. Informationsbewertung und Auswertung 3. Aktive Eindringung (Ausnutzung aufgedeckter Lücken) 4. Abschließende Analyse / Auswertung --> Bericht Punkt 1: Hier verschaffst du dir einen Überblick über dein "Ziel". Das Ziel ist hierbei meist nicht die IP XYZ sondern das Unternehmen. Heißt: Du verschaffst dir einen generellen Überblick. Registrierte Netzwerke (Stichwort: RIPE), Provider, DNS Server. Vertraunesbeziehungen, etc. Siehst du dein "Ziel" dann klarer geht es mehr und mehr ins Detail. Die tools (nmap, hping, etc.) helfen dir auf Netzwerkebene das "Ziel" zu konkretisieren, heißt Server-, Router-, Firewalladressen zu finden und einen "Netzwerkplan" daraus zu erstellen. Ebenfalls zeigen dir diese Tools mögliche Angriffspunkte (WWW-, Mail-, DNS-Server, etc.). Die Angriffspunkte lassen sich dann durch Vulnerability Scanner wie Nessus dann detaillierter darstellen und bewerten. Punkt 2: Auf Punkt 1 aufbauend werden erste Auswertungen erstellt, die bisherigen Informationen bewertet und darauf aufbauend weitere Angriffsziele festgelegt ( also das weitere Vorgehen konkretisiert). Punkt 3: Kurz beschrieben: Manuelle Eindringung. Ausnutzen vorhandener Schwachstellen (Bufferoverflows, Konfigerrors, {Code,SQL,XYZ}injection, Informationleakes, ...). Nicht selten kommt es vor, dass zu dieser Phase auch noch Informationen gefunden werden die für Punkt 2 relevant sind. Punkt 4: Die abschließende Analyse / Auswertung fasst alle Informationen zusammen und gibt eine Risikobewertung, stellt manchmal offene Schwachstellen dar. Diese ist ebenfalls für das Management, heißt hier gehören nicht nur technische Auswertungen hinein. Der Aufwand von Pentests ist sehr unterschiedlich, das hängt letztendlich von den Zwischenergebnissen (Punkt 2) und der Aktiven Eindringung (Punkt 3) ab. Pentests sind auch mit einem gewissen Risiko behaftet. So kommt es Beisp. auch vor das Systeme unter einem Scan zusammenberechen (DoS) oder irreparabel beschädigt werden. Meine Erfahrung ist, dass betriebsinterne Pentests meist nicht wirklich möglich sind. Grund hierfür ist, dass eine gewisse "Betriebsblindheit" einsetzt. Natürlich soll das aber nicht heißen, dass es keinen Sinn macht regelmäßige Security Scans durch zu führen. Für ernsthafte Pentests ist es oft Sinnvoll diese Aufgabe einem entsprechenden Dienstleister zu übergeben. Nun, viel Text.. kurzes Resume: Pentests -> Komplex Um eine Übersicht zu bekommen, Tools wie NMAP oder Nessus einsetzen. Bei Fragen kannst du mich auch gern kontaktieren. ================================================= Jetzt zu deiner FW-1: wenn du keine Logs siehst liegt das wahrscheinlich daran das die Regeln deiner Security Policy im Feld Track "None" stehen haben. Das solltest du auf "Log" setzten. Je nach eingesetzter Version (ab NG FP3 mit Addon, ab NG AI integriert) kannst du über SmartDefense ebenfalls unter "Successive Events" Portscans erkennen.. zumindest zum Teil. Zusätzlich solltest du in den Global Properties unter "Logs and Alerts" die "Track Options" kontrollieren wie auch unter "FireWall-1" unter "Track" die "Log Implied Rules" aktivieren. Ich hoffe ich konnte helfen. Falls du Fragen hast, kannst du mich gern kontaktieren. Gruß, simon |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
- » Tiny Personal Firewall deinstalliert - Problem mit Agnitum Outpost Firewall
- » Downloader.delf.Firewall Killer hatte meine Firewall blockiert Log File anbei
- » Firewall - attack detected "Code Red" - Sygate - personal firewall
- » Norton Personal Firewall 2004 und NetPumper 0.1.3 firewall bloc...
- » Norton Firewall oder Windows Firewall was meint ihr?
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich habe den Betrieb einer FW-1 übernommen.
Ich würde gerne mal testen wie sicher die ganze Installtion / RuleSet ist.
Hierzu verwende ich Nessus als Security Scanner.
Nessus funktioniert im internen Netz tadellos. Nur der Scan der Firewall von aussen führt zu keinem Ergebnis (Empty Report). Ist ja noch erklärbar, da die FW den Port-Scan weitgehend blockiert. Nur sollte der Port-Scan auch im FW-Log protokolliert werden - das tut er nämlich nicht.
Mir geht es nun um grundsätzliches (wie kann ich so einen Scan angehen) und spezielles (warum funktioniert es bei mir nicht).
Hat jemand Erfahrung mit Sicherheitstest / Auditierung einer Firmen Firewall??