Schlagwort-Archive: Netzwerkscan

Test – GFI LANguard Netzwerk und Security Scanner

Ich bin derzeit dabei mir mal wieder die aktuell auf dem Markt vorhandenen Lösungen zum Thema Netzwerk und Security Scanner anzuschauen. Als erstes Produkt steht dabei das Produkt GFI LANguard von GFI Software auf meiner Liste.

Kurzer Steckbrief:

Als erstes Szenario habe ich einen Scan auf zwei in virtuelle Maschinen installierten Server durchgeführt. Das erste System besteht aus einem Windows 2003 R2 SP1 System (ohne weitere Patches) welches bewußt einige Fehlkonfigurationen aufweisst. Ich habe u. a. everyone Vollzugriff auf das $ADMIN share gegeben und kein Admin Passwort gesetzt uvm. Das zweite System besteht aus einem mindestens genau so schlecht konfigurierten Debian (etch Kernel 2.6.18) System.

Bei dem ersten scan habe ich dem GFI LANguard scanner keine Anmeldeinformationen mitgegeben und folgendes Ergebnis erhalten:

gfi_scan01-300x225-8234778

Ergebnisübersicht

gfi_scan02-300x182-3000111

Detailübersicht

gfi_scan03-300x27-6951572

Windows High Security Vulnerabilities

gfi_scan04-300x43-2788439

Windows Potential Vulnerabilities

gfi_scan06-300x75-5300472

Linux Low Security Vulnerabilities

Wie man sehr gut sehen kann ist das Ergebnis nur eingeschränkt hilfreich. Auch das aktivieren der Option das Null Session Share des Windows Servers zu verwenden läßt das Ergebnis nicht besser aussehen.

Die wirklichen Stärken spielt LANguard erst dann aus, wenn man ihm Anmeldeinformationen mit gibt. Mit diesen Informationen ist der Scanner auch in der Lage den Patchlevel des Servers zu prüfen.

gfi_scan07-300x182-6097298

Windows High Security Vulnerabilities

gfi_scan08-300x182-3421805

Windows Patchlevel

gfi_scan09-300x86-8703584

Linux High Security Vulnerabilities

gfi_scan10-300x137-8724466

Linux Low Security Vulnerabilities

gfi_scan11-300x227-5070136

Linux Potential Security Vulnerabilities

… insbesondere die Linux Ergebnisse sollten jedoch sehr genau geprüft werden.

Backtrack 4 Pre Final – jetzt auf Ubuntu

Offensive Security hat vor kurzem eine Pre Final Version von Backtrack 4 heraus gebracht. Das neuste Release basiert nun auf einem Ubuntu und bietet somit die ganze Bandbreite an genialen Tools, die man schon aus Debian / Ubuntu kennt. Zudem ermöglicht der neue Unterbau nun auch das (einfache) installieren von NESSUS (aus lizenzrechtlichen Gründen ist dieses leider nicht vorinstalliert – aber es gibt Ubuntu Pakete).

Download Backtrack 4 (Offensive Security Mirror)

Zum einfachen Einstieg empfiehlt es sich das sehr gut geschriebene manual zu lesen. Zudem werden auch Videotutorials angeboten, die z. B. zeigen wie man Backtrack 4 auf einen USB Stick installiert und dafür sorgt, dass Änderungen im Sytem erhalten bleiben.

Netzwerk-Infrastruktur Sicherheits Analyse Tool

Hi,

heute möchte ich euch ein Tool vorstellen auf das mich vor ein paar Tagen ein Arbeitskollege aufmerksam gemacht hat. Das Tool hört auf den schönen Namen „Nipper“ und ist in der Lage die Konfiguration von folgenden Geräten zu analysieren:

  • Bay Networks Accelar
  • CheckPoint VPN-1/Firewall-1
  • Cisco Catalysts (IOS, CatOS and NMP)
  • Cisco Content Services Switch (CSS)
  • Cisco Routers (IOS)
  • Cisco Security Applicances (PIX, ASA and FWSM)
  • Juniper NetScreens
  • Nokia IP Firewalls
  • Notel Passports
  • SonicWALL SonicOS Firewalls

Meine Tests habe ich dabei mit Cisco Catalysts, Cisco Routern und CheckPoint Firewalls durchgeführt. Das Ergebnis hat mich dabei ins Staunen gebracht. Insbesondere bei der Auswertung der Router und Switches leistet das Tool ganze Arbeit. Es findet auch versteckte Sicherheitsprobleme und listet alle seine Findings sehr übersichtlich in einem Report auf.

Bei der Auswertung von Firewalls (insebesondere bei großen Umgebungen mit 500+ Regeln) wird die Auswertung schnell unübersichtlich. Dafür kann allerdings das Tool wenig :-).

Alle Findings werden mit einer Risikoeinschätzung sowie einem möglichen Impact und den notwendigen Befehlen zum Beheben des Problems versehen (sehr nützlich für Administratoren die nicht so oft mit IOS arbeiten).

Das erstellen der Auswertung ist dabei denkbar einfach. Im Falle von cisco (IOS) Routern und Switches zieht man sich einfach einen dump der running config (show run) und übergibt diese mit folgendem Befehl an Nipper (Nipper muß nicht installiert werden. In meinem Beispiel liegt die config im selben Verzeichnis wie die nipper.exe)

nipper.exe --input=config.txt --output=report.html

Für Checkpoint Firewalls ist das Vorgehen nur minimal komplexer. Man kopiert entweder das $FWDIR Verzeichnis direkt von der Firewall oder kopiert das Konfigurationsverzeichnis vom Firewall manager (verwaltet dieses mehrer FW’s so tauchen alle in einem Report auf). Als input übergibt man Nipper dann einfach das zuvor kopierte Verzeichnis:

nipper.exe --input=FWconfig\ --output=fw_report.html

Das erstellen des Reports bei großen Firewalls kann durchaus etwas länger dauern (mein highscore liegt bei 35 min) – das warten lohnt sich aber.

Das Tool selbst ist Open Source und wird auf Source Forge gehostet. Die letzte Version wurde 12/2008 online gestellt. Auf der Webseite von Nipper gibt es auch ein Forum in welchem Fragen zu dem Tool geklärt werden können.

Nachfolger von NESSUS -> OPENVAS

Wie ich gerade in einer Pressemitteilung des BSI gelesen habe war dieses mit dem Schritt von Tenable (Nessus closed source werden zu lassen) auch nicht ganz glücklich und hat kurz um einen Fork des „alten“ NESSUS scanners aufgelegt:

Mit OpenVAS (Open Vulnerability Assessment System) wird eine Software-Suite für Sicherheitsprüfungen in einem Netz bereitgestellt. Neben dem bewährten OpenVAS-Client für Linux und Windows, hat das BSI einen freien Scan-Server (OpenVAS-Server) weiter entwickelt und in diese Suite integriert.

Ich werde das Produkt die Tage mal testen und hoffe, dass die Pluginsammlung bald ähnlich umfangreich sein wird wie die von NESSUS.