Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Penetrationtests

Mitglied: redline

redline (Level 1) - Jetzt verbinden

24.07.2008, aktualisiert 29.07.2008, 3619 Aufrufe, 7 Kommentare

Tools und Software (Freeware,Shareware, kommerzielle Software) zur Abbildung eines Penetrationtests

Hallo Zusammen,

was habt ihr für Erfahrungen mit Penetrationtests, was gibt es für Tools um solche durchzuführen und wie gut sind die Ergebnisse daraus?

Vorab schonmal vielen Dank für eure Beiträge.

Gruß
Mitglied: harald21
24.07.2008 um 09:32 Uhr
Hallo,

einen Penetrationstest sollte man immer von einem externen Fachmann durchführen lassen.
Die dabei benutzten Tools und damit auch die erzielten Ergebnisse sind sehr unterschiedlich, je nachdem, welche Bedingungen deine Geschäftsführung über die Art und den Umfang des Test vereinbart.

mfg
Harald
Bitte warten ..
Mitglied: theton
24.07.2008 um 16:16 Uhr
Ein Pentest ist nur so gut, wie derjenige, der ihn durchführt. Wenn du nichtmal weisst welche Tools du für welche Tests verwenden sollst, reicht dein Wissen definitiv nicht aus um einen ernstzunehmenden Pentest zu machen. Ich würde dir daher auch raten dich an ein externes Unternehmen zu wenden, das sich darauf spezialisiert hat und entsprechende Kenntnisse mitbringt. Nur mal durch ein paar Tools klicken reicht jedenfalls nicht aus. Bevor man Pentests selbst macht, sollte man erstmal wissen welche Angriffsmöglichkeiten gibt es überhaupt, welche Angriffsszenarien sind in eurem Netzwerk denkbar, welche potentiellen Lücken sind vorhanden, wie kann man diese potentiellen Lücken ggf. nutzen usw. Zumeist kommt man da mit fertigen Programmen/Hackertools nicht weiter. Ein Pentester sollte daher auch in der Lage seine Exploits selbst zu schreiben, Angriffe auf bestimmte Applikationen (z.B. XSS, SQL-Injection usw. bei Webapplikationen) durchzuführen usw.

Du siehst... mit einer externen Firma, die sich damit auskennt, bist du mit Sicherheit besser beraten.

Für einen allgemeinen Scan auf potentielle Lücken kannst du dir aber mal Nessus bzw. seine Nachfolger anschauen. Zumindest die gröbsten Schnitzer kann man damit ausbügeln.
Bitte warten ..
Mitglied: redline
24.07.2008 um 16:40 Uhr
Ich möchte ja nicht rumzicken, aber ihr sollt mich nicht belehren, sondern mir einfach ein wenig Informationen geben.
Nicht böse gemeint...

Ich bin als Key Accounter bei einem IT-Dienstleister tätig und ich habe entsprechende Mitarbeiter aus dem Netzwerk und Sicherheitsbereich dafür...würde mich aber gerne unabhängig davon, über Möglichkeiten und Hintergründe informieren. Ist manchmal ratsam nicht immer auf die eigenen Ressourcen bei der Informationsbeschaffung zu zu greifen.

Danke

Gruß
Bitte warten ..
Mitglied: theton
24.07.2008 um 17:18 Uhr
Man sollte aber evtl. das Knowhow seiner Firma nutzen, wenn es schon zur Verfügung steht. Mit Vertrauen zu den Fähigkeiten der Mitarbeiter scheint es da ja nicht gerade weit her zu sein. Naja... euer Problem.

Wie bereits gesagt sind Klicki-Bunti-Programme da nicht angebracht. Ernsthafte Angriffe werden nur selten mit fertigen Programmen gemacht und entsprechend sollte das auch beim Pentesting gemacht werden. Ansonsten habe ich dir einen der bekanntesten Security-Scanner bereits genannt. Wenn dir das nicht reicht, suche dir im Netz halt Howtos zu Spoofing-Angriffen, verschiedene Möglichkeiten des Exploitings, (D)DoS-Angriffe, Injection-Angriffe alle Art usw. usf. damit du dir selbst mal vor Augen führen kannst wie Komplex das Thema Pentesting ist und dass ein "ich klicke mich mal durch diese Tools" da bei weitem nicht ausreicht. http://packetstormsecurity.org/ dürfte da die beste Anlaufstelle sein.
Bitte warten ..
Mitglied: redline
25.07.2008 um 08:53 Uhr
Ich denke, die fehlt das Knowhow im Bereich Mitarbeiterführung und Projektmanagement...aber das ist ein anderes Thema, will ich gar nicht drüber diskutieren.

Das hier ist ein Board und in einem solchen Board tauscht man sich untereinander aus. Irgendwann bietet jeden das erste mal einen PenTest an oder führt ihn zum ersten mal durch.

Ich habe Vertrauen in meine Mitarbeiter, allerdings wird die jeweilige Thematik in einem solchen Rahmen hier viel bunter beleuchtet und man bekommt vielseitigere Eindrücke.

Also danke für eure schnellen Antworten und Rückmeldungen.

LG
Bitte warten ..
Mitglied: redline
29.07.2008 um 07:37 Uhr
Danke,

hab ich mir letzte Woche schon ausgedruckt
Bitte warten ..
Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 2 TagenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 2 TagenSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 2 TagenDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein interessanter Beitrag dazu: Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10 Anscheinend ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 3 TagenSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1015 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

DSL, VDSL
Mindestgeschwindigkeiten DSL Telekom
Frage von justlukasDSL, VDSL14 Kommentare

Hallo zusammen, Seit diesem Jahr habe ich Verständnisprobleme mit dem Verhalten der Telekom. Wir haben seit einem Jahr VDSL ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)11 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Switche und Hubs
LANCOM-Switch: Probleme (no link) mit SFP-Modulen?
Frage von THETOBSwitche und Hubs11 Kommentare

Hi zusammen, ich habe folgendes Problem: Und zwar habe ich an einem Standort drei Switche verbaut - LANCOM GS-2326P+, ...