Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Software zum permanenten Sicherheitsscan

Mitglied: Alchemy

Alchemy (Level 1) - Jetzt verbinden

10.11.2011, aktualisiert 17:34 Uhr, 3396 Aufrufe, 7 Kommentare

Hallo @all,

ich bräuchte mal eure Hilfe beim finden der passenden Software.

Folgendes Szenario:

Wir haben ~200 Kunden mit Netzen in mittlerer Größe 10 - 100 Clients. Bei fast allen Netzen hängt eine brauchbare Firewall wie zb LanCom oder Checkpoint.

Nun haben wir das Problem, das manche Kunden gern einmal selbst spielen und die Firewalls ungewollt aufbohren.

Wir suchen eine Software, mit der wir in zeitlich definierten Abständen Sicherheitsscans von Extern auf die Firewalls schicken können.

Gewünscht ist eine Auswertung zB. über offene Ports und erkannten Schwachstellen.

Die Software darf auch etwas kosten.

Die Rechtlichen Aspeckte bei der Thematik haben wir bedacht und würden uns bei den Kunden Vertraglich absichern.

Hat jemand einen Vorschlag oder vieleicht einen komplett anderen Ansatz zur Lösung der Thematik?

Danke an alle

(PS: Belehrung der lokalen Admins ist zwecklos. Unsere Problemfälle sind sehr Beratungsresistent)
Mitglied: brammer
10.11.2011 um 18:30 Uhr
Hallo,

wenn die Firewalls unter eurer Kontrolle stehen, solltet ihr einfach dafür sorge tragen das die fremden Admins keinen Zugriff auf die Maschinen haben.
Oder maximal ein "show" Zugriff.
Bei Cisco kann man solche Rechte so fein granulieren das man das im Prinzip für jeden einzelnen Befehl freigeben respektive sperren kann.
Checkpoint sollte das so ähnlich beherrschen. Lancom dürfte damit ein Problem haben.

Ansonsten könntest du mit einem Tool wie netscan per Task oder gescripted alle X Tage einen Scan der Firewall nach offenen Ports druchführen.
Die Auswertung sollte auch automatisierbar sein.

Besser dürfte aber ein Monitoring Tool sein über das ihr regelmässig per SNMP Status Meldungen bei Änderungen der Konfiguration bekommt.

Entscheidend ist hier aber der Zugriff per SNMP auf die Firewall auf.

Die ganz Harten Brocken unter den Kunden musst du erziehen.
Jede Konfiurationsanpassung in Rechnung stellen, du wirst sehen wie schnell der Aufwand an Änderungen oder Wiederherstellungen sinkt.

brammer
Bitte warten ..
Mitglied: 16568
10.11.2011 um 19:59 Uhr
Oder einen Cronjob auf einer Linux-Büchse mit nmap, Ergebnis dann nach sendmail -> Euer Postkasten.
(wobei auch ich dem Geschriebenen von brammer zustimme: Kunden haben nix an der Firewall verloren)


Lonesome Walker
Bitte warten ..
Mitglied: 60730
10.11.2011 um 21:27 Uhr
Moin,

Frag 3 Admins und du kriegst 3unterschiedliche meinungen.

Aber nicht bei so einer frage.

Eigentlich ist das was Brammer geschrieben hat schon eindeutig, aber...

Die "schnueffelsoftware" die ich kenne laeuft nur von innen heraus.

Du schreibst da oben was von "darf auch was kosten"...
Und jetzt komm ich, der dich fragt, wer soll das bezahlen?

Klar einiges, kann man bequem mit abklappern der offenen Ports lösen, aber das ist nur die halbe Miete.

Wenn du lernresistente Admins hast, die an ihrer Firewall rum doktorieren, ohne zu wissen, was sie da tun,
Dann kommt's auf die abgeschlossenen Verträge an, bist du nur der Lieferant, oder kümmerst du dich (vertraglich auch haftbar) um die Security?

Ich bin ein großer Freund davon es richtig zu machen und auch das nachträgliche überprüfen ist was, was zum Job gehört, aber irgendwo hört der Spaß auf.

Und nochmal, es kommt auf die Verträge drauf an, bist du nur der Lieferant, who Cares about und Fettich.

Falls es nun "Probleme" wegen des admin Passwortes gibt, nimm dir ein Beispiel an den großen providern.
Die lassen nicht mal den sehenden Zugriff auf die Router zu, die beim Kunden stehen.
Aber das ist eine Nummer, die auch im Vertrag drin steht.


Von daher behaupte ich mal, "wir" sind hier fast fertig (aqui?) das ist ein fall für die rechtsabteilung.

Gruss
Bitte warten ..
Mitglied: Alchemy
11.11.2011 um 09:01 Uhr
Servus,

wir sind ein Systemhaus und haben für die meisten der Kunden ein Wartungsvertrag für die Technik hinter der FW. Nun gibt es allerdings einige, die aufgrund der Größe eigene Admins haben. Die lassen sich nicht gern aussperren.

In der Vergangenheit hatten wir den Fall, das durch Fehlkonfigurationen es zu Angriffen und Problemen gekommen ist.

Unser Gedanke war, für eine überschaubare Summe X einen Service anzubieten, welcher den Kunden in einem festgelegten Zeitfenster (und bei Bedarf) Scannt und einen verwertbaren Bericht ausgiebt.

Das hat 2 Effekte: Einmal hat der Kunde eine Übersicht wie sein Netz von Außen aussieht und zum anderen haben wir für uns klare Bilder.

Was rechtlich und organisatorisch dahintersteckt steht auf einem anderen Blatt.

Ich suche einfach nur nach einer Softwarelösung, die Funktionen bietet die dem sehr nahe kommen.

MfG
Bitte warten ..
Mitglied: brammer
11.11.2011 um 10:17 Uhr
Zitat von Alchemy:
Servus,

wir sind ein Systemhaus und haben für die meisten der Kunden ein Wartungsvertrag für die Technik hinter der FW. Nun gibt
es allerdings einige, die aufgrund der Größe eigene Admins haben. Die lassen sich nicht gern aussperren.

Nun, in eurem Netz haben sie aber nix zu suchen.
Wir betreuen mehrere Tausend Netze in Produkltionsumgebungen bei unseren Kunden. Der Kundne Admin soll sich doch bitte schön mi senem Office Netz beschäftigen.
Aus unserem Produktionsnetz hat er die Finger zu lassen!

In der Vergangenheit hatten wir den Fall, das durch Fehlkonfigurationen es zu Angriffen und Problemen gekommen ist.
Berechnen! wei oben angedeutet!

Unser Gedanke war, für eine überschaubare Summe X einen Service anzubieten, welcher den Kunden in einem festgelegten
Zeitfenster (und bei Bedarf) Scannt und einen verwertbaren Bericht ausgiebt.

Dafür gibt es verscheiden Tools, bis hinzu proaktiven Geschichten:
nextnine
Axeda
Innominate
sind da nur ein paar Mögliche Kandidaten

Das hat 2 Effekte: Einmal hat der Kunde eine Übersicht wie sein Netz von Außen aussieht und zum anderen haben wir
für uns klare Bilder.

... siehe oben

Was rechtlich und organisatorisch dahintersteckt steht auf einem anderen Blatt.

soltle aber nicht untergehen, kanneuch nämlich den Hals brechen

Ich suche einfach nur nach einer Softwarelösung, die Funktionen bietet die dem sehr nahe kommen.

Viel Spass beim Ausprobieren.

MfG

brammer
Bitte warten ..
Mitglied: clSchak
18.11.2011 um 06:24 Uhr
Ich würde es auch so machen, dass der Kunde maximal ein View auf die Geräte bekommt und gut ist, wenn der Kunde keinen Wartungsvertrag hat würde ich die Geräte auch nicht Scannen - dann seit Ihr womöglich nachher noch die Deppen die für ein Sicherheitsleck gerade stehen. Ich lasse das hier einmal im Jahr durch einen externen Dienstleister testen und bekomme dann entsprechende Reports mit der Bewertung der Sicherheitsstufe - was Wirtschaftsprüfer immer gerne sehen

Wir planen momentan einen Ausbau in den USA und können das von hier garnicht sauber betreuen, aus dem Grund haben wir auch in dem Anforderungsprofil für die Wartung drinnen stehen das die Firewalls von dem Systemhaus gewartet werden sollen und wir lediglich einen wöchentlichen Bericht der Config bekommen und Anpassungen immer durch den Dienstleister gemacht werden (wir geben dann zwar den Hersteller der FW vor damit es nicht zu den Problem kommt "Euer Gerät kann das nicht" und die allgemeine Grundeinstellung, aber das Feintuning soll dann das Systemhaus machen was dafür auch gerade steht wenn was passiert)
Bitte warten ..
Mitglied: Alchemy
18.11.2011 um 09:51 Uhr
Hallo,

die rechtliche Grundlage ist ja schon durch unsere Rahmenverträge die wir mit dem Kunden haben geschaffen. Bei den betroffenen "Problemkunden" sind wir ja nur Coadministratoren, da diese 2-3 eigene Admins haben welche das System betreuen.

Bei 98% der Kunden ist die Firewall ausschließlich in unserer Hand.

Wie wollen nur eine zusätzliche ! Informative ! Dienstleistung anbieten, aufgesetzt auf den bestehenden Vereinbahrungen. Den Rest habe ich schon oben erleutert.

Realisiert wird das ganze nun via Eigenbau im NMAP. Danke für die vielen Antworten.
Bitte warten ..
Ähnliche Inhalte
Erkennung und -Abwehr
Bewertung Sicherheitsscan Internetseite
gelöst Frage von CoreknabeErkennung und -Abwehr27 Kommentare

Moin, wir haben durch einen Dienstleister eine neue Webseite aufsetzen lassen. Unser Firewallhersteller bietet für Kunden an, einen Schwachstellenscan ...

DSL, VDSL

VDSL 1und1 permanente Verbindungsabbrüche

Frage von mickman123DSL, VDSL23 Kommentare

Hallo, hoffe einer von Euch hat einen Tip für mich. Seit einiger Zeit bin ich bei 1und1 Kunde / ...

Linux

Seitengröße permanent einstellen (CUPS)

gelöst Frage von mollotoffLinux1 Kommentar

Hallo, wir planen auf unserem Microplex Solid 60E-2 Etiketten auszudrucken. Dafür muss aber die Seitengröße bzw. die "Margins" (mir ...

Windows Netzwerk

Permanenter IP Scanner

Frage von Florian86Windows Netzwerk2 Kommentare

Hallo, ich habe das Problem, das ich sporadisch immer ein Gerät im Netzwerk habe was unsere Patton lahm legt ...

Neue Wissensbeiträge
Sonstige Systeme
Es war einmal ein BeOS - Wer erinnert sich noch?
Information von BassFishFox vor 1 TagSonstige Systeme5 Kommentare

Hallo, Bin gerade ueber Haiku gestolpert, von dessen Existenz als "Nachfolger des BeOS" ich wusste nur mich nie wirklich ...

Datenschutz

Microsoft und DSGVO - ob das wohl jemals klappt (Probleme beim Datenabfluss für Office Pro Plus)?

Tipp von VGem-e vor 1 TagDatenschutz3 Kommentare

Servus Kollegen, siehe Aber wer setzt schon MS Office Pro Plus ein? Wie dann der Stand beim "normalen" MS ...

Windows 10

Macht Windows 10.1809 Probleme mit gemappten Netzlaufwerken (betrifft wohl insbes. AMD-Hardware und Trend Micro AV-Produkte)?

Tipp von VGem-e vor 2 TagenWindows 103 Kommentare

Moin Kollegen, grad dazu gefunden und Hatten wir dies nicht bei früheren W10-Upgrades ebenfalls? Da bleibt nur, das Upgrade ...

Humor (lol)

Das neue Miniatur Wunderland OFFICIAL VIDEO - worlds largest model railway - railroad

Information von StefanKittel vor 2 TagenHumor (lol)2 Kommentare

Hallo, wer noch nie im Miniatur Wunderland war, sollte es dringend mal nachholen. Es gibt eine neues Video. Viele ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Gäste-WLAN durch DD-WRT AP nach einem MikroTik Routerboard
Frage von NukolarLAN, WAN, Wireless16 Kommentare

Hallo, wie der Titel schon sagt möchte ich gerne ein Gäste-WLAN innerhalb eines bestehenden LANs einrichten. Dass die Gäste ...

DSL, VDSL
DSL Monitoring Tool - Quick and dirty?
Frage von george44DSL, VDSL15 Kommentare

Liebe Gemeinde, ich suche ein einfaches und vor allem schnell zu installierendes Monitoring-Tool zur kontinuierlichen Dokumentation (nur) der Internetanbindung. ...

Exchange Server
Outlook findet Postfach nicht
Frage von MaximaxExchange Server13 Kommentare

Hallo, und zwar haben wir auf der Arbeit ein kleines (großes) Exchange 2016 Problem. Exchange meldete gestern, dass die ...

Microsoft
Schulungs-Microsoft-Konten zentral verwalten
Frage von thejarneMicrosoft9 Kommentare

Hallo zusammen, wir haben bei uns in der Firma 12 Computer-Arbeitsplätze für EDV-Schulungen, wo u.A. auch Computer-Basics-Kurse (wie verwende ...