oli-nux
Goto Top

Penetrationstester-Labor - Firewalls

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll?
Hat das nur den Vorteil "schnell" ein Erfolgserlebnis zu haben oder haben Firmen statt der Firewall des Betriebssystems nur Router als Firewall konfiguriert?
Letzteres kann ich mir eigentlich nicht vorstellen!

Zudem soll das "Lab" ja so realistisch sein wie nur - in der Realität - möglich!

Content-Key: 361815

Url: https://administrator.de/contentid/361815

Ausgedruckt am: 19.03.2024 um 11:03 Uhr

Mitglied: ChriBo
ChriBo 20.01.2018 um 12:18:36 Uhr
Goto Top
Hi,
Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll?
Wo hast du diese Aussage her, oder wahrscheinlich besser: aus welchem Zusammenhang hast du sie heraus geholt ?
ohne diese Information wird deine Frage(n) nicht zu beantworten sein.

CH
Mitglied: 135185
135185 20.01.2018 aktualisiert um 12:31:33 Uhr
Goto Top
Kommt halt drauf an was du penetrieren willst, die Firewalls der Systeme selber oder primär sämtliche Anwendungen die auf allen möglichen Ports lauschen face-wink.
Also immer eine Frage was man bezwecken will. Das war vielleicht mal früher so das die Leute einfach aus Unkenntnis interne Firewalls einfach abschalteten, aber heutzutage sollte man davon nicht mehr ausgehen, außer bei den Jungs die es immer noch nicht kapiert haben das auch internes Ungeziefer von abgeschalteten Firewalls sehr wohl profitiert und sich dadurch ungehindert verbreiten kann.

Gruß Sepp
Mitglied: lcer00
lcer00 20.01.2018 um 12:52:58 Uhr
Goto Top
Hallo,

Meinst Du die Firewall des testenden Systems? Würde vielleicht Sinn ergeben, da man dann falsch negative Testergebnisse reduzieren könnte. Die Firewall des getesteten Systems könnte man lediglich testweise abschalten. Kommt man „durch“ weiß man, das der Testaufbau korrekt ist. Dann wieder einschalten. Dann weiß man, ob die Firewall ihre Arbeit tut.

Trotzdem, was für eine komische ungenaue war das nur?

Grüße

lcer
Mitglied: Alchimedes
Alchimedes 20.01.2018 um 16:03:50 Uhr
Goto Top
Hallo,

Penetrationstests gibt es in unterschiedlichen Varianten, blackbox, grey,white Kombinationen aus diesen e.t.c.
Dabei bezieht sich das aber meistens um den Informationsaustausch der Vertraglich zwischen den Pentester und dem Unternehmen
geschlossen wurde und ob die angegriffenen Systeme kompromittiert werden sollen.
Ein Penetrationstest im Haus , also in der Netzwerkumgebung wird in der Regel genutzt um die Clients, Internen angebotenen Dienste
zu testen.
Ein Penetrationstest von aussen , testet eben Firewall, Webanwendungen und bei Erfolg , versucht man sich dann durch zu hangeln...
Daher macht es keinen Sinn die Firewall abzuschalten.

In einem Labor bei dem bestimmte Sicherheitsluecken simuliert werden sollen, kann das schon Sinn machen um eben das Hauptaugenmerk auf
die Luecke und nicht auf die Umgebung zu lenken.

Gruss
Mitglied: Lochkartenstanzer
Lochkartenstanzer 20.01.2018 um 17:16:46 Uhr
Goto Top
Zitat von @Oli-nux:

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll?
Hat das nur den Vorteil "schnell" ein Erfolgserlebnis zu haben oder haben Firmen statt der Firewall des Betriebssystems nur Router als Firewall konfiguriert?
Letzteres kann ich mir eigentlich nicht vorstellen!

Das Problem ist, daß ohne Kontext diese Aussage nicht eingeordnet werden kann. Es kann sehr viele Ursachen haben, warum man die "internen Firewalls" abschalten soll. Zumindest dann, wenn man ncith die Firewalls, sondern die Dienste testen will, die auf den Systemen laufen. Sowas macht man aber nur im "Lab" udn nicht bei Produktivsystemen. Dort "bleiben die Schilde oben".

lks
Mitglied: Oli-nux
Oli-nux 21.01.2018 um 09:56:28 Uhr
Goto Top
Aus dem CBT Nugget Kurs!
Mitglied: Oli-nux
Oli-nux 21.01.2018 um 10:04:19 Uhr
Goto Top
Der Kurs ist aktuell.
Und selbstverständlich sollen alle Anwendungen und Ports penetriert werden, wie sie im wahren Leben auch laufen.
Mitglied: Oli-nux
Oli-nux 21.01.2018 um 10:06:09 Uhr
Goto Top
Genau, die Firewall des jeweils zu testenden Systems, welche - aus dem Online-Kurs - schon standardmäßig ausgeschalten ist.
Mitglied: Oli-nux
Oli-nux 21.01.2018 um 10:09:02 Uhr
Goto Top
Das was du da im großen und ganzen schreibst, war mir schon bekannt.

Das mit dem Hauptaugenmerk auf die Lücke und nicht auf die Umgebung... im wahren Leben wird man bei einem richtigen Pentest sein Hauptaugenmerk aber wohl nicht nur auf die Lücke legen können.
Mitglied: maretz
maretz 21.01.2018 um 20:27:24 Uhr
Goto Top
Moin,

du schreibst nicht was du testen willst... Es ist eigentlich ganz einfach: Nehmen wir an ich möchte eine Web-Software testen. Jetzt kann ich einmal mit Firewall testen da ich ja weiss das meine Software ja nur auf dem Port XYZ läuft und somit nix anderes relevant ist. Damit kann ich z.b. div. SQL-Injections, Overflows,... testen.

Was passiert aber wenn das System selbst ne Lücke hat - oder der Server (z.B. Tomcat)? Und ggf. möchte ich das ja mit testen (lassen) - dann wäre es nur blöd wenn der Server hinter einer Firewall steht da dann die Ports nicht erreicht werden können. Natürlich in der Realität (und wenn alles optiomal ist) kommt das nicht vor - bis dann der Trojaner XYZ auf dem internen Netz doch was böses macht.

Von daher: Die Aussage ohne Kontext ist Unsinn - es kann Sinn machen, kann aber eben auch durchaus sein das man die FW anlassen kann (da auch diese ja wieder eine Software ist bzw. das eben näher an der Produktiv-Umgebung wäre).