Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Security-Analyse-Tools für Windows Domänen?

Frage Sicherheit Sicherheits-Tools

Mitglied: Der-KHAN

Der-KHAN (Level 1) - Jetzt verbinden

20.10.2006, aktualisiert 08.11.2006, 6413 Aufrufe, 14 Kommentare

Hallo zusammen,

ich suche nach tools mit denen ich eine automatisierte sicherheits-analyse einer ganzen domäne abwickeln kann. der GFi LANguard N.S.S. ist dazu ja schon ganz nützlich. ich frage mich nur ob ihr vielleicht andere, umfangreichere programme kennt.

vielen dank schonmal
Mitglied: Shaby
20.10.2006 um 11:31 Uhr
Falls du ihn noch nicht kennst

http://www.microsoft.com/germany/technet/sicherheit/tools/mbsa.mspx

grüsse Shaby
Bitte warten ..
Mitglied: d00meR
20.10.2006 um 11:40 Uhr
Ich mag Nessus oder die OpenSource version OpenVAS
Bitte warten ..
Mitglied: Der-KHAN
20.10.2006 um 13:16 Uhr
Falls du ihn noch nicht kennst

http://www.microsoft.com/germany/technet/sicherheit/tools/mbsa.mspx

grüsse Shaby
ja, den kenn ich schon. macht auf mich aber auch einen recht oberflächlichen eindruck. ich hab bei der überprüfung mit dem prog immer das gefühl irgendwas vergessen zu haben.
Ich mag Nessus oder die OpenSource version
OpenVAS
wenn ich das richtig sehe is das aber nur ne art portscanner.
mbsa, languard nss & co. benutzen aber einen domänen-admin-account um auch solche sachen wie kennwortrichtlinien und aktive dienste zu untersuchen
Bitte warten ..
Mitglied: gnarff
20.10.2006 um 15:49 Uhr
hallo khan!
was exact willst du denn machen und sollen die tools bevorzugt open source sein oder darf es was kosten?
wenn du einen exploit-framework suchst, dann wuerde ich dir zu metasploit raten...
saludos
gnarff
Bitte warten ..
Mitglied: Der-KHAN
20.10.2006 um 18:58 Uhr
hi gnarff. also eigentlich suche ich ein tool das mehr oder weniger alles macht :D
ne domäne eines KMU auf herz und nieren prüfen.

und preislich sollte es unter 2000€ bleiben
Bitte warten ..
Mitglied: gnarff
20.10.2006 um 20:19 Uhr
hallo khan!
reden wir von einem KMU-Server [linux] oder meinst du mit KMU, die abkuerzung fuer Kleine- und Mittelstaendische Unternehmen?!
nessus ist uebrigends weit mehr als nur ein portscanner..
saludos
gnarff
Bitte warten ..
Mitglied: Der-KHAN
21.10.2006 um 10:11 Uhr
hallo khan!
reden wir von einem KMU-Server [linux] oder
meinst du mit KMU, die abkuerzung fuer
Kleine- und Mittelstaendische Unternehmen?!
nessus ist uebrigends weit mehr als nur ein
portscanner..
saludos
gnarff
ich meinte letzteres. kleine/mittelständische unternehmen.
nessus muss ich mir nochmal genauer anschauen, oder ist für meine zwecke das tenable security center nötig?
Bitte warten ..
Mitglied: gnarff
21.10.2006 um 16:28 Uhr
hallo khan!
ich kann dich nicht anstaendig beraten, wenn ich nicht weiss was ihr da an hardware und software laufen habt.
einfach nur mal mit einem vulnerability-scanner drueberbuersten ist nicht. wenn du ein ernsthaftes security-auditing betreiben willst, mit verwertbaren resultaten, solttest du das ersteinmal vernuenftig planen.
ein derartiges security auditing unterteilt man in verschiedene abschnitte;
1. zusammentragen von informationen ueber die zieldomain [gathering of informations]
- google [dorks etc.]
- whois-lookups
- dns zone transfers
- webstatistiken auswerten
- vorversionen der website checken zb. mit http://www.archive.org

2. zieldomain scannen
- pingsweep
- tcp/udp portscanning
- OS detection
- firewalking
- wlans auswerten

3. enumeration
- auf null-session verbindungen ueberpruefen
- bannergrabbing
- netzwerkverkehr sniffen und auf verborgene angriffsziele untersuchen
- snmp sweep

4. zugriff erlangen
- exploits ausfuehren zb. mit metasploit frame work
- keystroke logging und monitoring apps installieren
- account-database dumping
- versuchen rootrechte zu bekommen
- snmp grind
- lan auf admin-konten sniffen
- brute forcing

5. zugriff auf apps
- web-scanning
- web-auth brute foring
- ueberpruefen auf xss-vulns
- sql-injection
- auf input modifikation pruefen

6. sonstige tests
- backend database-server testen
und was sonst noch ausgefuehrt werden soll -je, nach aufgabenstellung.

diese aufstellung ist natuerlich nicht vollstaendig;
du siehst also, ein tool fuer alles gibts nicht.

du kannst mir ja mal per pn oder besser per email mitteilen, was ihr da habt, dann sage ich dir gerne was du an tools brauchst etc.

saludos
gnarff
Bitte warten ..
Mitglied: Der-KHAN
23.10.2006 um 09:51 Uhr
holla die waldfee, besten dank erstmal für die umfangreiche erklärung.

dann will ich mal schritt für schritt vorgehen. erstmal geht es ausschliesslich um windows-systeme. zuerst möchte ich schauen ob das entsprechende netz ausreichend gegen angriffe von innen gesichert ist. also wäre ein tool im sinne vom mbsa gefragt das mit hilfe eines domänen-admin-accounts z.B. sowas überprüft:

-welche protokolle sind aktiv
-benutzerrechte auflisten
-policies, updates, kennwörter, ...
-aktive dienste
usw.
Bitte warten ..
Mitglied: gnarff
24.10.2006 um 02:46 Uhr
hallo kahn!

also, du bist der meister des "spar-postings" -nach dem "usw." haette ich mir noch ein paar mehr angaben zu eurem netztwerk gewuenscht und ob ihr z.b. datenbankanwendungen laufen habt...

-mit dem mbsa von microsoft kannst du kein komplettes auditing machen, er gibt dir nur ein paar grundwerte und das wars.

-der gfi-languard hat ein schoenere GUI und die kosten sind ein wenig niedriger als zb. beim nessus.
mehr als 32 clients werdet ihr ja wohl nicht haben -oder?- das waeren dann 450 euro pro jahr fur den languard, 90 euro pro jahr fuer die software maintenance. Also 540 Euro
*das dazugehoerige , imho unschlagbare, reportpack kostet einmalig 500 $ US.
das waeren dann ungefaehr 1. 100 Euro erstanschaffungskosten und 540 euro folgekosten pro jahr.

-der nessus 3.0 ist nach wie vor gratis, was mit 1200 $US pro jahr zu buche schlaegt, ist der direkt-plugin feed. den brauchst du , wenn du compliance-tests machen willst oder als it-security consultant/auditor arbeitest
du bekommst den plugin- feed nach wie vor gratis, jedoch mir 7 tagen verspaetung.
das heisst, die plugins sind nicht mehr so frisch und knackig...
die reports sind ein wenig spartanisch, so wie wir das von nessus gewohnt sind.

beide decken deinen bedarf ab...zumindest soweit ich das deiner spar-schilderung entnehmen kann. ;)
fuer die zukunft wuerde ich dir zu einem vernuentigen, externen auditing raten; oder wenn schon intern, dann "blind' und nicht "informed"

*nicht vergessen, fuer die testresultate, die gemeldeten Sicherheitsloecher sind "von hand" nochmals auf false-positive/negatives zu untersuchen...

saludos
gnarff
Bitte warten ..
Mitglied: Der-KHAN
25.10.2006 um 16:54 Uhr
hallo kahn!

also, du bist der meister des
"spar-postings"

hehe, ja sorry. also was ich suche ist ein tool das mir einen ersten eindruck verschafft wie ein kunde seine windows-domäne gegen angriffe von innen abgesichert hat. (bekannte sicherheitslücken in windows, benutzerrechte, audits). die konfiguration von exchange, irgendwelchen datenbanken, oder anderen "zusatz-programmen" möchte ich da noch nicht einbeziehen.

ich fand das MSAT ganz hilfreich um erstmal rauszufinden was sich die admins vor ort schon alles dazu überlegt haben. was mir jetzt noch fehlt ist ein tool das mir zeigt was davon alles tatsächlich umgesetzt wurde. nun ist mir der mbsa ein bisschen zu oberflächlich und nessus scheint ja eher auf angriffe von aussen abzuzielen. also ist für mich die frage was es für diesen zweck noch an alternativen zum GFI nss gibt.
Bitte warten ..
Mitglied: gnarff
26.10.2006 um 03:02 Uhr
hallo khan!

ja, der mbsa ist oberflaechlich...

und nessus scheint ja eher
auf angriffe von aussen abzuzielen.
falsch. das kommt darauf an wie du den test konfigurierst.
der unterschied zwischen einem angriff von aussen und einem angriff von innen ist plakativ gesagt , der:
bei dem einen angriff bist du NOCH draussen, bei dem anderen bist du SCHON drinnen. wobei das nicht bedeuten muss, dass du schon ueber root-rechte verfuegst.
ein angreifer, der SCHON drinnen ist, wird sich den gleichen techniken bedienen, wie ein angreifer von aussen.


>also ist
für mich die frage was es für
diesen zweck noch an alternativen zum GFI nss
gibt.
unter windows, nichts, was ich dir empfehlen kann.
nessus und der gfi, versorgen dich mit allem was du brauchst, um das netzwerk auf schwachstellen zu untersuchen.

was mir
jetzt noch fehlt ist ein tool das mir zeigt
was davon alles tatsächlich umgesetzt
wurde.

zuzueglich zu den testergebnissen aus nessus oder gfi, khan, brauchst du ein MIDS, ein MISSUSE INTRUSION DETECTION SYSTEM und ein AIDS -ein ANOMALIE INTRUSION DETECTION SYSTEM.

definition:

Das AIDS System speichert dazu von jedem Benutzer ein Verhaltensprofil, während beim
MIDS System Referenzdaten von Mustern bekannter Angriffstypen verfügbarerer Daten über
sicherheitsrelevante Schwachstellen in den eingesetzten Betriebssystemen und
Kommunikationsprotokollen und sowie die Ergebnisse eigener Penetrationstests gespeichert
werden.

Beide Systeme vergleichen im Betrieb die übertragenen Daten und Aktivitäten im Netzwerk
mit den gespeicherten Referenzdaten und entscheiden dann, ob Ressourcen missbräuchlich
verwendet werden oder es zu Anomalien des Verhaltens eines Benutzers kommt. In beiden
Fällen wird die zuständige Stelle informiert, so dass Gegenmaßnahmen ergriffen werden
können.

Eine ständige Protokollierung der Daten erlaubt auch eine spätere Detailauswertung und
eine eventuell notwendige Anpassung der Wissensdatenbank und der eingesetzten Firewall
[...]

saludos
gnarff
Bitte warten ..
Mitglied: gnarff
05.11.2006 um 23:52 Uhr
hallo khan!

ich weiss ja nicht ob das auditing schon durchgefuehrt hast, aber trotzdem,
hier noch ein kleiner nachtrag, der, glaube ich,
zur loesung der aufgabenstellung beitraegt;

zitat khan:
"[...]was mir jetzt noch fehlt ist ein tool das mir zeigt,
was davon alles tatsächlich umgesetzt wurde."


und

"-welche protokolle sind aktiv
-benutzerrechte auflisten
-policies, updates, kennwörter, ...
-aktive dienste
usw."


ich hatte lange darueber nachgedacht, wie dies zu bewerkstelligen sei.
eigentlich, so dachte ich mir, muesste man sowas aehnliches wie ein AD-Dump durchfuehren,
hatte ich grob im hinterkopf -verwarf den gedanken jedoch wieder, da ich nicht die
geringste ahnung hatte, wie soetwas durchzufuehren sei und ob es ueberhaupt ginge.
stattdessen empfahl ich dir ein MIDS aufzusetzen, bei der implementation desselben waere ja eine
bestandsaufnahme vom IST-Zustand gemacht worden,
wobei du dann zwangslaeufig og. topics haettest abklaeren koennen.

zugegeben, ganz gluecklich war ich mit dieser idee nicht, zumal es bedeutet haette
einen rechner, wenigstens, unter linux aufzusetzen.
es gibt ja kein MIDS was direkt auf windows aufsetzt [zumindest kenne ich keines].

heute morgen hatte ich, wie jeden tag, den posteingang von den securityfocus-mailinglisten
abgearbeitet. da ist mir in der PEN-Test liste ein posting aufgefallen,
von peter kazil, mit dem titel "Tool to analyze windows csvde dump files".
da klingelten bei mir die glocken [...im uebertragenen sinne gemeint]...

ich gehe davon aus, das du weisst was bzw. wofuer csvde.exe benutzt wird,
falls nicht, hier ein link zur vertiefung:
http://www.faq-o-matic.net/content/view/45/45/

..man kann damit also auch daten aus dem AD importieren und exportieren,
letzteres ist waere fuer dich interessant.
wenn es also moeglich waere ein csvde dump,
etwas was ich ahnungslos AD-Dump genannt hatte, durchzufuehren
und in eine ausgabedatei zu speichern, wuerdest du den IST-Zustand auslesen koennen.
mit anderen worten, auch das, was bereits an massnahmen umgesetzt wurde.

in dem posting von peter gab es einen link auf das tool "analyzecsvde"
http://www.xs4all.nl/~kazil/testfiles/analyzecsvde/

er hat es heute erst auf den server geladen, es ist also knackfrisch und ich habe es mir
gleich mal runtergeladen; es funktioniert!!

es gibt allerdings einige nachteile:
1. die keywordlisten, wie auch die vor- und nachnamenslisten sind alle auf hollaendisch.
2. die ausgabedatei liesst sich ziemlich hoelzern,
da die daten ohne umbruch zur verfuegung gestellt werden.
3. du brauchst .NET [laedt sich bei der installation allerdings automatisch runter etc.]

da muesste man eben deutsche keyword und namenslisten nachtraeglich einbinden.

das beste daran allerdings ist, du kannst den AD-Dump sogar
ohne adminrechte ausfuehren und -ohne zweifel- es laeuft unter windows...

beginne mit Index of /~kazil/testfiles/analyzecsvde/readme_analyzecsvde_06.txt

viel spass damit...

[update: ich bin manchmal ein echter trottel...
HYENA macht unter windows so ziemlich das gleiche und hat den vorteil, dass man keine neuen wortlisten zu erstellen hat.

30 tage-demo, voll funktionsfaehig, info und download:
http://www.systemtools.com/hyena/index.html

-kenn mich halt mit auditingtools die unter windows laufen nicht so gut aus...sry]

saludos
gnarff
Bitte warten ..
Mitglied: Der-KHAN
08.11.2006 um 14:12 Uhr
-kenn mich halt mit auditingtools die unter
windows laufen nicht so gut aus...sry]

hab trotzdem einiges gelernt

Besten Dank nochmal
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows 10
gelöst Windows 10 - Domänen Benutzerprofil reparieren (2)

Frage von cuilster zum Thema Windows 10 ...

Batch & Shell
Windows 8 Kompatibilität meines Batch tools (2)

Frage von nico1999 zum Thema Batch & Shell ...

Windows 10
Windows 10 Update eines Domänen Rechners zum Testen (20)

Frage von tr1plx zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...