Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Security-Analyse-Tools für Windows Domänen?

Frage Sicherheit Sicherheits-Tools

Mitglied: Der-KHAN

Der-KHAN (Level 1) - Jetzt verbinden

20.10.2006, aktualisiert 08.11.2006, 6508 Aufrufe, 14 Kommentare

Hallo zusammen,

ich suche nach tools mit denen ich eine automatisierte sicherheits-analyse einer ganzen domäne abwickeln kann. der GFi LANguard N.S.S. ist dazu ja schon ganz nützlich. ich frage mich nur ob ihr vielleicht andere, umfangreichere programme kennt.

vielen dank schonmal
Mitglied: Shaby
20.10.2006 um 11:31 Uhr
Falls du ihn noch nicht kennst

http://www.microsoft.com/germany/technet/sicherheit/tools/mbsa.mspx

grüsse Shaby
Bitte warten ..
Mitglied: d00meR
20.10.2006 um 11:40 Uhr
Ich mag Nessus oder die OpenSource version OpenVAS
Bitte warten ..
Mitglied: Der-KHAN
20.10.2006 um 13:16 Uhr
Falls du ihn noch nicht kennst

http://www.microsoft.com/germany/technet/sicherheit/tools/mbsa.mspx

grüsse Shaby
ja, den kenn ich schon. macht auf mich aber auch einen recht oberflächlichen eindruck. ich hab bei der überprüfung mit dem prog immer das gefühl irgendwas vergessen zu haben.
Ich mag Nessus oder die OpenSource version
OpenVAS
wenn ich das richtig sehe is das aber nur ne art portscanner.
mbsa, languard nss & co. benutzen aber einen domänen-admin-account um auch solche sachen wie kennwortrichtlinien und aktive dienste zu untersuchen
Bitte warten ..
Mitglied: gnarff
20.10.2006 um 15:49 Uhr
hallo khan!
was exact willst du denn machen und sollen die tools bevorzugt open source sein oder darf es was kosten?
wenn du einen exploit-framework suchst, dann wuerde ich dir zu metasploit raten...
saludos
gnarff
Bitte warten ..
Mitglied: Der-KHAN
20.10.2006 um 18:58 Uhr
hi gnarff. also eigentlich suche ich ein tool das mehr oder weniger alles macht :D
ne domäne eines KMU auf herz und nieren prüfen.

und preislich sollte es unter 2000€ bleiben
Bitte warten ..
Mitglied: gnarff
20.10.2006 um 20:19 Uhr
hallo khan!
reden wir von einem KMU-Server [linux] oder meinst du mit KMU, die abkuerzung fuer Kleine- und Mittelstaendische Unternehmen?!
nessus ist uebrigends weit mehr als nur ein portscanner..
saludos
gnarff
Bitte warten ..
Mitglied: Der-KHAN
21.10.2006 um 10:11 Uhr
hallo khan!
reden wir von einem KMU-Server [linux] oder
meinst du mit KMU, die abkuerzung fuer
Kleine- und Mittelstaendische Unternehmen?!
nessus ist uebrigends weit mehr als nur ein
portscanner..
saludos
gnarff
ich meinte letzteres. kleine/mittelständische unternehmen.
nessus muss ich mir nochmal genauer anschauen, oder ist für meine zwecke das tenable security center nötig?
Bitte warten ..
Mitglied: gnarff
21.10.2006 um 16:28 Uhr
hallo khan!
ich kann dich nicht anstaendig beraten, wenn ich nicht weiss was ihr da an hardware und software laufen habt.
einfach nur mal mit einem vulnerability-scanner drueberbuersten ist nicht. wenn du ein ernsthaftes security-auditing betreiben willst, mit verwertbaren resultaten, solttest du das ersteinmal vernuenftig planen.
ein derartiges security auditing unterteilt man in verschiedene abschnitte;
1. zusammentragen von informationen ueber die zieldomain [gathering of informations]
- google [dorks etc.]
- whois-lookups
- dns zone transfers
- webstatistiken auswerten
- vorversionen der website checken zb. mit http://www.archive.org

2. zieldomain scannen
- pingsweep
- tcp/udp portscanning
- OS detection
- firewalking
- wlans auswerten

3. enumeration
- auf null-session verbindungen ueberpruefen
- bannergrabbing
- netzwerkverkehr sniffen und auf verborgene angriffsziele untersuchen
- snmp sweep

4. zugriff erlangen
- exploits ausfuehren zb. mit metasploit frame work
- keystroke logging und monitoring apps installieren
- account-database dumping
- versuchen rootrechte zu bekommen
- snmp grind
- lan auf admin-konten sniffen
- brute forcing

5. zugriff auf apps
- web-scanning
- web-auth brute foring
- ueberpruefen auf xss-vulns
- sql-injection
- auf input modifikation pruefen

6. sonstige tests
- backend database-server testen
und was sonst noch ausgefuehrt werden soll -je, nach aufgabenstellung.

diese aufstellung ist natuerlich nicht vollstaendig;
du siehst also, ein tool fuer alles gibts nicht.

du kannst mir ja mal per pn oder besser per email mitteilen, was ihr da habt, dann sage ich dir gerne was du an tools brauchst etc.

saludos
gnarff
Bitte warten ..
Mitglied: Der-KHAN
23.10.2006 um 09:51 Uhr
holla die waldfee, besten dank erstmal für die umfangreiche erklärung.

dann will ich mal schritt für schritt vorgehen. erstmal geht es ausschliesslich um windows-systeme. zuerst möchte ich schauen ob das entsprechende netz ausreichend gegen angriffe von innen gesichert ist. also wäre ein tool im sinne vom mbsa gefragt das mit hilfe eines domänen-admin-accounts z.B. sowas überprüft:

-welche protokolle sind aktiv
-benutzerrechte auflisten
-policies, updates, kennwörter, ...
-aktive dienste
usw.
Bitte warten ..
Mitglied: gnarff
24.10.2006 um 02:46 Uhr
hallo kahn!

also, du bist der meister des "spar-postings" -nach dem "usw." haette ich mir noch ein paar mehr angaben zu eurem netztwerk gewuenscht und ob ihr z.b. datenbankanwendungen laufen habt...

-mit dem mbsa von microsoft kannst du kein komplettes auditing machen, er gibt dir nur ein paar grundwerte und das wars.

-der gfi-languard hat ein schoenere GUI und die kosten sind ein wenig niedriger als zb. beim nessus.
mehr als 32 clients werdet ihr ja wohl nicht haben -oder?- das waeren dann 450 euro pro jahr fur den languard, 90 euro pro jahr fuer die software maintenance. Also 540 Euro
*das dazugehoerige , imho unschlagbare, reportpack kostet einmalig 500 $ US.
das waeren dann ungefaehr 1. 100 Euro erstanschaffungskosten und 540 euro folgekosten pro jahr.

-der nessus 3.0 ist nach wie vor gratis, was mit 1200 $US pro jahr zu buche schlaegt, ist der direkt-plugin feed. den brauchst du , wenn du compliance-tests machen willst oder als it-security consultant/auditor arbeitest
du bekommst den plugin- feed nach wie vor gratis, jedoch mir 7 tagen verspaetung.
das heisst, die plugins sind nicht mehr so frisch und knackig...
die reports sind ein wenig spartanisch, so wie wir das von nessus gewohnt sind.

beide decken deinen bedarf ab...zumindest soweit ich das deiner spar-schilderung entnehmen kann. ;)
fuer die zukunft wuerde ich dir zu einem vernuentigen, externen auditing raten; oder wenn schon intern, dann "blind' und nicht "informed"

*nicht vergessen, fuer die testresultate, die gemeldeten Sicherheitsloecher sind "von hand" nochmals auf false-positive/negatives zu untersuchen...

saludos
gnarff
Bitte warten ..
Mitglied: Der-KHAN
25.10.2006 um 16:54 Uhr
hallo kahn!

also, du bist der meister des
"spar-postings"

hehe, ja sorry. also was ich suche ist ein tool das mir einen ersten eindruck verschafft wie ein kunde seine windows-domäne gegen angriffe von innen abgesichert hat. (bekannte sicherheitslücken in windows, benutzerrechte, audits). die konfiguration von exchange, irgendwelchen datenbanken, oder anderen "zusatz-programmen" möchte ich da noch nicht einbeziehen.

ich fand das MSAT ganz hilfreich um erstmal rauszufinden was sich die admins vor ort schon alles dazu überlegt haben. was mir jetzt noch fehlt ist ein tool das mir zeigt was davon alles tatsächlich umgesetzt wurde. nun ist mir der mbsa ein bisschen zu oberflächlich und nessus scheint ja eher auf angriffe von aussen abzuzielen. also ist für mich die frage was es für diesen zweck noch an alternativen zum GFI nss gibt.
Bitte warten ..
Mitglied: gnarff
26.10.2006 um 03:02 Uhr
hallo khan!

ja, der mbsa ist oberflaechlich...

und nessus scheint ja eher
auf angriffe von aussen abzuzielen.
falsch. das kommt darauf an wie du den test konfigurierst.
der unterschied zwischen einem angriff von aussen und einem angriff von innen ist plakativ gesagt , der:
bei dem einen angriff bist du NOCH draussen, bei dem anderen bist du SCHON drinnen. wobei das nicht bedeuten muss, dass du schon ueber root-rechte verfuegst.
ein angreifer, der SCHON drinnen ist, wird sich den gleichen techniken bedienen, wie ein angreifer von aussen.


>also ist
für mich die frage was es für
diesen zweck noch an alternativen zum GFI nss
gibt.
unter windows, nichts, was ich dir empfehlen kann.
nessus und der gfi, versorgen dich mit allem was du brauchst, um das netzwerk auf schwachstellen zu untersuchen.

was mir
jetzt noch fehlt ist ein tool das mir zeigt
was davon alles tatsächlich umgesetzt
wurde.

zuzueglich zu den testergebnissen aus nessus oder gfi, khan, brauchst du ein MIDS, ein MISSUSE INTRUSION DETECTION SYSTEM und ein AIDS -ein ANOMALIE INTRUSION DETECTION SYSTEM.

definition:

Das AIDS System speichert dazu von jedem Benutzer ein Verhaltensprofil, während beim
MIDS System Referenzdaten von Mustern bekannter Angriffstypen verfügbarerer Daten über
sicherheitsrelevante Schwachstellen in den eingesetzten Betriebssystemen und
Kommunikationsprotokollen und sowie die Ergebnisse eigener Penetrationstests gespeichert
werden.

Beide Systeme vergleichen im Betrieb die übertragenen Daten und Aktivitäten im Netzwerk
mit den gespeicherten Referenzdaten und entscheiden dann, ob Ressourcen missbräuchlich
verwendet werden oder es zu Anomalien des Verhaltens eines Benutzers kommt. In beiden
Fällen wird die zuständige Stelle informiert, so dass Gegenmaßnahmen ergriffen werden
können.

Eine ständige Protokollierung der Daten erlaubt auch eine spätere Detailauswertung und
eine eventuell notwendige Anpassung der Wissensdatenbank und der eingesetzten Firewall
[...]

saludos
gnarff
Bitte warten ..
Mitglied: gnarff
05.11.2006 um 23:52 Uhr
hallo khan!

ich weiss ja nicht ob das auditing schon durchgefuehrt hast, aber trotzdem,
hier noch ein kleiner nachtrag, der, glaube ich,
zur loesung der aufgabenstellung beitraegt;

zitat khan:
"[...]was mir jetzt noch fehlt ist ein tool das mir zeigt,
was davon alles tatsächlich umgesetzt wurde."


und

"-welche protokolle sind aktiv
-benutzerrechte auflisten
-policies, updates, kennwörter, ...
-aktive dienste
usw."


ich hatte lange darueber nachgedacht, wie dies zu bewerkstelligen sei.
eigentlich, so dachte ich mir, muesste man sowas aehnliches wie ein AD-Dump durchfuehren,
hatte ich grob im hinterkopf -verwarf den gedanken jedoch wieder, da ich nicht die
geringste ahnung hatte, wie soetwas durchzufuehren sei und ob es ueberhaupt ginge.
stattdessen empfahl ich dir ein MIDS aufzusetzen, bei der implementation desselben waere ja eine
bestandsaufnahme vom IST-Zustand gemacht worden,
wobei du dann zwangslaeufig og. topics haettest abklaeren koennen.

zugegeben, ganz gluecklich war ich mit dieser idee nicht, zumal es bedeutet haette
einen rechner, wenigstens, unter linux aufzusetzen.
es gibt ja kein MIDS was direkt auf windows aufsetzt [zumindest kenne ich keines].

heute morgen hatte ich, wie jeden tag, den posteingang von den securityfocus-mailinglisten
abgearbeitet. da ist mir in der PEN-Test liste ein posting aufgefallen,
von peter kazil, mit dem titel "Tool to analyze windows csvde dump files".
da klingelten bei mir die glocken [...im uebertragenen sinne gemeint]...

ich gehe davon aus, das du weisst was bzw. wofuer csvde.exe benutzt wird,
falls nicht, hier ein link zur vertiefung:
http://www.faq-o-matic.net/content/view/45/45/

..man kann damit also auch daten aus dem AD importieren und exportieren,
letzteres ist waere fuer dich interessant.
wenn es also moeglich waere ein csvde dump,
etwas was ich ahnungslos AD-Dump genannt hatte, durchzufuehren
und in eine ausgabedatei zu speichern, wuerdest du den IST-Zustand auslesen koennen.
mit anderen worten, auch das, was bereits an massnahmen umgesetzt wurde.

in dem posting von peter gab es einen link auf das tool "analyzecsvde"
http://www.xs4all.nl/~kazil/testfiles/analyzecsvde/

er hat es heute erst auf den server geladen, es ist also knackfrisch und ich habe es mir
gleich mal runtergeladen; es funktioniert!!

es gibt allerdings einige nachteile:
1. die keywordlisten, wie auch die vor- und nachnamenslisten sind alle auf hollaendisch.
2. die ausgabedatei liesst sich ziemlich hoelzern,
da die daten ohne umbruch zur verfuegung gestellt werden.
3. du brauchst .NET [laedt sich bei der installation allerdings automatisch runter etc.]

da muesste man eben deutsche keyword und namenslisten nachtraeglich einbinden.

das beste daran allerdings ist, du kannst den AD-Dump sogar
ohne adminrechte ausfuehren und -ohne zweifel- es laeuft unter windows...

beginne mit Index of /~kazil/testfiles/analyzecsvde/readme_analyzecsvde_06.txt

viel spass damit...

[update: ich bin manchmal ein echter trottel...
HYENA macht unter windows so ziemlich das gleiche und hat den vorteil, dass man keine neuen wortlisten zu erstellen hat.

30 tage-demo, voll funktionsfaehig, info und download:
http://www.systemtools.com/hyena/index.html

-kenn mich halt mit auditingtools die unter windows laufen nicht so gut aus...sry]

saludos
gnarff
Bitte warten ..
Mitglied: Der-KHAN
08.11.2006 um 14:12 Uhr
-kenn mich halt mit auditingtools die unter
windows laufen nicht so gut aus...sry]

hab trotzdem einiges gelernt

Besten Dank nochmal
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Netzwerk Analyse (9)

Frage von Tooobii zum Thema LAN, WAN, Wireless ...

Windows 10
Windows Crash bitte um Analyse der Minidump (5)

Frage von Marabunta zum Thema Windows 10 ...

Erkennung und -Abwehr
gelöst Microsoft Security Essentials Windows 7 - zentrale Signaturverteilung (4)

Frage von adminst zum Thema Erkennung und -Abwehr ...

Neue Wissensbeiträge
Ubuntu

Ubuntu 17.10 steht zum Download bereit

(3)

Information von Frank zum Thema Ubuntu ...

Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(8)

Information von thomasreischer zum Thema Windows 10 ...

Microsoft

Die neuen RSAT-Tools für Win10 1709 sind da

(2)

Information von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
Windows 10
Seekrank bei Windows 10 (18)

Frage von zauberer123 zum Thema Windows 10 ...

Windows 10
Windows 10 Fall Creators Update Fehler (14)

Frage von ZeroCool23 zum Thema Windows 10 ...

Router & Routing
gelöst Getrenntes Routing bei VoIP und Daten (12)

Frage von Hobbystern zum Thema Router & Routing ...