Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Software zum permanenten Sicherheitsscan

Frage Sicherheit Firewall

Mitglied: Alchemy

Alchemy (Level 1) - Jetzt verbinden

10.11.2011, aktualisiert 17:34 Uhr, 3372 Aufrufe, 7 Kommentare

Hallo @all,

ich bräuchte mal eure Hilfe beim finden der passenden Software.

Folgendes Szenario:

Wir haben ~200 Kunden mit Netzen in mittlerer Größe 10 - 100 Clients. Bei fast allen Netzen hängt eine brauchbare Firewall wie zb LanCom oder Checkpoint.

Nun haben wir das Problem, das manche Kunden gern einmal selbst spielen und die Firewalls ungewollt aufbohren.

Wir suchen eine Software, mit der wir in zeitlich definierten Abständen Sicherheitsscans von Extern auf die Firewalls schicken können.

Gewünscht ist eine Auswertung zB. über offene Ports und erkannten Schwachstellen.

Die Software darf auch etwas kosten.

Die Rechtlichen Aspeckte bei der Thematik haben wir bedacht und würden uns bei den Kunden Vertraglich absichern.

Hat jemand einen Vorschlag oder vieleicht einen komplett anderen Ansatz zur Lösung der Thematik?

Danke an alle

(PS: Belehrung der lokalen Admins ist zwecklos. Unsere Problemfälle sind sehr Beratungsresistent)
Mitglied: brammer
10.11.2011 um 18:30 Uhr
Hallo,

wenn die Firewalls unter eurer Kontrolle stehen, solltet ihr einfach dafür sorge tragen das die fremden Admins keinen Zugriff auf die Maschinen haben.
Oder maximal ein "show" Zugriff.
Bei Cisco kann man solche Rechte so fein granulieren das man das im Prinzip für jeden einzelnen Befehl freigeben respektive sperren kann.
Checkpoint sollte das so ähnlich beherrschen. Lancom dürfte damit ein Problem haben.

Ansonsten könntest du mit einem Tool wie netscan per Task oder gescripted alle X Tage einen Scan der Firewall nach offenen Ports druchführen.
Die Auswertung sollte auch automatisierbar sein.

Besser dürfte aber ein Monitoring Tool sein über das ihr regelmässig per SNMP Status Meldungen bei Änderungen der Konfiguration bekommt.

Entscheidend ist hier aber der Zugriff per SNMP auf die Firewall auf.

Die ganz Harten Brocken unter den Kunden musst du erziehen.
Jede Konfiurationsanpassung in Rechnung stellen, du wirst sehen wie schnell der Aufwand an Änderungen oder Wiederherstellungen sinkt.

brammer
Bitte warten ..
Mitglied: 16568
10.11.2011 um 19:59 Uhr
Oder einen Cronjob auf einer Linux-Büchse mit nmap, Ergebnis dann nach sendmail -> Euer Postkasten.
(wobei auch ich dem Geschriebenen von brammer zustimme: Kunden haben nix an der Firewall verloren)


Lonesome Walker
Bitte warten ..
Mitglied: 60730
10.11.2011 um 21:27 Uhr
Moin,

Frag 3 Admins und du kriegst 3unterschiedliche meinungen.

Aber nicht bei so einer frage.

Eigentlich ist das was Brammer geschrieben hat schon eindeutig, aber...

Die "schnueffelsoftware" die ich kenne laeuft nur von innen heraus.

Du schreibst da oben was von "darf auch was kosten"...
Und jetzt komm ich, der dich fragt, wer soll das bezahlen?

Klar einiges, kann man bequem mit abklappern der offenen Ports lösen, aber das ist nur die halbe Miete.

Wenn du lernresistente Admins hast, die an ihrer Firewall rum doktorieren, ohne zu wissen, was sie da tun,
Dann kommt's auf die abgeschlossenen Verträge an, bist du nur der Lieferant, oder kümmerst du dich (vertraglich auch haftbar) um die Security?

Ich bin ein großer Freund davon es richtig zu machen und auch das nachträgliche überprüfen ist was, was zum Job gehört, aber irgendwo hört der Spaß auf.

Und nochmal, es kommt auf die Verträge drauf an, bist du nur der Lieferant, who Cares about und Fettich.

Falls es nun "Probleme" wegen des admin Passwortes gibt, nimm dir ein Beispiel an den großen providern.
Die lassen nicht mal den sehenden Zugriff auf die Router zu, die beim Kunden stehen.
Aber das ist eine Nummer, die auch im Vertrag drin steht.


Von daher behaupte ich mal, "wir" sind hier fast fertig (aqui?) das ist ein fall für die rechtsabteilung.

Gruss
Bitte warten ..
Mitglied: Alchemy
11.11.2011 um 09:01 Uhr
Servus,

wir sind ein Systemhaus und haben für die meisten der Kunden ein Wartungsvertrag für die Technik hinter der FW. Nun gibt es allerdings einige, die aufgrund der Größe eigene Admins haben. Die lassen sich nicht gern aussperren.

In der Vergangenheit hatten wir den Fall, das durch Fehlkonfigurationen es zu Angriffen und Problemen gekommen ist.

Unser Gedanke war, für eine überschaubare Summe X einen Service anzubieten, welcher den Kunden in einem festgelegten Zeitfenster (und bei Bedarf) Scannt und einen verwertbaren Bericht ausgiebt.

Das hat 2 Effekte: Einmal hat der Kunde eine Übersicht wie sein Netz von Außen aussieht und zum anderen haben wir für uns klare Bilder.

Was rechtlich und organisatorisch dahintersteckt steht auf einem anderen Blatt.

Ich suche einfach nur nach einer Softwarelösung, die Funktionen bietet die dem sehr nahe kommen.

MfG
Bitte warten ..
Mitglied: brammer
11.11.2011 um 10:17 Uhr
Zitat von Alchemy:
Servus,

wir sind ein Systemhaus und haben für die meisten der Kunden ein Wartungsvertrag für die Technik hinter der FW. Nun gibt
es allerdings einige, die aufgrund der Größe eigene Admins haben. Die lassen sich nicht gern aussperren.

Nun, in eurem Netz haben sie aber nix zu suchen.
Wir betreuen mehrere Tausend Netze in Produkltionsumgebungen bei unseren Kunden. Der Kundne Admin soll sich doch bitte schön mi senem Office Netz beschäftigen.
Aus unserem Produktionsnetz hat er die Finger zu lassen!

In der Vergangenheit hatten wir den Fall, das durch Fehlkonfigurationen es zu Angriffen und Problemen gekommen ist.
Berechnen! wei oben angedeutet!

Unser Gedanke war, für eine überschaubare Summe X einen Service anzubieten, welcher den Kunden in einem festgelegten
Zeitfenster (und bei Bedarf) Scannt und einen verwertbaren Bericht ausgiebt.

Dafür gibt es verscheiden Tools, bis hinzu proaktiven Geschichten:
nextnine
Axeda
Innominate
sind da nur ein paar Mögliche Kandidaten

Das hat 2 Effekte: Einmal hat der Kunde eine Übersicht wie sein Netz von Außen aussieht und zum anderen haben wir
für uns klare Bilder.

... siehe oben

Was rechtlich und organisatorisch dahintersteckt steht auf einem anderen Blatt.

soltle aber nicht untergehen, kanneuch nämlich den Hals brechen

Ich suche einfach nur nach einer Softwarelösung, die Funktionen bietet die dem sehr nahe kommen.

Viel Spass beim Ausprobieren.

MfG

brammer
Bitte warten ..
Mitglied: clSchak
18.11.2011 um 06:24 Uhr
Ich würde es auch so machen, dass der Kunde maximal ein View auf die Geräte bekommt und gut ist, wenn der Kunde keinen Wartungsvertrag hat würde ich die Geräte auch nicht Scannen - dann seit Ihr womöglich nachher noch die Deppen die für ein Sicherheitsleck gerade stehen. Ich lasse das hier einmal im Jahr durch einen externen Dienstleister testen und bekomme dann entsprechende Reports mit der Bewertung der Sicherheitsstufe - was Wirtschaftsprüfer immer gerne sehen

Wir planen momentan einen Ausbau in den USA und können das von hier garnicht sauber betreuen, aus dem Grund haben wir auch in dem Anforderungsprofil für die Wartung drinnen stehen das die Firewalls von dem Systemhaus gewartet werden sollen und wir lediglich einen wöchentlichen Bericht der Config bekommen und Anpassungen immer durch den Dienstleister gemacht werden (wir geben dann zwar den Hersteller der FW vor damit es nicht zu den Problem kommt "Euer Gerät kann das nicht" und die allgemeine Grundeinstellung, aber das Feintuning soll dann das Systemhaus machen was dafür auch gerade steht wenn was passiert)
Bitte warten ..
Mitglied: Alchemy
18.11.2011 um 09:51 Uhr
Hallo,

die rechtliche Grundlage ist ja schon durch unsere Rahmenverträge die wir mit dem Kunden haben geschaffen. Bei den betroffenen "Problemkunden" sind wir ja nur Coadministratoren, da diese 2-3 eigene Admins haben welche das System betreuen.

Bei 98% der Kunden ist die Firewall ausschließlich in unserer Hand.

Wie wollen nur eine zusätzliche ! Informative ! Dienstleistung anbieten, aufgesetzt auf den bestehenden Vereinbahrungen. Den Rest habe ich schon oben erleutert.

Realisiert wird das ganze nun via Eigenbau im NMAP. Danke für die vielen Antworten.
Bitte warten ..
Ähnliche Inhalte
Erkennung und -Abwehr
Bewertung Sicherheitsscan Internetseite
gelöst Frage von CoreknabeErkennung und -Abwehr27 Kommentare

Moin, wir haben durch einen Dienstleister eine neue Webseite aufsetzen lassen. Unser Firewallhersteller bietet für Kunden an, einen Schwachstellenscan ...

Microsoft
Eintragen mehrerer permanenter Routen
Frage von funcarverMicrosoft4 Kommentare

Servus ich habe das Problem das auf einem Rechner 2 permanente Routen eingetragen werden müssen. Das Problem ist, das ...

DSL, VDSL
VDSL 1und1 permanente Verbindungsabbrüche
Frage von mickman123DSL, VDSL23 Kommentare

Hallo, hoffe einer von Euch hat einen Tip für mich. Seit einiger Zeit bin ich bei 1und1 Kunde / ...

Linux
Seitengröße permanent einstellen (CUPS)
gelöst Frage von mollotoffLinux1 Kommentar

Hallo, wir planen auf unserem Microplex Solid 60E-2 Etiketten auszudrucken. Dafür muss aber die Seitengröße bzw. die "Margins" (mir ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 15 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 19 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware10 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...