Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Software zum permanenten Sicherheitsscan

Frage Sicherheit Firewall

Mitglied: Alchemy

Alchemy (Level 1) - Jetzt verbinden

10.11.2011, aktualisiert 17:34 Uhr, 3329 Aufrufe, 7 Kommentare

Hallo @all,

ich bräuchte mal eure Hilfe beim finden der passenden Software.

Folgendes Szenario:

Wir haben ~200 Kunden mit Netzen in mittlerer Größe 10 - 100 Clients. Bei fast allen Netzen hängt eine brauchbare Firewall wie zb LanCom oder Checkpoint.

Nun haben wir das Problem, das manche Kunden gern einmal selbst spielen und die Firewalls ungewollt aufbohren.

Wir suchen eine Software, mit der wir in zeitlich definierten Abständen Sicherheitsscans von Extern auf die Firewalls schicken können.

Gewünscht ist eine Auswertung zB. über offene Ports und erkannten Schwachstellen.

Die Software darf auch etwas kosten.

Die Rechtlichen Aspeckte bei der Thematik haben wir bedacht und würden uns bei den Kunden Vertraglich absichern.

Hat jemand einen Vorschlag oder vieleicht einen komplett anderen Ansatz zur Lösung der Thematik?

Danke an alle

(PS: Belehrung der lokalen Admins ist zwecklos. Unsere Problemfälle sind sehr Beratungsresistent)
Mitglied: brammer
10.11.2011 um 18:30 Uhr
Hallo,

wenn die Firewalls unter eurer Kontrolle stehen, solltet ihr einfach dafür sorge tragen das die fremden Admins keinen Zugriff auf die Maschinen haben.
Oder maximal ein "show" Zugriff.
Bei Cisco kann man solche Rechte so fein granulieren das man das im Prinzip für jeden einzelnen Befehl freigeben respektive sperren kann.
Checkpoint sollte das so ähnlich beherrschen. Lancom dürfte damit ein Problem haben.

Ansonsten könntest du mit einem Tool wie netscan per Task oder gescripted alle X Tage einen Scan der Firewall nach offenen Ports druchführen.
Die Auswertung sollte auch automatisierbar sein.

Besser dürfte aber ein Monitoring Tool sein über das ihr regelmässig per SNMP Status Meldungen bei Änderungen der Konfiguration bekommt.

Entscheidend ist hier aber der Zugriff per SNMP auf die Firewall auf.

Die ganz Harten Brocken unter den Kunden musst du erziehen.
Jede Konfiurationsanpassung in Rechnung stellen, du wirst sehen wie schnell der Aufwand an Änderungen oder Wiederherstellungen sinkt.

brammer
Bitte warten ..
Mitglied: 16568
10.11.2011 um 19:59 Uhr
Oder einen Cronjob auf einer Linux-Büchse mit nmap, Ergebnis dann nach sendmail -> Euer Postkasten.
(wobei auch ich dem Geschriebenen von brammer zustimme: Kunden haben nix an der Firewall verloren)


Lonesome Walker
Bitte warten ..
Mitglied: 60730
10.11.2011 um 21:27 Uhr
Moin,

Frag 3 Admins und du kriegst 3unterschiedliche meinungen.

Aber nicht bei so einer frage.

Eigentlich ist das was Brammer geschrieben hat schon eindeutig, aber...

Die "schnueffelsoftware" die ich kenne laeuft nur von innen heraus.

Du schreibst da oben was von "darf auch was kosten"...
Und jetzt komm ich, der dich fragt, wer soll das bezahlen?

Klar einiges, kann man bequem mit abklappern der offenen Ports lösen, aber das ist nur die halbe Miete.

Wenn du lernresistente Admins hast, die an ihrer Firewall rum doktorieren, ohne zu wissen, was sie da tun,
Dann kommt's auf die abgeschlossenen Verträge an, bist du nur der Lieferant, oder kümmerst du dich (vertraglich auch haftbar) um die Security?

Ich bin ein großer Freund davon es richtig zu machen und auch das nachträgliche überprüfen ist was, was zum Job gehört, aber irgendwo hört der Spaß auf.

Und nochmal, es kommt auf die Verträge drauf an, bist du nur der Lieferant, who Cares about und Fettich.

Falls es nun "Probleme" wegen des admin Passwortes gibt, nimm dir ein Beispiel an den großen providern.
Die lassen nicht mal den sehenden Zugriff auf die Router zu, die beim Kunden stehen.
Aber das ist eine Nummer, die auch im Vertrag drin steht.


Von daher behaupte ich mal, "wir" sind hier fast fertig (aqui?) das ist ein fall für die rechtsabteilung.

Gruss
Bitte warten ..
Mitglied: Alchemy
11.11.2011 um 09:01 Uhr
Servus,

wir sind ein Systemhaus und haben für die meisten der Kunden ein Wartungsvertrag für die Technik hinter der FW. Nun gibt es allerdings einige, die aufgrund der Größe eigene Admins haben. Die lassen sich nicht gern aussperren.

In der Vergangenheit hatten wir den Fall, das durch Fehlkonfigurationen es zu Angriffen und Problemen gekommen ist.

Unser Gedanke war, für eine überschaubare Summe X einen Service anzubieten, welcher den Kunden in einem festgelegten Zeitfenster (und bei Bedarf) Scannt und einen verwertbaren Bericht ausgiebt.

Das hat 2 Effekte: Einmal hat der Kunde eine Übersicht wie sein Netz von Außen aussieht und zum anderen haben wir für uns klare Bilder.

Was rechtlich und organisatorisch dahintersteckt steht auf einem anderen Blatt.

Ich suche einfach nur nach einer Softwarelösung, die Funktionen bietet die dem sehr nahe kommen.

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: brammer
11.11.2011 um 10:17 Uhr
Zitat von Alchemy:
Servus,

wir sind ein Systemhaus und haben für die meisten der Kunden ein Wartungsvertrag für die Technik hinter der FW. Nun gibt
es allerdings einige, die aufgrund der Größe eigene Admins haben. Die lassen sich nicht gern aussperren.

Nun, in eurem Netz haben sie aber nix zu suchen.
Wir betreuen mehrere Tausend Netze in Produkltionsumgebungen bei unseren Kunden. Der Kundne Admin soll sich doch bitte schön mi senem Office Netz beschäftigen.
Aus unserem Produktionsnetz hat er die Finger zu lassen!

In der Vergangenheit hatten wir den Fall, das durch Fehlkonfigurationen es zu Angriffen und Problemen gekommen ist.
Berechnen! wei oben angedeutet!

Unser Gedanke war, für eine überschaubare Summe X einen Service anzubieten, welcher den Kunden in einem festgelegten
Zeitfenster (und bei Bedarf) Scannt und einen verwertbaren Bericht ausgiebt.

Dafür gibt es verscheiden Tools, bis hinzu proaktiven Geschichten:
nextnine
Axeda
Innominate
sind da nur ein paar Mögliche Kandidaten

Das hat 2 Effekte: Einmal hat der Kunde eine Übersicht wie sein Netz von Außen aussieht und zum anderen haben wir
für uns klare Bilder.

... siehe oben

Was rechtlich und organisatorisch dahintersteckt steht auf einem anderen Blatt.

soltle aber nicht untergehen, kanneuch nämlich den Hals brechen

Ich suche einfach nur nach einer Softwarelösung, die Funktionen bietet die dem sehr nahe kommen.

Viel Spass beim Ausprobieren.

Mit freundlichen Grüßen

brammer
Bitte warten ..
Mitglied: clSchak
18.11.2011 um 06:24 Uhr
Ich würde es auch so machen, dass der Kunde maximal ein View auf die Geräte bekommt und gut ist, wenn der Kunde keinen Wartungsvertrag hat würde ich die Geräte auch nicht Scannen - dann seit Ihr womöglich nachher noch die Deppen die für ein Sicherheitsleck gerade stehen. Ich lasse das hier einmal im Jahr durch einen externen Dienstleister testen und bekomme dann entsprechende Reports mit der Bewertung der Sicherheitsstufe - was Wirtschaftsprüfer immer gerne sehen

Wir planen momentan einen Ausbau in den USA und können das von hier garnicht sauber betreuen, aus dem Grund haben wir auch in dem Anforderungsprofil für die Wartung drinnen stehen das die Firewalls von dem Systemhaus gewartet werden sollen und wir lediglich einen wöchentlichen Bericht der Config bekommen und Anpassungen immer durch den Dienstleister gemacht werden (wir geben dann zwar den Hersteller der FW vor damit es nicht zu den Problem kommt "Euer Gerät kann das nicht" und die allgemeine Grundeinstellung, aber das Feintuning soll dann das Systemhaus machen was dafür auch gerade steht wenn was passiert)
Bitte warten ..
Mitglied: Alchemy
18.11.2011 um 09:51 Uhr
Hallo,

die rechtliche Grundlage ist ja schon durch unsere Rahmenverträge die wir mit dem Kunden haben geschaffen. Bei den betroffenen "Problemkunden" sind wir ja nur Coadministratoren, da diese 2-3 eigene Admins haben welche das System betreuen.

Bei 98% der Kunden ist die Firewall ausschließlich in unserer Hand.

Wie wollen nur eine zusätzliche ! Informative ! Dienstleistung anbieten, aufgesetzt auf den bestehenden Vereinbahrungen. Den Rest habe ich schon oben erleutert.

Realisiert wird das ganze nun via Eigenbau im NMAP. Danke für die vielen Antworten.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

LAN, WAN, Wireless
Software für Backup oder Datensynchronisation über WAN gesucht (3)

Frage von Rubiks zum Thema LAN, WAN, Wireless ...

Drucker und Scanner
gelöst Scanner Software pls schnelle Hilfe (5)

Frage von TheScanner zum Thema Drucker und Scanner ...

Windows Userverwaltung
gelöst Ist tenfold eine Preiswerte Software? (4)

Frage von ALucaK zum Thema Windows Userverwaltung ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...