niemand hat geschrieben:30.04.2020 20:09:12Man sucht sich jemanden, der sich damit auskennt.
Gibt viele, welche diese Dienstleistung anbieten. Darunter sind naturgemäß auch schwarze Schafe, daher die infrage kommenden Kandidaten etwas näher beleuchten – gibt es Bewertungen für die betreffende Firma oder Person? Referenzen? Auch ruhig mal kontaktieren und ’n persönliches Gespräch suchen – idealerweise hat man da schon paar Grundlagen und kann in etwa abschätzen, ob das Hand und Fuß hat, was derjenige erzählt. Du allerdings solltest dir lieber einen suchen, der sich etwas damit auskennt, und die Darstellung vom Kandidaten einschätzen kann.
Wenn’s nix kosten darf: IP in einschlägigen Foren posten, dabei die eingesessenen User noch ein wenig dumm anmachen, so tun, als hätte man voll den Durchblick, und beobachten, was passiert
Penetration Test
Re: Penetration Test
- whisper
- Beiträge: 3193
- Registriert: 23.09.2002 14:32:21
- Lizenz eigener Beiträge: GNU Free Documentation License
-
Kontaktdaten:
Re: Penetration Test
Meint der Troll vielleicht sowas?
http://www.dnstools.ch/port-scanner.html
http://www.dnstools.ch/port-scanner.html
Re: Penetration Test
https://cisofy.com/lynis/AxelMD hat geschrieben:01.05.2020 19:32:06Eingangsposting:
Ich möchte Sicherheitslücken auf meinem Server finden.AxelMD hat geschrieben:30.04.2020 19:33:06Hallo Forum,
wie geht man an einen "Penetration Test" heran?
https://en.wikipedia.org/wiki/Penetration_test
Wo fängt man an?
MfG
AxelMD
Wie prüfe ich meinen Server?
https://www.openvas.org/
https://cirt.net/Nikto2
https://nmap.org/
Und am Ende des Tages sitzt die Sicherheitslücke immer an der Tastatur. Die Server ( physisch oder virtuell ) können selbst meist nie etwas für die Sicherheitslücken.
Re: Penetration Test
Von allen Risiken sicher das größte. Das ist aber nicht die Angriffsfläche, die der TE absichern wollte. Man könnte das auch ins Verhältnis setzen, um die Sinnhaftigkeit eines "audits" bzw dessen Gestaltung zu prüfen/formen.HZB hat geschrieben:02.05.2020 07:17:30Und am Ende des Tages sitzt die Sicherheitslücke immer an der Tastatur. Die Server ( physisch oder virtuell ) können selbst meist nie etwas für die Sicherheitslücken.
Ursachen von erfolgreichen Angriffen, Bauchgefühl folgt (größer als X%):
>50%: die Anwender vorm Bildschirm, die unachtsam alles anklicken, was nicht bei 3 auf den Bäumen ist (betrifft aber eher die client-security, und ist für nen pentest uninteressant)
>30%: Konfigurationsfehler der installierten Software
>10%: Sicherheitslücken in jener Software (die bereits entdeckten und nicht gepatchten werden gerne automatisiert ausgenutzt)
Gibts sicher auch einige offizielle Zahlen, die Genauigkeit halte ich aber nicht für relevant genug. Prove me wrong.
Und daraus ergibt sich dann die zumindest von mir vertretene Meinung, dass ein "Penetration Test" eigentlich nur für die Konfigurationsfehler Sinn ergibt. Die "Sicherheitslücken" fixt man pragmatisch durch konstante Upgrades. Die, die in debian-security nicht gefixt sind, findet der pentester tendenziell auch nicht (ausgenommen selbstgeschriebene oder sehr schlecht verbreitete Software).
Dazu kommt jetzt, dass die Standardkonfiguration in debian meist schon ziemlich sicher ist - also für den gewollten Zweck. telnetd und http (ohne s) sind keine geeigneten Mittel, seine Logindaten zu übertragen - das weiß aber apt nicht, ob man sowas vorhat. Und genau für so Banalitäten hilft dann ein audit. Wenn *du* das aber selbst so eingerichtet hast, wirst *du* das Problem nicht mit Software finden, weil du ja gar nicht weißt, nach was du suchst.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Re: Penetration Test
Ich möchte das nochmal herausgestellt haben, weil genau dieser Gedankengang zu meiner initialen Antwort geführt hat.TRex hat geschrieben:02.05.2020 12:48:17Wenn *du* das aber selbst so eingerichtet hast, wirst *du* das Problem nicht mit Software finden, weil du ja gar nicht weißt, nach was du suchst.
Re: Penetration Test
Deine Argumentation ist vollkommen schlüssig und verständlich...niemand hat geschrieben:02.05.2020 13:02:58Ich möchte das nochmal herausgestellt haben, weil genau dieser Gedankengang zu meiner initialen Antwort geführt hat.TRex hat geschrieben:02.05.2020 12:48:17Wenn *du* das aber selbst so eingerichtet hast, wirst *du* das Problem nicht mit Software finden, weil du ja gar nicht weißt, nach was du suchst.
Schauen wir mal ob der TE anderer Meinung ist.
Re: Penetration Test
Wenn es sich um ein wichtiges System handelt, fuer das man bereit ist Geld zu investieren, dann sollte man, wie niemand bereits vorgeschlagen hat, serioese Profis engagieren.
Andernfalls ist es am besten, sich selber zu informieren, dazuzulernen, Softwarehelferlein einzurichten, etc. Das bedarf Ernsthaftigkeit, Zeit und Lernaufwand. Man sollte zumindest mit der Geisteshaltung herangehen, rauszuinfinden, welche Blinden Flecken man haben koennte. Das ist natuerlich schwierig, aber wenn man kein Geld investieren will ist es wohl das Beste was man tun kann.
Andernfalls ist es am besten, sich selber zu informieren, dazuzulernen, Softwarehelferlein einzurichten, etc. Das bedarf Ernsthaftigkeit, Zeit und Lernaufwand. Man sollte zumindest mit der Geisteshaltung herangehen, rauszuinfinden, welche Blinden Flecken man haben koennte. Das ist natuerlich schwierig, aber wenn man kein Geld investieren will ist es wohl das Beste was man tun kann.
Use ed once in a while!
Re: Penetration Test
Das ist zwar so vollkommen richtig, aber es gibt ja durchaus so Auditierungs - ich sag mal - Fragebögen, in denen man einfach nur nach Schema F vorgehen muss.TRex hat geschrieben:02.05.2020 12:48:17Wenn *du* das aber selbst so eingerichtet hast, wirst *du* das Problem nicht mit Software finden, weil du ja gar nicht weißt, nach was du suchst.
Bei uns wurde mal so eine App "pentested". Am Ende haben wir eine Excel Tabelle mit den Ergebnissen bekommen. Wirklich angestrengt haben die sich nicht
Sie haben den OWASP guide genommen und Punkt für Punkt abgearbeitet, ein paar Screenshots dazu und fertig.
Also es gibt ja durchaus Tools die einem nachher alles mögliche ausspucken. Wichtig ist dann, das man weiß was die Dinge bedeuten - denn auch eine Warnung kann mal kritisch sein und ein Kritischer Fehler manchmal unnötig zum ansehen.
Die größte Arbeit war dann denen zurück zuschreiben warum die x "kritischen Fehler" die sie da gefunden haben sowieso alle mitigiert waren.
Im Übrigen schlägt das gut den Bogen zu Firmen die sowas verkaufen. Meistens machen die eh a nix anderes. Die nehmen ein Auditierungsschema her, fahren mit ihrem Script da drüber und man bekommt einen hübschen bunten Auditierungsreport. Was man dann mit den Informationen anfängt ist meistens einem selber überlassen, außer die Firma verkauft auch gleich die Beratung mit dazu Dann kann es aber von schon teuer auf richtig teuer gehen (aus Haftungsgründen werden solche Firmen in so ein Dokument nur gegen Aufpreis reinschreiben was du tun sollst - wenn überhaupt bekommst du ne Empfehlung was du tun kannst) Ist jedenfalls meine Erfahrung damit.
Re: Penetration Test
Hab ich auch schon anders erlebt (Angriffsfläche gefunden und ausgelöffelt), ich würde das nicht pauschalisieren. Die ganzen low hanging fruits mit dem automatisierten Scanergebnissen waren da natürlich auch dabei, aber das bringt halt in 90% der Fälle keinen echten Gewinn.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Re: Penetration Test
Man könnte meinen, Hauptsache mal was auditiert.
Das schöne an so eine Schema-F für die Cracker ist, daß sie dann genau wissen, wo sie nicht anzugreifen brauchen.
Re: Penetration Test
Egal wie man es dreht und wendet: Es ist ein Best-Effort-Vorgehen. Vollstaendige Sicherheit gibt es nicht, also gilt es moeglichst viele Sicherheitsprobleme zu vermeiden. Mit wenig Aufwand (z.B. Checklisten) die einfachsten Luecken zu schliessen ist schonmal gut. Dann kann man inkrementell mehr Aufwand/Zeit/Geld rein investieren. An welchem Punkt man aufhoert muss jeder fuer sich selber entscheiden. Aber egal wie weit man geht, einem gezielten Angriff von Profis, die wirklich reinkommen wollen, wird das System kaum standhalten. Das ist fuer die meisten Systeme aber auch nicht relevant. Wichtig ist aber, dass keine offensichtlichen Loecher offen sind.
Und man koennte sich auch ueberlegen:
1) Wie man erkennt, ob das eigene System geknackt ist.
2) Was man tut, wenn das System geknackt ist.
Diese Fragen zu bearbeiten erscheint mir ab einem gewissen Punkt sinnvoller als zu noch ein bisschen mehr abzusichern zu versuchen.
Und man koennte sich auch ueberlegen:
1) Wie man erkennt, ob das eigene System geknackt ist.
2) Was man tut, wenn das System geknackt ist.
Diese Fragen zu bearbeiten erscheint mir ab einem gewissen Punkt sinnvoller als zu noch ein bisschen mehr abzusichern zu versuchen.
Use ed once in a while!
Re: Penetration Test
Ja das stimmt. Gibt genug Firmen die das ganze auch ernsthaft betreiben. Man darf sich aber über deren Preise auch nicht wundernTRex hat geschrieben:04.05.2020 09:52:41Hab ich auch schon anders erlebt (Angriffsfläche gefunden und ausgelöffelt), ich würde das nicht pauschalisieren. Die ganzen low hanging fruits mit dem automatisierten Scanergebnissen waren da natürlich auch dabei, aber das bringt halt in 90% der Fälle keinen echten Gewinn.
Ich war da nicht viel involviert aber irgendwie war das so, dass sie genau das machen mussten um irgendeine Zertifizierung zu bekommen die vorgeschrieben hat nach welchen Richtilinien ... Also ja, hauptsache irgendwas auditieren triffts da ziemlich gut
Re: Penetration Test
Ich behaupt mal das dies einer der Hauptgründe für die meisten solcher Tests ist. ISAE3402, ....reox hat geschrieben: Ich war da nicht viel involviert aber irgendwie war das so, dass sie genau das machen mussten um irgendeine Zertifizierung zu bekommen die vorgeschrieben hat nach welchen Richtilinien ... Also ja, hauptsache irgendwas auditieren triffts da ziemlich gut
Irgendwer war halt schlau und hat bei einer Definition des internen IKS einen jährlichen PEN Test für Applikation X reingenommen.
Die Prüfer ( KPMG, PwC, ... ) schlagen so etwas selbst vor. Das kommt immer besonders gut an.
Sinnhaftigkeit lasse ich dahingestellt. Aber man muss zugeben, wenn man dann so einen Report liest klingt das schon sehr sexy. Die goße KPMG bestätigt das Service X / Applikation Y welches jährlich seitens eines unabhängigen Audits kontrolliert wird. Jeder der sich nicht mit IT Sicherheit beschäftigt wird das gut finden. Jeder der sich mit IT Sicherheit beschäftigt weiß, dass es sich hierbei meist um Augenauswischerei handelt.
Jede Firma ( oder viele davon ) die auf Security wert legen haben eigene Abteilung die hier am Werk sind ( Red Team / Blue Team, SIEM, etc pp ).
Meine Meinung
Re: Penetration Test
Das kenne ich so auch: Es wird eine ganze Menge Papier erzeugt, getan wird aber nichts (man dreht sich die Antworten eher so zurecht, dass es im Report gut aussieht). Am Ende ist das dann noch schlimmer, weil die Systeme weiterhin unsicher sind, man sich nun aber sicherer fuehlt.HZB hat geschrieben:04.05.2020 11:51:02Jeder der sich nicht mit IT Sicherheit beschäftigt wird das gut finden. Jeder der sich mit IT Sicherheit beschäftigt weiß, dass es sich hierbei meist um Augenauswischerei handelt.
Dieses Zeug sollte man IMO klar abgrenzen, von dem um was es in diesem Thread eigentlich ging: Die Sicherheit wirklich zu erhoehen, egal auf welchem Weg. Zertifizierungen wuerde hierbei nur nuetzliche Checklisten liefern, mit denen man seine eigenen Blinden Flecken aufspueren kann.
Use ed once in a while!
Re: Penetration Test
Ich kenn das andersrum:Meillo hat geschrieben:04.05.2020 11:11:46Und man koennte sich auch ueberlegen:
1) Wie man erkennt, ob das eigene System geknackt ist.
2) Was man tut, wenn das System geknackt ist.
Diese Fragen zu bearbeiten erscheint mir ab einem gewissen Punkt sinnvoller als zu noch ein bisschen mehr abzusichern zu versuchen.
* Was biete ich an? (offene Ports, Schnittstellen von und nach (!) außen)
* welche Daten fließen darüber?
* sind diese Schnittstellen gesichert (TLS, Authentifizierung), Authorisierung (gut abgeklärt und Prozess klar, wie da Änderungen reinkommen)
* welche Art von Daten fließen und sehr abgekürzt, sind Daten von Code separiert? (injection attack vector)
usw. - also wenn man dann ne Schnittstelle identifiziert hat, beispielsweise Beiträge im Forum erstellen, Meillo's Suchfunktion in seinem Blog oder SSH-Login, dann muss man sich alle Eigenschaften ansehen und versuchen, mit den richtigen Fragen die Angriffsvektoren zu skizzieren und abzusichern.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Re: Penetration Test
Ja das wäre die richtige Vorgehensweise BEVOR man überhaupt das Service online schaltet.TRex hat geschrieben:04.05.2020 12:22:45Ich kenn das andersrum:Meillo hat geschrieben:04.05.2020 11:11:46Und man koennte sich auch ueberlegen:
1) Wie man erkennt, ob das eigene System geknackt ist.
2) Was man tut, wenn das System geknackt ist.
Diese Fragen zu bearbeiten erscheint mir ab einem gewissen Punkt sinnvoller als zu noch ein bisschen mehr abzusichern zu versuchen.
* Was biete ich an? (offene Ports, Schnittstellen von und nach (!) außen)
* welche Daten fließen darüber?
* sind diese Schnittstellen gesichert (TLS, Authentifizierung), Authorisierung (gut abgeklärt und Prozess klar, wie da Änderungen reinkommen)
* welche Art von Daten fließen und sehr abgekürzt, sind Daten von Code separiert? (injection attack vector)
usw. - also wenn man dann ne Schnittstelle identifiziert hat, beispielsweise Beiträge im Forum erstellen, Meillo's Suchfunktion in seinem Blog oder SSH-Login, dann muss man sich alle Eigenschaften ansehen und versuchen, mit den richtigen Fragen die Angriffsvektoren zu skizzieren und abzusichern.
Also erst mal überlegen, dann implementieren, dann testen, dann nachbessern, wieder testen, bis man aus eigener Sicht ( und Wissen ) das Endprodukt für in Ordnung befindet.
Erst dann sollte man online gehen. Aber wie viele, gerade im privaten Umfeld machen das schon.
Und nachdem der TE eher ein Hobbybastler ist ( siehe Thread - ich hab jetzt einen Server, was kann ich damit überhaupt machen ), wird halt einfach mal los installiert.
Ohne Hintergrundwissen, mit der erst besten Anleitung. Der Grundansatz sich über Sicherheit generell Gedanken zu machen ist dennoch löblich.
Re: Penetration Test
Das ist der strukturierte vorwaertsgerichtete Ansatz. Der macht grundsaetzlich Sinn. Man muss sich aber bewusst machen, dass man nie alle Luecken schliessen wird. Es kann sein, dass man trotz aller Sorgfalt etwas uebersieht. Es kann sein, dass die Programme Luecken haben. Die Grenzlinie zu zu machen ist gut, aber nur auf sie zu vertrauen ist nicht die beste Defensivstrategie.TRex hat geschrieben:04.05.2020 12:22:45Ich kenn das andersrum:Meillo hat geschrieben:04.05.2020 11:11:46Und man koennte sich auch ueberlegen:
1) Wie man erkennt, ob das eigene System geknackt ist.
2) Was man tut, wenn das System geknackt ist.
Diese Fragen zu bearbeiten erscheint mir ab einem gewissen Punkt sinnvoller als zu noch ein bisschen mehr abzusichern zu versuchen.
* Was biete ich an? (offene Ports, Schnittstellen von und nach (!) außen)
* welche Daten fließen darüber?
* sind diese Schnittstellen gesichert (TLS, Authentifizierung), Authorisierung (gut abgeklärt und Prozess klar, wie da Änderungen reinkommen)
* welche Art von Daten fließen und sehr abgekürzt, sind Daten von Code separiert? (injection attack vector)
usw. - also wenn man dann ne Schnittstelle identifiziert hat, beispielsweise Beiträge im Forum erstellen, Meillo's Suchfunktion in seinem Blog oder SSH-Login, dann muss man sich alle Eigenschaften ansehen und versuchen, mit den richtigen Fragen die Angriffsvektoren zu skizzieren und abzusichern.
Ich sage mal provokativ: Schlimmer als eine Sicherheitsluecke zu haben ist es einen erfolgreichen Angriff nicht zu erkennen.
Auch dem Notfallplan fuer den Fall eines (egal wie unwahrscheinlichen) erfolgreichen Angriffs wuerde ich einige Bedeutung geben.
Sicherheitsluecken sind weniger schlimm, wenn man Angriffe gleich erkennt und das System anschliessend wieder in einen definierten Zustand zurueckfuehren kann. Das bedeutet nicht, dass man die Aussenhuelle nicht moeglichst dicht halten sollte, diese Aspekte sind *auch* wichtig. Man sollte sie nicht vernachlaessigen.
Sicherheit sollte man nicht zu absolut und mathematisch begreifen, weil es in der Praxis einige Faktoren gibt, die diese Denkweise sprengen. Auch gegen die sollte man sich absichern, indem man -- parallel zu einer strukturierten Absicherung nach Lehrbuch -- weitere Fangnetze baut, in der Sichtweise eines Misstrauens gegen sich selber. Wie wenn eine Person versucht das System sicher zu machen und eine zweite Person, die an den Kompetenzen der ersten zweifelt, versucht moeglichst viel dafuer zu tun, dass es nicht schlimm ist, wenn die Muehen der ersten Person unzureichend sind. Das ist IMO praxisnah, schliesslich sind wir uns ja einig, dass die meisten Sicherheitprobleme menschliche Faktoren sind. Gegen die hilft der strukturierte Lehrbuchansatz nicht vollstaendig.
Use ed once in a while!