PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Security Audit durchführen



markwaldhoff
14.01.04, 08:06
Hi Leute !

Ich muss ab April bei uns in der Firma ein Security Audit im Rahmen meiner Abschlussarbeit durchführen und wollte mich jetzt schonmal ein bisschen Informieren....

Welche Tools nutzt ihr dafür, bzw. sind aktuell ?
Ich hatte hier schonmal einen Thread zu dem Thema gefunden... der war allerdings von 2002 und ich habe mir gedacht das ich lieber nochmal einen neuen Thread aufmache der aktuellere Infos bietet.

Also immer her mit Vorschlägen ... ;)
Ich suche dabei hauptsächlich Tools auf Linux Basis die komplette Netzwerke auditieren können....

Nessus soll da ja ganz gut sein, aber soll laut dem anderen Thread nur für Server funktinieren....

cane
14.01.04, 09:04
Hallo!

Mein Vorschlag:
#Wichtig - alles sollte notiert werden (auch jede Überlegung...)

1. Überlegungen
Welche Serverdienste sollten auf welchem Rechner laufen?
Was soll der einzelne Dürfen?
Wer muß auf welchen Rechner zugreifen?
...

2. Überprüfen welche wirklich laufen. Den Zweck der "unnötigen"
herrausfinden und diese wenn sie überflüssig sind entfernen. Bei Serverdiensten gilt: Weniger ist Mehr!

3. Viren / Rootkits
Alle Rechner mit einem Virenscanner mit aktuellsten Signaturen KOMPLETT scannen. Über Linux Rechner zusätzlich chkrootkit (http://www.chkrootkit.org/) laufen lassen(Fehlalarme möglich deswegen jeden Alarm über google prüfen.

4. Linux Kernel
Schauen ob sicherheitsrelevante LinuxSysteme einen monolithischen Kernel haben - ist ein Schutz vor den meisten Rootkits...

5. Logging
Wohin wird geloggt - nur lokal oder existiert ein abgesicherter logServer so dass ein Angreifer keine Möglichkeit hat Logs zu verändern

6. Portscans durchführen
Als Portscanner nimmst Du den neuesten Nmap (http://www.insecure.org/nmap/)

7. Scan auf bekannte Sicherheitslücken
Als Security Scanner am besten Nessus (http://www.nessus.org/) denke aber daran Dir die aktuellen Plugins herunterzuladen.
Alternative SecurityScanner sind zum Beispiel Saint oder Satan. Meiner Meinung nach sind beide schlechter weil Saint in der neuesten Version nicht mehr unter der GPL stehtund die Weiterentwicklung von Satan gegen 0 läuft.

8. Physische Sicherheit
Wer darf den Serverraum betreten - wie wird das kontrolliert?
Dienstlester egal ob ITler oder Reinigungspersonal sollten nur unter Aufsicht in sicherheitsrelevante Bereiche können...

9. Passwortregelungen
Wie lang sind die Passwörter, wie oft werden sie geändert...

10. Policies
Werden unter Windows Gruppenrichtlinien genutzt? Wer hat Administratorrechte? Welche Beschränkungen gibt es für die Linux Nutzer?

Die Liste ist natürlich keineswegs komplett sondern liefert nur Vorschläge.


Weitere interessante Informationen finden sich
im IT Grundschutzhandbuch (http://www.bsi.de/gshb/deutsch/menue.htm) des BSI.

mfg
cane

markwaldhoff
14.01.04, 09:17
Super !
Schonmal Vielen Dank für deine Tipps !!!
Scheint mir fast so als ob du das schonmal gemacht hast... :D

cane
14.01.04, 10:08
Scheint mir fast so als ob du das schonmal gemacht hast...

Nein, aber im Februar / März will ich anfangen...

cane

markwaldhoff
14.01.04, 10:10
na das passt ja... ;)
werd mich dann ab und zu mal bei dir melden, wenn ich damit im April anfange... dann hast du ja schon einiges an Erfahrungen... :D

cane
14.01.04, 10:46
Kannste gerne tun...
Vielleicht kommt auch erst noch ein Dienstleister zu uns der das professionell betreibt und ich kann mir was abgucken...

cane

markwaldhoff
14.01.04, 10:58
Ok, alles klar... ;)

-------------------------------------------

Nur zur Info: Der Thread ist damit noch nicht abgeschlossen.... :D
Bin immer noch offen für Vorschläge zu Vorgehensweisen oder Open Source Tools.... ;)

RapidMax
14.01.04, 11:45
Backupstrategie, wie oft was wo gesichert.

Wurde eine Strategie festgelegt, wie bei einem Einbruch vorgegangen wird? Wer ist dafür zuständig?

Update-Strategie: Wie wird auf Sicherheitslücken reagiert? Wie läuft ein Update ab?

Gruss, Andy

Jinto
14.01.04, 22:22
Security fängt weder bei Tools an, noch endet sie dort.

markwaldhoff
15.01.04, 07:41
Security kann aber mit einem Securtiy Audit und damit verbundenen Tools verbessert werden.... ;)

deadbeef
19.01.04, 09:58
naja, die meisten scanner sucken ziemlich.
ganz gut sind:

- core impact (echtes einbruchstool, mit super stabilen exploits und gutes information gathering engine)

- webinspect (webserver/appserver fuzzing, sql-injection, xss scripting tool)
- appscan ( ähnlich wie webinspect aber auch inkl. database audits/exploitation (oracle, sybase, mssql, mysql, db2)

insgesamt musst du dir allerdings gedanken machen was du machen willst.

wenn du ein system audit machen willst, schau dir das system lokal an. suche nach überflüssigen suid/sgid bits, schwachen kennwörter via john the ripper, disable nicht benutzte services, schaue nach ob aktuelle patches vorhanden sind usw usw...

schau nach ob auch alle laufenden services gehärtet sind (chrooted, minimale rechte, keine info leaks usw.)

evaluiere ob und wie geloggt wird (lokal, remote, verschlüsselt/unverschlüsselt).
prüfe ob, das system durch ein intrusion detection system überwacht wird.

wenn du einen richtigen penetrationtest machen willst, nutze zunächst scanner,
um abzuklopfen was er standardmaessig so findet. sei aber auf der hut.
nicht alles was ein scanner findet, ist auch real. es sind oft auch false positives dabei.
also immer nachprüfen, ob dem auch tatsächlich so ist.

versuche zunächst möglichst viel über die laufenden services rauszubekommen,
via information gathering tools, fingerprinting usw.

falls du was gefunden hast, was nicht gepatched ist, schaue nach einem exploit
und versuche damit einzubrechen. aber pass auf... einige daemons sind one-shot !
das heisst, du hast nur einen versuch, danach ist der daemon weg und wenn du
dann keine shell hast, ist's schlecht remote. ;) deshalb soviel wie möglich vorher über
OS und service rausbekommen.

audited man einen unbekannten service, der evtl. von der firma selber geschrieben wurde (z.b. eine webanwendung mit datenbank), versuche es mit fuzzing und source audit, d.h. probiere variablen zum überlaufen zu bewegen, prüfe null pointer exceptions, format strings, sql-injection, cross site scripting via fuzzing und danach
schaue in den source, ob du da noch sachen entdeckst, die man mit fuzzing niemals
entdecken würde. handelt es sich um eine gekaufte, relativ unbekannte, closed source applikation, nutze ida pro und softice zum reverse engineering, um fehler zu finden.

naja, dass alles bietet schon eine gute grundlage für einen guten test.

gruss,
deadbeef

markwaldhoff
12.02.04, 08:52
Danke für eure Antworten !
Hat mir schonmal sehr weitergeholfen !
Kennt jemand von euch vielleicht eine Seite, auf der man beispiele findet ???

ciedan
12.02.04, 08:57
Mahlzeit,

da hab ich was passendes für dich: http://www.bsi.de/fachthem/sinet/index.htm bei den Studien gibts ein PDF zum Thema Penetrationstests. Schön allgemein mit Planungsvorschlägen, Vorgehensweise und einer Liste mölglicher Proggies.

Bis denn
ciedan

markwaldhoff
12.02.04, 09:11
super !!! da gibts wirklich super viele nützliche Infos !!! danke !!!

sysdef.
16.02.04, 01:51
Original geschrieben von RapidMax
Backupstrategie, wie oft was wo gesichert.
Wurde eine Strategie festgelegt, wie bei einem Einbruch vorgegangen wird? Wer ist dafür zuständig?

wird über gesicherte leitung gesichert? (oder ftp/nfs ???) wie sicher sind die backupserver? liegt das backup verschlüsselt auf dem backup-server? wie oft wird die backup-sw (wenn man denn sowas braucht) upgedatet? wie steht es um die sicherheit des backup/restore-accounts und der backup-shares (falls vorhanden)? wer kommt an die backups? wie sicher ist das restore-verfahren? wer kann es anstossen? (wie sicher) wird gecheckt, ob der rechner, der das restore erhält (bzw. der backupserver je nach richtung) auch authentisch ist?

kritisch: wenn z.b. ein restore über ssh/scp/sftp mit pwd-auth stattfindet, ist dann per ip-spoofing/-fakeing oder rarp-fake möglich (mit gepatchtem ssh, das jedes pwd annimmt und den fremden fingerprint übergibt) um die restore-daten abzufangen?
man denke an den feind im haus (user, dienstleister, etc.) ;)

cu

ps: nur keine paras bekommen !