Hi,

ich möchte für Jemanden einen Sicherheitscheck mit Nessus durchführen.
Jedoch bricht Nessus den Scan immer vorzeitig ab, als ob sich hinter der IP kein Host befinden würde und deshalb auch nicht anfängt die Ports zu scannen. Jetzt habe ich die Firewall, die gescannt werden soll, etwas verändert. Nun scann Nessus zwar irre lange, findet dennoch keine offenen Ports, obwohl ich genau weiß welche offen sind.

Kann mir jemand ein paar Tips (Anleitung) geben, wie ich den Scanner am besten einstelle um die Firewall und dass dahinter liegende Netz zu überprüfen. Es ist eine Watchguard FB1000 Firewall, die das Netzt schützt.
Gibt es eine Einstellung, die am genausten ist und auch immer Funktioniert?

thx

Need more info:

Poste die Fehlermeldung, was gibt Nessus aus, mit welchen Optionen wurde er gestartet...

cane

Hallo,

also ich beschreibe mal meine Config:

- Meine eigene Firewall schalte ich aus, damit ich nach außen scannen kann.

Plugins
- Ich schalte bei Nessus alle außer die gefährlichen PlugIns an.

Prefs.
- Hatte "Do a TCP ping" an. -> Nessus beginnt zu scannen bricht aber sofort ab und zeigt einen leeren Report an. Danach habe bei der Firewall, die ich scannen will, die Konfig etwas verändert. Dort habe ich "AutoBlock unhandled Packets" deaktiviert.
Seitdem bricht Nessus nicht sofort ab, sondern scannt gut 30min. Im Report werden aber keine offenen Ports gefunden. HTTPS ist aber definitiv offen. Doch Nessus findet es nicht.

- Hatte "Do a TCP ping" auch aus. -> kein Unterschied

TCP scanning technique
- Habe alles mal ausprobiert: connect(), SYN, FIN, SYN FIN,...
-> keine Unterschiede festgestellt

Habe Fragment IP packets mal ein mal aus gestellt
-> auch nix anders

Port range
- Default range ausgewählt

Timing policy:
- Polite ausgewählt

Rest habe ich nicht verändert.


Scan options
- Optimize the test -> an
- Safe checks -> an


Soviel zu Nessus
-------------
Könnte es sein, dass der Provider der die öffentliche IP hostet, nicht richtig Routet bzw. den Host irgendwie schützt?
Denn ich habe noch eine andere IP, wo eine baugleiche Firewall steht, und diese kann ich gut scannen.

--------------
Kannst Du mir evtl. eine Einstellung für Nessus nennen, die am sensibelsten ist und somit auch immer am meisten findet? Gibt es solch eine Einstellung?

THX

Was bringt denn ein Scan mit Nmap?

Also ich habe folgendes ausgeführt:

nmap -sS -PO ***.***.***.*** (* = Die IP )

Ausgabe von nmap:
All 1601 scanned ports on h-***.***.***.***.host.de.colt.net
(***.***.***.***) are: filtered

Nmap run completed -- 1 IP address (1 host up) scanned in 1796 seconds

-----------------------------

Fazit: Er hat nichts gefunden. Warum?
Ich werde mich morgen direkt von die Firewall hängen und somit
Internet und Provieder hintermir lassen. Mich interessiert aber trotzdem brennend,
warum Nmap keine Ports findet. Bin für jede Information, die mich weiter
bringt dankbar.

Du scannst eine Firewall hinter der sich Rechner befinden, die Serverdienste anbieten, richtig?

Scannst Du denn die IP der Firewall oder die der dahinterliegenden Rechner?

Welche Serverdienste bieten die Rechner an - kannst Du die Serverdienste nutzen?

mfg
cane

Ich scanne die öffentliche IP der Firewall.
Dahinter befindet sich das Firmennetzwerk und darin auch ein ExchangeServer, der HTTPS, SMTP, ... anbietet.

Ich war heute vor Ort und habe mich zwischen DSLRouter und Firewall gepackt. Jetzt konnte ich die Firewall problemlos scannen und es wurden auch alle Ports gefunden, die ich finden sollte. Somit hat sich dieses Problem eigentlich erledigt, jedoch interessiert es mich nach wie vor, was denn dazu führt, dass ich die Firewall nicht über das Internet scannen kann.

Der DSL Router hat vielleicht eine "Firewall" integriert. Was ist das denn für ein Modell?

Und der Exchange Server ist auch so konfiguriert dass er Dienste außerhalb des lokalen Netz anbietet?

Wenn ja, kannst Du dich auf den Exchange von außen connecten?

Dein Prob werde ich zu 100 % lösen...

cane

Danke dafür, dass Du dich dafür so einsetzt.

Ich glaube aber ich habe die Lösung.
Als ich nämlich direkt vor der Firewall gescannt habe, wurde ich trotzt deaktiviertem AutoBlock auf die BlockedListe gesetzt. Kumpel hat dann schnell die Config der Firewall noch mal geändert, so dass ich als vertrauenswürdig erkannt wurde. Somit wurde ich nicht mehr auf die BlockedListe gesetzt und konnte gemütlich scannen und auch ein vernünftiges Resultat liefern.

Was wir jetzt noch gemacht haben ist, dass wir unsere feste öffentliche IP zu den vertrauenswürdigen hinzugefügt haben. Jetzt will ich demnächst noch mal testen, ob es wirklich daran gelegen hat. Wovon ich stark ausgehe.

Werde einmal über die öffentliche IP die Firewall scannen -> sollte problemlos gehen
Und werde von zu Hause über DSL die Firewall scannan -> was nicht gehen sollte, da dann wieder AutoBlock greifen sollte.

Weißt Du eine Methode, wie man dieses AutoBlock umgehen kann?
Evtl. den scanner auf paranoid stellen, oder andere scann Methode?

--
Ja, der Exchange bietet seine Diensta nach außen hin an. Unter HTTPS bietet er OWA = Outlook Web Access.
Damit kann man seine Mails im Browser anzeigen lassen, ähnlich wie GMX, usw.
Dazu noch SMTP, und dieses Schlüsselaushandlungsprotokoll ISAKP oder so.