PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Server-Sicherheit testen



(one)
16.06.07, 19:25
Ich bin auf der Suche nach Webseiten oder auch Programmen, mit denen man seinen Server auf Angreifbarkeit testen kann. Am liebsten wäre mir also eine einfach zu bedienende Webseite, die dann den Server auf möglichst viele Sicherheitslücken testet, so, wie es viele Online-Browser-Sicherheitstests tun. Für Server hab ich sowas leider nicht gefunden.
Bitte schreibt auch dazu, was ihr von den Tests haltet und wie ich noch testen könnte, ob mein Server sicher ist.

marce
16.06.07, 20:01
z.B. nessus, div. open-relay-Tests.

Evtl. mal die Link-Liste im Unterforum "Sicherheit" durchschauen, da dürfte sich einiges finden...

Same
16.06.07, 20:56
z.B. nessus, div. open-relay-Tests.

Evtl. mal die Link-Liste im Unterforum "Sicherheit" durchschauen, da dürfte sich einiges finden...

was wird denn damit so getestet?

marce
16.06.07, 21:30
Soll ich die Doku zu dem Tool abtippen oder reicht der Verweis darauf?

bla!zilla
16.06.07, 21:32
Um sicherzustellen das ein System "sicher" ist, sollte man die Tools, mit denen man das testet, auch beherrschen. Zudem kann es durchaus sinnvoll sein, zu wissen wie man die Ausgaben der Tools nachvollziehen kann, oder überprüfen kann. Sich allein auf ein Tool zu verlassen ist fahrlässig.

marce
16.06.07, 21:45
Achwas - da reicht ein http-Aufruf auf "www.istmeinrechnersicher.de", IP eintippen und dann kommt nach 2sec ein grüner Haken der sagt "alles ist ok".

Aber mal ernsthaft: Tools sind toll - aber man muss wissen, was die können, tun, welche Gefahren dabei auftreten können (wenn man sie einsetzt), wie sie prüfen und wie sie zu welchem Ergebnis kommen. Oft sind die Tools aber nur Standardtests - und können daher eine spezielle Installation nicht sicher genug abprüfen (doofes Beispiel: phpMyAdmin ist unter /awstats installiert) - ein Tool entdeckt evtl. das /awstats-VZ und meckert dort ein Sicherheitsproblem an, ohne erkannt zu haben, dass sort ja gar kein awstats sondern was anderes sitzt. Und Lücken in nicht-Standard-Software oder in nicht-offensichtlichen Konfigurationen können damit meist eh nicht gefunden werden.

Es gibt nicht umsonst Firmen, die sich auf Security-Audits spezialisiert haben und dafür (manchmal zu Recht) nicht wenig Geld verlangen - Code- und Config-Audits gehen da meist Hand-in-Hand mit ein...

(one)
16.06.07, 22:30
Erstmal vielen Dank für eure Antworten!

Bei mir geht es eigentlich darum, dass ich, um die Ergebnisse meiner Webprogrammierung "halböffentlich", also mit wenigen Benutzern, zu testen, einen Webserver brauche, den ich dann über eine lahme DSL-Leitung und DynDNS verfügbar machen würde. Obwohl von dem Server also nicht sehr viele erfahren (ich veröffentliche ja nichts von diesem Server in Suchmaschinen), möchte ich, dass er möglichst sicher ist.

marce
17.06.07, 10:37
Dann fange doch selbst mal an, Dir Fragen zu stellen:
- welche Dienste willst Du extern anbieten
- welche Features müssen diese Dienste bieten?
- welche Dienst hast Du zusätzlich intern laufen?
- über Router oder direkt am Netz?
...

Wenn Du da mal eine ordentliche "Doku" zusammenhast - dann kannst Du dich um die Absicherung jedes einzelnen Dienstes kümmern. Was "sicher" ist - das hängt dann vom jeweiligen Paranoia-Faktor ab.

Absichern geht dabei von Dingen wie Features streichen, chroot, DMZ, Zwangs-Authentifizierung bis hin zu "normalem Härten" von Diensten und aufmerksames Lesen von Security-Mailinglisten...

Kurz gesagt: "Sicher" als feststehender Begriff gibt es nicht. Die maximale Sicherheit hängt immer von den gewünschten Features und der "persönlichen" Umgebung ab.

Same
17.06.07, 16:11
Ich habe nun mal bei http://www.antispam-ufrj.pads.ufrj.br/test-relay.html einen open relay test gemacht. Im Ergebniss wurde festgestellt, dass keine open relays zur Verfügung stehen.
Aber was haben die Einträge zu bedeuten?


Relay test 6
>>> RSET
<<< 250 2.0.0 Ok
>>> MAIL FROM: <spamtest@ipadresse>
<<< 501 5.1.7 Bad sender address syntax
>>> RCPT TO: <relaytest@antispam-ufrj.pads.ufrj.br>
<<< 503 5.5.1 Error: need MAIL command

Relay test 18
>>> RSET
<<< 250 2.0.0 Ok
>>> MAIL FROM: <spamtest@[ipadresse]>
<<< 250 2.1.0 Ok
>>> RCPT TO: <antispam-ufrj.pads.ufrj.br!relaytest@ipadresse>
<<< 501 5.1.3 Bad recipient address syntax

bla!zilla
17.06.07, 16:41
Schau mal hier rein (http://www.ietf.org/rfc/rfc2821.txt). Da findest du massig Informationen zu SMTP und auch zu den SMTP Fehlercodes. Wobei die Rückmeldungen schon relativ eindeutig sind.