PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Nessus Für Netzwerktests



Seiten : [1] 2

Da.Bull
23.04.03, 09:18
Hallo zusammen.

Ich habe ein paar kleine Fragen im Zusammenhang mit Nessus. Wäre nett, wenn mir da jemand weiterhelfen könnte.

- Ich suche eine deutsche "How-to"Site über und zu Nessus
- Ist Portscanning legal ? Ich gehe mal stark davon aus, dass mir keiner verbieten kann, mein eigenes Netzwerk zu scannen, aber wie siehts mit dem Internet aus ? Nicht, dass ich das vor hätte (dann würd ich nicht nach Nessus fragen...) sondern für den Fall, dass ich mich mal vertipp.
- Was tut Nessus genau (abgesehen von Portscans).
- Ich habe gehört, man kann mit Nessus selbst Datenpakete erstellen (tcp, udp etc), müsste dafür aber eine "eigene Scriptsprache" können. Stimmt das/wo gibts da ein (vorzugsweises deutsches) Toturial ?

Für sachdienliche Hinweise vielen Dank :D

MfG Markus

joey.brunner
23.04.03, 09:37
Hi Endlich mal mein Thema!!! ;)

Ich bin quasi nessus. ich find dieses tool dermassen geil, wenn du mal ne grafische oberflaesche dazu brauchst, sag mir bescheid ;) [funzt aber nur, wenn du stdin, stdout und stderr ausschaltest, wegen php]

so nun zu deinen fragen:

Howto?
Was willst du machen, ich kann dir nur nessus.org empfehlen. wenn du nasl lernen willst, dann solltest du vorher schon C oder perl koennen, da die Beschreibung zu NASL eher mau ist...

Portscanning
So, jetzt kommen wir zu einem defizielen thema. portscanning ist derzeit noch legal. es ist aber ein gesetzt in der EU in der mache, die portscanning verhindern soll. dann duerfen nur noch bestimmte firmen und ae. scannen. das jetzt hier alles auszufuehren waere zu lang. nur als hinweis. unsere rechtsabteilung in der firma kaempft seit 6 monaten um genau stellungnahmen und weiss auch noch nichts genaues...
faktum: ja sind legal

was macht nessus?
tja, bist ja gut vorbereitet hae ;)

nessus kommt mit so genannten testcases (den plugins), diese cases entstehen zumeinst aus den in der CVE abgelegten SecurityAdvisories. Das heisst, es kommt ne neue luecke heraus und die wird bei securityfoucs oder securitytracker veroeffentlicht. dazu gibt es dann gleich eine cve nummer und ein paar tage stunden oder noch frueher einen nessus testcase. dieser testcase ist zumeinst in nasl geschrieben (Nessus Attack Scripting Language) und schaut, ob du die sicherheitsluecke hast....

ja du kannst mit nessus bzw. mit nasl selbst datenpakete erstellen, sogar brunz einfach

joey

cane
23.04.03, 09:40
Hallo Da.Bull

Nessus basiert auf Nmap, hat aber zusätzliche Funktionen.
- scannt auf Sicherheitslücken
- ist durch Module erweiterbar


Ist Portscanning legal
Heiß diskutiertes Thema...
Ich würde es mal als rechtliche Grauzone bezeichnen...
Im Moment ist es definitif nicht illegal obwohl ich denke , dass es da in Zukunft anders aussehen wird.


Was tut Nessus genau (abgesehen von Portscans).
Portscans prüfen nur ob ein Port offen oder zu ist.

Nessus prüft zusätzlich auf bekannte Sicherheitslücken und kann soweit ich weiß auch Angriffe auf gefundene Lücken starten (kann man mit NASL (Nessus Attacking Scripting Language) programmiert werden) das ist dann illegal;)

Ein deutsches HowTo zu Nessus oder NASL kenne ich spontan nicht.

Eine deutsche Page ist hier:
http://www.scriptkiddie.de/nessus/

mfg
cane

joey.brunner
23.04.03, 09:44
hi cane...

2 kleine verbesserungen, nicht dass nessus hier schlecht rauskommt !

also nessus basiert nicht auf nmap. es benutzt lediglich die nmap engine um das portscanning zu betreiben. basieren tut es auf C, der libpcap, libnet etc....

nessus kann per default KEINE sicherheitsluecken ausnutzen, du kannst natuerlcih deine eigenen cases schreiben, die das machen. aber per default werden banner ausgewertet oder antwortpakete erstellt. es wird so gut wie nie shellcode (maschinencode) uebergeben ! das strickte format von nasl liesse dies garnicht zu. es ist aber moeglich exploits in C zu schreiben und ueber nessus anzuwenden, aber dann spaer ich mir nur die socketprogrammierung.

joey

cane
23.04.03, 10:47
also nessus basiert nicht auf nmap. es benutzt lediglich die nmap engine um das portscanning zu betreiben. basieren tut es auf C, der libpcap, libnet etc....

Entschuldige ;)

cane

Da.Bull
23.04.03, 10:53
So, also vielen Dank erstmal !!


Ich bin quasi nessus. ich find dieses tool dermassen geil, wenn du mal ne grafische oberflaesche dazu brauchst, sag mir bescheid
Ich geh also davon aus, dass Nessus keine eigene graphische Oberfläche hat ? Wenn dem so ist, wäre es supanett, wenn "ich deine haben könnte" :) Was ist dann allerdings das, was auf oben genanntem Link zu sehen ist ?


was macht nessus?
tja, bist ja gut vorbereitet hae Da hast du wohl recht, weil ich nach nessus.org hier im Forum gesucht habe, aber nicht wirklich das gefunden habe, was ich oben gefragt habe. Und da ich ne deutsche Howto vorziehe hab ich gepostet.

Ich habe mir unten stehen Link (thx cane) angeschaut und festgestellt, dass ich sehr verwundert war, als ich gelesen habe, mach bräuchte einen Server und einen clinet.
"Ich werde 8 Systeme testen, 7 davon liegen in meinem lokalen Netzwerk (nennt es 'Nessus Lab') und das Achte (cvs.nessus.org) ist irgendwo im Internet. Mein Nessus Client laeuft auf joyeux.fr.nessus.org und der Server laueft auf prof.fr.nessus.org."
Das verstehe ich nicht, weil ich ja kein Zugriff auf einen frmeden PC brauche, um Ports zu scannen... Das ist doch gerade der Witz bei der Sache ?!?!
=> Muss ich auf dem PC, der gescannt (nach Ports) werden soll was installieren ?
=> Muss ich auf dem PC, der nach Sicherheitslücken gescannt werden soll was installiert werden ? (das würde Sinn ergeben...)
=> Muss auf dem zu scannenden Rechner Server oder client laufen ?

*bisschen verwirrt bin* :D

MfG Markus

joey.brunner
23.04.03, 10:59
@cane:

kein prob ;)

an den bullen:

also nessus kommt mit einer grafischen oberflaeche, die ich aber nicht so gut finde. aber dazu spaeter mehr:

nessus besteht aus einem server, der die kompletten tests durchfuehrt, du kannst dich nun mit einem grafischen oder mit einem textbasierenden client verbinden, das problem besteht nur in firewallregeln, aber ich denke nicht, dass du verteilt scannen willst, von daher kannst du ruhig die nessusclients nehmen, dafuer sind die sehr gut geeignet. wenn du aber mit agents etc arbeiten willst, hast du pech gehabt....

so, also mit dem client sagst du dem server nun, was er wie und wann scannen soll u wie der report aussehen soll. der server und der client koennen natuerlich auf dem selben rechner sein...

joey

EDIT:

du kannst natuerlich von einem rechner soviele rechner scannen wie du willst. du brauchst einen server u einen client, die wie bereits gesagt, auf dem selben rechner seien koennen. du musst nur ne route zum host haben, bzw. einen standardgateway, der ne route findet und du musst zugriff auf das netz haben (Firewall ACL beachten), kommst du nicht durch die firewall durch, bruachst du agents

joey

Da.Bull
23.04.03, 11:03
So, also werde nessus jetzt mal nach obenstehender Anleitung installieren ! ICh werde 100% nochmal posten aber für den Moment schonmal vielen Dank bis hierhin !

MfG Markus

joey.brunner
23.04.03, 11:14
kein prob....

beachte unbedingt die reihenfolge ! und wenn du keine garfik willst, musst du beim core --disable-gtk machen, du brauchst du die richtige gtk version, die du dann in die ld.so.conf eintragen musst, danach musst du diese neu einlesen (ldconfig) und vergiss nicht, nach den ersten kompilierungslaeufen die nessus pfade in deinen pfad aufzunehmen...

wenn du also nessus unter /usr/local/nessus installierst machst du folgendes:
PATH=$PATH:/usr/local/nessus/bin:/usr/local/nessus/sbin

wenn alles fertig kompiliert ist, dann erst einen user anlegen und dann das zertifikat....

joey

Da.Bull
23.04.03, 11:25
jetzt bin ich sehr verwirrt.

http://www.scriptkiddie.de/nessus/demo/de-first.html
Da ich gentoo habe, erledigen sich (vorerst) diverse Install-optionen, weil das automatisch installiert wird.

[hatte schon mit schreiben angefangen, dann kam dein Post] also erstmal "emerge nessus", dann "nessusd" eingegeben(nach Anleitung). Fehlermeldung: "bla.. did you run nessus-mkcert"
also "nessus-mkcert" eingegeben, Daten ausgefüllt. Ergebnis: "Creation of the Nessus SSL Certificate. Congratulations. Your server certificate was properly created. The following Files were created: Certification authority(2 mal); Nessus (2mal) Server"
Dann nochmals "nessusd" eingegeben.

SO, jetzt: auf obigem Link wird doch aber (zwangsläufig) das Zertifikat VOR dem Bentzer angelegt ! ist das jetzt schlimm ? :/

MfG Markus

joey.brunner
23.04.03, 11:28
sollte egal sein, leg jetzt einfach mal nen user an

Da.Bull
23.04.03, 11:48
ok, also, habe mich jetzt doch an die englische Anleitung gerichtet (bei der deutschen klappt die Option "-P" nicht).
also habe ich "nessus-adduser" eingegeben, den Benutzer "markus" angelegt und keine Regeln angegeben.
Dann habe ich zum starten im Daemonmodus ein "nessus -D" eingegeben und mit "ps -aux" kontrolliert, dass er läuft und er läuft :))

Als nächstes wäre dann wohl der Client dran !
also habe ich ein "nessus" eingegeben.Funktioniert, startet, alles wunderbar !

und was mache ich jetzt, wenn ich testen will, welche Ports auf dem Rechner offen sind, auf dem ich eben Nessus installiert habe ?

MfG Markus

joey.brunner
23.04.03, 12:12
hi,

also du benutzt die grafische oberflaeche oder ? dort ist doch alles schoen klicki bunti erklaert..

um aber nur die ports zu testen, reicht dir doch nmap... der wird ja mit nessus mitinstalliert

zum kompletten testen in der konsole kannst du diesen befehl verwenden:

nessus -q [Host wo der server laeuft] [Port] [User] [Pass] [Datei mit den Zielen] [Resultdatei].[Format]

wenn du es mit der grafik machen willst, muss du am anfang deinen usernamen und das passwort eingeben ,danach logst du dich ein und machst start test

joey

Da.Bull
23.04.03, 12:31
Zu dem "klicki-Bunti" : Schön wärs... Nessus läuft (weil ich es eben testen möchte) noch auf meinem Testrechner bei einer Auflösung von ca 400x200 .... Hab ich schon gesagt, dass Farbe auch auch schwarz/weiss beschränkt ist ? :D
Da ist nix mit klicki bunti und ich bin froh, dass Waimea 9 virtuelle Bildschirme hat, sonst könnte ich gar nicht überblicken, was bei NEssus alles steht ;)

nessus -q [Host wo der server laeuft] [Port] [User] [Pass] [Datei mit den Zielen] [Resultdatei].[Format]

[Port] : Ist damit der Port gemeint, den man "untersuchen" will ? also muss ich da Port 22 eintragen, wenn ich sehen will, ob ich mich per ssh auf den Rechner einloggen könnte, etc ?
[Datei mit den Zielen] : ? Was ist das ? :D

MfG Markus

(und vielen Dank schonmal)

joey.brunner
23.04.03, 12:46
Hi,

naja mit nessus ueberpruefen zu wollen, ob ein port laeuft ist wohl mit kanonen auf spatzen zu schiessen ;)

die leichteste methode um zu ueberpruefen ob da was laeuft waere doch

ssh zielhost oder ?

aber ok:

um mit nmap zu scannen
nmap -P0 -O -sN -p 20-25 [Zielhost]

dann werden port 20 bis 25 mit einem nullscan ueberprueft, dabei wird der rechner nicht gepingt und es wird os fingerprinting durchgefuerht...

zum nessus:
die zieldatei enthaelt alle ziele, die du scannen willst. Wenn du also den localhost ueberpruefen willst und einen html report haben willst machst du folgendes

cd /tmp && echo localhost >> zieldatei && nessus -q localhost 1241 Joey Password zieldatei ergebnis.html

jetzt verbindet sich der client mit dem nessusserver am localhost auf port 1241 und logt sich mit dem Usernamen Joey und dem Passwort Password ein und scant localhost. das ergebnis schreibt er in /tmp/ergebnis.html

wenn du die portrange von nessus einschraenmken willst, dann machst du das in der nessusrc im Homeverziechnis
vi ~/.nessusrc

Gruss joey

Da.Bull
23.04.03, 13:03
Ok, vielen Dank schonmal !!

klar ist das mit Kanonen auf Spatzen, ein "ssh ZielIP" wäre schneller, aber ich wüsste nicht, mit welchem Programm ich dann beispielsweise Port 7004 testen sollte.
Und zu nmap: Ich bin schon glücklich, wenn ich mit Nessus einigermaßen das hinbekomme, was ich will. Das noch mit 2 Programmen gleichzeitig zu versuchen ist (für mich) tödlich ;) Und da Nessus ja mehr Funktionen hat als nmap (zumindest habe ich noch nie etwas anderes gehört) wollte ich Nessus.


dann werden port 20 bis 25 mit einem nullscan ueberprueft, dabei wird der rechner nicht gepingt und es wird os fingerprinting durchgefuerht... bedeutet im Klartext, dass derjenige, dessen Ports untersucht werden, nichts davon mitbekommt ??

Wie ist das mit Nessus? Bekommt der gescannte PC das mit, wenn ich "nessus -q localhost 1241 Joey Password zieldatei ergebnis.html" eingebe ? Wo ist der Untershcied zu "nmap -P0 -O -sN -p 20-25 [Zielhost]" ?

MfG Markus

(sry für die vielen blöden noob-Fragen...)

joey.brunner
23.04.03, 13:20
Hi,

kein problem, kannst ruhig fragen...

1) du kannst mit telnet ueberpruefen, ob auf einem port etwas laeuft

telnet [Zielhsot] [Port]
also in deinem fall

telnet 1.1.1.1 7004

2) nmap

Nmap hat viele Scanmethoden, die aber im Endeffekt alle von einem gut konfirurierten Kernel, einem IDS oder einem portsensor festgestellt werden. Wenn du unerkannt bleiben willst, soltlest du halboffene Scans mit eienr sneaky period ausfuehren (achtung, das dauert ewig). Aber auch das ist nicht ganz sicher, aber schon ziemlich...

3) ob das "ziel" das scsannen mitbekommt...
Und ob, du bombadierst ihn mit einigen tausend Angriffen !!! Das kann soweit gehen, dass die Datenbank seines IDS abraucht. Also, wenn du jmd. mit nessus scanst merkt er es zu 100%

4) wo der unterschied zu den nmap scan u dem nessus scan ist ?
nmap ist ein portscanner, das heisst du klopfst an einem port an und schaust ob da jmd antwortet.
nessus benutzt nmap und zu untersuchen, ob jmd. auf dem port horcht (z.b. ein sshd daemon), falls dem so ist, werden gegen diesen port bzw. gegen den serverdienst dahinter, eine bestimmte anzahl von testcases (simulierte Hacks) gefahren...

joey

Da.Bull
23.04.03, 13:47
aha !! ok !

Dann kann ich mit Nessus also gar nicht nur schauen, ob beispielsweise ein sshd daemon auf Port 22 auf einem Zielhost offen ist, sondern auch Nessus benutzt dafür nmap!?
Das heisst ich sollte mit Nessus besser nicht meinen router untersuchen, weil dieser gleich mit x tausend testcases zugebombt wird ?
Das mag jetzt blöd klingen: aber kann ich die Testcases auch ausschalten ? Ich mag ja (vorerst) nicht versuchen, was kaputt zu machen, will aber trotzdem Nessus benutzten (wie gesagt, sonst müsste ich 2 Programm lernen: nmap UND Nessus).

Und wo bekommt man solch ein Wissen her ? Woher bekommt man Input, wie "Wenn du unerkannt bleiben willst, soltlest du halboffene Scans mit eienr sneaky period ausfuehren (achtung, das dauert ewig)" ????
Kennst du Berliner Bahnhof ?? :D :D :D
Hast du vielleicht 1-2 Links, wo sowas, wie "halboffene Scans" oder "sneaky period" ausführlich erklärt wird ?

und zu NASL: (nicht, dass ich mich in Naher Zukunft damit befassen wollte, aber für Die Zukunft:) Wo gebe ich denn die Befehle ein ? Gibt das dann sowas wie "nessus if Portanfrage == positiv then..." oder wie kann ich mir das vorstellen ?

Vielen Dank schonmal.

MfG Markus

joey.brunner
23.04.03, 13:59
hi,

also wenn du Nessus benutzten moechtest, kommst du um nmap eh nicht herum. Nmap ist stinkyeinfach.... Du bekommst in der man page zu nmap sehr viele und gute infos

man nmap

Dort wird erklaert was die verschiedenen Scantechniken bedeuten, wie sie funktionieren, wo man sie anwenden kann oder sollte und so weiter...

Naja, du solltest nessus schon verwenden, um die Sicherheit deiner Systeme zu verfizieren. Bevor du dies aber tust, solltest du unbedingt den Befehl
nessus-update-plugins
ausfuerhen. Dann holt sich der Server die neuesten Testcases von der webseite....

Zu NASL:
Wenn du C kannst, ist NASL kein Problem. Auch mit Perlkenntnissen kommslt du gut voran. Eien sehr gute Doku zu NASL findest du auf www.nessus.org

Bevor du aber Testcases schreiben kannst, solltest du erst mal nessus verstehen und danach auch die Protokollsuiten wie TCP/IP etc...

Wenn du einzelne Testcases abschalten willst, kannst du diese aus dem Ornder entfernen oder du deaktivierst die Optionen einfach in der ~/.nessusrc

wenn du noch fragen hast, einfach raus damit

joey

Da.Bull
23.04.03, 15:00
Wenn ich mir http://www.nessus.org/demo/report.html mal anschaue, ist ein sicheres System noch unmöglicher, als ich bisher dachte....

Frage: ich habe mal ein "nessus-update-plugins" eingegeben. Nach ca 4 Sekunden hatte ich wieder mein Loginprompt... ohne Ausgabe... kann das sein ?!

MfG Markus

joey.brunner
23.04.03, 15:17
ein sicheres system ist durchaus moeglich, es dauert nur etwas. und bedenke, dass nessus nur auf netzwerkaktivitaeten zurueckgreifen kann. die meinsten schwachstellen befinden sich in den kleinen helferchen. so wie vor kurzem. da war eine bufferoverflow luecke in "file", dsa sind ueble dinge, die du nur durch ein super aufgesetztes system wegebekommst....

das mit dem loginprompt das passt, ist richtig so (beim update)

joey

HangLoose
23.04.03, 18:49
moin moin

spannendes thema habt ihr hier :)


Gruß HL

joey.brunner
23.04.03, 18:51
haha danke ;)

joey

Da.Bull
23.04.03, 21:31
Hang, ich hoffe, das war keine verar**** :p

Ich find nessus echt nen hübsches Teil (also bis jetzt) !
Und langsam fange ich auch an, zu verstehen, wazu es ist und wo der Unterschied zu nmap liegt etc etc !
Demnächst kommts noch, und ich werde eines der beiden einsetzten ;)

Ps: ich habe heute zu meinem eigenen Erstaunen festgestellt (war bei den Manpages von nmap und nessus), dass mein Englisch gar nicht so eingestaubt ist, wie ich bisher dachte ;) Ich habe sogar hier und da mal nen Wort verstanden
:D :D

MfG Markus

HangLoose
23.04.03, 21:41
moin

@Da.Bull


Hang, ich hoffe, das war keine verar**** :p

keineswegs, ich habe mich bis jetzt noch nicht ernsthaft mit nessus beschäftigt, nur mal kurz reingeschnuppert ;).
von joey kamen ein paar interessante antworten. man muss nur lange genug warten können, irgendwann wann wird jede frage, die einen selbst interessiert, gestellt. :D


Gruß HL

joey.brunner
23.04.03, 22:20
da kann ich nur sagen, schaut euch das tool an. richtig spass macht das dann erst mit snort und mit squid, dann kann man dediziert scannen, durch firewalls durch mit agents. man kann cfs systeme einsetzen... dann wirds geil ! ;)

so jetzt schwaerm ich nicht mehr von ner dmz, sondern von der caro ;)

piss bald ;)

joey

Da.Bull
23.04.03, 22:21
jo :) da haste wohl recht ;)

aber dass dich Nessus erst jetzt (nach deiner "Iptables-Eingebung") interessiert wundert mich ein wenig ;)

Naja, nicht so wild, irgendwann findet jeder zu seinem Glück ;)

Schade eigentlich, dass Joey gerade schon in ein Tut eingebunden ist, sonst würde ich eins über nessus vorschlagen (oder nmap) ;) aber wir wollen hier niemanden überstrapizieren, und ich hab mal gelesen, es solle auch noch sowas wie nen real life geben... Sachen gibts... :D :D

Naja, Hang frag du mal bissel Sachen, damit Joey nicht aus der Übung kommt und ich mal bissel "mitlesen" kann ;)

MfG Markus

"mit snort und mit squid, dann kann man dediziert scannen, durch firewalls durch mit agents. man kann cfs systeme einsetzen" was ist das ? :)

HangLoose
23.04.03, 22:29
hi


richtig spass macht das dann erst mit snort und mit squid, dann kann man dediziert scannen, durch firewalls durch mit agents. man kann cfs systeme einsetzen... dann wirds geil !

hört sich sehr interessant an.



Schade eigentlich, dass Joey gerade schon in ein Tut eingebunden ist, sonst würde ich eins über nessus vorschlagen (oder nmap) aber wir wollen hier niemanden überstrapizieren, und ich hab mal gelesen, es solle auch noch sowas wie nen real life geben... Sachen gibts...

ich bin nicht so der der *howto-schreiber*, beweis gefällig? ;) => http://www.harry.homelinux.org/modules.php?name=News&file=article&sid=4

momentan hab ich auch viel um die ohren und die surf-saison hat auch wieder begonnen ;)


Gruß HL

joey.brunner
23.04.03, 22:35
hi,

also ne nessus doku ist derzeit echt nicht drin. ich verscueh ja schon seit einem halben jahr meine oberflaeche fuer die agents mal soweit zu bringen ,dass ich sie freigegeben kann. die wird zwar schon produktiv eingesetzt, aber fragt nicht, was das fuer ne arbeit war, bis das alles lief ;)

Ok, also was ist dediziertes scannen:

die ausgangsituation ist, dass wir meistens (in der firma) nur mit grosskunden zu tun haben (u hatten), die ein sehr grosses netzwerk haben, das ueber die ganze welt (im worst case) verteilt ist... wenn du dort jetzt die dmz nach sicherheitsluecken untersuchen willst hast du

a) Pech, weil du netzwerklast hsat wie ein irrer
b) nie durch die firewall kommen wirst mit deinen scans

also musst du was machen? genau, du musst in jedes zu ueberpruefende dmz-fuesschen einen nessus-agent stellen. dann installierst du irgendwo einen nessus-master. dieser master wird ueber eine weboverflaeche gesteuert. anhand von gruppen, usern und tasks kann nun die edv-leitung sehen, ob die sicherheit des netzes ueberprueft wurde, sind luecken aufgetaucht, so werden autom. tasks zum patchen vergeben (waer jetzt zu komplex das auszufuehren, im endeffekt hat es aber mit dem KonTraG zu tun und mit Haftung und mit Sorgfaltspflicht der Geschaeftsfuehrung). Der Master bekommt nun die Aufgabe das Netz X zu scannen. Den Auftrag gibt ein best. User, jetzt wird ueberprueft ob der User JETZT scannen darf u was er scannen darf. es wird nun ueber einen SSH - Tunnel eine Kommunikation aufgebaut und die zu scannenden Cases und Server werden vom Master an den Agent geleitet. Dieser scannt in seinem Segment u schickt nur (ueber den tunnel) die ergebenisse zurueck. dieser werden dann beim server grafisch aufbereitet u in eine DB geschrieben. Wie ihr seht, braucht man nur den SSH verkehr zu einer bestimmten Zeit zwischen dem Master u den Agent erlauben um ein komplettes verteiltes Netz zu scannen.

Was ist nun ein Snort:
Snort ist ein IDS, das zumeist unterschaetzt wird. Grosse Applicanceanbieter wie Crossbeam setzen darauf... man kann snort auch als Gateway fuer intrusion gatewaying einsetzten (siehe mein honeypot projekt in einem beirtrag weiter unten)...

was ist ein CFS
ein CFS ist ein Content-Filtering-System. Warum braucht man das. Wenn du jetzt einen SQL -Server in der DMZ stehen hast oder nen Mailserver, dann sind dies zumeisnt nur Relays, die Anfragen ueberpruefen testen und evtl. an einen anderne Server weiter im Netz drinnen schicken. Wenn du jetzt ueberpruefen willst, dass da auch nur SQL anfragen durchkommen oder eben Mail reicht es nicht nur auf das Proto an der Firewall zu gehen, du musst die Pakete anschauen und dann entscheiden u das macht ein CFS...

Bei Fragen,, fragen ;)

n8
joey

Da.Bull
23.04.03, 22:49
Ok, ich bin eurer noch nicht würdig :)

Ich finde es sehr lieb, wie du mir das erklärst, aber ich glaube, mir fehlen mehr Grundlagen.
Das sind (wie ich merke) für dich Selbstverständlichkeiten, aber ich versteh das nciht wirklich. Und ich kann schlecht nach jeder Kleinigkeit fragen, die ich nicht verstehe, wenn ich merke, dass ich immer weniger verstehe, je mehr du mir erklärst ;)
Bestes Beispiel dafür ist "DMZ" :)

Naja, was ich damit sagen bzw. nochmal fragen wollte: Wo hast du all diese Infos her und wo kann ich mir solch einen Input saugen ?? :)
Du hast da sicher die bessere Vorbildung um mir eventuell einen Tipp geben zu können, wo ich solch "spezielle" Infos wie über "DMZ" "Snort" und "CFS" herbekomme.
Es ist zwar wirklich lieb von dir gemeint, aber ne wirkliche Lösung ist es glaube ich nicht ;)

Vielen Dank schonmal im Vorraus ;)

MfG Markus