Netzwerkanfälligkeit und Port-Scan-Dienste

Ich richte einen regelmäßigen Port-Scan und einen Schwachstellen-Scan für ein mittelgroßes Netzwerk ein, das eine kundenorientierte Webanwendung implementiert. Die Hosts führen CentOS 5.4 aus.

Ich habe Tools wie Nmap und OpenVAS verwendet, aber unsere Firewall-Regeln enthalten Sonderfälle für Verbindungen, die von unseren eigenen Einrichtungen und Servern stammen. Daher sollte der Scan wirklich von außen durchgeführt werden.

Anstatt einen VPS- oder EC2-Server einzurichten und mit verschiedenen Tools zu konfigurieren, könnte dies anscheinend nur an einen Port- und Schwachstellen-Scan-Dienst vergeben werden. Wenn sie es professionell machen, sind sie vielleicht aktueller als etwas, das ich eingerichtet und ein Jahr lang laufen lassen habe ...

Irgendwelche Empfehlungen oder Erfahrungen dazu?

Ich habe das Scannen zuvor automatisiert, aber keinen ausgelagerten Scanservice verwendet. Beim Thema ausgelagerte Sicherheitsdienste zum Scannen schwören viele mir bekannte Personen auf Rapid7 . Sie haben auch HD Moore im Personal, so dass sie sicherlich Penetrationstests und Metasploit kennen.

Es ist trivial, Nmap- oder Nessus-Skripte zu verwenden, die Ausgabe zu verschlüsseln und per E-Mail an sich selbst zu senden.

Sie können auch regelmäßig die Einhaltung einer gehärteten Basislinie bewerten, um sicherzustellen, dass diese im Laufe der Zeit nicht davon abweicht oder neue Risiken einführt.

Wenn Sie ein Sicherheitsguru sind, würde ich es im Haus behalten, aber sonst würde ich es auslagern.

Beachten Sie, dass Sie authentifizierte Scans innerhalb der Firewall (s) durchführen müssen, um genaue Ergebnisse aus dem Scannen von Sicherheitslücken und der Compliance-Analyse zu erhalten.

Es hört sich so an, als würden Sie nicht nach Webdiensttests suchen, sondern nach allgemeinen Netzwerkstifttests. Ich würde sagen, die beste Wette ist es, Leute wie Offensive Security of Backtrack bekannt zu machen, und selbst wenn Sie sie nicht damit beauftragen, die Arbeit zu erledigen, könnten sie Ihrem internen Team Schulungen dafür anbieten.

Ich hatte das Glück, einige ihrer frühen Trainings zu nutzen (bevor sie Geld machten) und sie sind in beiden Fällen wirklich gut.

(Fügen Sie hier einen Klappentext über erbärmliche Compliance-Tests ein.)

Schauen Sie sich einen Nessus an ( http://nessus.org/nessus/ ). Ich habe dies in einem früheren Job eingerichtet und verwendet und ich denke, es macht genau das, wonach Sie fragen. Es behandelt Netzwerkschwachstellen sowohl remote als auch durch Einrichten eines Agenten auf dem Zielhost.

Edit: oh, es sieht so aus, als wäre openvas eine Gabelung von Nessus ...

Möchten Sie Ihre mit dem Internet verbundenen Webanwendungen sichern? Das Sichern von Webanwendungen unterscheidet sich vom Sichern eines Hosts. Beim Testen von Web-Apps sind viele Tools beteiligt, wie die unter http://yehg.net/hwd/?id=c&go=101 aufgeführten . Manchmal gibt es viele Dienste wie www.zerodayscan.com

Ich habe das auf verschiedene Arten gemacht. Die Tools, die Sie auswählen, liegen bei Ihnen, aber es scheint, als würden sich die Leute meiner Erfahrung nach eher auf nCircle, Rapid7 und / oder Qualys konzentrieren, um Schwachstellen und Compliance zu scannen. In jedem Fall unterscheiden sich alle in Preis und Genauigkeit. OpenVAS ist als Ausgangspunkt in Ordnung.

Um einen guten, voreingenommenen Scan Ihres Netzwerks zu erhalten, können Sie beispielsweise Kabel / DSL für Ihr Unternehmen bestellen und für Ihre Scans verwenden - oder Sie können die EC2 / Colo-Route wählen. Ich pflege Kolokationen bei verschiedenen Anbietern für externe Tests.

Es gibt viele Informationen, die Sie nicht aufgenommen haben. Was ist dein Budget? Müssen Sie jemandem über Ihre Einhaltung Bericht erstatten? Welche Compliance möchten Sie erreichen? Was ist Ihr übergeordnetes Ziel für dieses Projekt?

Ich kann http://www.securitymetrics.com anbieten

Sie bieten recht detaillierte, PCI-konforme Berichte über bekannte Schwachstellen, die von der Netzwerkschicht bis zur Anwendungsschicht reichen, sowie Informationen darüber, was zum Schließen der Schwachstelle getan werden muss.

Qualys ist eines der bekanntesten Unternehmen, dessen Hauptgeschäft das Remote-Schwachstellenmanagement ist .

Probieren Sie die kostenlosen Tools aus, um festzustellen, ob sie Ihren Anforderungen entsprechen.

Dies ist ein Beispielbericht von solchen Freetools:

_{(Quelle: qualys.com )}

Wir verwenden McAfee Secure für unsere Web-Scans. Sie bieten detaillierte Scans einschließlich PCI-Konformität. Wenn Sie nach einer bekannten Marke mit Branchenzulassung suchen, sind sie meiner Meinung nach kein schlechter Ausgangspunkt, je nachdem, was genau der Scan tun soll. Wir lassen sie die PCI-Konformität auf allen unseren Websites überprüfen, die Kreditkarteninformationen akzeptieren, und alle unsere IP-Adressen nach offenen Ports, Servern auf Schwachstellen, Cross-Site-Scripting-Problemen usw. durchsuchen.

Ich kann Snort anbieten, das als leichtes IDS gilt. Auf diese Weise stellt es sich einfach als flexibles IDS mit geringem Platzbedarf dar, das in kleinen bis mittelständischen Unternehmen eingesetzt werden soll. Einer der Hauptvorteile von Snort ist, dass es nicht nur sehr einfach einzurichten und zu warten ist, sondern auch in einem von drei Modi ausgeführt werden kann:

1. Sniffer-Modus, der die Pakete einfach aus dem Netzwerk liest und sie in einem kontinuierlichen Stream auf der Konsole (Bildschirm) für Sie anzeigt.
2. Packet Logger-Modus, der die Pakete auf der Festplatte protokolliert.
3. Der NIDS-Modus (Network Intrusion Detection System), die komplexeste und konfigurierbarste Konfiguration, mit der Snort den Netzwerkverkehr auf Übereinstimmungen mit einem benutzerdefinierten Regelsatz analysieren und basierend auf den angezeigten Aktionen mehrere Aktionen ausführen kann.