terrortino
Goto Top

Firmeninternetanschluss auf Sicherheit testen lassen? Zertifizierte Firmen?

Hallo,

wir haben bei uns in der Firma einen Internetzugang über Provider xy. Wir vertrauen der Sicherheit nicht wirklich, denn der Zugriff ins Internet wird im Router nur über eine Accessliste geregelt. Firewall und NAT sind dort leider ein Fremdwort.

Wir würden nun unseren Anschluss von einer zertifizierten Firma selbst testen/angreifen lassen, um zu erfahren wie angreifbar wir sind und wie offen das System ist.

Es ist zwar nur ein Anschluss für ein 2. kleines Netz innerhalb des Unternehmens und dies ist auch physikalisch vom Mainnetz getrennt, aber es sind halt doch div. Clients und Server dran die so glaube ich leicht zu hacken sind.

Kann mir jemand da eine Firma empfehlen?

Danke und Gruß

Content-ID: 196717

Url: https://administrator.de/contentid/196717

Ausgedruckt am: 22.11.2024 um 14:11 Uhr

Odde23
Odde23 09.01.2013 aktualisiert um 19:54:00 Uhr
Goto Top
Zitat von @TerrorTino:
Zugriff ins Internet wird im Router nur über eine Accessliste geregelt. Firewall und NAT sind dort leider ein Fremdwort.

Hallo TerrorTino,

verstehe ich das richtig, ihr habt ein Subnetz mit eigenem Internetgateway, es ist aber keine Firewall am Gate vorhanden? Das ist schon mal grob fahrlässig, testen brauchst Du da ger nichts, denn ohne Firewall ist jeder Port defakto erreichbar. Du schreibst zudem, ihr nutzt kein NAT, dann haben Eure Clients dahinter öffentliche IPs? Wenn dem so ist und tatsächlich kein NAT stattfindet und auch keine Firewall vorhanden ist, dann brauchst Du da nichts testen lassen, denn dann ist Euer Netz schlicht offen.

Wie kannst Du da noch ruhig schlafen? Ich könnte es nicht!

Nichts für ungut....

Odde23
102534
102534 09.01.2013 um 20:14:17 Uhr
Goto Top
Zitat von @TerrorTino:
Es ist zwar nur ein Anschluss für ein 2. kleines Netz innerhalb des Unternehmens und dies ist auch physikalisch vom Mainnetz
getrennt, aber es sind halt doch div. Clients und Server dran die so glaube ich leicht zu hacken sind.

Hallo TerrorTino,

Joa da könnt ich auch nicht ruhig schlafen... Mich wunderts das der Server noch in eurem "Besitz" ist. Aber - bei der Konfiguration - würde mich nichts mehr wundern.

Hol jemanden ins Haus der Ahnung davon hat und das ganze richtig konfiguriert. Anschließend holt euch jemanden ins Haus der die Server unter die Lupe nimmt ob - nicht das da schon jemand dran war. Und dann holt euch jemanden ins Haus der schaut was ihr sonst noch für Scheunentore im Unternehmen habt (wenn das jetzt erst auffällt...)

Grüße

win-dozer
TerrorTino
TerrorTino 09.01.2013 um 20:43:07 Uhr
Goto Top
es ist fast so wie du geschrieben hast.

wir haben 2 Netze, 1x Main(abgesichert mit Firewall etc über Konzern IT Abteilung) und dann haben wir ein 2. Netz. Die Clients und Server laufen über eine eigenständige Verkabelung und eigene Switche. Dieses Netz ist an einen Router angeschlossen und der geht ins Netz von Provider XY.

Nun geht ein Kollege in Rente und ich soll das 2. Netz betreuen...naja das was ich geschrieben habe war die 1. Analyse..

Ich bin fast vom Hocker gefallen.

Öffentliche IPs für Server und Clients. Angelbich werden nur Protokolle und Ports in die Accessliste im Router eingetragen die auch benötigt werden. Aber man hat wohl schon öfters Angriffsversuche mitbekommen. Aber das würde ja alles so seine Richtigkeit haben und ausserdem sei die Performance der Leitung eh wichtiger lol...bei 300mbit...^^

nein zu lachen ist das wirklich nicht.

Mein Chef kam nun auf die gute Idee das wir das Netz doch mal von einer Firma testen lassen sollten. Die erstellen dann ein Gutachten etc. Nun bin ich halt auf der Suche nahc einem Dienstleister der das machen kann
16568
16568 09.01.2013 aktualisiert um 22:15:10 Uhr
Goto Top
Gutachten kriegst Du eins von mir, aber wozu?

Was bringt das?

Besser wäre doch, kein Gutachten einzuholen, sondern vielmehr das Netzwerk nach den üblichen Guidelines abzusichern, und dann brauchts Ersteres nicht mehr.

kopfschüttelnde Grüße...


Lonesome Walker
108012
108012 09.01.2013 um 23:43:20 Uhr
Goto Top
Hallo TerrorTino,

wir haben 2 Netze, 1x Main(abgesichert mit Firewall etc über Konzern IT Abteilung)
Da frage ich mich doch tatsächlich folgendes;
- Wenn schon fach und sachkundiges Personal vorhanden ist die sich ja anscheinend mit dieser Materie aus zu
kennen scheinen, warum administrieren diese, dieses zweite Netz nicht auch noch mit?
- Was ist das denn für eine 300 MBit/s Leitung und von wem?
- Was ist das denn nun genau für ein Netzwerk, das so genannte zweite und welchenzweck erfüllt es?
- Was sin das denn für Server in dem Netzwerk dort und welche Funktion erfüllen diese?

Nun geht ein Kollege in Rente und ich soll das 2. Netz betreuen...naja das was ich geschrieben habe war die 1. Analyse..
Also wenn das Deine analytischen Fähigkeiten wiederspiegelt, hoffe ich das die der Administration
besser aussehen. Und das sage ich nicht um Dich zu ärgern!

Ich bin fast vom Hocker gefallen.
Tja, was soll ich sagen.

nein zu lachen ist das wirklich nicht.
Sehe ich ja ganz genauso, nur ich bin da wohl einen ganzen Schritt weiter, als Du,
welche Erfahrungen hast Du mit dem Verwalten und managen von Netzwerken? Wenn die Frage erlaubt ist.

Mein Chef kam nun auf die gute Idee das wir das Netz doch mal von einer Firma testen lassen sollten.
Ich würde es eher für eine gute Idee halten wenn er sich jemanden besorgt der sich mit der Administration
von Netzwerken auskennt und das Geld wie schon vorher angesprochen lieber in eine schicke Firewall steckt!
Da gibt der Markt so einiges her aber, ohne zu wissen mit wie die Firma nun letzten Endes an das Internet
angeschlossen ist, macht das nicht viel Sinn Dir etwas zu raten!

Denn heiteres Topfschlagen ist nichts schönes und das wir Dir Stück für Stück alles aus der Nase ziehen
müssen, wollen, sollen auch nicht und bitte jetzt nicht erzählen das wäre der Sicherheit wegen.

Nun bin ich halt auf der Suche nahc einem Dienstleister der das machen kann
Sprich lieber mit der IT-Abteilung in Eurem Unternehmen, das die das ganze mit übernimmt und gut ist es.
Oder alternativ eine Firma beauftragen die dort eine Firewall installiert und einmal nach dem rechten
schaut.

- Ach wo wir gerade dabei sind, laufen auf den Servern denn wenigstens Antivirescanner?
Sind die up to date?
- Welche Software ist installiert und auf welchem Stand?
- Was sagt die Dokumentation des Netzes denn aus, falls vorhanden?

Gruß
Dobby
uelbich
uelbich 10.01.2013 um 00:14:06 Uhr
Goto Top
Hallo TerrorTino,

was du suchst ist ein Penetrationstest.

der gibts z.b beim TüV Süd.
http ://www.tuev-sued.de/management_systeme/it-dienstleistungen/penetrationstest

Um weitere Anbieter zu finden einfach den Begriff in eine Suchmaschine eingeben.

So wie du die Sache schilderst tut sich bei euch erst was wenn eine ext. Firma ein Stück Papier auf den Tisch legt welches aussagt: "Ihr habt da ein Problem.
spacyfreak
spacyfreak 10.01.2013 aktualisiert um 06:37:32 Uhr
Goto Top
Für ne Handvoll Dollar mach ich euch den Penetrationstest.
Aber kannst ja auch selbst Nessus, Metasploit, nmap anschmeissen und von daheim euren ip range scannen, was anderes wird der externe Prüfer auch nicht finden. Nen hochoffiziellen Briefkopf incl. Micky-Maus Stempel mach ich auch drauf, damit das nach was aussieht.. face-smile

Access Listen auf nem Router sind auch was ganz anderes als Firewallregeln, die ACLs machen keine statefull inspection.
Problematisch wäre auch surfen ohne contentfilter / webproxy, so holt man sich heutzutage die Schädlinge rein, über den ungefilterten Besuch von Webseiten.
Die Access Listen oder Firewall schützt ja "nur" vor Netzzugriff von aussen, doch wenn der Zugriff von innen initiiert ist kann die ACL dichtmachen wie sie wll.. IT Sicherheit ist ein umfassendes Thema...

Oder man holt sich einfach ne kleine Firewall, klemmt sie zwischen LAN und ISP Router und fertig.
Ich werd ja nicht testen ob ein Auto mit kaputter Bremse beim abrollen von einem Hang bremsen kann oder nicht. Ich reparier die Bremse.
MiSt
MiSt 10.01.2013 um 06:54:08 Uhr
Goto Top
Wenn man als Firma zertifiziert ist, kommen auch (meist, je nach Handbuch) nur zertifizierte Firmen ins Haus.
Obwohl - dann müsste das Thema "Datensicherheit" bei der Zertifizierung gefehlt haben... face-wink
Odde23
Odde23 10.01.2013 um 07:53:37 Uhr
Goto Top
Zitat von @MiSt:
Wenn man als Firma zertifiziert ist, kommen auch (meist, je nach Handbuch) nur zertifizierte Firmen ins Haus.
Obwohl - dann müsste das Thema "Datensicherheit" bei der Zertifizierung gefehlt haben... face-wink

Es stellt sich auch die Frage was für eine Zertifizierung? ISO 9001, ISO 17024, MS Certified Professional, Cisco Certified etc.

Es gibt viele Zertifikate.
rahbauke
rahbauke 10.01.2013 um 09:13:19 Uhr
Goto Top
Zitat von @uelbich:
Hallo TerrorTino,

was du suchst ist ein Penetrationstest.

der gibts z.b beim TüV Süd.
http ://www.tuev-sued.de/management_systeme/it-dienstleistungen/penetrationstest

Um weitere Anbieter zu finden einfach den Begriff in eine Suchmaschine eingeben.

So wie du die Sache schilderst tut sich bei euch erst was wenn eine ext. Firma ein Stück Papier auf den Tisch legt welches
aussagt: "Ihr habt da ein Problem.

An dieser Stelle kann ich noch auf diese Firma hinweisen, welche ebenfalls Penetrationstests durchführen: http://www.8com.de/

Gruß
Deepsys
Deepsys 10.01.2013 um 10:05:49 Uhr
Goto Top
Moin,

Zitat von @16568:
Besser wäre doch, kein Gutachten einzuholen, sondern vielmehr das Netzwerk nach den üblichen Guidelines abzusichern, und
dann brauchts Ersteres nicht mehr.

Jo, full ACK.

Ich würde da auch höchstens selber was testen. Der Dienstleister wird sich bei der Aufgabe freuen, nicht nur das wohl alles offen ist, nein er kann auch direkt Lösungen vorschlagen und nochmal kassieren.

Was zu tun ist, haben die Kollegen ja schon gesagt.


VG
Deepsys
16568
16568 10.01.2013 um 12:02:47 Uhr
Goto Top
Zitat von @spacyfreak:
Für ne Handvoll Dollar mach ich euch den Penetrationstest.
Aber kannst ja auch selbst Nessus, Metasploit, nmap anschmeissen und von daheim euren ip range scannen, was anderes wird der
externe Prüfer auch nicht finden.

Oh, ein richtiger Pentest beinhaltet schon ein wenig mehr, als mit Software rumzuspielen.
Wenn Du Dich mal mit der Materie beschäftigst, wirst Du das sehr schnell feststellen.
Ich kann Dich ja mal gerne mitnehmen, und dann vergleichen wir, was oder ob Du überhaupt etwas gefunden hast, und was ich dann so habe :-P

Oder man holt sich einfach ne kleine Firewall, klemmt sie zwischen LAN und ISP Router und fertig.

Ja, genau, DAS sind dann die BESTEN der BESTEN, SIR!
*kopfschüttel*

Ich werd ja nicht testen ob ein Auto mit kaputter Bremse beim abrollen von einem Hang bremsen kann oder nicht. Ich reparier die
Bremse.

Und davor mußt Du halt checken, ob sie überhaupt defekt ist...


Lonesome Walker