10
Penetrationstester-Labor - Firewalls
Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll?
Hat das nur den Vorteil "schnell" ein Erfolgserlebnis zu haben oder haben Firmen statt der Firewall des Betriebssystems nur Router als Firewall konfiguriert?
Letzteres kann ich mir eigentlich nicht vorstellen!
Zudem soll das "Lab" ja so realistisch sein wie nur - in der Realität - möglich!
Hat das nur den Vorteil "schnell" ein Erfolgserlebnis zu haben oder haben Firmen statt der Firewall des Betriebssystems nur Router als Firewall konfiguriert?
Letzteres kann ich mir eigentlich nicht vorstellen!
Zudem soll das "Lab" ja so realistisch sein wie nur - in der Realität - möglich!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 361815
Url: https://administrator.de/contentid/361815
Ausgedruckt am: 25.11.2024 um 10:11 Uhr
10 Kommentare
Neuester Kommentar
Hi,
ohne diese Information wird deine Frage(n) nicht zu beantworten sein.
CH
Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll?
Wo hast du diese Aussage her, oder wahrscheinlich besser: aus welchem Zusammenhang hast du sie heraus geholt ?ohne diese Information wird deine Frage(n) nicht zu beantworten sein.
CH
Kommt halt drauf an was du penetrieren willst, die Firewalls der Systeme selber oder primär sämtliche Anwendungen die auf allen möglichen Ports lauschen 
.
Also immer eine Frage was man bezwecken will. Das war vielleicht mal früher so das die Leute einfach aus Unkenntnis interne Firewalls einfach abschalteten, aber heutzutage sollte man davon nicht mehr ausgehen, außer bei den Jungs die es immer noch nicht kapiert haben das auch internes Ungeziefer von abgeschalteten Firewalls sehr wohl profitiert und sich dadurch ungehindert verbreiten kann.
Gruß Sepp
.Also immer eine Frage was man bezwecken will. Das war vielleicht mal früher so das die Leute einfach aus Unkenntnis interne Firewalls einfach abschalteten, aber heutzutage sollte man davon nicht mehr ausgehen, außer bei den Jungs die es immer noch nicht kapiert haben das auch internes Ungeziefer von abgeschalteten Firewalls sehr wohl profitiert und sich dadurch ungehindert verbreiten kann.
Gruß Sepp
Hallo,
Meinst Du die Firewall des testenden Systems? Würde vielleicht Sinn ergeben, da man dann falsch negative Testergebnisse reduzieren könnte. Die Firewall des getesteten Systems könnte man lediglich testweise abschalten. Kommt man „durch“ weiß man, das der Testaufbau korrekt ist. Dann wieder einschalten. Dann weiß man, ob die Firewall ihre Arbeit tut.
Trotzdem, was für eine komische ungenaue war das nur?
Grüße
lcer
Meinst Du die Firewall des testenden Systems? Würde vielleicht Sinn ergeben, da man dann falsch negative Testergebnisse reduzieren könnte. Die Firewall des getesteten Systems könnte man lediglich testweise abschalten. Kommt man „durch“ weiß man, das der Testaufbau korrekt ist. Dann wieder einschalten. Dann weiß man, ob die Firewall ihre Arbeit tut.
Trotzdem, was für eine komische ungenaue war das nur?
Grüße
lcer
Hallo,
Penetrationstests gibt es in unterschiedlichen Varianten, blackbox, grey,white Kombinationen aus diesen e.t.c.
Dabei bezieht sich das aber meistens um den Informationsaustausch der Vertraglich zwischen den Pentester und dem Unternehmen
geschlossen wurde und ob die angegriffenen Systeme kompromittiert werden sollen.
Ein Penetrationstest im Haus , also in der Netzwerkumgebung wird in der Regel genutzt um die Clients, Internen angebotenen Dienste
zu testen.
Ein Penetrationstest von aussen , testet eben Firewall, Webanwendungen und bei Erfolg , versucht man sich dann durch zu hangeln...
Daher macht es keinen Sinn die Firewall abzuschalten.
In einem Labor bei dem bestimmte Sicherheitsluecken simuliert werden sollen, kann das schon Sinn machen um eben das Hauptaugenmerk auf
die Luecke und nicht auf die Umgebung zu lenken.
Gruss
Penetrationstests gibt es in unterschiedlichen Varianten, blackbox, grey,white Kombinationen aus diesen e.t.c.
Dabei bezieht sich das aber meistens um den Informationsaustausch der Vertraglich zwischen den Pentester und dem Unternehmen
geschlossen wurde und ob die angegriffenen Systeme kompromittiert werden sollen.
Ein Penetrationstest im Haus , also in der Netzwerkumgebung wird in der Regel genutzt um die Clients, Internen angebotenen Dienste
zu testen.
Ein Penetrationstest von aussen , testet eben Firewall, Webanwendungen und bei Erfolg , versucht man sich dann durch zu hangeln...
Daher macht es keinen Sinn die Firewall abzuschalten.
In einem Labor bei dem bestimmte Sicherheitsluecken simuliert werden sollen, kann das schon Sinn machen um eben das Hauptaugenmerk auf
die Luecke und nicht auf die Umgebung zu lenken.
Gruss
Zitat von @Oli-nux:
Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll?
Hat das nur den Vorteil "schnell" ein Erfolgserlebnis zu haben oder haben Firmen statt der Firewall des Betriebssystems nur Router als Firewall konfiguriert?
Letzteres kann ich mir eigentlich nicht vorstellen!
Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll?
Hat das nur den Vorteil "schnell" ein Erfolgserlebnis zu haben oder haben Firmen statt der Firewall des Betriebssystems nur Router als Firewall konfiguriert?
Letzteres kann ich mir eigentlich nicht vorstellen!
Das Problem ist, daß ohne Kontext diese Aussage nicht eingeordnet werden kann. Es kann sehr viele Ursachen haben, warum man die "internen Firewalls" abschalten soll. Zumindest dann, wenn man ncith die Firewalls, sondern die Dienste testen will, die auf den Systemen laufen. Sowas macht man aber nur im "Lab" udn nicht bei Produktivsystemen. Dort "bleiben die Schilde oben".
lks
Aus dem CBT Nugget Kurs!
Der Kurs ist aktuell.
Und selbstverständlich sollen alle Anwendungen und Ports penetriert werden, wie sie im wahren Leben auch laufen.
Und selbstverständlich sollen alle Anwendungen und Ports penetriert werden, wie sie im wahren Leben auch laufen.
Genau, die Firewall des jeweils zu testenden Systems, welche - aus dem Online-Kurs - schon standardmäßig ausgeschalten ist.
Das was du da im großen und ganzen schreibst, war mir schon bekannt.
Das mit dem Hauptaugenmerk auf die Lücke und nicht auf die Umgebung... im wahren Leben wird man bei einem richtigen Pentest sein Hauptaugenmerk aber wohl nicht nur auf die Lücke legen können.
Das mit dem Hauptaugenmerk auf die Lücke und nicht auf die Umgebung... im wahren Leben wird man bei einem richtigen Pentest sein Hauptaugenmerk aber wohl nicht nur auf die Lücke legen können.
Moin,
du schreibst nicht was du testen willst... Es ist eigentlich ganz einfach: Nehmen wir an ich möchte eine Web-Software testen. Jetzt kann ich einmal mit Firewall testen da ich ja weiss das meine Software ja nur auf dem Port XYZ läuft und somit nix anderes relevant ist. Damit kann ich z.b. div. SQL-Injections, Overflows,... testen.
Was passiert aber wenn das System selbst ne Lücke hat - oder der Server (z.B. Tomcat)? Und ggf. möchte ich das ja mit testen (lassen) - dann wäre es nur blöd wenn der Server hinter einer Firewall steht da dann die Ports nicht erreicht werden können. Natürlich in der Realität (und wenn alles optiomal ist) kommt das nicht vor - bis dann der Trojaner XYZ auf dem internen Netz doch was böses macht.
Von daher: Die Aussage ohne Kontext ist Unsinn - es kann Sinn machen, kann aber eben auch durchaus sein das man die FW anlassen kann (da auch diese ja wieder eine Software ist bzw. das eben näher an der Produktiv-Umgebung wäre).
du schreibst nicht was du testen willst... Es ist eigentlich ganz einfach: Nehmen wir an ich möchte eine Web-Software testen. Jetzt kann ich einmal mit Firewall testen da ich ja weiss das meine Software ja nur auf dem Port XYZ läuft und somit nix anderes relevant ist. Damit kann ich z.b. div. SQL-Injections, Overflows,... testen.
Was passiert aber wenn das System selbst ne Lücke hat - oder der Server (z.B. Tomcat)? Und ggf. möchte ich das ja mit testen (lassen) - dann wäre es nur blöd wenn der Server hinter einer Firewall steht da dann die Ports nicht erreicht werden können. Natürlich in der Realität (und wenn alles optiomal ist) kommt das nicht vor - bis dann der Trojaner XYZ auf dem internen Netz doch was böses macht.
Von daher: Die Aussage ohne Kontext ist Unsinn - es kann Sinn machen, kann aber eben auch durchaus sein das man die FW anlassen kann (da auch diese ja wieder eine Software ist bzw. das eben näher an der Produktiv-Umgebung wäre).
