redline
Goto Top

Penetrationtests

Tools und Software (Freeware,Shareware, kommerzielle Software) zur Abbildung eines Penetrationtests

Hallo Zusammen,

was habt ihr für Erfahrungen mit Penetrationtests, was gibt es für Tools um solche durchzuführen und wie gut sind die Ergebnisse daraus?

Vorab schonmal vielen Dank für eure Beiträge.

Gruß

Content-ID: 92785

Url: https://administrator.de/forum/penetrationtests-92785.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

harald21
harald21 24.07.2008 um 09:32:29 Uhr
Goto Top
Hallo,

einen Penetrationstest sollte man immer von einem externen Fachmann durchführen lassen.
Die dabei benutzten Tools und damit auch die erzielten Ergebnisse sind sehr unterschiedlich, je nachdem, welche Bedingungen deine Geschäftsführung über die Art und den Umfang des Test vereinbart.

mfg
Harald
theton
theton 24.07.2008 um 16:16:14 Uhr
Goto Top
Ein Pentest ist nur so gut, wie derjenige, der ihn durchführt. Wenn du nichtmal weisst welche Tools du für welche Tests verwenden sollst, reicht dein Wissen definitiv nicht aus um einen ernstzunehmenden Pentest zu machen. Ich würde dir daher auch raten dich an ein externes Unternehmen zu wenden, das sich darauf spezialisiert hat und entsprechende Kenntnisse mitbringt. Nur mal durch ein paar Tools klicken reicht jedenfalls nicht aus. Bevor man Pentests selbst macht, sollte man erstmal wissen welche Angriffsmöglichkeiten gibt es überhaupt, welche Angriffsszenarien sind in eurem Netzwerk denkbar, welche potentiellen Lücken sind vorhanden, wie kann man diese potentiellen Lücken ggf. nutzen usw. Zumeist kommt man da mit fertigen Programmen/Hackertools nicht weiter. Ein Pentester sollte daher auch in der Lage seine Exploits selbst zu schreiben, Angriffe auf bestimmte Applikationen (z.B. XSS, SQL-Injection usw. bei Webapplikationen) durchzuführen usw.

Du siehst... mit einer externen Firma, die sich damit auskennt, bist du mit Sicherheit besser beraten.

Für einen allgemeinen Scan auf potentielle Lücken kannst du dir aber mal Nessus bzw. seine Nachfolger anschauen. Zumindest die gröbsten Schnitzer kann man damit ausbügeln.
redline
redline 24.07.2008 um 16:40:57 Uhr
Goto Top
Ich möchte ja nicht rumzicken, aber ihr sollt mich nicht belehren, sondern mir einfach ein wenig Informationen geben. face-wink
Nicht böse gemeint...

Ich bin als Key Accounter bei einem IT-Dienstleister tätig und ich habe entsprechende Mitarbeiter aus dem Netzwerk und Sicherheitsbereich dafür...würde mich aber gerne unabhängig davon, über Möglichkeiten und Hintergründe informieren. Ist manchmal ratsam nicht immer auf die eigenen Ressourcen bei der Informationsbeschaffung zu zu greifen.

Danke

Gruß
theton
theton 24.07.2008 um 17:18:42 Uhr
Goto Top
Man sollte aber evtl. das Knowhow seiner Firma nutzen, wenn es schon zur Verfügung steht. Mit Vertrauen zu den Fähigkeiten der Mitarbeiter scheint es da ja nicht gerade weit her zu sein. Naja... euer Problem.

Wie bereits gesagt sind Klicki-Bunti-Programme da nicht angebracht. Ernsthafte Angriffe werden nur selten mit fertigen Programmen gemacht und entsprechend sollte das auch beim Pentesting gemacht werden. Ansonsten habe ich dir einen der bekanntesten Security-Scanner bereits genannt. Wenn dir das nicht reicht, suche dir im Netz halt Howtos zu Spoofing-Angriffen, verschiedene Möglichkeiten des Exploitings, (D)DoS-Angriffe, Injection-Angriffe alle Art usw. usf. damit du dir selbst mal vor Augen führen kannst wie Komplex das Thema Pentesting ist und dass ein "ich klicke mich mal durch diese Tools" da bei weitem nicht ausreicht. http://packetstormsecurity.org/ dürfte da die beste Anlaufstelle sein.
redline
redline 25.07.2008 um 08:53:03 Uhr
Goto Top
Ich denke, die fehlt das Knowhow im Bereich Mitarbeiterführung und Projektmanagement...aber das ist ein anderes Thema, will ich gar nicht drüber diskutieren.

Das hier ist ein Board und in einem solchen Board tauscht man sich untereinander aus. Irgendwann bietet jeden das erste mal einen PenTest an oder führt ihn zum ersten mal durch.

Ich habe Vertrauen in meine Mitarbeiter, allerdings wird die jeweilige Thematik in einem solchen Rahmen hier viel bunter beleuchtet und man bekommt vielseitigere Eindrücke.

Also danke für eure schnellen Antworten und Rückmeldungen.

LG
Testuser16
Testuser16 28.07.2008 um 23:23:14 Uhr
Goto Top
redline
redline 29.07.2008 um 07:37:24 Uhr
Goto Top
Danke,

hab ich mir letzte Woche schon ausgedruckt face-wink