alchemy
Goto Top

Software zum permanenten Sicherheitsscan

Hallo @all,

ich bräuchte mal eure Hilfe beim finden der passenden Software.

Folgendes Szenario:

Wir haben ~200 Kunden mit Netzen in mittlerer Größe 10 - 100 Clients. Bei fast allen Netzen hängt eine brauchbare Firewall wie zb LanCom oder Checkpoint.

Nun haben wir das Problem, das manche Kunden gern einmal selbst spielen und die Firewalls ungewollt aufbohren.

Wir suchen eine Software, mit der wir in zeitlich definierten Abständen Sicherheitsscans von Extern auf die Firewalls schicken können.

Gewünscht ist eine Auswertung zB. über offene Ports und erkannten Schwachstellen.

Die Software darf auch etwas kosten.

Die Rechtlichen Aspeckte bei der Thematik haben wir bedacht und würden uns bei den Kunden Vertraglich absichern.

Hat jemand einen Vorschlag oder vieleicht einen komplett anderen Ansatz zur Lösung der Thematik?

Danke an alle

(PS: Belehrung der lokalen Admins ist zwecklos. Unsere Problemfälle sind sehr Beratungsresistent)

Content-ID: 176090

Url: https://administrator.de/forum/software-zum-permanenten-sicherheitsscan-176090.html

Ausgedruckt am: 24.12.2024 um 19:12 Uhr

brammer
brammer 10.11.2011 um 18:30:39 Uhr
Goto Top
Hallo,

wenn die Firewalls unter eurer Kontrolle stehen, solltet ihr einfach dafür sorge tragen das die fremden Admins keinen Zugriff auf die Maschinen haben.
Oder maximal ein "show" Zugriff.
Bei Cisco kann man solche Rechte so fein granulieren das man das im Prinzip für jeden einzelnen Befehl freigeben respektive sperren kann.
Checkpoint sollte das so ähnlich beherrschen. Lancom dürfte damit ein Problem haben.

Ansonsten könntest du mit einem Tool wie netscan per Task oder gescripted alle X Tage einen Scan der Firewall nach offenen Ports druchführen.
Die Auswertung sollte auch automatisierbar sein.

Besser dürfte aber ein Monitoring Tool sein über das ihr regelmässig per SNMP Status Meldungen bei Änderungen der Konfiguration bekommt.

Entscheidend ist hier aber der Zugriff per SNMP auf die Firewall auf.

Die ganz Harten Brocken unter den Kunden musst du erziehen.
Jede Konfiurationsanpassung in Rechnung stellen, du wirst sehen wie schnell der Aufwand an Änderungen oder Wiederherstellungen sinkt.

brammer
16568
16568 10.11.2011 um 19:59:02 Uhr
Goto Top
Oder einen Cronjob auf einer Linux-Büchse mit nmap, Ergebnis dann nach sendmail -> Euer Postkasten.
(wobei auch ich dem Geschriebenen von brammer zustimme: Kunden haben nix an der Firewall verloren)


Lonesome Walker
60730
60730 10.11.2011 um 21:27:55 Uhr
Goto Top
Moin,

Frag 3 Admins und du kriegst 3unterschiedliche meinungen.

Aber nicht bei so einer frage.

Eigentlich ist das was Brammer geschrieben hat schon eindeutig, aber...

Die "schnueffelsoftware" die ich kenne laeuft nur von innen heraus.

Du schreibst da oben was von "darf auch was kosten"...
Und jetzt komm ich, der dich fragt, wer soll das bezahlen?

Klar einiges, kann man bequem mit abklappern der offenen Ports lösen, aber das ist nur die halbe Miete.

Wenn du lernresistente Admins hast, die an ihrer Firewall rum doktorieren, ohne zu wissen, was sie da tun,
Dann kommt's auf die abgeschlossenen Verträge an, bist du nur der Lieferant, oder kümmerst du dich (vertraglich auch haftbar) um die Security?

Ich bin ein großer Freund davon es richtig zu machen und auch das nachträgliche überprüfen ist was, was zum Job gehört, aber irgendwo hört der Spaß auf.

Und nochmal, es kommt auf die Verträge drauf an, bist du nur der Lieferant, who Cares about und Fettich.

Falls es nun "Probleme" wegen des admin Passwortes gibt, nimm dir ein Beispiel an den großen providern.
Die lassen nicht mal den sehenden Zugriff auf die Router zu, die beim Kunden stehen.
Aber das ist eine Nummer, die auch im Vertrag drin steht.


Von daher behaupte ich mal, "wir" sind hier fast fertig (aqui?) das ist ein fall für die rechtsabteilung.

Gruss
Alchemy
Alchemy 11.11.2011 um 09:01:07 Uhr
Goto Top
Servus,

wir sind ein Systemhaus und haben für die meisten der Kunden ein Wartungsvertrag für die Technik hinter der FW. Nun gibt es allerdings einige, die aufgrund der Größe eigene Admins haben. Die lassen sich nicht gern aussperren.

In der Vergangenheit hatten wir den Fall, das durch Fehlkonfigurationen es zu Angriffen und Problemen gekommen ist.

Unser Gedanke war, für eine überschaubare Summe X einen Service anzubieten, welcher den Kunden in einem festgelegten Zeitfenster (und bei Bedarf) Scannt und einen verwertbaren Bericht ausgiebt.

Das hat 2 Effekte: Einmal hat der Kunde eine Übersicht wie sein Netz von Außen aussieht und zum anderen haben wir für uns klare Bilder.

Was rechtlich und organisatorisch dahintersteckt steht auf einem anderen Blatt.

Ich suche einfach nur nach einer Softwarelösung, die Funktionen bietet die dem sehr nahe kommen.

MfG
brammer
brammer 11.11.2011 um 10:17:45 Uhr
Goto Top
Zitat von @Alchemy:
Servus,

wir sind ein Systemhaus und haben für die meisten der Kunden ein Wartungsvertrag für die Technik hinter der FW. Nun gibt
es allerdings einige, die aufgrund der Größe eigene Admins haben. Die lassen sich nicht gern aussperren.

Nun, in eurem Netz haben sie aber nix zu suchen.
Wir betreuen mehrere Tausend Netze in Produkltionsumgebungen bei unseren Kunden. Der Kundne Admin soll sich doch bitte schön mi senem Office Netz beschäftigen.
Aus unserem Produktionsnetz hat er die Finger zu lassen!

In der Vergangenheit hatten wir den Fall, das durch Fehlkonfigurationen es zu Angriffen und Problemen gekommen ist.

Berechnen! wei oben angedeutet!

Unser Gedanke war, für eine überschaubare Summe X einen Service anzubieten, welcher den Kunden in einem festgelegten
Zeitfenster (und bei Bedarf) Scannt und einen verwertbaren Bericht ausgiebt.

Dafür gibt es verscheiden Tools, bis hinzu proaktiven Geschichten:
nextnine
Axeda
Innominate
sind da nur ein paar Mögliche Kandidaten

Das hat 2 Effekte: Einmal hat der Kunde eine Übersicht wie sein Netz von Außen aussieht und zum anderen haben wir
für uns klare Bilder.

... siehe oben

Was rechtlich und organisatorisch dahintersteckt steht auf einem anderen Blatt.

soltle aber nicht untergehen, kanneuch nämlich den Hals brechen

Ich suche einfach nur nach einer Softwarelösung, die Funktionen bietet die dem sehr nahe kommen.

Viel Spass beim Ausprobieren.

MfG

brammer
clSchak
clSchak 18.11.2011 um 06:24:23 Uhr
Goto Top
Ich würde es auch so machen, dass der Kunde maximal ein View auf die Geräte bekommt und gut ist, wenn der Kunde keinen Wartungsvertrag hat würde ich die Geräte auch nicht Scannen - dann seit Ihr womöglich nachher noch die Deppen die für ein Sicherheitsleck gerade stehen. Ich lasse das hier einmal im Jahr durch einen externen Dienstleister testen und bekomme dann entsprechende Reports mit der Bewertung der Sicherheitsstufe - was Wirtschaftsprüfer immer gerne sehen face-wink

Wir planen momentan einen Ausbau in den USA und können das von hier garnicht sauber betreuen, aus dem Grund haben wir auch in dem Anforderungsprofil für die Wartung drinnen stehen das die Firewalls von dem Systemhaus gewartet werden sollen und wir lediglich einen wöchentlichen Bericht der Config bekommen und Anpassungen immer durch den Dienstleister gemacht werden (wir geben dann zwar den Hersteller der FW vor damit es nicht zu den Problem kommt "Euer Gerät kann das nicht" und die allgemeine Grundeinstellung, aber das Feintuning soll dann das Systemhaus machen was dafür auch gerade steht wenn was passiert)
Alchemy
Alchemy 18.11.2011 um 09:51:06 Uhr
Goto Top
Hallo,

die rechtliche Grundlage ist ja schon durch unsere Rahmenverträge die wir mit dem Kunden haben geschaffen. Bei den betroffenen "Problemkunden" sind wir ja nur Coadministratoren, da diese 2-3 eigene Admins haben welche das System betreuen.

Bei 98% der Kunden ist die Firewall ausschließlich in unserer Hand.

Wie wollen nur eine zusätzliche ! Informative ! Dienstleistung anbieten, aufgesetzt auf den bestehenden Vereinbahrungen. Den Rest habe ich schon oben erleutert.

Realisiert wird das ganze nun via Eigenbau im NMAP. Danke für die vielen Antworten.