Software zum permanenten Sicherheitsscan
Hallo @all,
ich bräuchte mal eure Hilfe beim finden der passenden Software.
Folgendes Szenario:
Wir haben ~200 Kunden mit Netzen in mittlerer Größe 10 - 100 Clients. Bei fast allen Netzen hängt eine brauchbare Firewall wie zb LanCom oder Checkpoint.
Nun haben wir das Problem, das manche Kunden gern einmal selbst spielen und die Firewalls ungewollt aufbohren.
Wir suchen eine Software, mit der wir in zeitlich definierten Abständen Sicherheitsscans von Extern auf die Firewalls schicken können.
Gewünscht ist eine Auswertung zB. über offene Ports und erkannten Schwachstellen.
Die Software darf auch etwas kosten.
Die Rechtlichen Aspeckte bei der Thematik haben wir bedacht und würden uns bei den Kunden Vertraglich absichern.
Hat jemand einen Vorschlag oder vieleicht einen komplett anderen Ansatz zur Lösung der Thematik?
Danke an alle
(PS: Belehrung der lokalen Admins ist zwecklos. Unsere Problemfälle sind sehr Beratungsresistent)
ich bräuchte mal eure Hilfe beim finden der passenden Software.
Folgendes Szenario:
Wir haben ~200 Kunden mit Netzen in mittlerer Größe 10 - 100 Clients. Bei fast allen Netzen hängt eine brauchbare Firewall wie zb LanCom oder Checkpoint.
Nun haben wir das Problem, das manche Kunden gern einmal selbst spielen und die Firewalls ungewollt aufbohren.
Wir suchen eine Software, mit der wir in zeitlich definierten Abständen Sicherheitsscans von Extern auf die Firewalls schicken können.
Gewünscht ist eine Auswertung zB. über offene Ports und erkannten Schwachstellen.
Die Software darf auch etwas kosten.
Die Rechtlichen Aspeckte bei der Thematik haben wir bedacht und würden uns bei den Kunden Vertraglich absichern.
Hat jemand einen Vorschlag oder vieleicht einen komplett anderen Ansatz zur Lösung der Thematik?
Danke an alle
(PS: Belehrung der lokalen Admins ist zwecklos. Unsere Problemfälle sind sehr Beratungsresistent)
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 176090
Url: https://administrator.de/forum/software-zum-permanenten-sicherheitsscan-176090.html
Ausgedruckt am: 24.12.2024 um 19:12 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
wenn die Firewalls unter eurer Kontrolle stehen, solltet ihr einfach dafür sorge tragen das die fremden Admins keinen Zugriff auf die Maschinen haben.
Oder maximal ein "show" Zugriff.
Bei Cisco kann man solche Rechte so fein granulieren das man das im Prinzip für jeden einzelnen Befehl freigeben respektive sperren kann.
Checkpoint sollte das so ähnlich beherrschen. Lancom dürfte damit ein Problem haben.
Ansonsten könntest du mit einem Tool wie netscan per Task oder gescripted alle X Tage einen Scan der Firewall nach offenen Ports druchführen.
Die Auswertung sollte auch automatisierbar sein.
Besser dürfte aber ein Monitoring Tool sein über das ihr regelmässig per SNMP Status Meldungen bei Änderungen der Konfiguration bekommt.
Entscheidend ist hier aber der Zugriff per SNMP auf die Firewall auf.
Die ganz Harten Brocken unter den Kunden musst du erziehen.
Jede Konfiurationsanpassung in Rechnung stellen, du wirst sehen wie schnell der Aufwand an Änderungen oder Wiederherstellungen sinkt.
brammer
wenn die Firewalls unter eurer Kontrolle stehen, solltet ihr einfach dafür sorge tragen das die fremden Admins keinen Zugriff auf die Maschinen haben.
Oder maximal ein "show" Zugriff.
Bei Cisco kann man solche Rechte so fein granulieren das man das im Prinzip für jeden einzelnen Befehl freigeben respektive sperren kann.
Checkpoint sollte das so ähnlich beherrschen. Lancom dürfte damit ein Problem haben.
Ansonsten könntest du mit einem Tool wie netscan per Task oder gescripted alle X Tage einen Scan der Firewall nach offenen Ports druchführen.
Die Auswertung sollte auch automatisierbar sein.
Besser dürfte aber ein Monitoring Tool sein über das ihr regelmässig per SNMP Status Meldungen bei Änderungen der Konfiguration bekommt.
Entscheidend ist hier aber der Zugriff per SNMP auf die Firewall auf.
Die ganz Harten Brocken unter den Kunden musst du erziehen.
Jede Konfiurationsanpassung in Rechnung stellen, du wirst sehen wie schnell der Aufwand an Änderungen oder Wiederherstellungen sinkt.
brammer
Oder einen Cronjob auf einer Linux-Büchse mit nmap, Ergebnis dann nach sendmail -> Euer Postkasten.
(wobei auch ich dem Geschriebenen von brammer zustimme: Kunden haben nix an der Firewall verloren)
Lonesome Walker
(wobei auch ich dem Geschriebenen von brammer zustimme: Kunden haben nix an der Firewall verloren)
Lonesome Walker
Moin,
Frag 3 Admins und du kriegst 3unterschiedliche meinungen.
Aber nicht bei so einer frage.
Eigentlich ist das was Brammer geschrieben hat schon eindeutig, aber...
Die "schnueffelsoftware" die ich kenne laeuft nur von innen heraus.
Du schreibst da oben was von "darf auch was kosten"...
Und jetzt komm ich, der dich fragt, wer soll das bezahlen?
Klar einiges, kann man bequem mit abklappern der offenen Ports lösen, aber das ist nur die halbe Miete.
Wenn du lernresistente Admins hast, die an ihrer Firewall rum doktorieren, ohne zu wissen, was sie da tun,
Dann kommt's auf die abgeschlossenen Verträge an, bist du nur der Lieferant, oder kümmerst du dich (vertraglich auch haftbar) um die Security?
Ich bin ein großer Freund davon es richtig zu machen und auch das nachträgliche überprüfen ist was, was zum Job gehört, aber irgendwo hört der Spaß auf.
Und nochmal, es kommt auf die Verträge drauf an, bist du nur der Lieferant, who Cares about und Fettich.
Falls es nun "Probleme" wegen des admin Passwortes gibt, nimm dir ein Beispiel an den großen providern.
Die lassen nicht mal den sehenden Zugriff auf die Router zu, die beim Kunden stehen.
Aber das ist eine Nummer, die auch im Vertrag drin steht.
Von daher behaupte ich mal, "wir" sind hier fast fertig (aqui?) das ist ein fall für die rechtsabteilung.
Gruss
Frag 3 Admins und du kriegst 3unterschiedliche meinungen.
Aber nicht bei so einer frage.
Eigentlich ist das was Brammer geschrieben hat schon eindeutig, aber...
Die "schnueffelsoftware" die ich kenne laeuft nur von innen heraus.
Du schreibst da oben was von "darf auch was kosten"...
Und jetzt komm ich, der dich fragt, wer soll das bezahlen?
Klar einiges, kann man bequem mit abklappern der offenen Ports lösen, aber das ist nur die halbe Miete.
Wenn du lernresistente Admins hast, die an ihrer Firewall rum doktorieren, ohne zu wissen, was sie da tun,
Dann kommt's auf die abgeschlossenen Verträge an, bist du nur der Lieferant, oder kümmerst du dich (vertraglich auch haftbar) um die Security?
Ich bin ein großer Freund davon es richtig zu machen und auch das nachträgliche überprüfen ist was, was zum Job gehört, aber irgendwo hört der Spaß auf.
Und nochmal, es kommt auf die Verträge drauf an, bist du nur der Lieferant, who Cares about und Fettich.
Falls es nun "Probleme" wegen des admin Passwortes gibt, nimm dir ein Beispiel an den großen providern.
Die lassen nicht mal den sehenden Zugriff auf die Router zu, die beim Kunden stehen.
Aber das ist eine Nummer, die auch im Vertrag drin steht.
Von daher behaupte ich mal, "wir" sind hier fast fertig (aqui?) das ist ein fall für die rechtsabteilung.
Gruss
Zitat von @Alchemy:
Servus,
wir sind ein Systemhaus und haben für die meisten der Kunden ein Wartungsvertrag für die Technik hinter der FW. Nun gibt
es allerdings einige, die aufgrund der Größe eigene Admins haben. Die lassen sich nicht gern aussperren.
Nun, in eurem Netz haben sie aber nix zu suchen.Servus,
wir sind ein Systemhaus und haben für die meisten der Kunden ein Wartungsvertrag für die Technik hinter der FW. Nun gibt
es allerdings einige, die aufgrund der Größe eigene Admins haben. Die lassen sich nicht gern aussperren.
Wir betreuen mehrere Tausend Netze in Produkltionsumgebungen bei unseren Kunden. Der Kundne Admin soll sich doch bitte schön mi senem Office Netz beschäftigen.
Aus unserem Produktionsnetz hat er die Finger zu lassen!
In der Vergangenheit hatten wir den Fall, das durch Fehlkonfigurationen es zu Angriffen und Problemen gekommen ist.
Berechnen! wei oben angedeutet!Unser Gedanke war, für eine überschaubare Summe X einen Service anzubieten, welcher den Kunden in einem festgelegten
Zeitfenster (und bei Bedarf) Scannt und einen verwertbaren Bericht ausgiebt.
Dafür gibt es verscheiden Tools, bis hinzu proaktiven Geschichten:Zeitfenster (und bei Bedarf) Scannt und einen verwertbaren Bericht ausgiebt.
nextnine
Axeda
Innominate
sind da nur ein paar Mögliche Kandidaten
Das hat 2 Effekte: Einmal hat der Kunde eine Übersicht wie sein Netz von Außen aussieht und zum anderen haben wir
für uns klare Bilder.
... siehe obenfür uns klare Bilder.
Was rechtlich und organisatorisch dahintersteckt steht auf einem anderen Blatt.
soltle aber nicht untergehen, kanneuch nämlich den Hals brechenIch suche einfach nur nach einer Softwarelösung, die Funktionen bietet die dem sehr nahe kommen.
Viel Spass beim Ausprobieren.MfG
brammer
Ich würde es auch so machen, dass der Kunde maximal ein View auf die Geräte bekommt und gut ist, wenn der Kunde keinen Wartungsvertrag hat würde ich die Geräte auch nicht Scannen - dann seit Ihr womöglich nachher noch die Deppen die für ein Sicherheitsleck gerade stehen. Ich lasse das hier einmal im Jahr durch einen externen Dienstleister testen und bekomme dann entsprechende Reports mit der Bewertung der Sicherheitsstufe - was Wirtschaftsprüfer immer gerne sehen
Wir planen momentan einen Ausbau in den USA und können das von hier garnicht sauber betreuen, aus dem Grund haben wir auch in dem Anforderungsprofil für die Wartung drinnen stehen das die Firewalls von dem Systemhaus gewartet werden sollen und wir lediglich einen wöchentlichen Bericht der Config bekommen und Anpassungen immer durch den Dienstleister gemacht werden (wir geben dann zwar den Hersteller der FW vor damit es nicht zu den Problem kommt "Euer Gerät kann das nicht" und die allgemeine Grundeinstellung, aber das Feintuning soll dann das Systemhaus machen was dafür auch gerade steht wenn was passiert)
Wir planen momentan einen Ausbau in den USA und können das von hier garnicht sauber betreuen, aus dem Grund haben wir auch in dem Anforderungsprofil für die Wartung drinnen stehen das die Firewalls von dem Systemhaus gewartet werden sollen und wir lediglich einen wöchentlichen Bericht der Config bekommen und Anpassungen immer durch den Dienstleister gemacht werden (wir geben dann zwar den Hersteller der FW vor damit es nicht zu den Problem kommt "Euer Gerät kann das nicht" und die allgemeine Grundeinstellung, aber das Feintuning soll dann das Systemhaus machen was dafür auch gerade steht wenn was passiert)