frm222
Goto Top

TaSK - TLS-Testtool vom BSI

Hallo Zusammen,

wir interessieren uns für das neu veröffentlichte TLS-Testtool vom BSI.
https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldu ...
Wir würden damit gerne unser Netz scannen und vielleicht die ein oder andere Schwachstelle aufdecken.
Leider finde ich die Dokumentation auf Github total unverständlich. Ich finde hier nicht einmal eine Installationsdatei, die ich herunterladen könnte.
Hat das Tool evtl. schon jemand bei sich installiert und im Einsatz? Kann das jemand ein bisschen einfacher und genauer erklären (Installation/Anwendung)? Und für welchen speziellen Anwendungsfall habt ihr das in Verwendung?

Ich freue mich auf eure Rückmeldungen.

Content-ID: 7604743044

Url: https://administrator.de/contentid/7604743044

Printed on: October 10, 2024 at 01:10 o'clock

DerMaddin
DerMaddin Jun 21, 2023 at 11:19:29 (UTC)
Goto Top
Scheinbar ist dein Englisch nicht gut genug um zu verstehen, dass das Ganze ein "Framework" ist, also eine Art Umgebung/Sammlung von zwei Tools. TaSK und TLS Test Tool. Alles läuft auf Ubuntu (Docker) somit keine "Setup.exe" zu finden.

Du kannst damit die TLS Kommunikation testen, nicht mehr und nicht weniger. Ein "Netz scannen" ist damit nicht möglich. TLS Kommunikation findet zwischen Client-Client oder Client-Server statt und genau das macht hier das Tool auch.

Die eigentliche Frage heißt also - was wollt ihr genau "scannen" und damit prüfen?
FrM222
FrM222 Jun 21, 2023 at 11:39:37 (UTC)
Goto Top
Okay das war vielleicht von mir falsch ausgedrückt... Ich habe schon verstanden, dass es zwei Tools sind und dass ich eher nicht nach einer Setup.exe suchen muss.
Wir haben es über Docker auch schon versucht, allerdings hat das nicht so geklappt. Aber mir ist auch nicht ganz klar, wie es am Ende aussehen soll...
Hat bei dir die Installation geklappt? Wie hast du das gemacht?

Die Prüfung einer Client-Server TLS-Kommunikation hört sich doch gut an. Ein allgemeiner Scan wäre zwar schön, aber ist damit eben nicht möglich.
DerMaddin
DerMaddin Jun 21, 2023 at 11:55:11 (UTC)
Goto Top
Es scheint wirklich etwas an Wissen zu fehlen. Gehen wir doch mal noch ein paar Schritte zurück. Was genau ist dein/euer Ziel bzw. Absicht? Habt ihr im Unternehmensnetzwerk TLS Kommunikation zw. Server-Server und Client-Server erzwungen und wollt es testen?
6376382705
6376382705 Jun 21, 2023 updated at 12:26:19 (UTC)
Goto Top
Hi.

ich habe meinen letzte Kommentar gelöscht .. Besser ist das.

Wir würden damit gerne unser Netz scannen und vielleicht die ein oder andere Schwachstelle aufdecken.
Das kann Dir dieses Tool nicht liefern.

Um Dich dennoch an dein Ziel zu bringen, schau Dir das mal an.


Lässt sich bequem in einer VM fahren und damit interne Netzattacken automatisiert emulieren. Es wird auch auf Sicherheitslücken geprüft.

ACHTUNG! Das Tool ist knackig, lastet dein Netz aus, die Pcs/Server und wenn deine Sicherheitsrichtlinien passen, sollte einiges im Netz passieren. Switchports deaktivieren sich, Adminzugang wird gesperrt, träges Netz, etc.

ACHTUNG! Linuxkenntnisse erforderlich!

Ansonsten ists das, was Du/Ihr sucht. Gibt es als kostenfrei (community) oder als payed software (Pro):

OpenVAS Github
Installanleitung

Gruß

Edit: Wenn Ihr weder Ahnung von Netzsicherheit noch von Linux habt, .. lass das wen machen, der das professionell umsetzt.
DerMaddin
DerMaddin Jun 21, 2023 at 12:23:20 (UTC)
Goto Top
Greenbone ist in der Tat schon "heftig" und sollte nur von erfahrenen Admins auf das interne Netzwerk angewendet werden. Wenn intern in eurer IT das Thema Netzwerksicherheit nur vom Hörensagen bekannt ist, dann sollte man besser die Finger von "Tools" lassen, die man nicht gut kennt und eine Firma so ein Test durchführen lassen.
FrM222
FrM222 Jun 21, 2023 at 13:44:56 (UTC)
Goto Top
Okay dann andere Frage...
Kann mir jemand verständlich erklären, wie ich dieses BSI TLS-Testtool installieren kann und für welchen Einsatz genau es gedacht ist?
Wir haben in der Firma zum Teil kleinere Eigenentwicklungen und ich habe gelesen, dass es auch den E-Mail Server prüfen kann. Daher wollten wir das Tool einfach mal testen, ob es für uns sinnvoll ist oder nicht.
Dani
Dani Jun 21, 2023 at 18:12:07 (UTC)
Goto Top
Moin,
ich glaube kaum, dass das Tool vom BSI einen Client, Server oder Anwendung in die Knie zwingt.

TaSK
https://omnisecure.berlin/wp-content/uploads/os23_Cznottka_Heinfried.pdf

TLS Test Tool
Das zweite Framework macht nichts anderes wie Tools wie testssl.sh. Nur werden eben die technische Richtlinien (TRs) zu SSL/TLS sowie Cihper Suites berücksichtigt.

Kann mir jemand verständlich erklären, wie ich dieses BSI TLS-Testtool installieren kann und für welchen Einsatz genau es gedacht ist?
Es gibt dazu zwei Seiten auf GitHub:
https://github.com/BSI-Bund/TaSK/tree/master/task
https://github.com/BSI-Bund/TaSK/tree/master/tlstesttool


Gruß,
Dani