7
TaSK - TLS-Testtool vom BSI
Hallo Zusammen,
wir interessieren uns für das neu veröffentlichte TLS-Testtool vom BSI.
https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldu ...
Wir würden damit gerne unser Netz scannen und vielleicht die ein oder andere Schwachstelle aufdecken.
Leider finde ich die Dokumentation auf Github total unverständlich. Ich finde hier nicht einmal eine Installationsdatei, die ich herunterladen könnte.
Hat das Tool evtl. schon jemand bei sich installiert und im Einsatz? Kann das jemand ein bisschen einfacher und genauer erklären (Installation/Anwendung)? Und für welchen speziellen Anwendungsfall habt ihr das in Verwendung?
Ich freue mich auf eure Rückmeldungen.
wir interessieren uns für das neu veröffentlichte TLS-Testtool vom BSI.
https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldu ...
Wir würden damit gerne unser Netz scannen und vielleicht die ein oder andere Schwachstelle aufdecken.
Leider finde ich die Dokumentation auf Github total unverständlich. Ich finde hier nicht einmal eine Installationsdatei, die ich herunterladen könnte.
Hat das Tool evtl. schon jemand bei sich installiert und im Einsatz? Kann das jemand ein bisschen einfacher und genauer erklären (Installation/Anwendung)? Und für welchen speziellen Anwendungsfall habt ihr das in Verwendung?
Ich freue mich auf eure Rückmeldungen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7604743044
Url: https://administrator.de/contentid/7604743044
Ausgedruckt am: 19.11.2024 um 11:11 Uhr
7 Kommentare
Neuester Kommentar
Scheinbar ist dein Englisch nicht gut genug um zu verstehen, dass das Ganze ein "Framework" ist, also eine Art Umgebung/Sammlung von zwei Tools. TaSK und TLS Test Tool. Alles läuft auf Ubuntu (Docker) somit keine "Setup.exe" zu finden.
Du kannst damit die TLS Kommunikation testen, nicht mehr und nicht weniger. Ein "Netz scannen" ist damit nicht möglich. TLS Kommunikation findet zwischen Client-Client oder Client-Server statt und genau das macht hier das Tool auch.
Die eigentliche Frage heißt also - was wollt ihr genau "scannen" und damit prüfen?
Du kannst damit die TLS Kommunikation testen, nicht mehr und nicht weniger. Ein "Netz scannen" ist damit nicht möglich. TLS Kommunikation findet zwischen Client-Client oder Client-Server statt und genau das macht hier das Tool auch.
Die eigentliche Frage heißt also - was wollt ihr genau "scannen" und damit prüfen?
1
Okay das war vielleicht von mir falsch ausgedrückt... Ich habe schon verstanden, dass es zwei Tools sind und dass ich eher nicht nach einer Setup.exe suchen muss.
Wir haben es über Docker auch schon versucht, allerdings hat das nicht so geklappt. Aber mir ist auch nicht ganz klar, wie es am Ende aussehen soll...
Hat bei dir die Installation geklappt? Wie hast du das gemacht?
Die Prüfung einer Client-Server TLS-Kommunikation hört sich doch gut an. Ein allgemeiner Scan wäre zwar schön, aber ist damit eben nicht möglich.
Wir haben es über Docker auch schon versucht, allerdings hat das nicht so geklappt. Aber mir ist auch nicht ganz klar, wie es am Ende aussehen soll...
Hat bei dir die Installation geklappt? Wie hast du das gemacht?
Die Prüfung einer Client-Server TLS-Kommunikation hört sich doch gut an. Ein allgemeiner Scan wäre zwar schön, aber ist damit eben nicht möglich.
Es scheint wirklich etwas an Wissen zu fehlen. Gehen wir doch mal noch ein paar Schritte zurück. Was genau ist dein/euer Ziel bzw. Absicht? Habt ihr im Unternehmensnetzwerk TLS Kommunikation zw. Server-Server und Client-Server erzwungen und wollt es testen?
Hi.
ich habe meinen letzte Kommentar gelöscht .. Besser ist das.
Um Dich dennoch an dein Ziel zu bringen, schau Dir das mal an.
Lässt sich bequem in einer VM fahren und damit interne Netzattacken automatisiert emulieren. Es wird auch auf Sicherheitslücken geprüft.
ACHTUNG! Das Tool ist knackig, lastet dein Netz aus, die Pcs/Server und wenn deine Sicherheitsrichtlinien passen, sollte einiges im Netz passieren. Switchports deaktivieren sich, Adminzugang wird gesperrt, träges Netz, etc.
ACHTUNG! Linuxkenntnisse erforderlich!
Ansonsten ists das, was Du/Ihr sucht. Gibt es als kostenfrei (community) oder als payed software (Pro):
OpenVAS Github
Installanleitung
Gruß
Edit: Wenn Ihr weder Ahnung von Netzsicherheit noch von Linux habt, .. lass das wen machen, der das professionell umsetzt.
ich habe meinen letzte Kommentar gelöscht .. Besser ist das.
Wir würden damit gerne unser Netz scannen und vielleicht die ein oder andere Schwachstelle aufdecken.
Das kann Dir dieses Tool nicht liefern.Um Dich dennoch an dein Ziel zu bringen, schau Dir das mal an.
Lässt sich bequem in einer VM fahren und damit interne Netzattacken automatisiert emulieren. Es wird auch auf Sicherheitslücken geprüft.
ACHTUNG! Das Tool ist knackig, lastet dein Netz aus, die Pcs/Server und wenn deine Sicherheitsrichtlinien passen, sollte einiges im Netz passieren. Switchports deaktivieren sich, Adminzugang wird gesperrt, träges Netz, etc.
ACHTUNG! Linuxkenntnisse erforderlich!
Ansonsten ists das, was Du/Ihr sucht. Gibt es als kostenfrei (community) oder als payed software (Pro):
OpenVAS Github
Installanleitung
Gruß
Edit: Wenn Ihr weder Ahnung von Netzsicherheit noch von Linux habt, .. lass das wen machen, der das professionell umsetzt.
Greenbone ist in der Tat schon "heftig" und sollte nur von erfahrenen Admins auf das interne Netzwerk angewendet werden. Wenn intern in eurer IT das Thema Netzwerksicherheit nur vom Hörensagen bekannt ist, dann sollte man besser die Finger von "Tools" lassen, die man nicht gut kennt und eine Firma so ein Test durchführen lassen.
3
Okay dann andere Frage...
Kann mir jemand verständlich erklären, wie ich dieses BSI TLS-Testtool installieren kann und für welchen Einsatz genau es gedacht ist?
Wir haben in der Firma zum Teil kleinere Eigenentwicklungen und ich habe gelesen, dass es auch den E-Mail Server prüfen kann. Daher wollten wir das Tool einfach mal testen, ob es für uns sinnvoll ist oder nicht.
Kann mir jemand verständlich erklären, wie ich dieses BSI TLS-Testtool installieren kann und für welchen Einsatz genau es gedacht ist?
Wir haben in der Firma zum Teil kleinere Eigenentwicklungen und ich habe gelesen, dass es auch den E-Mail Server prüfen kann. Daher wollten wir das Tool einfach mal testen, ob es für uns sinnvoll ist oder nicht.
Moin,
ich glaube kaum, dass das Tool vom BSI einen Client, Server oder Anwendung in die Knie zwingt.
TaSK
https://omnisecure.berlin/wp-content/uploads/os23_Cznottka_Heinfried.pdf
TLS Test Tool
Das zweite Framework macht nichts anderes wie Tools wie testssl.sh. Nur werden eben die technische Richtlinien (TRs) zu SSL/TLS sowie Cihper Suites berücksichtigt.
https://github.com/BSI-Bund/TaSK/tree/master/task
https://github.com/BSI-Bund/TaSK/tree/master/tlstesttool
Gruß,
Dani
ich glaube kaum, dass das Tool vom BSI einen Client, Server oder Anwendung in die Knie zwingt.
TaSK
https://omnisecure.berlin/wp-content/uploads/os23_Cznottka_Heinfried.pdf
TLS Test Tool
Das zweite Framework macht nichts anderes wie Tools wie testssl.sh. Nur werden eben die technische Richtlinien (TRs) zu SSL/TLS sowie Cihper Suites berücksichtigt.
Kann mir jemand verständlich erklären, wie ich dieses BSI TLS-Testtool installieren kann und für welchen Einsatz genau es gedacht ist?
Es gibt dazu zwei Seiten auf GitHub:https://github.com/BSI-Bund/TaSK/tree/master/task
https://github.com/BSI-Bund/TaSK/tree/master/tlstesttool
Gruß,
Dani
