Ergebnis 1 bis 6 von 6

Thema: [Q] vulnerability scanner und network intrusion detection

  1. #1
    papillon
    Gast

    Standard [Q] vulnerability scanner und network intrusion detection

    Es gibt dafür auch extra Programme, welche den Rechner scannen (neben den Linux Varianten nmap, snort, nessus, etc.) auch kommerzielle z.b. acunetix. Was ist z.B. davon zu halten. Ich kann das Programm laufen lassen und sehe anhand der Ausgaben, wo es Schwachstellen gibt. Angenommen ich patche mein System immer, alle Security Fixes kommen gleich drauf und dann mache ich eine Momentaufnahme mit einem solchen Programm - wie zuverlässig ist sowas? Der Scanner kann ja eigentlich nur das erkennen, was ihm bekannt ist. Oder kann man das nicht so pauschal sagen?

  2. #2
    Staff Sergeant
    Registriert seit
    15.04.2011
    Beiträge
    104

    Standard

    Hallo,

    wir sollten erstmal die begrifflichkeiten klären:

    ein Vulnerability Scanner untersucht das System (von Aussen) nach

    - offene Ports
    -veraltete Software (viele Webserver senden z.B Ihre Version mit)
    -veraltete Passwortmethoden (z.B Login ohne Passwort)

    Sprich jeder könnte einen solchen Scan auf eine Maschiene starten. Manche VS können auch mit gültigen Logindaten gestartet werden, so können weitere Interne Prüfungen durchgeführt werden.


    intrusion detection Systems dagegen werden ausschliesslich von dem Admin des Server installiert. Dort gibt es 2 bzw 3 Gruppen zu unterscheiden:

    1. Host basierend
    Das IDS wird auf dem Server installiert und meldet änderungen am System (Überwachung der Logdateien, Gegenprüfung der Checksummen der Configfiles)
    + Hat exkl. Zugriff auf die Logfiles
    - Schnell aufzuhebeln wenn ein Hacker bereits auf dem Server ist

    2. Netzwerk-Basierte IDS
    Dort wird der ganze Traffic gesnifft und überprüft. Meldungen werden dann an den Admin gemailt.
    + Nur ein System für mehrere Server
    - Extra Server notwendig
    -Server kann bei hohem Traffic nicht mehr sauber arbeiten
    -in Netzwerke die geswitcht werden, kann sein das nicht jedes Datenpaket durch den IDS Server geht.

    Es gibt auch Möglichkeiten beides zusammen zu nutzen.

    Als 3 Gruppe würde ich Intrusion Prevention System nennen.

    Diese Systeme handeln auch, im gegensatz zu IDS die nur melden

    Beispiel hier: fail2ban (SSH).

    Ein gut eingerichtetes IDS ist sicherlich nützlich, aber kein Allheilmittel. Den das IDS reagiert nur wenn ein Eintrag in der Musterdatenbank vorhanden ist.


    Brauchst du die Infos für eine Absicherung von Linux Systemen?

    Grundsätzlich gilt bei Linuxsystemen

    -SSH ordentlich absichern (am besten via Keyauth)
    -SSH Rootlogin verbieten
    -ordentliche Einrichtung des Webservers und PHP
    -MYSQL an Localhost binden
    -FTP durch SFTP ersetzen
    -alle Sicherheitspatches installieren
    -keine unötigen Dienste an Ports lauschen lassen
    -Mailserver relaying verbieten (Spamquelle!)
    -auf Verwaltungsinterfaces verzichten, falls unverzichtbar ordenltich absichern (z.B Zugriff nur mit einer IP Range)
    -evtl. Virenscanner und IDS
    -Regelmäßiges Backup

  3. #3
    papillon
    Gast

    Standard

    Ok , Danke für die ausführlichen Informationen.

    Ich benutze privat seit Jahren nur Linux als OS und noch einen Macbook Pro
    Auf dem Linux habe ich einfach ein virtuelles Netz laufen, in welchem Webserver + Mysql, Backup, Mail unter kvm in virtuellen Maschinen laufen. Damit habe ich das schon mal getrennt. Um von aussen drauf zu kommen benutze ich ssh - da hatte ich auch schon überlegt, generell darauf zu verzichten, weil der Port wird regelmäßig attackiert. Momentan nehme ich denyhosts + kein root zugriff.

    Auf dem Macbook nutze ich zwar auch MAMP, aber das ist mehr zum Entwickeln und der ist auch nicht von aussen erreichbar. Regelmäßige updates halt und apps refreshen. Aber da wird man ja von innen ausspioniert

    Was ist bei den VS Deine Empfehlung? Nessus ist seit paar Jahren kommerziell, gibt es aber noch für home users mit der Einschränkung auf 16IPs (reicht ja für den Normalfall). Habe bisher den genommen.

  4. #4
    Staff Sergeant
    Registriert seit
    15.04.2011
    Beiträge
    104

    Standard

    Bei einem Homeserver ist es meist viel einfacher den Server zu handeln!

    Müssen die Dinste von aussen erreichbar sein?

    Wenn nicht einfach an das lokale Netz binden und fertig

    Dann brauchst du auch kein IDS

  5. #5
    papillon
    Gast

    Standard

    ich benutze da momentan mein eigenes Wiki, eine Bookmarkverwaltung oder für eigene Projekte.

    Da kann ich von unterwegs zugreifen. Ok, Alternative wäre das immer mitzunehmen, aber dann muss ich das immer abgleichen, da ich das immer erweitere ... oder auf Webspace zu legen.

    Ansonsten betrifft was Sicherheit angeht am Arbeitsplatz Windows und Linux Server. Da sind aber i.d.R. nur ein paar Ports, die wirklich notwendig sind freigegeben (Email z.B.). Wenn da mehr von aussen erreichbar sein muss - wird wohl kommen - wäre es halt ratsam, dass Risiko zu minimieren.

  6. #6
    Staff Sergeant
    Registriert seit
    15.04.2011
    Beiträge
    104

    Standard

    Ich würde mir für solche Zwecke entweder einen kleinen vServer (5€ /Monat) oder Webspace anlegen.

    Ist flexibeler, schneller und auch wenn man die Stromkosten des Servers bei dir Zuhause beachtet viel günstiger

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Ähnliche Themen

  1. Probleme mit Pc (hoffe bin in richtigen tread)
    Von Stoff_L im Forum Allgemeines
    Antworten: 38
    Letzter Beitrag: 12.06.2009, 16:35

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •