---

Hej med jer

Jeg skal bruge et værktøj til sikkerhedstjek af et netværk. Det skal ikke
bare være en portscanner, men et værktøj som tjekker Intrusion detection,
porte og det hele. Og det må gerne kunne lave noget statistik.

Har i nogle nogle gode forslag?

Mvh Jakob K. Nielsen
Systems Engineer

---

Jakob K. Nielsen <jakob@geforce.dk> wrote:
> Hej med jer
>
> Jeg skal bruge et værktøj til sikkerhedstjek af et netværk. Det skal ikke
> bare være en portscanner, men et værktøj som tjekker Intrusion detection,
> porte og det hele. Og det må gerne kunne lave noget statistik.

Jeg tror ikke jeg kan give et saerligt godt svar med saa lidt information.
Er det et host-based IDS du er efter? Hvilke platforme skal det bruges paa?
Proev igen, men laes evt hele OSS'en foerst.

http://a.area51.dk/sikkerhed/

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

> Jeg tror ikke jeg kan give et saerligt godt svar med saa lidt information.
> Er det et host-based IDS du er efter? Hvilke platforme skal det bruges
paa?
> Proev igen, men laes evt hele OSS'en foerst.


Det skal helst ikke være host/client baseret, og det skal bruges på Win32
platformen. Det handler om at kunne køre sikkerhedstjek på kundernes
netværk/firewalls fra Inet.

Svar nok?

Mvh Jakob K. Nielsen

---

"Jakob K. Nielsen" <jakob@geforce.dk> wrote in message news:9s703p$cvg$1@sunsite.dk...

> Det skal helst ikke være host/client baseret, og det skal bruges på Win32
> platformen. Det handler om at kunne køre sikkerhedstjek på kundernes
> netværk/firewalls fra Inet.

Så hudt jeg visker har Vigilante et sådan værktøj til salg - og jeg
mener du kan hente en gratis evalueringsversion på deres hjemme-
side. Og er det godt nok må du så derefter gribe i læderet!

Ellers er Nessus et godt bud - men du skal have en linuxbox
klistret sammen for at kunne bruge den.
www.nessus.org

mvh
Jan

---

> Så hudt jeg visker har Vigilante et sådan værktøj til salg - og jeg
> mener du kan hente en gratis evalueringsversion på deres hjemme-
> side. Og er det godt nok må du så derefter gribe i læderet!
>
> Ellers er Nessus et godt bud - men du skal have en linuxbox
> klistret sammen for at kunne bruge den.
> www.nessus.org
>
> mvh
> Jan
>

<klip>

Tak for svaret. Jeg tager lige et kig på Vigilante's værktøj.

Mvh Jakob

---

Jakob K. Nielsen <jakob@geforce.dk> wrote:
>> Ellers er Nessus et godt bud - men du skal have en linuxbox
>> klistret sammen for at kunne bruge den.
>> www.nessus.org
>>
> Tak for svaret. Jeg tager lige et kig på Vigilante's værktøj.

Det var ikke klart for mig, at det var en sikkerhedsscanner du var paa jagt
efter, men hvis det er tilfaeldet kan du ogsaa kigge paa Saint.

<brok>

Sikkerhedsscannere er begraensede i deres brug og kan aldrig erstatte et
vaerktoej som kan sikre at den valgte sikkerhedspolitik er overholdt. De
fleste kunder forstaar dog ikke dette, hvilket er skyld i at "penetration
testing" og flotte rapporter med cirkeldiagrammer er saadan en god
forretning disse dage.

</brok>


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote in <news:slrn9uea9n.2ppl.a@C-Tower.Area51.DK>:

> Sikkerhedsscannere er begraensede i deres brug og kan aldrig
> erstatte et vaerktoej som kan sikre at den valgte sikkerhedspolitik
> er overholdt.

Hm. Nu er vi inde på noget interessant. Kan du uddybe lidt, hvad et
sådant værktøj kunne bestå i?

--
Niels Callesøe - nørd light @work
"Jeg repræsenterer med denne udtalelse mig selv og ikke TDC Internet"
Disclaimer: http://www.spacefish.net/nica/index.php3?step=disclaim

---

In article <Xns9152EBB462A46k5j6h4jk3@193.88.15.201>,
"Niels Callesøe" <niels2000@spamcop.net> wrote:

> Hm. Nu er vi inde på noget interessant. Kan du uddybe lidt, hvad et
> sådant værktøj kunne bestå i?

Omtanke og viden.

--
MVH Martin Edlich
Henvendelser til min e-mail adresse vil blive besvaret kort, men uhøfligt
(medmindre jeg selv er ude om det, og det er Off Topic).
http://www.edlich.dk

---

Martin Edlich wrote:

>> Hm. Nu er vi inde på noget interessant. Kan du uddybe lidt, hvad et
>> sådant værktøj kunne bestå i?
>
> Omtanke og viden.

Tak, Martin. Er ganske udemærket og formodentlig korrekt svar, men jeg
synes måske nok det mangler en anelse af det "uddybe" jeg efterlyste.

--
Niels Callesøe - nørd light
Disclaimer:
http://www.spacefish.net/nica/index.php3?step=disclaim

---

In article <Xns91538DE43310Ak5j6h4jk3@193.88.15.213>,
"Niels Callesøe" <niels2000@spamcop.net> wrote:

> > Omtanke og viden.
>
> Tak, Martin. Er ganske udemærket og formodentlig korrekt svar, men jeg
> synes måske nok det mangler en anelse af det "uddybe" jeg efterlyste.

Du har helt ret, det var en lovligt kort uddybning.

Det jeg ville sige, var sådan set bare at enhver automatiseret
sikkerhedsscanner vil have samme mulighed for fejl, som den
serversoftware man bruger. Hvis det var muligt at programmere en
sikkerhedsscanner, der opdagede alle fejl, ville det også være muligt at
programmere serversoftware uden fejl.

Betragt sikkerhedsscannere som en slags stavekontrol - de finder en del
fejl, men det er stadigvæk nødvendigt med en manuel gennemgang, samt
"opdatering" af hvem der nu sidder de famøse 40cm bag skærmen.

Så er der selvfølgelig også den detalje med sikkerhedsscannere, at man
skal forstå det output den leverer.

--
MVH Martin Edlich
Henvendelser til min e-mail adresse vil blive besvaret kort, men uhøfligt
(medmindre jeg selv er ude om det, og det er Off Topic).
http://www.edlich.dk

---

Niels Callesøe <niels2000@spamcop.net> wrote:
> Alex Holst wrote in <news:slrn9uea9n.2ppl.a@C-Tower.Area51.DK>:
>
>> Sikkerhedsscannere er begraensede i deres brug og kan aldrig
>> erstatte et vaerktoej som kan sikre at den valgte sikkerhedspolitik
>> er overholdt.
>
> Hm. Nu er vi inde på noget interessant. Kan du uddybe lidt, hvad et
> sådant værktøj kunne bestå i?

Efter man har skrevet en sikkerhedspolitik vil man ofte udforme en
beskrivelse af hvordan UNIX og Windows maskiner skal se ud for at overholde
politikken. Hvis man kan formulere denne beskrivelse overfor et stykke
software (normalt kaldet en policy engine) som kan:

checke file permissions - f.eks. at kun sudo og et par filer mere
har SUID root bit sat, ingen worldwritable filer rundt omkring paa
disken, etc.

grupper og ejerskab - f.eks. at system filer er ejet af de rigtige
grupper og brugere.

argumenter til keywords i konfigurationsfiler - f.eks. inetd.conf,
resolv.conf, sudoers, sshd_config, m.m.

Filer ikke inkluderet i standard install som *skal* forefindes paa
et system - f.eks. sudo, RSA SecurID clients, m.m.

Filer fra standard install som *ikke* maa forefindes paa et system -
f.eks. tcpdump, uucp, m.m.

Hvis sysadmin sikrer sig at der ikke er kendte huller i det installerede
software OG en policy engine kan bekaefte at en maskine overholder
sikkerhedspolitikken OG en checksum utility kan bekraefte at alle system
filer paa systemet er til at stole paa, vil det vaere meget svaert for en
angriber at komme ind -- medmindre du har overset noget i din politik,
naturligvis (f.eks. hvis din politik tillader at sshd_config giver lov til
root logins, password logins og blank password logins).

Oven i koebet kan man goere det let at installere eller opgradere systerne.
Ved blot at laegge en ny sshd pakke i et bestemt directory paa en server og
aendre navnet paa den tilladte sshd pakke i dine policy filer, vil den gamle
version blive afinstalleret og den nye installation lagt ind naeste gang dit
policy check bliver koert. Let og elefant.

Jeg kan anbefale Cf-engine hvor policy filerne er under CVS kontrol og alt
kommunikation sker over SSH forbindelser. Jeg arbejder paa at goere vores
interne "change and configuration management system" faerdigt som skal koere
paa et antal Windows og UNIX platforme samt Cisco og Foundry
netvaerksudstyr. Bagefter haaber/regner jeg med at kunne faa lov til at
skrive en whitepaper om alle aspekter af opgaven saaledes andre kan se lyset
og smide deres sikkerhedsscannere vaek. Verdenen maa videre.

http://www.cfengine.org
http://www.openssh.com
http://www.cvshome.org

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

[snip et rigtig godt svar]

Takker. Så lærte jeg også noget idag. :)

--
Niels Callesøe - nørd light
Disclaimer:
http://www.spacefish.net/nica/index.php3?step=disclaim

---

"Niels Callesøe" <niels2000@spamcop.net> wrote

> Hm. Nu er vi inde på noget interessant. Kan du uddybe lidt, hvad et
> sådant værktøj kunne bestå i?

En consol audit, med fx netstat, viser hvilke services maskinen tilbyder.

De services der ikke bruges slåes selvfølgelig fra.

Et opslag af servicenes versionsnumre (på linux "rpm -qa", openbsd
"pkg_info -v" osv.) kan derefter sammenlignes med en søgning på Internet,
til hurtigt at finde sårbarhederne. Det koster en lille time.

Ovenstående sårbarheder behover en sikkerhedsscanner ikke at finder, og
ovenstående metode er nem at bruge.

---

"Alex Holst" <a@area51.dk> skrev i en meddelelse
news:slrn9uea9n.2ppl.a@C-Tower.Area51.DK...
> Jakob K. Nielsen <jakob@geforce.dk> wrote:
> >> Ellers er Nessus et godt bud - men du skal have en linuxbox
> >> klistret sammen for at kunne bruge den.
> >> www.nessus.org
> >>
> > Tak for svaret. Jeg tager lige et kig på Vigilante's værktøj.
>
> Det var ikke klart for mig, at det var en sikkerhedsscanner du var paa
jagt
> efter, men hvis det er tilfaeldet kan du ogsaa kigge paa Saint.
>
Hvis man er seriøs med sin sikkerhed kan man ikke komme udenom linux
vulnerability scanners. Hvis man kun bruger win32 programmer er man ikke
100% seriøs.

http://www.konsulentsalg.dk har lavet et par linux-systemer i en vmware
workstation(http://www.vmware.com) som indeholder nessus-scanner. Den kunne
distribueres hvis du ville have den? Du har dog brug for en vmware licens
for at kunne bruge den.

Der findes nessus,saint (afart af SATAN),sara og selvfølgelig de MEGET dyre
værktøjer såsom vigilante's og ISS. Men hvem h...... har brug for at scanne
kun 127.0.0.1 som et eksempel?

Husk på, at Vigilante (som vi har haft hyret) bruger nessus selv (og iøvrigt
ikke har en skid styr på det) og har fundet ud af mere med den end med andre
værktøjer (inkl. deres egne).
De brugte endda bufferoverflow plugin selvom de kun måtte scanne i første
omgang.

Stol kun på dig selv og lær at bruge ALLE sikkerhedsværktøjerne. for nessus,
f.eks., scanner ikke for share-problemer, m.v. på interne windows-net, men
kun internetmiljøer.

men har man LC3 (www.lophtcrack.com) finder man ud af at man skal bruge
syskey på winnt4.0 netværk. det vidste jeg ikke før. (kun hørt det ).

Og er man seriøs , så kig lige her : http://www.defcom.com og snup et kursus
til 15.000 eks. moms. Det er det hele værd. Husk også at læse
www.hackingexposed.com bøgerne. de er uundværlige i vejen til et sikkert
miljø.

Max

Der kun ved lidt, men lige nok til at klare mig.

---

Jakob K. Nielsen <jakob@geforce.dk> wrote:
> Det skal helst ikke være host/client baseret, og det skal bruges på Win32
> platformen. Det handler om at kunne køre sikkerhedstjek på kundernes
> netværk/firewalls fra Inet.
>
> Svar nok?

Nej, hvad forstaar du ved "sikkerhedstjek"? Skal programmet udpege hvis
sikkerhedspatches ikke er installeret? Skal det udpege hvis maskinen ikke
laengere moeder den bestemte sikkerhedspolitik?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk> wrote in message news:slrn9ue2fn.2epf.a@C-Tower.Area51.DK...

> Nej, hvad forstaar du ved "sikkerhedstjek"? Skal programmet udpege hvis
> sikkerhedspatches ikke er installeret?

Det kan klares med http://catchup.cnet.com/ - der sikkert lider af alskens mangler, men som jeg alligevel finde nyttig (og bruger
ofte)


mvh
Jan