Online Serversicherheit überprüfen?

[vpn-user]

Welche Anbieter für Online-Sicherheitschecks kennt Ihr? Ich kenne http://www.securitymetrics.com die eine Zeit lang kostenlose Trial-Accounts angeboten haben. Da wurde der komplette Server geprüft (nicht nur einfacher portscan), also auch auf Sicherheitslöcher im Apache, Bugs in Versionen usw.

Welche anderen (am besten kostenlose), zuverlässige Anbieter kennt Ihr?

[captaincrunch]

Ist zwar kein Anbieter, aber dafür sicherlich bei diversen Testern im Einsatz: Nessus.

[peha]

Das hilft mir wenig auf der eigenen Maschine.

Ich hab z. B. MySQL nur über localhost laufen ... würde ich die
SQL Ports lokal testen ist es wohl was anderes als von einer anderen Maschine.

Mich würde so ein kostenloser Scan auch interessieren. Es gab
mal einen anderen Anbieter den ich leider aus den Favoriten gelöscht habe.

[nyxus]

Mich würde so ein kostenloser Scan auch interessieren. Es gab
mal einen anderen Anbieter den ich leider aus den Favoriten gelöscht habe.

Es gibt hier sicher etliche, die mit Deiner Einverständnis Deinen (!) Server mal scannen und Dir den Report zur Verfügung stellen. Auswerten mußt Du ihn dann natürlich immer noch selbst.

[ffl]

Du hast ne PM.

[rejay]

Ich wäre an so einem Scan auch einmal sehr interessiert!
Mehrere Augen sehen mehr :)

Viele Grüße,
Rejay

[peha]

Ich hab keine PM... :roll:

[squize]

Zudem kannst du ja ohne Probleme Nessus auf einem Rechner bei dir zu hause installieren und dann von dort scannen.

Gruss

Marc

[vpn-user]

Gibts das für Windows? Weil zu hause hat man das halt meistens...

[chris76]

Gibts das für Windows? Weil zu hause hat man das halt meistens...

:roll:

[dodolin]

Gibts das für Windows? Weil zu hause hat man das halt meistens...

Hat "man"???

[vpn-user]

_meistens_!

[squize]

......ein bootfähiges CD-Rom Laufwerk mit dem man z.B. ein Knoppix mit Nessus starten kann :) :)


Gruss

Marc

P.S.: Es gibt eine W32 client, den Server gibt es nur unter kommerzeller Lizenz für Win

[vpn-user]

Wie sich herausgestellt hat, ist Nessus hoffnungslos veraltet. Der erkennt nicht mal, dass bei Apache 2.0 mod_ssl integriert ist und meckert rum, die Version sei zu alt *lol*. Dabei schlägt er dann mod_ssl für Apache 1.3 vor.

Ist im Grunde nur für eine ganz grobe Ã?bersicht zu empfehlen, ist ein erweiterter Portscanner, der halt die auf dem Port laufenden Programme zu identifizieren versucht. Also ernst darf man das Ding jedenfalls nicht nehmen.

[squize]

Da unterschätzt du Nessus :)

die aktuelle Version ist: 2.0.11 vom 19.07.04

Dann kannst du mit nessus-update-plugins alle Checks aktualisieren und schon hast du auch aktuelle checks.

Es schadet halt nie doch einmal in die Doku zu schauen

Gruss

Marc

P.S.: Es gibt z.B. bereits ein plugin für die den memory_limit bug in php

[vpn-user]

Egal, FFL, der mir den Scan abgeboten hat, hat auch die neuste compilierte Version genommen gehabt. Und die hats falsch erkannt. Wat solls.

[captaincrunch]

Wer Nessus einsetzt, sollte halt auch den Output wenigstens halbwegs deuten können. ;)

[vpn-user]

Das kann ich schon. Solche blöden Kommentare hätte ich von einem Moderator nicht erwartet. :roll:

Nessus bemängelt mein mod_ssl, es sei älter als Version 2.8. Ich benutze Apache 2.0, da ist mod_ssl integriert und wenn man die neuste Apache 2.0 Version hat, hat man auch das neuste passende mod_ssl. Und das hat nunmal nicht Version 2.8, sondern 2.0.50. Also doch ein klarer Fehler von Nessus, nicht wahr? :?: :?: :?:

[captaincrunch]

Jein, es ist kein "Fehler" im eigentlichen Sinne. Nessus prüft halt augenscheinlich nicht den Zusammenhang zwischen Apachen und mod_ssl. Die aktuelle mod_ssl-Version (laut http://www.modssl.org, aber halt für Apache 1.3) ist nun einmal die 2.8.19-1.3.31, und da 2.0.50 < 2.8.19 liegt Nessus damit vordergründig richtig. In dem Punkt könntest du ja einfach mal einen "Bugreport" bei Nessus verfassen, damit der Check günstigstenfalls im Zusammenhang mit der Apache-Version gesehen wird.
Genau das meine ich mit meiner Aussage von oben (btw.: man beachte den Smiley, oder bist du heute nur mit dem falschen Bein aufgestanden?).

Einfaches Beispiel: Nessus bemängelt auf meiner Kiste auch eine SSH-version < 3.8.irgendwas. Da ich aber weiß, dass in meine "steinalte" Version die nötigen Bugfixes eingeflossen sind, stört's mich herzlich wenig...

[squize]

VPN-User,
als erster Tipp:
Vermeide es irgendwelche statements persönlich zu nehmen. Es herrscht hier schon teilweise ein rauher Ton, der dich aber nicht stören sollte.


Es mag sein, dass Nessus eine falsche Meldung herausgegeben hat, dies kann aber zum Grossteil daran liegen, dass enifach die falschen Plugins eingesetzt wurden.
Es gibt ein Haufen Plugins und jedes Plugin liefert natürlich nur sinnvolle Ergebnisse, wenn sie auch an der richtigen Stelle eingesetzt werden.

Wenn du ein Apache 1.3 Plugin auf einen Apache 2.x Server loslässt, so ist die wahrscheinlichkeit gross, dass die Ergebnisse falsch sind.

So ein Security Scanning Tool wie Nessus ist halt nicht mit einem Klick zu bedienen, sondern erfordert schon eine Anpassung.

Ich habe Nessus eine weile nicht eingesetzt, es hat bei mir aber immer korrekte Ergebnisse geliefert.
Waren die Ergebnisse fragwürdig, so lag es immer daran, dass ich etwas geprüft habe, dass nicht vorhanden war. Nach anpassen der Conf war es dann aber immer sehr informativ.

Nessus geniest nicht umsonst soweit mir bekannt ist einen recht guten Ruf und es gibt auf grundlage von Nessus auch einige kommerzielle Tools.

Es ist wie bei chkrootkit, das Ergebniss muss interpretiert werden, sonst ist es wertlos.

Gruss

Marc

[peha]

Ein Security Scanner für zu Hause und für alle Windows User

Die Shareware ist 15 Tage lauffähig und der Scanner scheint
sehr ausgereift. Online Update beim Startup ist mit dabei ...

Den Tip habe ich aus der aktuellen Hacker News
nette Zeitschrift aber leider die letzte Auflage ...

http://www.safety-lab.com/en/download.htm

Shadow Security Scanner 6.98