Sicherheit testen

[boerni]

Hallo ihr,
das es die vollkommene Sicherheit nicht geben kann und Sicherheit ein fortlaufender Prozess ist mir klar. Nun habe ich meinen Rooti soweit installiert und konfiguriert und würde gerne wissen ob es Leute gibt die einem den Server kostenlos etwas auf Sicherheit prüfen.
Vielen Dank für eure Antworten.
Viele Grüße und schönen Samstag,
Börni

[dodolin]

Nunja, kommt wohl drauf an, ob manche Leute hier im Forum gerade Lust und Laune danach verspüren... aber auch das kann natürlich keine vollständige Sicherheit garantieren.

Du könntest ja z.B. mal deine IP posten, dann könnte "man" mal sehen. Die Frage ist, wie überprüfen wir, dass die genannte IP auch wirklich deine eigene ist? ;)

Du könntest mir z.B. von dieser IP aus eine Mail an dominik.ruf@dodolin.de schicken. :)

Ansonsten kannst du auch selbst ein bisschen auf Sicherheit testen:
Scanne dich von außen per nmap mit verschiedenen Scan-Optionen, schaue lokal per netstat/lsof ob wirklich nur die Dienste laufen, die du benötigst. Mache einen telnet zu relaytest.mail-abuse.org von der Kiste. Frage deine IP auf diversen Blacklists z.B. via http://openrbl.org ab. Schaue, dass du alle Security-Updates eingespielt hast.

...

[boerni]

Huhu,
da ich mit einem Server ja bestimme Dienste im Internet anbieten möchte, muss dieser Server "von außen" erreichbar sein und somit sehe ich eigentlich keine Gefahr die IP des Server hier zu posten. :) (Bitte korrigiert mich wenn ich falsch liege.)
Ich habe dodolin soeben eine Email von unserem Server geschrieben. Er wird euch hoffentlich bestätigen das es sich um die IP: 217.160.222.129 handelt. ;)

Greets Börni

[captaincrunch]

Ich bin zwar der Meinung, dass man solche Dinge nicht gerade von jedem x-beliebigen durchführen lassen sollte, würde bei Gelegenheit (und Bestätigung durch dodolin) aber auch mal drüberschauen.

[darkspirit]

da ich mit einem Server ja bestimme Dienste im Internet anbieten möchte, muss dieser Server "von außen" erreichbar sein und somit sehe ich eigentlich keine Gefahr die IP des Server hier zu posten. :) (Bitte korrigiert mich wenn ich falsch liege.)

Grundsätzlich hast du Recht, aber auf Sicherheit testen heißt nunmal nicht nur, die offenen Ports zu scannen, sondern auch etwas weiter gehende Mittel einzusetzen, um zu sehen, ob auch alles anständig konfiguriert ist. Diese Versuche erscheinen wahrscheinlich in Logfiles und wenn das ganze nun ein Server von deinem Erzfeind xy ist, der nicht weiß, dass hier ein netter Helfer einen Sicherheitscheck macht, könnte das für den Tester rechtliche Konsequenzen haben.. ;)

[boerni]

Danke sehr.
Da ich in diesem Forum aber schon etwas länger mit lese bin ich der Meinung das man die hier IP posten kann.

Greets Börni

[dodolin]

Ich bin zwar der Meinung, dass man solche Dinge nicht gerade von jedem x-beliebigen durchführen lassen sollte

So wie ich das verstanden habe, dreht es sich ja lediglich um Remote-Tests, d.h. ein Account bzw. Zugang zum Server ist ja nicht erforderlich. Insofern sehe ich das nicht so kritisch.

würde bei Gelegenheit (und Bestätigung durch dodolin) aber auch mal drüberschauen

[x] bestätigt.

Hacker können nun loslegen, sich die IP 217.160.222.129 vorzunehmen. :)

Diese Versuche erscheinen wahrscheinlich in Logfiles und wenn das ganze nun ein Server von deinem Erzfeind xy ist, der nicht weiß, dass hier ein netter Helfer einen Sicherheitscheck macht, könnte das für den Tester rechtliche Konsequenzen haben..

Deshalb wollte ich ja durch meinen kleinen Test sicherstellen, dass boerni auch tatsächlich diese IP gehört. :)

[captaincrunch]

So wie ich das verstanden habe, dreht es sich ja lediglich um Remote-Tests, d.h. ein Account bzw. Zugang zum Server ist ja nicht erforderlich.

... auf einen solchen Zugang laufen Tests im Normalfall aber hinaus. ;)

[dodolin]

... auf einen solchen Zugang laufen Tests im Normalfall aber hinaus.

a) Muss man es ja nicht soweit treiben und
b) Wenn es gelingt, dann hätte das ja auch Cracker XY tun können, ohne explizite Aufforderung dazu.

Ã?bersehe ich was?

[boerni]

a) Muss man es ja nicht soweit treiben und
b) Wenn es gelingt, dann hätte das ja auch Cracker XY tun können, ohne explizite Aufforderung dazu.
[...]

So habe ich mir das eigentlich auch vorgestellt. ;)

Greets Börni

[captaincrunch]

a) Wenn es eine öffentliche "Aufforderung" gibt, die Kiste zu checken, würde ich persönlich das ganze auch so ernsthaft durchführen, dass ich probieren würde den Server zu "r00ten". ;)
b) Besser jemand hier, der keinen Sch... baut weist den OP auf mögliche Lücken hin, als dass er es erst viel zu spät merkt.

;)

[boerni]

a) Wenn es eine öffentliche "Aufforderung" gibt, die Kiste zu checken, würde ich persönlich das ganze auch so ernsthaft durchführen, dass ich probieren würde den Server zu "r00ten". ;)
b) Besser jemand hier, der keinen Sch... baut weist den OP auf mögliche Lücken hin, als dass er es erst viel zu spät merkt.
;)

Genau aus diesem Grund habe ich auch in diesem Forum gefragt. :)

Greets Börni

[dodolin]

Du hast nen unverschlüsselten Confixx auf Port 80 laufen, das würde ich abstellen. Außerdem solltest du deinem Postfix und QPopper zuliebe mal deinen Hostnamen in Ordnung bringen. Mehr ist mir bisher nicht aufgefallen, wirklich viele Dienste hast du ja nicht gerade laufen... ;)

PS: Braucht man Confixx wirklich auf nem Debian-System?!

[boerni]

Du hast nen unverschlüsselten Confixx auf Port 80 laufen, das würde ich abstellen. Außerdem solltest du deinem Postfix und QPopper zuliebe mal deinen Hostnamen in Ordnung bringen. Mehr ist mir bisher nicht aufgefallen, wirklich viele Dienste hast du ja nicht gerade laufen... ;)

PS: Braucht man Confixx wirklich auf nem Debian-System?!

Vielen dank zunächst.
Ich habe eben nur das laufen, was ich auch benötige. Confixx werde ich ändern, die Hostnamen habe ich vergessen einzutragen, danke dir. *g*

Zu Confixx auf einem Debian System: Ich werde einige Feunde hosten die keine Ahnung von Linux haben und für die ist das eine Möglichkeit ihre "Pakete" zu verwalten. Oder gibt es da etwas besseres was auch bezahlbar ist?

Greets Börni

[dodolin]

Oder gibt es da etwas besseres was auch bezahlbar ist?

Kommt drauf an, was du unter "Pakete verwalten" genau verstehst.
Wenn die sowieso keinen Peil haben, werden sie wohl kaum irgendwelche Apachen-Settings ändern müssen, die man nur im vhost vornehmen kann und die man nicht für .htaccess freischalten kann.

Sofern es lediglich um die Konfiguration von Mail-Accounts geht, könnte man sich z.B. vpopmail (für QMail) oder vexim (für Exim) ansehen, beides OpenSource.

[higgins]

Hab da mal nn kurzen Scan drüber laufen lassen.

Retina meldet dazu eine ganze Menge Sachen (10) werd Ich hier aber nicht posten, wenn Interresse besteht, dann schick mir ne PM

[captaincrunch]

Auch Nessus und sonstige Konsorten würden einiges dazu ausspucken, die Kunst dabei ist aber gerade, die false positives auszusondern. ;) Von daher würde ich da doch sehr genau hinsehen.

[nyxus]

Hab da mal nn kurzen Scan drüber laufen lassen.

Retina meldet dazu eine ganze Menge Sachen (10) werd Ich hier aber nicht posten, wenn Interresse besteht, dann schick mir ne PM

Gerade bei Retina habe ich häufig das Gefühl, daß es bei nicht-Windows-Systemen doch eher suboptimal funktioniert und (noch) nicht wirklich brauchbar ist ... Bei Windows-Systemen finde ich das Programm aber sehr gut.

[mikespi]

Wie schaut es denn eigentlich rechtlich aus.

Seit ihr euch wirklich sicher das es sich bei dem Server auch um den Server geht und habt ihr euch das auch bestätigen ( mit Ausweiss, Adresse usw. aber vor allem mit ner Unterschrift ) lassen das ihr auf den Rechner nach Lücken schauen sollt.

Mag ja sein das dies hier in Ordnung geht, aber wenn das Schule macht schreib ich auch das nächste Mal die IP von meinem Nachbarserver und lass mir dann von den Profis die Sicherheits Lücken mitteilen um mich dann an die Arbeit zu machen.

Paranoid oder nicht , so könnte es im schlimmsten Fall ablaufen. Es ist in Deutschland verboten sich Zugriff zu anderen Rechner ( Netzen ) zu beschaffen und ein findiger Anwalt wird euch das recht schnell wiederlegen das ihr hier nur zwecks Sicherheitslücken schauen wolltet.


only my 0,02 â?¬

[Joe User]

Es ist in Deutschland verboten sich Zugriff zu anderen Rechner ( Netzen ) zu beschaffen

Quelle? AFAIK trifft dies nur zu, wenn man Sicherheitsmechanismen aushebelt, um Zugriff auf das System zu erlangen.
Keine Sicherheitsmechanismen, keine Strafverfolgung.

IANAL

[dodolin]

@mikespi: Wenn du den vorherigen Thread gelesen hättest, wüsstest du, dass ich eine EMail von boerni erhalten habe, die in der Tat direkt von dieser IP auf meinem Server eingeliefert wurde. Das reicht mir aus.

Solange ich keinen Schaden anrichte (STGB -> Computersabotage), sehe ich hier kein Problem.

[mikespi]

Das mit der Email habe ich schon mitbekommen. Allerdings nicht genau was wie drin steht.



Quelle gibts nicht, sind Infos von Dozenten bei immer wieder kommenden Fragen wer Verantwortlich zu machen ist bei einem Angriff, wie ich Beweise sichere und vor allem ab wann es als Angriff gibt.

z.B.

Sicherheitsexperte in einer Firma in Garching sagte trocken.

Ab dem dritten Portscann wird zurückgeschossen, erst mal sehen ob ich den nuken kann. Wenn er es noch mal probiert gibts Anzeige. Mag sein das dies ein Freak ist aber zeigt das die Schwellwerte wie jemand eingreift und ab wann es für jemanden ein Angriff ist unterschiedlich sind. Ich bin nicht der Meinung das im STGB das wirklich 100 % definiert wurde, ab wann es normaler Interverkehr oder bereits ein Angriff ist.

Wohl gemerkt will ich hier auf das Thema sensibilisieren und nicht auf das Vorhaben, jeder ist für sein Tun allein verantwortlich ;)

[nyxus]

Sicherheitsexperte in einer Firma in Garching sagte trocken.

Ab dem dritten Portscann wird zurückgeschossen, erst mal sehen ob ich den nuken kann. Wenn er es noch mal probiert gibts Anzeige.

Na super, von solchen "Experten" brauchen wir mehr ...

[dodolin]

Allerdings nicht genau was wie drin steht.

Code: Select all

Received: from artbey.de ([217.160.222.129]:53203
helo=p15145594.pureserver.info.pureserver.info)
        by mail.dodolin.de with esmtp (Exim 4.30)
        id 1Aclnm-0008Le-7x
        for dominik.ruf@dodolin.de; Sat, 03 Jan 2004 14:26:50 +0100

Ab dem dritten Portscann wird zurückgeschossen, erst mal sehen ob ich den nuken kann.

Der Witz ist: Ein Portscan ist nicht strafbar - zumindest solange nicht, wie man nicht soviel Bandbreite oder Resourcen des gescannten dichtmacht, dass dieser nicht mehr normal arbeiten kann. Jemanden "nuken" jedoch ist eine Straftat, nämlich Computersabotage (siehe STGB). Der tolle "Security-Experte" macht sich also selbst strafbar und sein Verhalten erinnert auch eher weniger an einen Sicherheitsexperten als an einen spätpubertären Teenie.

[mikespi]

Ich fand das auch recht extrem wie der vorgehen will. Ist mir auch egal, wie der bei Angriffen so vorgehen will oder ob das nur zur allgemeinen Belustigung in den Raum gestellt hat.

Trotz der Ansicht war der Mann sehr gut in der Lage unserem Kurs wichtige Grundlagen der Sicherheit , erkennen der Angriffsarten usw. näher zu bringen. Er selbst ist damit beschäftigt das HypoVereinsbank Rechenzentrum unterm Tucherpark abzusichern und zu verwalten.