[spider6]

Hallo Leute!

Ich habe eine Frage an euch und hoffe jemand kann mir ein paar Tipps geben.

Ich möchte prüfen, welche Informationen mein Server einem anderen Server mitteilt.

Beispiel Szenario:

Jemand hat meine IP. Dann sendet dieser über die shell *irgendeinbefehl* ip-nummer und bekommt freigaben, Rechnername, Mac-Adresse usw.
Es gibt für Windows-Rechner ja den Befehler "Finger", geht aber wohl nur intern, also nicht über das Internet.

Mein Server läuft unter Linux. Ich möchte erreichen, dass keiner meinen Rechner erkennt. WHOIS wird kein eindeutiges Ergebnis bringen, da der Server dynamische IP's besitzt. Ich möchte keine Informationen herausgeben, also welcher Service läuft etc.

Ich habe den Server von unserer IT-Abteilung aufsetzen lassen und will nun deren Arbeit "überprüfen".

Ich hoffe, ihr könnt mir ein paar Tools, Befehle, oder sonstige Infos geben.
Falls noch Rückfragen zum Szenario sind, als Fragen

[bombastik]

Wie wärs mit einer Firewall?!?

[spider6]

Zitat:

Zitat von bombastik

Wie wärs mit einer Firewall?!?

Das möchte ich ja testen! Ob und wenn ja welche Informationen
vom Server gegeben werden. Was bringt eine Firewall, die nicht richtig
eingestellt ist?

Daher will ich ja den Server auf Mark und Bein testen.
Danke aber schon für das schnelle Feedback.

[arkelanfall]

Zitat:

Zitat von spider6

Daher will ich ja den Server auf Mark und Bein testen.
Danke aber schon für das schnelle Feedback.

Wenn du nichtmal in der Lage bist, entsprechende Programme selber zu finden, wirst du erst recht nicht in der Lage sein, sie anwenden zu können.

Es gibt zwar eine Vielzahl an Tools, die man per Klick-Klick bedienen kann. Ohne fundiertes Fachwissen wirst du aber nichtmal die optiomal einsetzen, geschweige denn deren Ergebnisse interpretieren können.

Das klingt jetzt vielleicht hart, überheblich,... aber wirklich absolut ernsthaft: Du wirst dich maximal lächerlich machen, wenn du mit deinem - auf diesem Fachbereich - extrem mangelhaften Wissen anfängst, mit deiner EDV-Abteilung herumzustreiten.

Schon das "*irgendeinbefehl*" lässt darauf schließen, dass du nichtmal elementare Kenntnisse hast, wie TCP/IP, bzw. "Internet" funktioniert.

Fazit: Lass es.
Wenn der Server so wichtig ist, dann beauftrage eine externe Firma mit dem Penetration Testing. Ansonsten wirst du deiner EDV-Abteilung vertruaen müssen.

Ach ja: Da "Hack-Anleitungen" hier im G:B verboten sind, wird dir auch kaum einer eine 1:1 Download- und Klickanleitung präsentieren.

Sorry, ich weiß, dass das jetzt nicht die Antwort war, die du hören wolltest. Aber falls du den Test wirklich selbst mit halbwegs brauchbaren Ergebnissen durchfüren willst, solltest du mit einer Lernzeit von ein paar Jahren rechnen...

[spider6]

Zitat:

Zitat von arkelanfall

[...]

Ach ja: Da "Hack-Anleitungen" hier im G:B verboten sind, wird dir auch kaum einer eine 1:1 Download- und Klickanleitung präsentieren.
[...]

Ich möchte sicher kein Hack-Anleitung. Das es soetwas hier nie geben wird, ist mir vollkommen klar, dafür bin ich schon zu lange hier. Ich möchte kein Zugang zum Server, sondern nur das Feedback vom Server interpretieren.

Einen Kommentar in deiner Qualität habe ich schon erwartet. Ich habe schon ein paar Tools angewendet und kann sehr wohl die Ergebnisse interpretieren. *irgendeinbefehl* war nur als Platzhalter für sämtliche Ideen gedacht.

Es gibt eine Lücke in dem Server und wurde auch bereits gefunden. Aber wo diese Lücke sich befindet wurde leider nicht bekannt gegeben. Jemand hat Infos über diesen Server bekommen.

Portscanner ist schwierig anzuwenden, da die IP des Servers alle 10 Minuten ändert.
Ping etc. bringt nichts, da die Firewall diesen Befehl nicht durchlässt.
Also, wie kann ich noch prüfen, was für ein Server z.B. Betriebsystem hinter einer IP steckt? Oder geht das schon wieder in Richtung Hacken?!

[arkelanfall]

Zitat:

Zitat von spider6

Portscanner ist schwierig anzuwenden, da die IP des Servers alle 10 Minuten ändert.

Und warum sollte das einen Portscan be- bzw. verhindern?

Zitat:

Ping etc. bringt nichts, da die Firewall diesen Befehl nicht durchlässt.

Klasse. ICMP echo requests/replies zu DROPen gehört zu meinen persönlichen Top10, was einen hirnlosen Admin auszeichnet.

Zitat:

Also, wie kann ich noch prüfen, was für ein Server z.B. Betriebsystem hinter einer IP steckt?

Indem du nach "os fingerprinting" (MIT den "") googlest und alles liest, was du auf den ersten 2-3 Seiten findest.

Zitat:

Oder geht das schon wieder in Richtung Hacken?!

Das geht in Richtung "Grundlagenwissen". Was mich wieder zurück zu dem Punkt bringt, dass du vermutlich nicht das nötige Wissen in diesem Bereich hast.
Du würdest ja vermutlich auch nicht nur mit Wikipedia+Goolge versuchen einen Airbus zu fliegen, oder?

Ach ja, nur aus Interesse (ja, es interessiert mich wirklich): Was ist daran so schlimm, wenn das Gegenüber das Betriebssystem kennt?
Ein wirklich sicheres "kann nicht erkannt werden" erhält man nur durch eine komplette Isolation nach und von außen. Sobald jemand von außen IRGENDWIE mit dem Server kommunizieren kann, kann er auch potentiell Informationen über die verwendete Software in Erfahrung bringen.

[spider6]

Zitat:

Zitat von arkelanfall

Und warum sollte das einen Portscan be- bzw. verhindern?



Klasse. ICMP echo requests/replies zu DROPen gehört zu meinen persönlichen Top10, was einen hirnlosen Admin auszeichnet.



Indem du nach "os fingerprinting" (MIT den "") googlest und alles liest, was du auf den ersten 2-3 Seiten findest.



Das geht in Richtung "Grundlagenwissen". Was mich wieder zurück zu dem Punkt bringt, dass du vermutlich nicht das nötige Wissen in diesem Bereich hast.
Du würdest ja vermutlich auch nicht nur mit Wikipedia+Goolge versuchen einen Airbus zu fliegen, oder?

Ach ja, nur aus Interesse (ja, es interessiert mich wirklich): Was ist daran so schlimm, wenn das Gegenüber das Betriebssystem kennt?
Ein wirklich sicheres "kann nicht erkannt werden" erhält man nur durch eine komplette Isolation nach und von außen. Sobald jemand von außen IRGENDWIE mit dem Server kommunizieren kann, kann er auch potentiell Informationen über die verwendete Software in Erfahrung bringen.

Als erstes möchte ich deine Neugierde befriedigen: Betriebssystem etc. soll unerkannt bleiben, damit die Zuordnung des Servers findert werden kann. Die Firma hat kein Interesse erkannt zu werden, egal über welche Methoden. Das es keine 100 % Sicherheit gibt, versteht sich von selbst.
Ich selbst bin kein Admin und kenne daher sicher nicht alle Dinge die im Bereich der Server nötig währen, sonst hätte ich auch kein Thread aufgemacht. Aber Grundlangen besitze ich soweit ausreichend, dass ich jedes Programm bedienen kann, das mir weiterhilft.

"os fingerprinting" -> Danke!

Und warum sollte das einen Portscan be- bzw. verhindern?
Die IP-Adresse erhalte ich auch nur über umwege. Wie lange diese bereits aktiv ist und damit wieder ungültig wird, kann ich extern nicht feststellen. Dazu kommt meine schlechte Internet Leitung, dass das Portscannen zu lange bei mir dauert...

Vielen Dank für deine Anmerkungen, auch wenn einige eher Richtung OFF-Topic gehen. Entweder helfen oder einfach sich die Kommentare sparen. Es freut mich ja für dich, dass du super in der Materie bist. Nicht jeder hat aber diesen Schwerpunkt, daher wird nach Hilfe gefragt und entweder wird geholfen oder nicht. Aber vergesse nie, dass du als Meister in der Materie schon lange den Blick verloren hast, was tatsächlich noch Grundlagen sind, oder bereits Know-how ist. Das ist menschlich, jeder in seinem Bereich denkt, "das muss man doch wissen", aber der Mensch neigt dazu, die Objektivität zu verlieren. Nur mal so als Denkanstoss, will jetzt keine Diskussion auslösen...

[arkelanfall]

Zitat:

Zitat von spider6

Und warum sollte das einen Portscan be- bzw. verhindern?
Die IP-Adresse erhalte ich auch nur über umwege. Wie lange diese bereits aktiv ist und damit wieder ungültig wird, kann ich extern nicht feststellen. Dazu kommt meine schlechte Internet Leitung, dass das Portscannen zu lange bei mir dauert...

Dann wirst du dir wohl
a) eine Alternative zum billigen "Portscan" überlegen
b) besser Ausgangsbedingungen schaffen müssen.

Zitat:

Entweder helfen oder einfach sich die Kommentare sparen. Es freut mich ja für dich, dass du super in der Materie bist. Nicht jeder hat aber diesen Schwerpunkt,

Niemand wirft dir vor, dass du in diesem Bereich nicht geschult bist. Aber dann bist du in diesem Fall schlichtweg nicht die richtige Person.

Zitat:

daher wird nach Hilfe gefragt und entweder wird geholfen oder nicht.

Überleg mal, warum Firmen guten IT-Sicherheitsexperten 300EUR/Stunde zahlen, wenn jeder ohne größere Einarbeitung, Ausbildung und Erfahrung das selbe leisten könnte.
Man KANN dir einfach keine vernünftige Antwort auf deine Frage geben, weil ein vernünftiger Security Audit so viel Intuition und Background-Wissen benötigt, dass man das nicht so eben in ein paar Postings erklären kann.

Du kennst dich einfach zu wenig aus, um von einem "ich hab nichts gefunden" auf ein "ein Experte würde da auch nichts finden" schließen zu können. Da hilft es dir jetzt auch nicht, wenn ich Fertig-Tools wie "nessus" oder Standard-Hilfsmittel wie "netcat" in die Runde werfe.

Du darfst mein Posting jetzt gerne als arrogant bezeichnen. Aber nur weil du die Antwort nicht hören willst, ist sie noch lange nicht falsch.