Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Online-Security-Scanner, Teil 2

Seite 2: Qualys, Secunia, Prosumis

Inhaltsverzeichnis

Qualys gibt sich sehr viel Mühe bei der Darstellung des Netzwerkes

Qualys offeriert eine optisch sehr ansprechende Schwachstellen- und Netzwerkanalyse. Der angebotene Gratistest ist bereits sehr leistungsfähig, man darf sogar beliebige IP-Adressen und ganze Domänen als Ziele angegeben. Leider lässt sich der Test damit für anonymisierte Scans mißbrauchen, die Mailadresse, an die ein Link zum Starten des Tests gesendet wird, könnte ja auch eine Mailingliste sein. Mittels eines Java Applets wird die zu untersuchende Netzwerkinfrastruktur mit allen daran angeschlossenen Systemen angezeigt: Server, Clients und Router. Ein Rechtsklick auf das jeweilige Objekt erlaubt dann eine gezielte Überprüfung, allerdings muss der Rechner auf PING-Anfragen antworten, sonst bricht der Test vorher ab. Der Vorgang benötigt zwischen 10 und 15 Minuten, ein Report beschreibt die gefundenen Schwachstellen mit Risikoeinschätzung und Lösung. Der Qualys-Dienst basiert nicht auf Nessus und kommt mit dem eigenen Scanner mitunter zu anderen Ergebnissen.

Secunias kostenloser Online-Scan basiert auf dem Open-Source Schwachstellenscanner Nessus. Nachdem man eine E-Mail-Adresse angegeben hat, erhält man einen temporären Link zum Starten des Tests, das Ende signalisiert auch hier eine E-Mail. Der Bericht ist danach nur mit der IP-Adresse abrufbar, mit der man auch den Test beantragt hat. Den Report darf man, nach der Eingabe eines bei der Anmeldung festgelegten Passwortes, einmal anschauen und ausdrucken, ein nochmaliges Aufrufen ist nicht möglich. Wie bei Nessus-Reports üblich, ist alles kurz und knapp, eine Beschreibung der gefundenen Probleme ist zwar enthalten, jedoch nur für Fachleute verständlich. Eine Zusammenfassung mit Risikoeinschätzung fehlt.

Je dunkler das Rot, desto kritischer sind die Schwachstellen

Der Online-Audit von Prosumis bietet fünf verschiedene Tests, einer ist sogar speziell zum Testen von CGI-Skripten. Ein 7-Tage-Trial-Account erfordert eine Anmeldung, bei der man einen Anmeldenamen und ein Passwort zugeteilt bekommt. Das Freischalten des Kontos benötigt etwas Zeit, eine E-Mail informiert wann es losgehen kann. Nach dem Einloggen auf der Webseite kann man einen Scan auswählen und starten. Ziel des Tests ist bei einem Probeaccount immer die IP-Adresse, die beim Surfen aus dem Internet zu sehen ist, - unter Umständen wird dann die Firewall oder der Proxy gescannt. Die Untersuchung ist nicht besonders schnell und wird im Hintergrund durchgeführt. Nach Abschluss erhält man eine Mail und kann den Bericht auf den Seiten von Prosumis einsehen. Die Reports sind kurz und mit vielen Querverweisen zu anderen Security-Seiten. Wer etwas mit solchen Reports anzufangen weiß, ist ausreichend informiert, Hilfesuchende werden dort aber keine Antworten finden. Immerhin gibt es eine Zusammenfassung und Risikobewertung aller gefundenen Schwachstellen.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten