Security Professionals - ipfw add deny all from eindgebruikers to any

Network scanners

15-05-2023, 23:00 door Anoniem, 16 reacties
Goedenavond.

Mijn vraag gaat over netwerk security scanners.

Eerst wat achtergrondinformatie: ik werk als SCADA ingenieur voor een grote industriële onderneming die elk jaar (helaas) met veel moeite zwarte cijfers schrijft. Deze onderneming verkoopt over de hele wereld netwerken waarin allerlei apparatuur is opgenomen:
- zelf ontwikkelde apparatuur: SCADA systemen (zowel Windows als Linux), dataloggers, security devices, enz.
- zeer veel verschillende apparaten van meerdere derde partijen (UPS, GPS, vermogens meters, netwerk switches, omgeving detectie systemen, enz.) en
- zeer complexe apparaten die weer hun eigen interne netwerk hebben.

Dit netwerk is met een firewall en router afgesloten van de buitenwereld. Klanten en diverse derde partijen hebben (digitaal) alleen toegang met specifieke IP adressen op specifieke poorten die door de firewall naar interne adressen en poorten worden omgezet. Echter zijn er ook diverse partijen die fysiek op ad-hoc basis toegang moeten hebben tot de netwerken. Dit in verband met de contractuele verplichtingen die we met onze klanten hebben.

Omdat het enorm druk is en we nog steeds erg weinig marge maken merk ik dat de operationele veiligheid van de verschillende netwerken niet helemaal op het niveau ligt dat we zouden willen. Wat ik bedoel met operationele veiligheid is dat er een regelmatige netwerk security scan wordt uitgevoerd van de diverse netwerken en de apparaten daarbinnen. Wat zijn daarbij de eisen en wensen:
- scannen van hierboven genoemde netwerken en de gedetecteerde hosts opslaan in een zelf te benoemen groep (bv. NL-zuid-1, DE-noord-5, IT-midden-2, enz.);
- opgeven welke poorten voor welke IP adressen zouden moeten openstaan en welke niet;
- combinaties ingeven van gedetecteerde IP adressen en/of poorten die verdacht zijn;
- uitvoeren van de meest voorkomende vulnerability scans (bv. OWASP top 10) en aangeven of de gescande apparaten daarin zwakheden vertonen;
- opslaan van profielen met daarin een bepaald niveau en diepte van de netwerk scans (bv. Daily, Monthly, Suspect, enz.);
- mogelijkheid om PDF rapportages uit te draaien;
- bij voorkeur een grafisch overzicht van de gescande netwerken en mogelijke problemen;
- bij voorkeur kunnen de scans gepland (scheduled) worden en zonder verder ingrijpen draaien;

En dan nu de eindvraag: weet iemand een goed, bij voorkeur gratis of niet al te dure (tot 50 eur/maand), netwerk security scanner die de hierboven genoemde requirements invulling geeft?

Alvast hartelijk bedankt voor de reactie. Als ik eea verder moet verduidelijken hoor ik het graag.
Reacties (16)
16-05-2023, 11:09 door Anoniem
Tot 50euro/maand is nogal weinig voor een goede all-round scanner denk ik.

Je kan even kijken op https://owasp.org/www-community/Vulnerability_Scanning_Tools of daar wat bij zit.

Als je enkel op netwerk niveau scant, en niet (of nauwelijks) op applicatie niveau, is er nog een andere optie: zelfbouw.
Een goede software developer met ook goede kennis heeft van netwerken zou dit misschien wel zelf kunnen bouwen.
Als je er een kent, vraag eens of die een eigen programma kan schrijven met deze wensen, al dan niet met integratie van bestaande OWASP scanning tools.


Want als ik zo zie:
- Het scannen van IP adressen en poorten zou niet zo moeilijk moeten zijn.
- Daarbij een rapport uitdraaien van (benoemde) servers op IP/poort met verdachtheid is ook niet lastig.
- Scheduling en rapportage versturen via bijvoorbeeld email is absoluut te doen.
- Grafisch overzicht zal lastiger zijn, tenzij het er niet mooi of gelikt uit hoeft te zien. ;)
- Integratie met een OWASP scantool is een groot vraagpunt, maar zou te doen kunnen zijn als je geluk hebt.

Voordeel van zelf bouwen is dat je de tool dan volledig kan aanpassen op de situatie en workflow.
Zelf het checken van configuratie van eigen software systemen is dan mogelijk.

Als je voor zelfbouw kiest, zou ik het leuk vinden om hiervan op de hoogte gehouden te worden. ;)
16-05-2023, 11:12 door Anoniem
kali linux.
OpenVas.
16-05-2023, 11:15 door Anoniem
Acunetix zou wellicht aan je wensen voldoen
16-05-2023, 11:46 door Anoniem
50 euro per maand voor goede scanning is erg mager. Zelfbouw is erg leuk, maar kost ook veel tijd en dus geld. Nessus (professional)(Tenable) is volgens mij rond de 2000€ per jaar en dan heb je een goede vulnerability scanner. Hierbij kun je profielen maken voor externe scans /IP's en interne authenticated scans. Rapporten kun je eenvoudig uitdraaien op basis van CVSS score. OpenVAS is een opensource oplossing, maar kost meer tijd om te beheren en op te zetten. Wil je dieper gaan, dan kan KALI je zeker verder helpen.
16-05-2023, 22:39 door Ron625
Hiervoor gebruik ik Angry Ip Scanner, is dat niets?
https://angryip.org
De source code is daar ook te verkrijgen.
17-05-2023, 12:42 door Anoniem
Alles-in-1 is best een grote vraag voor een beperkt budget.
Misschien kan Spiceworks een groot deel afdekken. Dat is in ieder geval volledig gratis.
https://www.spiceworks.com/free-pc-network-inventory-software/
17-05-2023, 16:42 door Anoniem
Iedereen tot zover bedankt voor de reacties. Mijn terugkoppeling:
- zelfbouw / laten doen: een interessant idee maar geen tijd / budget om daarmee aan de slag te gaan. Uit ervaring gesproken kost het veel tijd om een developer van goede input te voorzien en het resultaat te beoordelen;
- Kali Linux / OpenVAS - nog niet eerder van gehoord. Ga me inlezen en uitproberen in Virtualbox;
- Acunetix - idem
- Nessus - idem en duidelijk dat de 50 eur/maand tekort schiet!
- AngryIP: gebruik ik zelf ook. Ontzettend fijne scanner voor een basis scan maar heeft verder niet zo heel veel mogelijkheden. Of mis is hier wat?
Spiceworks - nog niet eerder van gehoord. Ga me inlezen en uitproberen in Virtualbox.

Nogmaals dank tot zover!
19-05-2023, 10:35 door Anoniem
Guardian360 al eens bekeken?
19-05-2023, 14:56 door Anoniem
Ik mag hopen dat jullie niet de hele IA/ICS zooi in een lan hebben staan maar dat je deze hebt verdeeld in verschillende lans die onderling gefilterd worden. Als je dan echt off-grid gaat hoef je alleen maar de lans waarin de bediening plaatsvind te scannen. Het verschil tussen OT en IT is dat bij OT de vertrouwelijkheid niet zo het probleem is maar eerder de beschikbaarheid en de integriteit van de stuur gegevens. OT vergt een geheel andere denkwijze als IT en dat kunnen er niet veel want de meesten denken nog teveel in IT terwijl de kwetsbaarheden bij OT op een heel ander niveau plaatsvinden als bij IT.
Stuurdata, of afwijkingen eraan is bij OT het grootste risico en daar behoor je dan ook te scannen want iedere grote afwijking is verdacht en kan miljoenen aan verlies kosten.
Je kunt met NMAP scannen op poort niveau maar dan nog steeds weet je nog niet zo heel veel want als daar geen externe verbindingen naar toe mogelijk zijn dan is er dus geen risico. Het risico zit in de toegang door gebruikers en ondersteundende bedrijven. USB poorten moeten dicht zitten en niemand mag rechtstreeks toegang hebben tot zaken als PLC's ed..Indien firmware geupdate moet worden dient dat eerst op een testomgeving te gebeuren zodat kan worden vastgesteld dat de firmware geen kwaadaardige zaken uitvoert zoals stuur/controle data wijzigt.
Je moet bij OT anders kijken naar kwetsbaarheden als bij IT.
22-05-2023, 07:14 door Anoniem
Door Anoniem: kali linux.
OpenVas.

Sluit ik me helemaal bij aan.
22-05-2023, 13:54 door Anoniem
Binnen SCADA/DCS omgevingen draaien normaal gesproken legacy/verouderde systemen die gevoelig zijn voor active scanning. Een risico van een IP scan is dat een legacy systeem/PLC/End device er mee ophoudt wanneer je een IP scan uitvoert.

Ik zou een risico profiel aanmaken en onderzoeken of active scans kwaad kunnen.

Er zijn ook passive "scanners" die naar het verkeer luisteren en zo de datastromen/asset invetory/vulnerability lijst voor je kunnen ophoesten.

Het nadeel is dat de implementatie vaak complexer is en met 50 euro per maand kom je niet ver helaas.

Passive scanners:
Nozomi
SilentDefense
Tenable
Microsoft IOT Defender
en nog een paar :)

Het is een lastige taak die je hebt waar veel bedrijven mee zitten dus je bent niet de enige :)
22-05-2023, 16:05 door Anoniem
Kijk ook even op Amazon. Er zijn enkele ICS IIoT boeken mbt tot cybersecurity. Heb alleen de namen even niet paraat.

Je kunt nmap scans schedulen en diffen. Dan njeuwe open poorten naast change manegement leggen.
De overheid had een scan bundel van tools KAT ofzo. Kijk daar ook eens naar. Een ander idee, maak bug meldingen makkelijk. Sommige grote spelers zijn daar zelfs nog laks in...
22-05-2023, 20:38 door Anoniem
Ik heb voor mijn werkgever zelf een tool geschreven omdat PCS zo'n niche is en de kennis zo beperkt.
Je moet uitgebruikt rekening houden met alle apparaten die gevoelig zijn. Maar het werkt nu stabiel, maakt automatische layer 2 en layer 3 netwerk tekeningen, risico analyses, diverse rapporten, asset management, etc. Ik zou best een bedrijf willen starten maar weet niet zo goed of er een markt voor is. Het beste commerciele product wat ik heb gezien wat in de buurt kwam is NTI. Vond auvik ook leuk maar dat is volgens mij cloud based. Ik raad nozomi en andere netwerk tap gebaseerde software af.
23-05-2023, 15:18 door Anoniem
Door Anoniem:
Door Anoniem: kali linux.
OpenVas.

Sluit ik me helemaal bij aan.

Greenbone (OpenVAS + GUI), voor OpenVAS moet je met de CLI kunnen werken.
23-05-2023, 21:05 door Anoniem
Door Anoniem: Ik heb voor mijn werkgever zelf een tool geschreven omdat PCS zo'n niche is en de kennis zo beperkt.
Ik raad nozomi en andere netwerk tap gebaseerde software af.

Actief scannen in een OT omgeving is altijd linke boel - kwam PLC's tegen die crashen op een 'ping' (zit er pas sinds 1980 in de TCP/IP stack, hoe krijg je het voor elkaar), andere apparaten die resetten naar factorydefaults (!), stoppen met werken totdat je ze powercycle'd, of onvoorspelbaar gaan werken (waardoor je machine ook raar doet). Nog afgezien daarvan hebben commerciele scanners vaak geen kennis van typische OT protocollen. TCP/IP is zeker niet algemeen overal in gebruik.

Bovendien, werken met een tap is meestal een probleem - je kunt niets uitsturen (ook niet via een mirror port op een switch). Dus je moet ergens anders inpluggen.
25-05-2023, 14:27 door Anoniem
Hoi!

Als ik zo vrij mag zijn.. denk ik dat voor 50eu/m je moet denken aan een openvas en daar zelf wat zaken omheen moet bouwen. Als ik ook kijk naar je lijst van wensen/ requirements denk ik dat je er een behoorlijke tijd mee bezig bent voordat dit naadloos werkt, neem de tijd die je er mee bezig bent ook mee in je budgettering. Ik snij dit onderwerp altijd aan aangezien je uren ook geld kosten :)

Heb je ook nagedacht over( vragen staan onder je punten) :

- scannen van hierboven genoemde netwerken en de gedetecteerde hosts opslaan in een zelf te benoemen groep (bv. NL-zuid-1, DE-noord-5, IT-midden-2, enz.);
Eventuele tagging structuur waarmee scans duidelijk ingericht kunnen worden.

- opgeven welke poorten voor welke IP adressen zouden moeten openstaan en welke niet;
- combinaties ingeven van gedetecteerde IP adressen en/of poorten die verdacht zijn;
Authenticated scans dmv credentials om de achterliggende infra te scannen.

- uitvoeren van de meest voorkomende vulnerability scans (bv. OWASP top 10) en aangeven of de gescande apparaten daarin zwakheden vertonen;
CIS benchmarks?

- opslaan van profielen met daarin een bepaald niveau en diepte van de netwerk scans (bv. Daily, Monthly, Suspect, enz.);
Als je scans wilt scheduelen, wil je dan ook vergelijkende rapportages hebben bijv: Scans 1-1-2023 vergelijken met scan 1-5-2023 en de verhouding tov van de systemen.


Zelf werk ik 5 jaar in de netwerkscanner sector, PLC`s OT/ SCADA allemaal componenten die we hebben gescand. als je een groot netwerk wil scannen en zelf nog "nachtrust" wil hebben denk ik dat het budget wat aan de lage kant is, maar goed als je handig bent heeft het zelfbouwen van een tool zijn voordelen. Zelf hebben we onze tool ook gebouwd en hier verdienen we ons brood nu mee, afgekeken van de grote spelers denk aan: R7 nexpose, Qualys, Tenable c.q. Nessus en Outpost24.

Wat ik merkte tijdens de ontwikkeling van onze scanners is dat de genoemde componenten erg gevoelig zijn, de doorontwikkeling van onze actieve scanners heeft er voor gezorgd dat we de intensiteit van de scans zo aan kunnen passen dat er relevante data wordt gevonden en het doelwit niet overbelast raakt.

Ik ben erg benieuwd wat je keuze zal worden, laat vooral weten als je zelf wat gaat bouwen! vind het altijd interessant om te zien hoe het proces werkt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.