Het Deense bedrijf Secpoint biedt met Penetrator een oplossing die automatisch meer dan 58.000 gekende it-kwestsbaarheden opspoort in ip-netwerken, webservers en wifi-netwerken. Met de ingebouwde “exploit”-optie kun je met een minimum aan basiskennis van it-beveiliging de hacker in jezelf helemaal laten losgaan.
Secpoint is sinds 1999 gespecialiseerd in de beveiliging van informaticasystemen. In het verleden testten we van dit bedrijf de Protector, een utm firewall appliance. De Secpoint Penetrator doet, zoals ook uit de naam blijkt, net het omgekeerde: kwetsbaarheden opsporen, testen, beoordelen en indien gewenst actief exploiteren.
Iedereen met een basiskennis van informatica en netwerken kan de Penetrator gebruiken. Dit product wordt nog het best omschreven als een geautomatiseerd expertsysteem voor it-beveiliging met een database van meer dan 58.000 kwetsbaarheden.
Secpoint vult die database overigens constant aan met nieuwe kwetsbaarheden. De database van uw Penetrator wordt aangevuld zolang u voor een onderhoudscontract betaalt.
Virtuele appliance
De eerste versies van de Penetrator werden uitsluitend als fysieke appliances verkocht, maar tegenwoordig bestaat het ook in de vorm van een goedkopere virtual appliance die op zowat elke computer draait in een van de bekende vm-clients.
Standaard levert Secpoint de gratis versie mee van VMware Workstation 12 Player. Wij testten een 4-ip-versie van de virtuele appliance op een 64-bit Windows 10 Professional client met Intel Core i7-5500 cpu en GB ram.
Met een 4-ip-versie kun je vier ip-adressen gelijktijdig scannen. De adressen zelf pas je zoveel aan als je zelf wil. Uiteraard is het niet de bedoeling en evenmin is het wettelijk om zonder toestemming niet-locale ip-adressen te scannen. Secpoint wijst daarop ook uitdrukkelijk in zijn documentatie. Zorg eerst altijd voor schriftelijke toestemming.
De virtuele appliance kan – mits je daarvoor betaalt – maximaal 32 ip-adressen gelijktijdig scannen, op voorwaarde dat de gebruikte hardware hiervoor voldoende krachtig is. Wil je méér gelijktijdige scans uitvoeren dan is één van de duurdere fysieke Penetrator-appliances vereist.
Secpoint verkoopt verder twee goedkopere versies met beperkte functies, eentje voor het scannen van wifi-netwerken (Portable Penetrator) en een tweede voor het scannen van webservers (Cloud Penetrator).
De wifi- en webfuncties zijn sowieso aanwezig in de duurdere standaardversie, maar om wifi-scanning te kunnen uitvoeren heb je wel nog een apart aan te schaffen externe Alfa awus036h wifi-antenne nodig die je via usb op een pc of virtuele appliance aansluit.
Met deze antenne is het onder andere mogelijk om wep, wpa, wps en wpa2 wifi-sleutels te “herstellen” (lees: kraken). Deze functies hebben wij door het ontbreken van de antenne niet kunnen testen.
Installatie en support
Secpoint heeft op zijn website uitgebreide documentatie, compleet met video-tutorials. We slaagden er moeiteloos in het product te installeren en op te starten.
De licentie wordt via het internet geactiveerd bij een server van Secpoint. Daar liep het bij ons mis. Hoewel de virtuele appliance aangaf een verbinding met het internet te kunnen maken en wij er eveneens in slaagden om vanaf een andere computer in een webbrowser de beheerinterface op te roepen, lukte het activeren van de licentie niet.
De Engelstalige supportafdeling van Secpoint hielp ons via e-mail vlot verder, maar zelfs dat verhielp het probleem niet. De virtuele appliance wordt geleverd met TeamViewer. Nadat we de supportafdeling toegang hadden verleend tot onze appliance, was het probleem via een firmware-update snel verholpen. Volledige support voor Windows 10 is immers maar aanwezig in de recentste Penetrator-firmware.
Kwetsbaarheden
Je bedient de Penetrator via een webinterface op de virtuele appliance zelf of via een webbrowser in het lokale netwerk. Het is overigens mogelijk verschillende gebruikers met specifieke rechten toe te laten. Bij ingewikkeldere netwerkconfiguraties kun je verder een netwerk van “master” en “client” penetrators uitrollen.
Het belangrijkste menu heet toepasselijk “Vulnerability” en hier start je een kwetsbaarheid-scan op. Bij elke stap vind je direct in de beheerinterface een video-tutorial die je op weg helpt, maar eigenlijk legt het systeem zichzelf uit. Je geeft je scan een naam en een ip-adres of -bereik. Het is tevens mogelijk om ip-adressen uit een csv-bestand te importeren.
Vervolgens kies je type scan, bijvoorbeeld alleen “populaire” poorten, alleen vaak gebruikte poorten, alle poorten, een “stealth” scan, “hipaa policy scan” voor compliance of een agressieve scan.
Al deze scans simuleren het gedrag van een menselijke hacker en leggen de gescande services dus niet plat. Bij elk type scan kun je meer informatie bekijken door met de muis over het blauwe vraagteken ernaast te zweven (“hoveren”).
Een scan kan uren of zelfs dagen duren afhankelijk van het type en de hoeveelheid adressen, maar steeds is het mogelijk om de reeds gevonden kwetsbaarheden te openen door op het blauwe wieltje ernaast te klikken.
Wanneer de scan afgelopen is, verschijnen er meer pictogrammen, bijvoorbeeld om rapporten te creëren, valse positieven aan te duiden, de scan te herhalen of tickets te creëren die je via e-mail uitstuurt en in het systeem opvolgt. Scans kunnen verder gearchiveerd en/of gewist worden.
Rapportering
Rapporten in pdf, xml of html geef je zelf vorm, tot en met “branding” met eigen logo etc. als je een licentie kocht die dit toelaat.
Volledige rapporten, samenvattingen van één pagina en rapporten zonder oplossingen zijn na afloop van de scan kant-en-klaar beschikbaar in het systeem, ook in het Nederlands, wat bij vergelijkbare producten zelden het geval is.
Elke gevonden kwetsbaarheid krijgt een kleurcode mee: rood voor kritiek, oranje voor hoog, geel voor laag en groen voor informatief. In de interface zowel als in de rapporten worden de resultaten verder samengevat met behulp van diagrammen.
In de gedetailleerde rapporten krijg je meer uitleg bij elke kwetsbaarheid en, indien beschikbaar, tips over hoe die te verhelpen. Waar mogelijk worden ook Securityfocus.com bugtraq-, CVE Mitre- en Ubuntu Security Notice-links en -id’s gegeven.
De uitgebreide rapporten kunnen zéér uitgebreid zijn. Zo besloeg het rapport over één door ons geteste webserver zo maar eventjes 391 bladzijden. Op deze server, die we verder niet zullen identificeren, vond het systeem 238 kritieke, 62 hoge, 23 lage en 16 informatieve kwetsbaarheden! Enkele kritieke kwetsbaarheden bleken na manuele controle valse positieven te zijn, maar de server vertoonde daarnaast vele echte gaten.
Je kunt scans op gezette tijden volgens een vast schema uitvoeren. Zodra er op een systeem twee of meer scans uitgevoerd zijn, kun je de “vulnerability history” opvragen en op die manier controleren of in het verleden gevonden kwetsbaarheden effectief opgelost zijn. Je zet de verantwoordelijke desgewenst via het ingebouwde ticketing-systeem tot actie aan.
Penetrator kan ook geautomatiseerd proberen in te breken op een systeem. In de appliance gebruik je daarvoor een aparte applicatie, Exploits Armitage. In onze licentie was deze niet geactiveerd, zodat we ze niet konden testen. Het is ook iets voor geavanceerde gebruikers die de ultieme garantie willen dat hun eigen systemen niet exploiteerbaar zijn door hackers.
Prijzen
Cloud Penetrator vanaf €129 voor 1 ip-adres. Portable Penetrator vanaf 199 euro voor 1 ip. Versie met 1 ip zijn inclusief een Alfa awus036h wifi-adapter; drie jaar updates kost bijvoorbeeld 349 euro. Penetrator S7 Vulnerability Scanner virtuele appliance vanaf 199 euro voor 1 ip. Penetrator S7 fysieke appliance vanaf 699 euro voor vier ip’s (appliances verkrijgbaar tot unlimited ip’s). Distributeur: Secpoint.nl.
Conclusie
Secpoint Penetrator is een briljant preventief en curatief beveiligingsproduct dat in geen enkele netwerkbeheerder-toolkit mag ontbreken.
Bron: www.diskidee.be
Fout opgemerkt of meer nieuws? Meld het hier