Zum Inhalt springen

Pentesting System aufbauen mit automatisiertem Report


toxnice

Empfohlene Beiträge

Hallo Zusammen,

ich habe zwei fragen an euch. Bald habe ich im Bereich Systemtechnik meine individuelle praktische Arbeit.
Bei welchem ich ein Device (Raspberry Pi mit Kali Linux) in ein fremd Netzwerk einstecken werde und dies automatisiert nach Schwachstellenanalysieren soll. Dies soll dann ein Bericht/Report erstellt werden und per Mail versendet werden.

Beispielsweise sollen alle Netzwerkdevices dokumentiert werden und folgende Informationen enthalten: "IP-Adresse, Device (Klassifiziert: Printer, PC, Server etc...), MAC-Adresse, Port und evtl. Hostname". Dies soll dann in einem Report/Bericht dargestellt werden.

Da kommen wir bereits zu meiner ersten Frage. Hat jemand eine Idee wie man dies am besten lösen könnte? Damit es automatisiert Dokumentiert wird?

Meine andere Frage ist, wie bereits erwähnt das Netzwerk soll auf schwachstellen Analysiert werden. Beispielsweise: Beim Drucker ist noch Standard Passwort gesetzt, Wifi hat WPA verschlüsselung und nicht WPA2/3, Es wird SNMP1 verwendet anstatt SNMP2 etc...

Hat jemand hier eine Idee, wie man diese Informationen auslesen kann und wie man dies dann zusätzlich in ein Bericht/Report verpackt. Am besten sogar zusammen mit dem Netzwerkscan der Devices Falls jemand Software dafür kennt, wäre dies Super.

Ich hätte gedacht, dass man hierfür am besten ein Script schreibt. Bei welchem der User beispielsweise nach dem Netzwerkscan durch die Klassifizierung die IP-Adresse des Druckers eingibt und dies beispielsweise mit Hydra versucht zu Bruteforcen. Jedoch ist mir nicht bewustt wie ich bei erfolg, das Passwort Dokumentieren könnte in den Bericht.

Bei dem anderen wie wird SNMP1 verwendet etc... Wäre meine Idee gewesen dies mit Wireshark aufzunehmen und durch gewisse Tags dies auszulesen.

 

Danke jetzt schon für euren Input.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 3 Stunden schrieb toxnice:

Bei welchem ich ein Device (Raspberry Pi mit Kali Linux) in ein fremd Netzwerk einstecken werde und dies automatisiert nach Schwachstellenanalysieren soll. Dies soll dann ein Bericht/Report erstellt werden und per Mail versendet werden.

Schnaaaarch .... also ein nmap gegen alles. Sehr langweilig.

VIEL interessanter: mit welchem Vertrag, welchem Haftungsausschluß und welchem Freifahrtschein gedenkst Du denn sowas irgendwo etablieren zu können ? Wenn wir einen PenTest machen dann erst nach einem VIELSEITER mit allen möglichen Haftungen und Einschränkungen. DAS dürfte Dein Problem werden...

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 5 Stunden schrieb Maniska:

Klingt sehr nach Abschlussprojekt der Ausbildung. Keine Ahnung wie das in der Schweiz gehandhabt wird, aber in Deutschland muss man sein Gesellenstück alleine anfertigen.

Ja es geht um mein Abschlussprojekt in der Ausbildung und wie du bereits gesagt hast, ist es korrekt, dass ich dies allein erarbeiten muss. Wiederum kann ich ja nach Ideen/Vorschlägen fragen. Wie man dies am besten machen könnte.

Also falls du Ideen hast wäre ich sehr dankbar. :)

 

vor 1 Stunde schrieb charmanta:

Schnaaaarch .... also ein nmap gegen alles. Sehr langweilig.

VIEL interessanter: mit welchem Vertrag, welchem Haftungsausschluß und welchem Freifahrtschein gedenkst Du denn sowas irgendwo etablieren zu können ? Wenn wir einen PenTest machen dann erst nach einem VIELSEITER mit allen möglichen Haftungen und Einschränkungen. DAS dürfte Dein Problem werden...

Hmm... Ja ich verstehe deine Bedenken dazu. Und du hast natürlich komplett recht damit, dass man hier einen sehr guten Vertrag braucht. Jedoch habe ich dies bereits auch mit meinem Vorgesetzten besprochen. Für dies, meinte er, bin ich nicht zuständig und wird von dem Betrieb selbst erledigt.

Mein Ziel ist es nur dies aufzubauen.

Falls sonst noch jemand Ideen hat, wie man dies wie gesagt umsetzen könnte bin ich sehr dankbar :)

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Man muss das Rad ja nicht neu erfinden. Für mich klingt das nach einem Schwachstellenscanner. Entsprechende Lösungen gibt es ja von einigen Herstellern. Alle, die ich kenne, bieten entsprechende Schnittstellen, um hier Automatismen zu starten.

Plus wäre, dass es bereits fertige Berichte gibt und man hier nichts selbst machen muss.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...