Hi,
heute möchte ich euch ein Tool vorstellen auf das mich vor ein paar Tagen ein Arbeitskollege aufmerksam gemacht hat. Das Tool hört auf den schönen Namen „Nipper“ und ist in der Lage die Konfiguration von folgenden Geräten zu analysieren:
- Bay Networks Accelar
- CheckPoint VPN-1/Firewall-1
- Cisco Catalysts (IOS, CatOS and NMP)
- Cisco Content Services Switch (CSS)
- Cisco Routers (IOS)
- Cisco Security Applicances (PIX, ASA and FWSM)
- Juniper NetScreens
- Nokia IP Firewalls
- Notel Passports
- SonicWALL SonicOS Firewalls
Meine Tests habe ich dabei mit Cisco Catalysts, Cisco Routern und CheckPoint Firewalls durchgeführt. Das Ergebnis hat mich dabei ins Staunen gebracht. Insbesondere bei der Auswertung der Router und Switches leistet das Tool ganze Arbeit. Es findet auch versteckte Sicherheitsprobleme und listet alle seine Findings sehr übersichtlich in einem Report auf.
Bei der Auswertung von Firewalls (insebesondere bei großen Umgebungen mit 500+ Regeln) wird die Auswertung schnell unübersichtlich. Dafür kann allerdings das Tool wenig :-).
Alle Findings werden mit einer Risikoeinschätzung sowie einem möglichen Impact und den notwendigen Befehlen zum Beheben des Problems versehen (sehr nützlich für Administratoren die nicht so oft mit IOS arbeiten).
Das erstellen der Auswertung ist dabei denkbar einfach. Im Falle von cisco (IOS) Routern und Switches zieht man sich einfach einen dump der running config (show run) und übergibt diese mit folgendem Befehl an Nipper (Nipper muß nicht installiert werden. In meinem Beispiel liegt die config im selben Verzeichnis wie die nipper.exe)
nipper.exe --input=config.txt --output=report.html
Für Checkpoint Firewalls ist das Vorgehen nur minimal komplexer. Man kopiert entweder das $FWDIR Verzeichnis direkt von der Firewall oder kopiert das Konfigurationsverzeichnis vom Firewall manager (verwaltet dieses mehrer FW’s so tauchen alle in einem Report auf). Als input übergibt man Nipper dann einfach das zuvor kopierte Verzeichnis:
nipper.exe --input=FWconfig\ --output=fw_report.html
Das erstellen des Reports bei großen Firewalls kann durchaus etwas länger dauern (mein highscore liegt bei 35 min) – das warten lohnt sich aber.
Das Tool selbst ist Open Source und wird auf Source Forge gehostet. Die letzte Version wurde 12/2008 online gestellt. Auf der Webseite von Nipper gibt es auch ein Forum in welchem Fragen zu dem Tool geklärt werden können.
Danke für diese kleine Vorstellung 😉