From 62ec794f5b09d2e66cb543370e257592910580b9 Mon Sep 17 00:00:00 2001 From: Marcel Schwarz Date: Sat, 6 Feb 2021 18:47:15 +0000 Subject: [PATCH] Update Fazit und Ausblick --- Fazit-und-Ausblick.md | 19 ++++++++++--------- 1 file changed, 10 insertions(+), 9 deletions(-) diff --git a/Fazit-und-Ausblick.md b/Fazit-und-Ausblick.md index 25d4bae..528862d 100644 --- a/Fazit-und-Ausblick.md +++ b/Fazit-und-Ausblick.md @@ -1,15 +1,16 @@ # Fazit -* Was haben wir erwartet? -* Was war unerwartet? -* Qualität der Tools? -* Komplexität der Tools? -* Zeitaufwand um gute Tools zu finden? -* Einfachheit und "falsche Versprechen" -* Fehlende Automatisierung +Als Fazit lassen sich einige interessante Funde benennen. Zum einen waren wir überrascht wie gut Hetzner mit den großen Anbietern wie AWS und GCP mithalten kann, in Bezug auf Sicherheit. Ebenfalls ist auch der Vergleich zwischen den Marketplace Images des LAMP-Stacks und des selbst erstellten sehr interessant. + +Weiter lässt sich aber sagen, dass alle Ergebnisse sehr nah beieinander liegen, und deshalb nur marginale Unterschiede zu erkennen sind. Dies haben wir aber von Anfang an erwartet. Dies beruht höchstwahrscheinlich darauf, dass oftmals nicht der Server selbst das Sicherheitsproblem darstellt, sondern die komplette Anwendungslandschaft spielt hier zusammen. + +Zu den Tools lässt sich sagen, dass die Auswahl und das Finden der Tools sich als unvorhergesehen schwer herausgestellt hat. Viele Tools haben wenig Dokumentation wie sie zu benutzen sind, oder geschweige denn, was sie Intern tun. Auch die Codequalität und Aktualität lässt oftmals zu wünschen übrig. + +Am Beispiel des JShielders ist dies sehr gut zu sehen, es wird viel versprochen, aber die Umsetzung ist sehr schwer verständlich und in manchen Fällen sogar fehlerhaft. + +Zuletzt ist noch der Output der Tools zu erwähnen. Als Musterbeispiel kann hier Lynis herangezogen werden. Lynis bietet zu jedem Problem, welches gefunden wird, eine Art Issue-Id in der Lynis Datenbank an. Anhand dieser kann dann genau bestimmt werden, was der Fehler ist, und wie dieser zu beheben ist. Otseca hingegen gibt zwar schönen HTML Output, aber markiert die Tests lediglich durch eine grüne, gelbe oder rote Farbe. Was diese Farbwahl nun ausgelöst hat, wird nicht erwähnt. # Ausblick -* Projekterweiterungen? -* Mehr Tools, Mehr Maschinen, automatische Ausführung +Das Projekt ist aber trotz vieler Probleme nicht in einer Sackgasse angekommen. Es ist immer möglich weitere Tools in den Test aufzunehmen oder neue Umgebungen hinzuzufügen. Auch können eigene Nachforschungen angestellt werden, um weitere Tests auf erweiterte Angriffsvektoren zu schreiben. Ebenfalls ist der Parser sehr Modular gestaltet, was einfache Erweiterbarkeit bietet. # Anhänge [IT-Sicherheit_2_-_Deep_Thought.pptx](uploads/02ee0d4fd0e573658cb734c4372b11eb/IT-Sicherheit_2_-_Deep_Thought.pptx)