Update Testauswahl

Tobias Wieck 2021-02-06 10:51:52 +00:00
parent 2a3f445555
commit a4be00bbbf

@ -1,12 +1,27 @@
## Anbieter
Bei der Auswahl der Anbieter unserer virtuellen Maschinen war uns eine gute Mischung wichtig. Als Cloud-Anbieter haben wir die zwei Großen Amazon Webservice, Google Cloud Platform ausgewählt, sowie den kleineren deutschen Betreiber Hetzner. Damit wollen wir überprüfen wie ein kleinerer Anbieter sich schlägt und ob es überhaupt Unterschiede gibt auch zwischen den Großen. Um einen Vergleich ziehen zu können wurden die gleichen Betriebssysteme und Versionen ausgewählt.
Neben den Images der Anbieter selbst wollten wir noch die Marketplace-Angebote von AWS und GCP testen. Dabei haben wir Wordpress 5.6 und OpenVPN 2.8.5 Installationen verglichen. Mit einem LAMP-Stack (Linux, Apache, MySQL und PHP) haben wir den GCP-Marketplace mit einem von Hand installierten LAMP-Stack auf VMware verglichen.
Bei der Auswahl der Anbieter unserer virtuellen Maschinen war uns eine gute Mischung wichtig. Als Cloud-Anbieter haben wir die zwei Großen Amazon Webservice, Google Cloud Platform ausgewählt, sowie den kleineren deutschen Betreiber Hetzner. Dadurch soll überprüft werden, wie ein kleinerer Anbieter sich schlägt und ob es überhaupt Unterschiede gibt, auch zwischen den Großen. Um einen Vergleich ziehen zu können, wurden die gleichen Betriebssysteme und Versionen ausgewählt.
Neben den Images der Anbieter selbst wollten wir noch die Marketplace-Angebote von AWS und GCP testen. Dabei haben wir Wordpress 5.6 und OpenVPN 2.8.5 Installationen verglichen.
Mit einem LAMP-Stack (Linux, Apache, MySQL und PHP) haben wir den GCP-Marketplace mit einem von Hand installierten LAMP-Stack auf VMware verglichen.
Auf der lokalen VM wurde zusätzlich noch ein älteres Ubuntu (14.04), ein MEAN-Stack (MongoDB, Express.js, AngularJS und Node.js) und eine manipulierte VM getestet.
## Betriebssysteme
Mit Ubuntu 20.04 und Ubuntu 16.04 wurde die neuste Version und die älteste verfügbare getestet. Hier versprachen wir uns einen positiven Verlauf der Sicherheit beobachten zu können. Um diese Reihe fortzuführen, haben wir auf der lokalen VM die Version Ubuntu 14.04 getestet, da diese Version noch unter extended Support steht.
Debian gilt als ein sehr sicheres Betriebssystem. Daher haben wir die ältere Version 9 getestet. Außerdem liegt Debian 10 den Wordpress-Images zugrunde.
Damit wir nicht nur blanke Betriebssysteme, sondern auch Anwendungen testen, haben wir uns für die LAMP-Stacks, Wordpress und OpenVPN Installationen entschieden. So haben wir auch Webserver und dadurch offene Ports zum Testen.
Bei der Vulnerable-VM ist das Ziel ein möglichst unsicheres System zu schaffen, damit wir die Scanner überprüfen können, ob sie die Veränderungen erkennen und Alarm schlagen. Zu diesem Zweck haben wir vier Fehler vorgesehen. Diese sind eine Änderung der Firewall Regeln, die Erstellung eines SUID-Scripts, eine Änderung der Berechtigungen auf SSH Dateien und Ordnern, sowie die Installation verschiedenster Compiler.
![Test Maschinen](uploads/a5334584b5232be4cc459499e92733d2/Test_Maschinen.png)*Ausgewählte Images*
Debian gilt als ein sehr sicheres Betriebssystem, weshalb wir die ältere Version 9 getestet haben. Außerdem liegt Debian 10 den Wordpress-Images zugrunde.
Damit wir nicht nur blanke Betriebssysteme, sondern auch Anwendungen testen, haben wir uns für die LAMP-Stacks, Wordpress und OpenVPN Installationen entschieden. So haben wir auch Webserver und dadurch offene Ports zum Testen.
Bei der Vulnerable-VM ist das Ziel ein möglichst unsicheres System zu schaffen, damit wir die Scanner überprüfen können, ob sie die Veränderungen erkennen und Alarm schlagen. Zu diesem Zweck haben wir vier Fehler vorgesehen. Diese sind eine Änderung der Firewall Regeln, die Erstellung eines SUID-Scripts, eine Änderung der Berechtigungen auf SSH-Dateien und Ordnern, sowie die Installation verschiedenster Compiler.
![Test Maschinen](uploads/a5334584b5232be4cc459499e92733d2/Test_Maschinen.png)*Ausgewählte Images*
## Nicht durchgeführte Tests
Unter den gesammelten möglichen Tests (Image und Anbieter), wurde nur ein Teil ausgewählt. Entweder aus zeitlichen Gründen oder weil wir das Ergebnis als weniger aussagekräftig empfunden haben.
So war eingangs geplant, noch die Cloud-Plattform Azure zu testen. Da wir keine Erfahrung mit Azure haben und drei Tests mehr resultieren würden, fiel die Entscheidung diese Plattform nicht zu verwenden.
Ebenfalls nicht getestet wurden die Docker-Umgebungen mit insgesamt sechs Tests. Darunter zum Beispiel Alpine, Jenkins und Tomcat. Für die Docker-Umgebungen hätten wir andere Scannertools verwenden müssen und nebenbei ist ein Docker Container abgekapselt, sodass die Ergebnisse weniger aussagekräftig wären.
Ein Test war geplant um VirtualBox und VMware zu vergleichen. Der Test mit VirtualBox wurde gestrichen, da hier ebenfalls das Ergebnis zu identisch erwartet wurde. Deshalb haben wir uns auf die anderen Tests konzentriert.