Welche kostenlose oder frei downloadbare und empfehlenswerte Tools gibt es, um mögliche Schwachstellen an einen Netzwerkgerät zu lokalisieren?

[DHC]

Ich habe mir vor einigen Monaten mal einige Router zu Fernwartungszwecken eingerichtet.
Soweit funktioniert alles sehr zufriedenstellend.
Nun würde ich gerne überprüfen, ob man Schwachstellen erkennen kann, um diese dann zu beheben.

Mit nmap habe ich mal einen Portscan durchlaufen lassen.
nmap -Pn -sS -sV --version-all --reason -v -A -O --osscan-guess -p0-65535 IP-ADRESSE
Dabei wurde nichts gefunden.

Das hört sich erst mal gut an.
Nun würde ich gerne weitere Tools nutzen, um evtl. weitere Schwachstellen zu ermitteln.
Bei einer Recherche bin ich auf Nessus gestoßen. Leider kann man das nicht einfach herunterladen. Dazu muss man eine Business-E-Mail-Adresse angeben. Was auch immer das heißen soll.
Wie auch immer. Meine E-Mail-Adressen werden nicht akzeptiert.

Welche Tools gibt es noch, um Schwachstellen herauszufinden?
Gerne als Portable-Version (Ohne Installation). Zumindest was Windows angeht.
Für Linux habe ich diverse VMs, auf denen man, wenn nötig, Tools installieren könnte.
Hier gerne mit GUI, wenn möglich.

 

[madmax2010]

nmap
zmap
arp-scan
ghidra
Nuclei Scanner + bei dir passende tempaltes
Wireshark
Nikto
openssh
ssh-audit
OWASP ZAP
ike-scan
onesixtyone
httpx
binwalk
grype
openssl
SSLyze
curl
netdiscover

fallen mir auf anhieb ein. mit jedem davon schaut man nach unterschiedlichen luecken. manche sind simpel zu bedienen, manche schwieriger.
Welche sinnvoll sind kommt drauf an was du vor hast und welche ziele du erfuellen willst.
Und welche Vektoren du absichern willst.
Bevor man sich den aufwand daheim macht, lieber einfach die Firewall restriktiver machen.

viele anleitugnen, zu vielen tools findest du hier
https://www.kali.org/tools/

 

[DHC]

Bevor man sich den aufwand daheim macht, lieber einfach die Firewall restriktiver machen.

Die sollten theoretisch sicher sein.
Aber ich will auf Nummer sicher gehen.
Es gibt nur drei/vier accept-Regeln für input für die WAN-Schnittstelle.
Alles andere wird gedropt.

welche ziele du erfuellen willst.

Ich möchte generell überprüfen, ob es noch weitere Schwachstellen gibt.
Mir ist schon klar, dass dies viel Raum für Interpretationen zuläßt.
Es geht um Router. Da sollte man die Auswahl evtl. etwas eingrenzen können.

nmap habe ich schon benutzt. Siehe Post #1.

 

[TorenAltair]

Geht es um geschäftliche Nutzung?
Sind das "richtige" Router oder "Baumarktgeräte" wie Fritzbox?

 

[BFF]

Das bei Nessus ist eine stupide Registrierung fuer die Trial.

Du kannst da eine beliebige Adresse eintragen.

Mit nmap habe ich mal einen Portscan durchlaufen lassen.
nmap -Pn -sS -sV --version-all --reason -v -A -O --osscan-guess -p0-65535 IP-ADRESSE
Dabei wurde nichts gefunden.

Du weisst was da gemacht wird?

Parameter	Bedeutung
-Pn	Überspringt die Host-Erkennung (Ping). Nmap behandelt das Ziel direkt als erreichbar.
-sS	TCP SYN-Scan ("Half-Open Scan"). Sehr verbreitete Methode zur Port-Erkennung.
-sV	Ermittelt die Versionen der gefundenen Dienste.
--version-all	Verwendet die aggressivste Versionserkennung mit allen verfügbaren Signaturen.
--reason	Zeigt an, warum Nmap einen Port als offen, geschlossen oder gefiltert einstuft.
-v	Verbose-Modus, liefert mehr Informationen während des Scans.
-A	Aktiviert mehrere erweiterte Erkennungen gleichzeitig (OS-Erkennung, Versionserkennung, Script-Scanning, Traceroute).
-O	Betriebssystem-Erkennung anhand des TCP/IP-Stacks.
--osscan-guess	Erzwingt eine Schätzung des Betriebssystems, auch wenn die Erkennung unsicher ist.
-p0-65535	Scan aller TCP-Ports von 0 bis 65535.

Was hast Du denn erwartet? Und was soll gefunden werden?
Das der Scan ewig dauert wirst Du wohl mitbekommen haben.

Und was erfaehrst Du eigentlich wenn Du das nmap auf die IP eines Deiner Router absetzt. Aus Deinem Netzwerk natuerlich. Aus dem Internet auf die Externe eines Routers wuerde ich so nie probieren.

Das ist einer meiner Router. Von intern gesehen.

Spoiler

bff@vm007:~$ sudo nmap -Pn -sS -sV --version-all --reason -v -A -O --osscan-guess -p0-65535 192.168.0.1
Starting Nmap 7.94SVN ( https://nmap.org ) at 2026-05-30 19:49 EDT
NSE: Loaded 156 scripts for scanning.
NSE: Script Pre-scanning.
Initiating NSE at 19:49
Completed NSE at 19:49, 0.00s elapsed
Initiating NSE at 19:49
Completed NSE at 19:49, 0.00s elapsed
Initiating NSE at 19:49
Completed NSE at 19:49, 0.00s elapsed
Initiating ARP Ping Scan at 19:49
Scanning 192.168.0.1 [1 port]
Completed ARP Ping Scan at 19:49, 0.03s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 19:49
Completed Parallel DNS resolution of 1 host. at 19:49, 0.05s elapsed
Initiating SYN Stealth Scan at 19:49
Scanning _gateway (192.168.0.1) [65536 ports]
Discovered open port 80/tcp on 192.168.0.1
Discovered open port 443/tcp on 192.168.0.1
Discovered open port 53/tcp on 192.168.0.1
Completed SYN Stealth Scan at 19:49, 5.96s elapsed (65536 total ports)
Initiating Service scan at 19:49
Scanning 3 services on _gateway (192.168.0.1)
Completed Service scan at 19:50, 12.09s elapsed (3 services on 1 host)
Initiating OS detection (try #1) against _gateway (192.168.0.1)
Retrying OS detection (try #2) against _gateway (192.168.0.1)
Retrying OS detection (try #3) against _gateway (192.168.0.1)
Retrying OS detection (try #4) against _gateway (192.168.0.1)
Retrying OS detection (try #5) against _gateway (192.168.0.1)
NSE: Script scanning 192.168.0.1.
Initiating NSE at 19:50
Completed NSE at 19:50, 8.58s elapsed
Initiating NSE at 19:50
Completed NSE at 19:50, 1.18s elapsed
Initiating NSE at 19:50
Completed NSE at 19:50, 0.00s elapsed
Nmap scan report for _gateway (192.168.0.1)
Host is up, received arp-response (0.0093s latency).
Not shown: 65533 closed tcp ports (reset)
PORT    STATE SERVICE  REASON         VERSION
53/tcp  open  domain   syn-ack ttl 53 Unbound
| dns-nsid:
|   NSID: mia04 (6d69613034)
|_  id.server: mia04
80/tcp  open  http     syn-ack ttl 64 BusyBox http 1.19.4
| http-methods:
|_  Supported Methods: GET HEAD POST
|_http-title: Site doesn't have a title (text/html).
443/tcp open  ssl/http syn-ack ttl 64 BusyBox http 1.19.4
|_ssl-date: TLS randomness does not represent time
| ssl-cert: Subject: commonName=*wifi.net
| Subject Alternative Name: DNS:*wifi.net
| Issuer: commonName=tplinkwifi.net
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2020-01-01T00:00:00
| Not valid after:  2040-12-31T00:00:00
| MD5:   647a:2218:a7c4:202d:666f:bd97:5f04:5751
|_SHA-1: fd58:fa0f:da26:d246:8210:db3a:75ab:ed93:5e04:751f
|_http-title: Site doesn't have a title (text/html).
| http-methods:
|_  Supported Methods: GET HEAD POST
MAC Address: 98:25:4A:40:51:A0 (Unknown)
Aggressive OS guesses: FreeBSD 12.0-RELEASE (93%), HP P2000 G3 NAS device (92%), Linux 3.1 (90%), Linux 3.2 (90%), Linux 3.0 (90%), AXIS 210A or 211 Network Camera (Linux 2.6.17) (90%), OpenWrt Kamikaze 7.09 (Linux 2.6.22) (90%), Asus RT-AC66U router (Linux 2.6) (90%), Asus RT-N16 WAP (Linux 2.6) (90%), Asus RT-N66U WAP (Linux 2.6) (90%)
No exact OS matches for host (If you know what OS is running on it, see https://nmap.org/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=7.94SVN%E=4%D=5/30%OT=53%CT=1%CU=41031%PV=Y%DS=1%DC=D%G=Y%M=98254
OS:A%TM=6A1B77C3%P=x86_64-pc-linux-gnu)SEQ(SP=FF%GCD=1%ISR=10D%TI=Z%CI=Z%TS
OS:=22)SEQ(SP=FF%GCD=1%ISR=10D%TI=Z%CI=Z%II=I%TS=22)OPS(O1=M5B4ST11NWD%O2=M
OS:5B4ST11NWD%O3=M5B4NNT11NWD%O4=M5B4ST11NWD%O5=M5B4ST11NWD%O6=M5B4ST11)WIN
OS:(W1=FFFF%W2=FFFF%W3=FFFF%W4=FFFF%W5=FFFF%W6=FFFF)ECN(R=Y%DF=Y%T=35%W=FFF
OS:F%O=M5B4NNSNWD%CC=Y%Q=)T1(R=Y%DF=Y%T=35%S=O%A=S+%F=AS%RD=0%Q=)T2(R=N)T3(
OS:R=N)T4(R=Y%DF=Y%T=35%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T=40%W=0%S=Z
OS:%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=N
OS:)U1(R=Y%DF=N%T=40%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(R=Y%
OS:DFI=N%T=40%CD=S)

Uptime guess: 0.000 days (since Sat May 30 19:50:16 2026)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=255 (Good luck!)
IP ID Sequence Generation: All zeros
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   9.32 ms _gateway (192.168.0.1)

NSE: Script Post-scanning.
Initiating NSE at 19:50
Completed NSE at 19:50, 0.00s elapsed
Initiating NSE at 19:50
Completed NSE at 19:50, 0.00s elapsed
Initiating NSE at 19:50
Completed NSE at 19:50, 0.00s elapsed
Read data files from: /usr/bin/../share/nmap
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 39.56 seconds
           Raw packets sent: 65662 (2.893MB) | Rcvd: 65602 (2.628MB)

 

[DHC]

"richtige" Router

Was definierst du als richtiger Router?
Ich habe kein Klickibunti-Router. Das sind Router von MikroTik, falls das wichtig ist.

stupide Registrierung fuer die Trial

Das sah bei mir anders aus.
Hast du einen Link?

Du weisst was da gemacht wird?

Ich habe das von Kuketz-IT kopiert und die IP-Adresse entsprechend angepasst.
Ich dachte mir, das wird schon passen.

Ergänzung (31. Mai 2026)

Das der Scan ewig dauert wirst Du wohl mitbekommen haben.

Solange lief das Ganze nicht.
Vielleicht 15 bis 30 Minuten.

Auf jeden Fall wurde nichts ausgegeben. Es wurde nichts gefunden.

 

[BFF]

Hast du einen Link?

https://www.tenable.com/products/nessus/nessus-essentials
Selbst bei den andeeren beiden "Tools" bedeutet die Mail einfach eine gueltige Mail.

Solange lief das Ganze nicht.
Vielleicht 15 bis 30 Minuten.

Erklaere mal warum Deine 15-30 Minuten kuerzer sind als meine schlappe Minute. 🤷‍♂️

Anyway.

Auf jeden Fall wurde nichts ausgegeben. Es wurde nichts gefunden.

Das nmap muss ein Ergebnis gezeigt haben. Aehnlich wie in meinem Spoiler nur kuerzer eigentlich. Auch wenn kein Port "offen" ist an einem Geraet.
Hast Du Deinen Microtik direkt auf seine WAN gescant? Ueber das Internet oder lokal bei Dir im LAN?

Ich habe das von Kuketz-IT kopiert und die IP-Adresse entsprechend angepasst.
Ich dachte mir, das wird schon passen.

Das ein offener Port und ein lauschender Service dahinter nicht unbedingt eine Schwachstelle sein muss ist Dir bekannt? Und ganz ehrlich gesagt, Du wirst mit Nesus rein nichts anfangen koennen.

 

[TorenAltair]

Hast du einen Link?

https://www.tenable.com/products/nessus/nessus-essentials

@BFF war schneller

 

[madmax2010]

ch möchte generell überprüfen, ob es noch weitere Schwachstellen gibt

Gibt es garantiert. Du hast auch wenn du zwei drei Wochen rein steckst eine gute Chance was zu finden. Vor allem wenn die Hardware vor dir liegt.

Halte die Firmware up to date.
Halte das Netzwerk so simpel wie möglich und so komplex wie nötig.
Viel besser wird es nur mit viel Aufwand

 

[DHC]

einfach eine gueltige Mail

Ja. Die E-Mails sind gültig. Direkt bei der Eingabe wurde sogleich gemeldet, dass es sich nicht um eine Business E-Mail handele.

Microtik direkt auf seine WAN gescant?

Ja.

lokal bei Dir im LAN?

Den Router ja.
Ich habe noch einen online direkt hinter einem Mobilfunk-Router.
Den möchte ich auch noch testen.
Da sind aber im Endeffekt die selben Einstellungen, wie bei dem Router bei mir Zu Hause.

Das ein offener Port und ein lauschender Service dahinter nicht unbedingt eine Schwachstelle sein muss ist Dir bekannt?

Die bösen Jungs in den Weiten des Internets lassen nichts unversucht.
Da werden alle möglichen Kniffs und Tricks ausgepackt.
Ich will nur sicher stellen, dass alles im grünen Bereich ist.

Lieber zu viel überprüft, als zu wenig.

Ergänzung (31. Mai 2026)

Halte die Firmware up to date.

Das mache ich immer.
Sobald es neue Updates gibt, werden die auf alle Router aufgespielt.

Halte das Netzwerk so simpel wie möglich und so komplex wie nötig.

Das habe ich hoffentlich so gemacht.
Alles komplett minimalistisch.
Wie schon gesagt. Die Firewall hat 5 Regeln. Drei accept (input) für WAN und dann zwei mal drop (input / forward).

 

[VDC]

Also das letzte was du machen solltest ist ein Portscan von außen, das kann auch mal böse post geben.

Und für Schwachstellen von intern (black- / whitebox) bspw openvas/greenbone security manager nutzen.

 

[DHC]

openvas/greenbone security manager

Da habe ich auch etwas in der Recherche darüber gelesen.

 

[andy_m4]

Also das letzte was du machen solltest ist ein Portscan von außen, das kann auch mal böse post geben.

Die Aussage ist natürlich Quatsch.
Warum sollte ich keinen Portscan machen "dürfen" ? Und dann noch beim eigenen Anschluss?
Wenn jeder Portscan "böse Post" bedeuten würde, würden die gar nicht mehr hinter her kommen mit verschicken.

 

[BFF]

Warum sollte ich keinen Portscan machen "dürfen" ? Und dann noch beim eigenen Anschluss?

Duerfen darfst Du schon. Ist nur nicht gern gesehen.
Mein Provider wuerde recht flott meinen Anschluss zuziehen wenn auf den Endpunkt ein Scan wie da ganz oben bemerkt werden wuerde.

 

[madmax2010]

Warum sollte ich keinen Portscan machen "dürfen" ? Und dann noch beim eigenen Anschluss?

Paragraph 202c StGB würde Das leider schon abdecken

Wenn jeder Portscan "böse Post" bedeuten würde, würden die gar nicht mehr hinter her kommen mit verschicken.

Aber this
Post habe ich nur gesehen, wenn jemand Dinge wie öffentlich erreichbare dns resolver zuhause hin gestellt hat

 

[VDC]

Warum sollte ich keinen Portscan machen "dürfen" ? Und dann noch beim eigenen Anschluss?

Weil das nicht zuordnenbar ist, die Systeme sehen den scan und lösen aus, das ist reiner Selbstschutz. Und du hast keine eigenen Anschlüsse.

Und man kann es natürlich mal angekündigt durchführen, aber nicht regelmäßig einfach so.

 

[DHC]

202c StGB

Da geht es ja doch wohl eher um Straftaten.
Sprich Zutritt verschaffen zu etwas wo man normalerweise keinen Zutritt hat.
Wenn ich das richtig verstanden habe.

Wie will man denn sein eigenes System WAN-seitig denn sonst überprüfen?
Man muss ja von außen (Internet) auf den Router.

NMAP hat mir auf der LAN-Seite Sachen aufgezeigt. Die will ich nicht WAN-seitig zugänglich erkundbar haben.

Und nein. Ich habe noch keinen Test über das Internet laufen lassen.

openvas

Egal was ich da mache. Da wird mir gar nichts angezeigt.
Läuft kurz. Ergebnis gleich null.

Nutzt du das selbst und hast Erfahrungen damit?

 

[andy_m4]

Mein Provider wuerde recht flott meinen Anschluss zuziehen wenn auf den Endpunkt ein Scan wie da ganz oben bemerkt werden wuerde.

Wegen einen Portscan halte ich das übertrieben. Im Gegenteil. Es wäre sogar kontraproduktiv, weil ja dann jemand relativ einfach Deinen Anschluss dicht machen könnte.

Paragraph 202c StGB würde Das leider schon abdecken

Ich glaube kaum, das § 202c StGB bei eigenen Anschlüssen gilt.
Wenn Du Deine Dinge aus Deiner Wohnung klaust, kannst Du logischerweise auch nicht für Diebstahl belangt werden.

Selbst wenn man dieses vage Vorbereiten einer Straftat nimmt: Dein eigenen Anschluss zu hacken ist keine Straftat.

Jetzt könnte man theoretisch noch argumentieren, das Du Deinen Anschluss ja nur als Übung nehmen wolltest, um fremde Anschlüsse zu hacken. Das müsste aber auch erst mal bewiesen werden.
Die Argumentation wäre ohne Indizien sehr dünnes Eis.

Nichtsdestotrotz ist der Paragraph als solches natürlich fragwürdig und der Gesetzgeber sollte nachbessern.
Denn Kriminelle werden sich ja von dem Paragraphen nicht abschrecken lassen. Wohl aber ehrliche Bürger die lediglich ihre Systeme testen wollen.

Ergänzung (Gestern um 10:46)

Weil das nicht zuordnenbar ist, die Systeme sehen den scan und lösen aus, das ist reiner Selbstschutz.

Wenn der Scan nicht zuordnenbar ist, wie Du sagst, wieso sollte der Anschlussinhaber dann böse Post bekommen?

Und man kann es natürlich mal angekündigt durchführen, aber nicht regelmäßig einfach so.

Bei the way sind einfache Portscans auch nicht automatisch verboten oder so. Wäre auch Quatsch, weil das ja auch ganz normal geschieht im Rahmen von Service-Discovery.