Greenbone Networks GmbH Neuer Graben Osnabrück Germany

Transkript

1

2

3 Greenbone Networks GmbH Neuer Graben Osnabrück Germany

4 Stand: GOS 3.1.6, 10. Juni 2015 Dies ist das Anwenderhandbuch zum Greenbone Security Manager mit Greenbone OS (GOS) Version 3.1. Aufgrund der zahlreichen funktionalen und auch sonstigen Unterschiede zwischen GOS 3.1 und den vorherigen Versionen ist dieses Handbuch nicht für die Verwendung mit älteren Versionen vorgesehen. Der Greenbone Security Manager wird fortlaufend weiterentwickelt. Dieses Anwenderhandbuch bemüht sich, immer den aktuellen Softwarestand zu dokumentieren. Dennoch kann es sein, dass neueste Funktionen noch nicht in dem Handbuch berücksichtigt sind. Haben Sie Anmerkungen zu Ergänzungen oder Fehlerkorrekturen in diesem Handbuch, dann senden Sie bitte eine an den Support: Mitwirkende dieses Handbuchs sind: Greenbone Networks GmbH OpenSource Training Ralf Spenneberg Die Urheberrechte für dieses Handbuch liegen bei dem Unternehmen Greenbone Networks GmbH. Greenbone und das Greenbone-Logo sind eingetragene Warenzeichen von Greenbone Networks GmbH. Weitere in diesem Handbuch verwendete Warenzeichen und eingetragene Warenzeichen sind Eigentum der jeweiligen Besitzer und dienen lediglich erläuternden Zwecken.

5 Inhaltsverzeichnis 1 Einführung 1 2 GSM Übersicht Enterprise-Klasse (GSM 5300 / 6400) Midrange-Klasse (GSM 600 / 650) SME-Klasse (GSM 100) Sensoren GSM 25 / 25V GSM ONE Inbetriebnahme Installation und Einschalten Import der virtuellen Appliance Einloggen als Admin Grundkonfiguration Aktivierungsschlüssel Readiness Command Line Interface Kommandozeile Einstellungen bearbeiten Benutzer und Kennworte Zertifikate Geräteverwaltung Fernzugri Upgrade und Feeds Überwachung und Fehlersuche Betrieb Benutzerverwaltung Upgrade Sicherung und Wiederherstellung Airgap Update Scanning Einfacher Scan Reports Authentifizierter Scan Geplanter Scan Notizen Overrides und False Positives Berichte Delta-Report i

6 7.2 Report Plugins Alerts 93 9 GUI-Konzepte Icons Charts Powerfilter Tags Scan-Konfiguration Erzeugen einer neuen Scan-Konfiguration Scanner Preferences Alternative Oberflächen IT-Schwachstellenampel Benutzer- und Rechteverwaltung Benutzerverwaltung OpenVAS Management Protokoll (OMP) Aktivieren des OMP Protokolls Zugri mit omp MySettings SecInfo Management Secinfo Portal Network Vulnerability Tests Security Content Automation Protocol (SCAP) DFN-CERT CERT-Bund Asset Management Prognose Performanz Scan Performanz Backend Performanz Appliance Performanz Master und Slave Setups Anbindung eines Slaves Sensor Kopplung/Integration mit weiteren Systemen Integration von Drittherstellern Verinice Nagios Sourcefire Defence Center OpenVAS Scanner Protokoll Wie man einen OSP Wrapper baut CLI Kommandoreferenz CLI Einstellungsreferenz 185 Stichwortverzeichnis 189 ii

7 KAPITEL 1 Einführung Vulnerability Management ist ein Kernelement der modernen IT-Compliance. Als IT-Compliance wird die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen bezüglich der IT-Infrastruktur bezeichnet. Hierbei betrachtet sie hauptsächlich die Informationssicherheit, die Verfügbarkeit, die Speicherung und den Datenschutz. Unternehmen wie Behörden müssen in diesen Bereichen vielfältige rechtliche Verpflichtungen erfüllen. Die Überwachung und Verbesserung der IT-Sicherheit ist ein ständiger Prozess der mindestens aus den drei folgenden Schritten besteht: Feststellung des aktuellen Zustands Ergreifen von Maßnahmen zur Verbesserung Überprüfung der Maßnahme Der Greenbone Security Manager unterstützt Unternehmen und Behörden durch ein automatisiertes und integriertes Vulnerability Assessment und Vulnerability Management. Seine Aufgabe ist die Erkennung der Schwachstellen und Sicherheitslücken, bevor dies einem potentiellen Angreifer gelingt. Der Greenbone Security Manager ermöglicht dies aus unterschiedlichen Perspektiven des Angreifers: Extern Hierbei greift der GSM von Außen auf das Netz zu. Der GSM kann so schlecht konfigurierte Firewall-Systeme identifizieren. DMZ Hier kann der GSM die tatsächlich vorhandenen Schwächen ermitteln. Diese können von einem Angreifer ausgenutzt werden, wenn er die Firewall überwindet. Intern Viele Angri e werden von Innen durch einen Innentäter oder mit Hilfe von Social Engineering oder mittels eines Wurms durchgeführt. Diese Sicht ist daher für die Beurteilung der Sicherheit der IT-Infrastruktur besonders wichtig. Für DMZ und Intern wird zwischen authentifizierten und nicht-authentifizierten Prüfungen unterschieden. Bei authentifizierten Prüfungen wird dem Scanner eine Zugangsberechtigung mitgegeben und kann so auch Schwachstellen in Anwendungen finden die nicht als Dienst arbeiten aber ein hohes Gefährdungspotenzial besitzen. Darunter fallen zum Beispiel Web-Browser, O ce-anwendungen oder PDF-Betrachter. Da täglich neue Bedrohungen hinzukommen, ist die regelmäßige Aktualisierung und Prüfung der Systeme erforderlich. Der Greenbone Security Feed stellt sicher, dass der GSM regelmäßig mit neuen Test-Routine versorgt wird und auch die neuen Bedrohungen zuverlässig erkennt. Greenbone wertet hierzu die CVE-Meldungen 1 und die Mitteilungen der Hersteller aus und entwickelt täglich neue zertifizierte und geprüfte Testroutinen. Der GSM erhält diese Testroutinen automatisch über den verschlüsselten Greenbone Security Feed. So erhalten die IT-Verantwortlichen durch einen Scan mit einem Greenbone Security Manager eine Liste von Schwachstellen, die in dem Netzwerk gefunden wurden. Speziell wenn bisher kein Schwachstellen Management etabliert wurde, ist diese Liste häufig sehr umfangreich. Für die Auswahl der 1 Das Common Vulnerability and Exposures (CVE) Projekt ist ein herstellerunabhängiges Forum für die Identifikation und Verö entlichung von neuen Schwachstellen. 1

8 Maßnahmen ist eine Bewertung der Schwachstellen unumgänglich. Am wichtigsten sind die Maßnahmen, welche die kritischsten Risiken abwehren und die entsprechenden Sicherheitslücken schließen. Hier nutzt der GSM das Common Vulnerability Scoring System (CVSS). CVSS ist ein Industriestandard für die Klassifizierung und Bewertung von Schwachstellen. Es hilft die Maßnahmen zu priorisieren. Um einer Schwachstelle zu begegnen existieren grundsätzlich zwei Möglichkeiten: 1. Entfernen der Schwachstelle durch eine Aktualisierung der Software, Entfernen der Komponente oder eine veränderte Konfiguration. 2. Einfügen einer Regel in der Firewall oder dem Intrusion Prevention System (Virtual Patching). Als Virtual Patching wird die scheinbare Behebung des Fehlers durch eine zusätzliche Komponente bezeichnet. Die tatsächliche Sicherheitslücke bleibt bestehen. Daher kann ein Angreifer bei Ausfall der zusätzlichen Komponente oder durch Nutzung eines alternativen Wegs möglicherweise weiterhin die Sicherheitslücke ausnutzen. Ein tatsächlicher Patch/Update der betro enen Software ist daher einem virtuellen Patch immer vorzuziehen. Auch bei der Überprüfung der umgesetzten Maßnahmen unterstützt der Greenbone Security Manager. Mit seiner Hilfe können die IT-Verantwortlichen den aktuellen Zustand der IT-Security dokumentieren, Änderungen erkennen und diese in Berichten zusammenfassen. Für die Kommunikation mit dem Management bietet der GSM die Abstraktion der technischen Details in einfachen Grafiken oder in Form einer Verkehrsampel, die den Zustand in Rot, Gelb und Grün einteilt. So kann der IT-Security- Prozess einfach visualisiert werden. 2 Kapitel 1. Einführung

9 KAPITEL 2 GSM Übersicht Der Greenbone Security Manager ist eine dedizierte Appliance für das Schwachstellen Scanning und -Management. Hierbei handelt es sich um eine speziell entwickelte Plattform optimiert für das Schwachstellen Management. Sie wird in unterschiedlichen Leistungsstufen angeboten. 2.1 Enterprise-Klasse (GSM 5300 / 6400) Die GSM 5300 und GSM 6400 Appliances sind für den Einsatz in großen Unternehmen und Behörden konzipiert. Die GSM 6400 kann Sensoren in bis zu 50 Sicherheitszonen steuern und wird für bis zu überwachten IP-Adressen empfohlen. Die GSM 5300 kann Sensoren in bis zu 30 Sicherheitszonen steuern und wird für bis zu überwachten IP-Adressen empfohlen. Die Appliances können jedoch auch selbst als Slave-Sensor durch einen weiteren Master gesteuert werden. Abb. 2.1: Die GSM 6400 unterstützt für bis zu IP-Adressen. Die Appliances der Enterprise-Klasse werden im 19-Zoll-Gehäuse mit 2 Bauhöhen für die einfache Integration in das Rechenzentrum ausgeliefert. Sie verfügen für die einfache Installation und Überwa3

10 chung über ein zweizeiliges LCD-Display mit 16 Zeichen je Zeile. Für den dauerhaften Betrieb besitzen sie redundante Netzteile, Festplatten und Lüfter, die im laufenden Betrieb ausgetauscht werden können. Für die Verwaltung der Systeme steht neben einem Out-of-Band-Management-Ethernet-Port auch eine serielle Schnittstelle zur Verfügung. Die serielle Schnittstelle ist als Cisco-kompatibler Console- Port ausgeführt. Für die Anbindung der zu überwachenden Systeme können beide Appliances mit bis zu drei Modulen ausgestattet werden. Die folgenden Module können hierbei in einer beliebigen Kombination genutzt werden: 8 Port Gigabit Ethernet 10/100/1000 Base-TX (Kupfer) 8 Port Gigabit Ethernet SFP (Small-Formfactor-Pluggable) 2 Port 10-Gigabit Ethernet XFP Je Port können bis zu 256 VLANs konfiguriert und verwaltet werden. 2.2 Midrange-Klasse (GSM 600 / 650) Die GSM 600 und GSM 650 sind für den Einsatz in Unternehmen und Behörden mittlerer Größe und großen Zweigstellen konzipiert. Die GSM 650 kann Sensoren in bis zu 12 Sicherheitszonen steuern und wird für bis zu überwachen IP-Adressen empfohlen. Die GSM 600 kann ebenfalls Sensoren in bis zu 12 Sicherheitszonen steuern und wird für bis zu überwachte IP-Adressen empfohlen. Die Appliances können jedoch auch selbst als Slave-Sensor durch einen weiteren Master gesteuert werden. Neben den aktuellen Systemen GSM 600 und GSM 650 werden von Greenbone auch noch die älteren Systeme dieser Klasse voll unterstützt. Die Systeme GSM 500, GSM 510 und GSM 550 wurden 2014 durch Systeme mit aktueller Hardware abgelöst. Die Appliances der Midrange-Klasse werden im 19-Zoll-Gehäuse mit 1 Bauhöhe für die einfache Integration in das Rechenzentrum ausgeliefert. Sie verfügen für die einfache Installation und Überwachung über ein zweizeiliges LCD-Display mit 16 Zeichen je Zeile. Für den dauerhaften Betrieb besitzen sie redundante Lüfter. Ein Austausch im Betrieb ist jedoch nicht möglich. Abb. 2.2: Die GSM 650 unterstützt für bis zu IP-Adressen. Für die Verwaltung der Systeme steht neben einem Management-Ethernet-Port auch eine serielle Schnittstelle zur Verfügung. Die serielle Schnittstelle ist als Cisco-kompatibler Console-Port ausgeführt. Für die Anbindung der zu überwachenden Systeme verfügen beide Appliances über insgesamt 8 Ports, die fest konfiguriert und folgendermaßen ausgeführt sind: 6 Port Gigabit Ethernet 10/100/1000 Base-TX (Kupfer) 2 Port Gigabit Ethernet SFP (Small-Formfactor-Pluggable) Eine modulare Anpassung der Ports ist nicht möglich. Je Port können bis zu 128 VLANs konfiguriert und verwaltet werden. Einer dieser Ports wird auch als Management Port genutzt. 4 Kapitel 2. GSM Übersicht

11 2.3 SME-Klasse (GSM 100) Die GSM 100 ist für kleinere Unternehmen und Behörden sowie Zweigstellen konzipiert. Die GSM 100 wird für bis zu 500 überwachten IP-Adressen empfohlen. Eine Steuerung von Sensoren in anderen Sicherheitszonen im Master Mode ist nicht vorgesehen. Die GSM 100 kann jedoch selbst als Slave- Sensor durch einen weiteren Master gesteuert werden. Die Appliance wird in einem Stahlblechgehäuse mit 1 Bauhöhe ausgeliefert. Für die einfache Integration in das Rechenzentrum kann ein optionales Rackkit genutzt werden. Ein Display ist nicht vorhanden. Abb. 2.3: Die GSM 100 ist für kleinere Unternehmen gedacht Für die Verwaltung der Systeme steht neben einem Management-Ethernet-Port auch eine serielle Schnittstelle zur Verfügung. Die serielle Schnittstelle ist als Cisco-kompatibler Console-Port ausgeführt. Für die Anbindung der zu überwachenden Systeme verfügt die Appliance über insgesamt 4 Ports, die als 10/100/1000 Gigabit Ethernet Ports (RJ45) ausgeführt sind. Diese unterstützen jeweils bis zu 64 VLANs. Einer dieser Ports wird auch als Management Port genutzt. 2.4 Sensoren GSM 25 / 25V Die GSM 25 ist als Sensor für kleinere Unternehmen und Behörden sowie Zweigstellen konzipiert. Die GSM 25 wird für bis zu 300 überwachten IP-Adressen empfohlen und verlangt zwingend die Steuerung durch eine weitere Appliance im Master Mode. Hierzu können die GSM der Midrange- und Enterprise- Klasse (ab GSM 500 aufwärts) eingesetzt werden. Die GSM 25 Appliance wird in einem Stahlblechgehäuse mit 1 Bauhöhe ausgeliefert. Für die einfache Integration in das Rechenzentrum kann ein optionales Rackkit genutzt werden. Ein Display ist nicht vorhanden. Abb. 2.4: Die GSM 25 ist ein Sensor und kann nur mit einem GSM betrieben werden. Für die Verwaltung der Systeme steht neben einem Management-Ethernet-Port auch eine serielle Schnittstelle zur Verfügung. Die serielle Schnittstelle ist als Cisco-kompatibler Console-Port ausgeführt. Für die Anbindung der zu überwachenden Systeme verfügt die Appliance über insgesamt 4 Ports, die als 10/100/1000 Gigabit Ethernet Ports (RJ45) ausgeführt sind. Diese unterstützen jeweils bis zu 64 VLANs. Einer dieser Ports wird auch als Management Port genutzt SME-Klasse (GSM 100) 5

12 Die GSM 25 V ist eine virtuelle Appliance und stellt eine einfache und kostene ektive Möglichkeit zur Überwachung von virtuellen Infrastrukturen dar. Im Gegensatz zur GSM 25 verfügt die virtuelle Variante lediglich über einen einzigen virtuellen Port, der für die Verwaltung, den Scan und das Update genutzt wird. Dieser unterstützt jedoch auch 64 VLANs. 2.5 GSM ONE Die GSM ONE ist als virtuelle Appliance für spezielle Anforderungen, wie den Audit mit Hilfe eines Laptops und Schulungen konzipiert. Die GSM ONE wird für bis zu 300 überwachte IP-Adressen empfohlen und kann weder weitere Sensoren steuern noch selbst durch eine größere Appliance als Sensor gesteuert werden. Die GSM ONE verfügt lediglich über einen einzigen virtuellen Port, der für die Verwaltung, den Scan und das Update genutzt wird. Dieser unterstützt nicht die Nutzung von VLANs. Abb. 2.5: Die GSM ONE ist eine virtuelle Instanz. Die GSM ONE verfügt über alle Funktionen der größeren Systeme mit den folgenden Ausnahmen: Master Mode: die GSM ONE kann nicht weitere Appliances als Sensoren steuern. Slave Mode: die GSM ONE kann nicht als Slave Sensor durch weitere Appliances als Master gesteuert werden. Alarmierungen: die GSM ONE kann keine Alarmierungen via SMTP, SNMP, Syslog oder HTTP versenden. VLANs: die GSM ONE unterstützt keine VLANs auf dem virtuellen Port. 6 Kapitel 2. GSM Übersicht

13 KAPITEL 3 Inbetriebnahme Dieses Kapitel beschreibt die ersten Schritte der Inbetriebnahme Ihrer Appliance. Dabei können hier nur allgemeine Angaben gemacht werden. Mit Ihrer Appliance erhalten Sie von Greenbone zusätzliche gerätespezifische Informationen, die Sie bitte bei der Inbetriebnahme berücksichtigen. 3.1 Installation und Einschalten Die Appliances GSM der Midrange- und Enterprise-Klasse (ab GSM 500 bzw. 600 aufwärts) sind 19- Zoll-Einschubgeräte. Für die Montage in einem 19-Zoll-Schrank verfügen diese Geräte über passende Halterungen. Für die Verkabelung verfügen die 19-Zoll-Appliances auf der Vorderseite und Rückseite über entsprechende Anschlüsse: Rückseite: Vorderseite: Stromversorgung VGA-Monitor (optional) Tastatur via USB (optional) Dedizierter Management-(MGMT)-Port (GSM 5300 und 6400) RS-232-Consolen-Port (IOIOIO, optional) Bei der GSM 100 und GSM 25 sind alle Anschlüsse auf der Rückseite herausgeführt. Für die Inbetriebnahmen müssen Sie über eine Terminal-Software und ein Konsolenkabel die Verbindung aufbauen Serielle Schnittstelle Um die serielle Schnittstelle zu nutzen, verwenden Sie das beigelegte Konsolenkabel. Alternativ können Sie auch ein blaues Cisco-Konsolenkabel (Rollover-Cable) nutzen. Falls Ihr System nicht über eine serielle Schnittstelle verfügt, so benötigen Sie einen USB-Seriell- Adapter. Achten Sie hierbei bitte darauf einen Qualitätsadapter zu verwenden. Viele preiswerte Adapter führen zu Fehlern im seriellen Protokoll. Desweiteren sind sie teilweise mit bei den Microsoft- Windows Betriebssystemen mitgelieferten Treibern nicht funktionstüchtig. Für den Zugri auf die serielle Schnittstelle nutzen Sie ein Terminalprogramm. Dieses stellen Sie für eine Geschwindigkeit von 9600 Bits/s (Baud) ein. Unter Linux bietet sich hierfür der Kommandozeilenbefehl screen an. Hier genügt es den Befehl unter Angabe der Schnittstelle aufzurufen. 7

14 screen /dev/tty S 0 #(for serial port) screen /dev/tty USB 0 #(for USB adapter) Unter Umständen handelt es sich nicht um die erste Schnittstelle. Hier müssen Sie dann mit der Zi er (0, 1 oder 2) experimentieren. Sie können den Befehl mit der Eingabe von Strg-a \ beenden. Möglicherweise müssen Sie nach dem Aufruf des Befehls einige Male die Return-Taste betätigen, um einen Prompt zu erhalten. Unter Windows können sie den Software Putty 1 verwenden. Hier wählen Sie nach dem Start die Optionen entsprechend dem Bild Nutzung einer seriellen Schnittstelle in Putty. Wählen Sie auch hier die richtige Schnittstelle aus. Abb. 3.1: Nutzung einer seriellen Schnittstelle in Putty 3.2 Import der virtuellen Appliance Die virtuellen Appliances werden von Greenbone als Open Virtualization Appliance (OVA) zur Verfügung gestellt. Diese Dateien lassen sich einfach in VMware oder VirtualBox importieren. Dabei werden von Greenbone die folgenden Szenarien unterstützt: GSM ONE: Oracle VirtualBox 4.3 (Linux und Microsoft Windows) GSM 25V: ESXi Import in VirtualBox Installieren Sie Oracle VirtualBox für Ihr Betriebssystem. VirtualBox ist meist in den Linux- Distributionen enthalten. Falls dies nicht der Fall ist und für die verschiedenen Microsoft Windows Version erhalten Sie VirtualBox direkt von Oracle: Starten Sie anschließend VirtualBox. Nun können Sie die OVA-Datei über Datei -> Appliance importieren... importieren (siehe Bild Import der OVA-Appliance). Im anschließenden Fenster (Abbildung Bestätigung der Hardwarekonfiguration) bestätigen Sie die Konfiguration der virtuellen Maschine. Für eine optimale Einstellung wählen Sie, wenn möglich, 4096 MB als RAM (Hauptspeicher) der virtuellen Appliance. Die restlichen Hardwareeinstellungen können Sie übernehmen. Der tatsächliche Import kann bis zu 10 Minuten dauern. Anschließend können Sie die virtuelle Appliance starten. 1 sgtatham/putty/ 8 Kapitel 3. Inbetriebnahme

15 Abb. 3.2: Import der OVA-Appliance Abb. 3.3: Bestätigung der Hardwarekonfiguration 3.3 Einloggen als Admin Nach dem Einschalten bootet die Appliance zunächst. Sie können den Boot-Vorgang auf der seriellen Konsole verfolgen. Bei einer virtuellen Appliance können Sie den Bootvorgang im Hypervisor (Virtual- Box oder VMware) verfolgen. Nach dem Bootvorgang können Sie sich lokal an dem System anmelden. Hierfür ist der Benutzer admin mit dem Kennwort admin hinterlegt. Gleichzeitig mit der Boot-Meldung erinnert Sie der GSM bei Bedarf, dass noch kein Web-User (siehe Abschnitt Web-Admin Benutzer) angelegt worden ist. 3.4 Grundkonfiguration Die folgenden Abschnitte beschreiben die Grundkonfiguration der Appliance. Diese sollte nicht über ein Netzwerk, sonder über die serielle Konsole oder die virtuelle Konsole des Hypervisors erfolgen Einloggen als Admin 9

16 Abb. 3.4: Bootmeldungen der Appliance Tastaturlayout Prüfen Sie als erstes das Tastaturlayout der Appliance und stellen Sie es bei Bedarf für Ihre Zwecke und Umgebung richtig ein. Hierzu rufen Sie das Administrationsmenü auf der Kommandozeile auf, nachdem Sie sich als Admin angemeldet haben (siehe Abschnitt Einloggen als Admin). Hierzu geben Sie den Befehl gos-admin-menu auf der Kommandozeile ein. Anschließend erscheint ein textbasiertes Menü, welches Sie mit den Cursor-Tasten und der Enter-Taste navigieren können (siehe Abbildung Greenbone OS Admin Menü). Abb. 3.5: Greenbone OS Admin Menü In diesem Menü wählen Sie mit den Pfeiltasten Ihrer Tastatur die erste Option Keyboard und bestätigen Sie diese mit Enter 2. Im neuen Dialog können Sie nun das gewünschte Layout auswählen. Nach der Bestätigung der Auswahl müssen Sie die Option Commit auswählen und mit Enter bestätigen. Die Aktion wird mit der Meldung The keyboard changes are submitted and become active within the next 5 minutes bestätigt. Alternativ können Sie mit der Option Rollback den ursprünglichen Zustand wieder herstellen. 2 Alternativ kann diese Einstellung auch in der Variablen keyboard_layout vorgenommen werden. 10 Kapitel 3. Inbetriebnahme

17 3.4.2 Netzwerk Um die Grundkonfiguration des Netzwerks vorzunehmen und die Appliance in Ihr Netz zu integrieren, ist die Konfiguration der Netzwerkschnittstelle eth0 erforderlich. Hierzu rufen Sie das Administrationsmenü auf der Kommandozeile auf, nachdem Sie sich als Admin angemeldet haben (siehe Abschnitt Einloggen als Admin). Hierzu geben Sie den Befehl gos-admin-menu auf der Kommandozeile ein. Anschließend erscheint ein textbasiertes Menü, welches Sie mit den Cursor-Tasten und der Enter-Taste navigieren können (siehe Abbildung Greenbone OS Admin Menü). Unter dem Menüpunkt Network können Sie die Netzwerkeinstellungen vornehmen. Hier bietet sich ein neues Menü (siehe Abbildung Greenbone OS Admin: Netzwerk Konfiguration) mit den folgenden Funktionen: DNS: Konfiguration der DNS-Server. Diese werden auch bei der Verwendung von DHCP nicht automatisch gesetzt. Die DHCP-Einstellungen wirken sich nur auf die IP-Adresse und das Default- Gateway aus! NTP: Konfiguration der NTP-Server. Diese werden auch bei der Verwendung von DHCP nicht automatisch gesetzt. Die DHCP-Einstellungen wirken sich nur auf die IP-Adresse und das Default- Gateway aus! ETH: Konfiguration der Ethernet-Schnittstellen SNMP: Konfiguration der SNMP-Trap-Einstellungen. Hier können Sie eine Community und einen externen SNMP-Trap-Empfänger für Fehlermeldungen einrichten. Hier konfigurieren Sie einen externen Mail-Server über den die GSM s (z.b. Scan- Reports) verschickt werden. Abb. 3.6: Greenbone OS Admin: Netzwerk Konfiguration Um die IP-Adressen der Managementschnittstelle zu konfigurieren nutzen Sie die Option ETH. Hier ist insbesondere die Netzwerkschnittstelle eth0 wichtig. Diese Netzwerkschnittstelle wird als Managementschnittstelle genutzt. Die weiteren möglicherweise vorhandenen Schnittstellen können bei der Grundkonfiguration vernachlässigt werden. Die Schnittstelle eth0 entspricht am physikalischen Gerät der Schnittstelle LAN1. Durch Auswahl der Option eth0 können Sie die Netzwerkkarte konfigurieren. Hier bestehen drei Möglichkeiten: dhcp: Die IP-Adresse der Netzwerkkarte wird via DHCP gesetzt. Dies betri t lediglich die IP-Adresse und das Default-Gateway, nicht aber die genutzten DNS-Server. IP Adresse: Die Eingabe einer IP-Adresse mit CIDR-Netzmaske setzt diese IP-Adresse. Die Netzmaske muss in CIDR-Notation (/24, /25, etc.) und nicht als Bit-Maske ( ) angegeben werden Grundkonfiguration 11

18 Abb. 3.7: Greenbone OS Admin: Ethernet Konfiguration Leer: Hiermit wird die Netzwerkkarte deaktiviert. Bei einer statischen Vergabe der IP-Adressen müssen Sie auch das Default-Gateway setzen, damit der GSM Feeds und Updates über das Netzwerk beziehen kann. Dieses finden Sie in Network-ETH-Default Route. Hier genügt die Eingabe der IP-Adresse des Default-Gateways. Sämtliche Änderungen müssen Sie mit einem Commit bestätigen Management Netzwerkkarte Wenn mehrere Netzwerkkarten zur Verfügung stehen, können Sie wählen, über welche Netzwerkkarte die administrative Oberfläche des GSM erreicht werden kann. Hierzu dient die GSM-Variable ifadm DNS-Konfiguration Damit der GSM Feeds und Updates erhalten kann, benötigt er erreichbare DNS-Server für die Namensauflösung. In dem Auslieferungszustand sind zwei DNS-Server von Google in der Konfiguration hinterlegt: google-public-dns-a.google.com: google-public-dns-b.google.com: Diese sollten Sie durch Ihre eigenen DNS-Server ersetzen. Dies ist zwingend erforderlich, wenn der GSM die DNS-Server von Google auf Grund von Firewall-Einstellungen nicht erreichen kann. Sie können hier bis zu drei DNS-Server hinterlegen. Sämtliche Änderungen müssen anschließend wieder mit Commit bestätigt werden. Ob die DNS-Server erreicht werden können, zeigt Ihnen der Readiness-Check (siehe Abschnitt Readiness) Kennwortänderung Ebenfalls während der Grundkonfiguration sollten Sie das Kennwort des GSM Administrators ändern. Die Voreinstellung admin/admin ist für einen produktiven Einsatz nicht geeignet. Die entsprechende Funktion ist im Greenbone OS Administrationswerkzeug (GOS-Admin-Menü) unter User verfügbar. Hier konfigurieren Sie folgende Benutzertypen: 1. GSM Admin: Dies ist der Administrator, der sich auf der Kommandozeile (z.b. über eine serielle Schnittstelle) anmelden kann. 12 Kapitel 3. Inbetriebnahme

19 2. Web Admin: Dies ist der Administrator, der sich auf der Weboberfläche anmelden kann. Um das Kennwort des Administrators zu ändern, verwenden Sie die Option GSM Admin. Sie werden dann aufgefordert, das aktuelle (UNIX) Kennwort des Administrators einzugeben. Anschließend müssen Sie zweimal das neue Kennwort eingeben. Diese Änderungen sind sofort aktiv. Es ist kein Commit der Änderungen erforderlich. Ein Rollback ist ebenfalls nicht möglich. Abb. 3.8: Änderung des Kennwortes des GSM Administrators Bemerkung: Beachten Sie, dass triviale Passworte verweigert werden. Dazu gehört auch das Auslieferungspasswort admin Weboberfläche einrichten Der Zugri auf den Greenbone Security Manager erfolgt in erster Linie über die Weboberfläche. Um diese richtig nutzen zu können, müssen Sie die folgenden zwei Schritte durchführen: 1. Erzeugen eines Web-Administrators This user is used to log into the web interface with administrative rights. This user can use all of the features within the web interface. 2. Erzeugen eines SSL-Zertifikats The SSL certificate is required to for the encrypted communication via HTTPS and OMP with the GSM. A self-signed certificate can be created or issue a certificate from a certificate authority (see section Zertifikat einer externen Zertifizierungsstelle) Web-Admin Benutzer Um die GSM Appliance zu nutzen, muss ein Web-Administrator eingerichtet werden. Dieser Benutzer wird in einigen Dokumentationen und Applikationen auch als Scan Administrator bezeichnet. Die Einrichtung des Web-Admin ist nur im GOS-Admin-Menü oder auf der Kommandozeile möglich. Wechseln Sie im GOS-Admin-Menü in den Punkt User und rufen Sie Add Web Admin auf. Hier geben Sie dann den Namen und das Kennwort des Scan Administrators ein. Sie können hier mehrere Benutzer als Administrator anlegen. Ein Bearbeiten der Benutzer ist im GOS- Admin-Menü nicht möglich. Sie können lediglich die bereits angelegten Benutzer anzeigen und ggf. löschen Grundkonfiguration 13

20 Um die angelegten Benutzer zu editieren oder geringer privilegierte Benutzer anzulegen, verwenden Sie die Weboberfläche. Zertifikat Die GSM Appliance kann grundsätzlich zwei verschiedene Zertifikatstypen nutzen: Selbstsignierte Zertifikate Zertifikate ausgestellt durch eine externe Zertifikatsautorität Die Nutzung von selbstsignierten Zertifikaten ist die einfachste Variante. Sie bietet aber auch die geringste Sicherheit und mehr Aufwand für den Anwender: Die Vertrauenswürdigkeit eines selbstsignierten Zertifikats kann von dem Anwender nur manuell durch Prüfung des Fingerabdrucks des Zertifikats festgestellt werden. Selbstsignierte Zertifikate können nicht widerrufen werden. Wurden Sie einmal von dem Anwender im Browser akzeptiert, sind sie dauerhaft dort gespeichert. Die GSM ONE besitzt bereits ein selbstsigniertes Zertifikat. Die Installation eines durch eine externe Zertifizierungsstelle signierten Zertifikats wird in Abschnitt Zertifikat einer externen Zertifizierungsstelle beschrieben. Selbstsigniertes Zertifikat Um ein neues selbstsigniertes Zertifikat zu erzeugen, wählen Sie im GOS-Admin-Menü die Option SSL und anschließend die Option Self-Signed. Hier werden Ihnen einige Fragen gestellt. Das Zertifikat wird dann entsprechend Ihren Antworten gebaut. Die Angabe des commonname ist unkritisch, da sie nicht Teil des Zertifikats wird. Abb. 3.9: Die Erzeugung des selbstsignierten Zertifikats erfolgt im Dialog. 3.5 Aktivierungsschlüssel Jede Greenbone Security Manager Appliance benötigt einen Aktivierungsschlüssel. Die GSM ONE besitzt bereits einen vorinstallierten Aktivierungsschlüssel. Falls Sie eine GSM DEMO evaluieren, ist hier auch bereits ein Aktivierungsschlüssel vorinstalliert. Sie können erkennen, ob ein Aktivierungschlüssel hinterlegt ist, indem Sie das GOS-Admin-Menü aufrufen. Die Titelzeile zeigt Ihnen, ob ein Aktivierungsschlüssel existiert. Im Beispiel in Bild Prüfung des Aktivierungsschlüssels ist die Subskription gsf hinterlegt. 14 Kapitel 3. Inbetriebnahme

21 Abb. 3.10: Prüfung des Aktivierungsschlüssels Alternativ können Sie auf der Kommandozeile show customer aufrufen. Abb. 3.11: Prüfung des Aktivierungsschlüssels auf der Kommandozeile Ist noch keine Subskription/Aktivierungsschlüssel hinterlegt, so haben Sie den üblicherweise separat erhalten. Nach dem Aufruf von subscriptiondownload müssen müssen Sie diesen nun per Copy/Paste einfügen. Hierzu verbinden Sie sich idealerweise per SSH mit dem System. Dazu müssen Sie möglicherweise den SSH-Zugang einschalten (siehe Abschnitt SSH-Zugang). 3.6 Readiness Um die Verfügbarkeit und korrekte Konfiguration der Appliance zu prüfen, bietet das GOS-Admin- Menü die Möglichkeit einer Selbstkontrolle. Rufen Sie hierzu das GOS-Admin-Menü auf und wählen Sie die Option SelfCheck. Hier prüft dann die GSM ob sämtliche Voraussetzungen für den Betrieb vorhanden sind. Dies sind im einzelnen: Aktivierungsschlüssel Web-Administrator (Scan Administrator) Aktuelle Feeds 3.6. Readiness 15

22 Abb. 3.12: Prüfung der Betriebsvorausetzungen Erreichbarkeit der Greenbone Feed Server Konfiguration der DNS-Server Erreichbarkeit und Funktion der DNS-Server Verfügbarer Speicherplatz auf der Festplatte Aktualität des Betriebssystems Gültigkeit des SSL Zertifikats Erreichbarkeit der konfigurierten Sensore 16 Kapitel 3. Inbetriebnahme

23 KAPITEL 4 Command Line Interface Neben GOS-Admin-Menu gibt es auch die Möglichkeit das Command-Line-Interface der GSM zu nutzen. Einzelne Einstellungen, wie ein Syslog-Server sind aktuell auch nur über diese Schnittstelle erreichbar. Dieses Kapitel zeigt Ihnen, wie sie diese Änderungen durchführen. 4.1 Kommandozeile Die CLI ist erreichbar über die serielle Konsole oder via SSH. Der SSH-Zugang ist möglicherweise jedoch deaktiviert und muss zunächst über die CLI oder das GOS-Admin-Menü auf der seriellen Konsole aktiviert werden (siehe Abschnitt SSH-Zugang). Ein Zugri via SSH erfolgt von UNIX/Linux direkt auf der Kommandozeile: $ ssh admin@<gsm> Hierbei ersetzen Sie gsm durch die IP-Adresse oder den DNS-Namen der GSM-Appliance. Um den Host-Key zu verifizieren, können Sie sich zuvor auf der seriellen Konsole dessen Prüfsumme anzeigen lassen. Hierzu wechseln Sie im GOS-Admin-Menü in den Unterpunkt Remote und wählen dort SSH Fingerprint. Während das GOS-Admin-Menü einen einfachen Menü-gesteuerten Zugang zur Konfiguration der GSM-Appliance bietet, ist über die Kommandozeile ein umfangreicherer Zugang zum System möglich. Auf dem Command-Line-Interface (CLI) müssen Sie jedoch die Befehle auf der Kommandozeile eingeben. Der Zugri auf die Kommandozeile über die serielle Schnittstelle ist in Abschnitt Serielle Schnittstelle erläutert. Der Login erfolgt dann als Benutzer admin (siehe Abschnitt Einloggen als Admin). Im Auslieferungszustand lautet das Kennwort admin. Alternativ kann eine Anmeldung auch via SSH erfolgen (siehe Abschnitt SSH-Zugang). Um Tippfehler zu vermeiden können Sie die Tabulator-Taste verwenden. Diese ergänzt automatisch die eingegebenen Befehle. Probieren Sie es aus: Geben Sie auf der GSM-Kommandozeile gos ein oder betätigen Sie die Tabulatortaste. Die Zeichenfolge wird automatisch zu gos-admin-menu. gsm: gos<tab> 4.2 Einstellungen bearbeiten Sämtliche Änderungen in den Einstellungen, die Sie auf der CLI durchführen, werden nicht sofort aktiv. Sobald Sie eine Einstellung auf der CLI modifizieren, ändert sich der Prompt und zeigt hiermit an, dass ungesicherte Änderungen vorliegen. Ein Stern im Prompt zeigt die noch nicht aktivierten Änderungen an. 17

24 Abb. 4.1: Commit in der CLI Sie können nun mit commit oder rollback entscheiden, ob Sie die Änderungen aktivieren oder zurücknehmen wollen. Zusätzlich zeigt bei einem get die Ausgabe an, ob die Variable aktuell gesetzt ist. Dies wird durch ein s zu Beginn der Zeile angezeigt. Ein u zeigt an, dass die Variable aktuell nicht gesetzt ist. Das Löschen von Variablen ist mit dem Befehl unset möglich. Setzen können Sie die Variablen mit set. Abb. 4.2: Set und unset in der CLI 4.3 Benutzer und Kennworte Die CLI bietet wie das GOS-Admin-Menü die Möglichkeit, das Kennwort des Administrators der CLI zu ändern und einen Web-Administrator (bzw. Scan-Administrator) zu erzeugen. Sie besitzt aber noch einige darüber hinausgehende mächtigere Befehle Kennwortänderung des Admin Das Kommando passwd ändert das Kennwort des CLI-Administrators. Dies ist das Kennwort, welches Sie bei einer Anmeldung über die serielle Konsole oder via SSH eingeben müssen. Um das Kennwort zu ändern, verwenden Sie den Befehl passwd. 18 Kapitel 4. Command Line Interface

25 gsm: passwd Changing password for admin. (current) UNIX password: old-password Enter new UNIX password: new-password Retype new UNIX password: new-password passwd: password updated successfully Erzeugen eines Web-Administrators (Scan-Administrator) Um auf der CLI einen Web-Administrator zu erzeugen, verwenden Sie den Befehl addadmin. Dieser Befehl erwartet den Login und das Kennwort des zu erzeugenden Administrators. gsm: addadmin webadmin:kennwort Creating user with temporary password. User created with password b759489e-c0ba-40eb-90c1-c165b641700c. Setting password to desired value. User was successfully created Superuser Auf der GSM-Kommandozeile können Sie mit dem Befehl shell eine UNIX-Kommandozeile als unprivilegierter Benutzer admin erhalten. So können Sie jeden beliebigen UNIX-Befehl aufrufen. Dieser Superuser ist nicht identisch und daher unabhängig von dem Super Admin, den Sie für die Weboberfläche anlegen können (siehe Abschnitt Super Admin). Um Root-Rechte (SuperUser) auf der GSM-Appliance zu erlangen, müssen Sie den Befehl su eingeben. Dies ist in der Werkseinstellung jedoch nur möglich, wenn Sie lokal über die serielle Konsole angemeldet sind. Wenn Sie via SSH an der GSM Appliance angemeldet sind, ist der Zugri auf Root gesperrt. Für die täglichen Aufgaben genügt der User admin. Daher sollte eine Freischaltung nur in Ausnahmen und in Absprache mit dem Greenbone Support erfolgen. Um via SSH eine Anmeldung als Root zu ermöglichen, müssen Sie die Variable superuser setzen: gsm: get superuser s superuser disabled gsm: set superuser enabled gsm *: commit gsm: get superuser s superuser enabled Nach dieser Änderung ist ein Reboot des GSM erforderlich! Wenn Sie den Superuser-Zugang aktivieren sollten Sie aber auch ein sicheres Kennwort für den root- Benutzer setzen. Hierzu verwenden Sie die Variable superuserpassword. Im Default ist das Kennwort disabled. gsm: get superuserpassword s superuserpassword disabled gsm: set superuserpassword kennwort gsm *: commit gsm: 4.4 Zertifikate Die GSM Appliance kann grundsätzlich zwei verschiedene Zertifikatstypen nutzen: Selbstsignierte Zertifikate 4.4. Zertifikate 19

26 Zertifikate ausgestellt durch eine externe Zertifikatsautorität Die Nutzung von selbstsignierten Zertifikaten ist die einfachste Variante. Sie bietet aber auch die geringste Sicherheit und mehr Aufwand für den Anwender: Die Vertrauenswürdigkeit eines selbstsignierten Zertifikats kann von dem Anwender nur manuell durch Prüfung des Fingerabdrucks des Zertifikats festgestellt werden. Selbstsignierte Zertifikate können nicht widerrufen werden. Wurden Sie einmal von dem Anwender im Browser akzeptiert, sind sie dauerhaft dort gespeichert. Erhält ein Angreifer Zugri auf den zugehörigen privaten Schlüssel, so kann er einen Mann-in-der-Mitte Angri auf die durch das Zertifikat geschützte Verbindung durchführen. Die Nutzung eines Zertifikats, welches durch eine Zertifikatsautorität ausgestellt wurde hat mehrere Vorteile: Alle Clients, die der Autorität vertrauen, können das Zertifikat direkt verifizieren und eine sichere Verbindung aufbauen. Es erfolgt keine Warnung durch den Browser. Das Zertifikat kann durch die Zertifikatsautorität einfach widerrufen werden. Wenn die Clients über eine Möglichkeit zur Überprüfung des Zertifikatsstatus verfügen, können sie ein vom Zeitraum noch gültiges aber widerrufenden Zertifikat ablehnen. Als Mechanismen können hier Certificate Revocation Lists (CRLs) oder das Online Certificate Status Protocol (OCSP) eingesetzt werden. Insbesondere wenn mehrere Systeme in einem Unternehmen SSL-geschützte Informationen anbieten, vereinfacht die Verwendung einer eigenen Unternehmens-CA die Verwaltung enorm. Sämtliche Clients müssen dann lediglich der Unternehmens-CA vertrauen, um sämtliche von der CA ausgestellte Zertifikate zu akzeptieren. Alle modernen Betriebssysteme unterstützen die Erzeugung und Verwaltung einer eigenen Zertifikatsautorität. Unter Microsoft Windows Server unterstützen die Active Directory Certificate Services den Admin bei der Erzeugung einer root CA 1. Für Linux-Systeme stehen vielfältige Lösungen zur Verfügung. Eine Variante ist im IPsec-Howto beschrieben IPSec-Howto 2. Bei der Erzeugung und dem Tausch der Zertifikate ist zu beachten, dass der Admin vor Erzeugung des Zertifikats prüft, wie der spätere Zugri auf das System erfolgt. Die IP-Adresse bzw. der DNS-Name müssen bei der Erzeugung im Zertifikat hinterlegt werden. Des Weiteren ist nach der Erzeugung eines Zertifikats immer ein Reboot erforderlich, damit alle Dienste das neue Zertifikat nutzen. Dies ist bei der Planung des Zertifikatswechsels zu berücksichtigen Selbstsignierte Zertifikate Um eine schnelle Inbetriebnahme zu unterstützen, erlaubt dir GSM die Verwendung von selbstsignierten Zertifikaten. Jedoch ist bei Auslieferung bei vielen Varianten ein derartiges Zertifikat nicht vorinstalliert und muss von dem Administrator erst erzeugt werden. Die GSM One kommt jedoch bereits mit einem vorinstallierten Zertifikat. Sehen Sie hierzu auch in Abschnitt Selbstsigniertes Zertifikat. Diese selbstsignierten Zertifikate können einfach auf der Kommandozeile erzeugt werden. Alternativ kann der Admin ein selbstsigniertes Zertifikat auch über das GOS-Admin-Menü erzeugen (SSL- Self-Signed). Bevor der Admin das Zertifikat erzeugt, muss er prüfen, wie später der Zugri auf den GSM erfolgt. Erfolgt der Zugri über eine IP-Adresse ( oder mit einem DNS-Namen ( Die IP-Adresse bzw. der DNS-Name muss bei der Erzeugung des Zertifikats angegeben werden. Er kann später nur durch eine erneute Erzeugung eines Zertifikats verändert werden. Nach der Erzeugung des Zertifikats ist ein Reboot erforderlich, damit alle Dienste das neue Zertifikat nutzen Kapitel 4. Command Line Interface

27 gsm: sslselfsign Generating a 2048 bit RSA private key unable to write 'random state ' writing new private key to 'selfcert.pem ' You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank Country Name (2 letter code) [DE]: DE State or Province Name (full name) [ Niedersachsen ]: Bundesland Locality Name (eg, city) [Hildesheim ]: Stadt Organization Name (eg, company) [Greenbone Networks Customer ]: Firma Organizational Unit Name (eg, section) [ Vulnerability Management Team ]: Abteilung IP -address of the GSM, or it 's FQDN (HOSTNAME.DOMAINNAME) []: Address of the GSM Administrator []: mail@firma.de Um das Zertifikat auszulesen und anzuzeigen, können Sie den Befehl sslcatself verwenden Zertifikat einer externen Zertifizierungsstelle Um das Zertifikat einer externen Zertifizierungsstelle zu importieren, müssen Sie auf die Kommandozeile wechseln. Hierzu verlassen Sie das GOS-Admin-Menü, so dass Sie den Prompt der GSM erhalten: gsm:. Bemerkung: Da Sie die Zertifikatsdaten mit Copy/Paste übertragen, ist es sinnvoll diesen Vorgang mit Hilfe einer SSH-Verbindung durchzuführen. Hierzu müssen Sie möglicherweise den SSH-Zugang zuvor aktivieren (siehe Abschnitt SSH-Zugang). Nun deaktivieren Sie die Unterstützung für selbstsignierte Zertifikate durch den Aufruf von set selfsigssl disabled. Hiermit deaktivieren Sie die Variable selfsigssl. Bestätigen Sie den Aufruf durch commit. Nun können Sie mit sslreq eine neuen Certificate Request (Zertifikatsanfrage) erzeugen. Hierbei geben Sie bitte Ihre Daten korrekt an. Besonders wichtig ist die Angabe des commonname (CN). Dieser muss später mit dem Aufruf im Browser übereinstimmen. Wenn Sie für den Zugri auf die GSM die IP-Adresse verwenden, so geben Sie auch hier die IP-Adresse an. Bei Nutzung eines Rechnernamens geben Sie den Namen an. gsm: sslselfsign gsm: set selfsigssl disabled gsm *: commit gsm: sslreq Generating a 2048 bit RSA private key unable to write 'random state ' writing new private key to 'tckey.pem ' You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank Zertifikate 21

28 Country Name (2 letter code) [DE]: DE State or Province Name (full name) [ Niedersachsen ]: Bundesland Locality Name (eg, city) [Hildesheim ]: Stadt Organization Name (eg, company) [Greenbone Networks Customer ]: Firma Organizational Unit Name (eg, section) [ Vulnerability Management Team ]: Abteilung IP -address of the GSM, or it 's FQDN (HOSTNAME.DOMAINNAME) []: Address of the GSM Administrator []: mail@firma.de Die Zertifikatsanfrage wird direkt im Anschluss auf dem Terminal angezeigt. Falls Sie die Ausgabe wiederholen möchten, können Sie dies mit dem Befehl sslcatkey erreichen. Abb. 4.3: Die Zertifikatsanfrage befindet sich in dem Block zwischen BEGIN CERTIFICATE REQUEST und END CERTIFICATE REQUEST Das angezeigte Zertifikat muss nun mit Copy/Paste an eine Zertifikatsautorität mit der Bitte um Signatur übertragen werden. Nachdem das Zertifikat von der Zertifikatsautorität erhalten wurde, muss es im PEM-Format (Base64) wieder an die GSM übertragen werden. Hierzu müssen Sie das Kommando ssldownload oder certdownload aufrufen, das Zertifikat mit Copy/Paste übertragen und die Eingabe mit Strg-D auf einer leeren Zeile abschliessen. Bemerkung: Bei dem Import des Zertifikats kann es zu Warnungen kommen. Das Greenbone OS prüft selbst auch die Validität des Zertifikats. Hierzu nutzt es eine Liste von Zertifikatsautoritäten, die in dem Greenbone OS hinterlegt sind. Wenn die ausstellende Autorität nicht dem GSM bekannt ist, zeigt es bei dem Import des Zertifikats Warnungen an. Diese können jedoch vernachlässigt werden, da der GSM anschließend nicht mehr die Validität des Zertifikats prüfen muss. Wichtig ist, dass alle eingesetzten Clients (z.b. Webbrowser) der Zertifikatsautorität vertrauen. 4.5 Geräteverwaltung Dieser Abschnitt beschreibt die Kommandos der CLI für die Verwaltung der Appliance. Hierzu gehört der Reboot und das Herunterfahren, das Setzen der Netzwerkkonfiguration und die Konfiguration von Mailservern und zentralen Protokollservern Reboot und Herunterfahren der Appliance Um die Appliance herunterzufahren, können Sie auf der CLI das Kommando shutdown eingeben. In Abhängigkeit des eingesetzten Modells kann es sein, dass die Appliance sich nicht automatisch aus- 22 Kapitel 4. Command Line Interface

29 schaltet. Sobald jedoch der Shutdown durchgeführt wurde, kann die Appliance ausgeschaltet werden. gsm: shutdown Are you sure you want to shutdown the system? y/n? y Möglicherweise laufende Scan-Prozesse können nach einem Neustart wieder aufgenommen werden. Um einen Neustart der Appliance anzustossen können Sie in der CLI den Befehl reboot eingeben: gsm: reboot Are you sure you want to reboot the system? y/n? y Ein reboot oder shutdown wird verweigert wenn wesentliche administrative Änderungen am System laufen wie zum Beispiel ein Upgrade Netzwerkkonfiguration Die Netzwerkkonfiguration in der CLI erfolgt über das Setzen von Variablen. Dabei ist anschließend immer ein Commit erforderlich. Die folgenden Parameter können gesetzt werden. hostname Der Name der Appliance erscheint in den Scan-Berichten und in den Syslog-Meldungen auf einem zentralen Protokollserver. Daher ist es sinnvoll, der Appliance einen aussagekräftigen Namen zu geben. Hierbei dürfen Sie die folgenden Zeichen verwenden: Klein- und Großbuchstaben a-za-z Zi ern 0-9 Bindestrich - gsm: get hostname s hostname gsm gsm: set hostname gsm-frankfurt gsm *: commit gsm: get hostname s hostname gsm -frankfurt domainname Der Domänenname erscheint ebenfalls wie der Hostname in den Scan-Berichten und in den Syslog- Meldungen auf einem zentralen Protokollserver. Außerdem wird die konfigurierte Domäne automatisch bei versandten s als Absender-Domäne genutzt. Zusätzlich wird der Domänenname auch bei nicht vollqualifizierten Hostname als Such-Su x angehängt. Der Domänenname darf die gleichen Zeichen nutzen, wie der Hostname. gsm: get domainname s domainname greenbone.net gsm: set domainname musterfirma.de gsm *: commit gsm: get domainname s domainname musterfirma.de 4.5. Geräteverwaltung 23

30 DNS-Server Die GSM-Appliance unterstützt bis zu drei DNS-Server. Sie benötigt die Angabe von mindestens einem DNS-Server. Weitere eingetragene Server werden nur bei Ausfall des ersten Servers genutzt. Hierzu stehen drei Variablen zur Verfügung: dns1 dns2 dns3 Um einen DNS-Server zu löschen, verwenden Sie den Befehl unset. gsm: get dns2 s dns gsm: unset dns2 gsm *: commit gsm: get dns2 u dns2 IP-Adressen Die GSM-Appliances verfügen über bis zu 24 Netzwerkkarten. Für jede dieser Netzwerkkarten können Sie je eine IPv4 und eine IPv6 Adresse konfigurieren. Bei IPv4-Adressen können Sie auch das Schlüsselwort dhcp angeben. Hiermit wird die IP-Adresse per DHCP bezogen. Die Variablen lauten: address_ethx_ipv4 address_ethx_ipv6 Für X können die Zahlen 0 bis 23 eingesetzt werden. Dies ist abhängig von der verbauten Hardware. gsm: get address_eth0_ipv4 s address_eth0_ipv4 dhcp gsm: set address_eth0_ipv /24 gsm *: commit gsm: get address_eth0_ipv6 u address_eth0_ipv6 gsm: set address_eth0_ipv6 2001:db8:0:1::1/64 gsm *: commit gsm: Nach dem Setzen der IP-Adressen ist ein Reboot erforderlich, damit die Adressen tatsächlich genutzt werden. Um eine IP-Adresse zu löschen verwenden Sie den Befehl unset. Wenn Sie die IPv4-Adresse löschen, wird nur diese Adresse deaktiviert. Die IPv6-Adresse ist weiterhin erreichbar sein. Tipp: Grundsätzlich ist immer auch auf jeder Netzwerkkarte die IPv6-Link-Local-Adresse aktiv. Wenn Sie IPv6 abschalten möchten, so können Sie die Variable ipv6support nutzen. Diese deaktiviert für die gesamte Appliance die IPv6-Unterstützung. Damit sind dann auch die Link-Local-Adresse nicht mehr aktiv. Default Gateway Um das Default-Gateway zu setzen, verwenden Sie die Variable default_route_ipv4. Wenn Sie DHCP für die Vergabe der IP-Adressen nutzen wird auch die Default-Route über DHCP gesetzt, sofern nicht mittels der Variable default_route_ipv4 explizit ein Router bestimmt wird. 24 Kapitel 4. Command Line Interface

31 gsm: get default_route_ipv4 u default_route_ipv4 gsm: set default_route_ipv gsm *: commit gsm: Via CLI kann nur das IPv4-Default-Gateway gesetzt werden. Komplexe Routing-Einstellungen müssen über die Experten Netzwerkkonfigugration (siehe Abschnitt Experten Netzwerkkonfiguration) erfolgen. Network Time Protokoll Um eine Zeitsynchronisation der Appliance mit zentralen Servern zu ermöglichen, unterstützt die GSM-Appliance das NTP-Protokoll. Sie können zwei NTP-Server einrichten, die von der Appliance für die Synchronisation genutzt werden. Die Appliance wählt selbst den geeigneten Server aus. Bei Ausfall eines Servers wird automatisch der andere Server genutzt. Hierzu stehen die Variablen ntp_server1 und ntp_server2 zur Verfügung. Beide Variablen erwarten eine IP-Adresse als Angabe. Die Angabe eines DNS-Namens ist nicht erlaubt. gsm: set ntp_server gsm *: commit Um die Nutzung und die Funktion des Protokolls zu testen, steht der Befehl ntpq zur Verfügung: gsm: ntpq remote refid st t when poll reach delay offset jitter ============================================================================== *ptbtime1.ptb.de.ptb. 1 u ptbtime2.ptb.de.ptb. 1 u LOCAL (0).LOCL. 10 l 53h Hier können Sie die konfigurierten NTP-Server, ihr Stratum, die Erreichbarkeit, Zeitabweichungen und Verzögerungen und den Jitter erkennen. Der Stern (*) in der ersten Spalte zeigt an, mit welchem Server sich aktuell die Appliance synchronisiert. Mail-Server Wenn Sie die Berichte nach Abschluss eines Scans automatisch per versenden möchten, müssen Sie in der Appliance einen Mail-Server konfigurieren. Die Appliance verfügt selbst über keinen Mail-Server. Stellen Sie sicher, dass der Mail-Server die s von der Appliance immer annimmt. Die Appliance speichert im Fehlerfall die s nicht. Es wird kein zweiter Zustellversuch zu einem späteren Zeitpunkt unternommen. Daher müssen Sie auf dem Mailserver mögliche Anti-Spam-Maßnahmen, wie ein Greylisting, für die Appliance deaktivieren. Auch eine Authentifizierung mit Hilfe eines Benutzers und Kennworts wird von der Appliance nicht unterstützt. Die Authentifizierung muss daher IP-basiert erfolgen! Für die Konfiguration des Mail-Servers verwenden Sie die Variable mailhub: gsm: get mailhub s mailhub mail.greenbone.net gsm: set mailhub mx.musterfirma.de gsm *: commit Zentraler Protokollserver Die GSM-Appliance erlaubt die Konfiguration zentraler Protokollserver für die Speicherung der Protokolle. Hierbei nutzt die GSM-Appliance das Syslog-Protokoll. Die zentrale Speicherung der Protokolle 4.5. Geräteverwaltung 25

32 erlaubt eine zentrale Analyse, Verarbeitung und Überwachung der Protokolle. Zusätzlich werden die Protokolle aber auch immer lokal gespeichert. Sie können zwei Protokollserver konfigurieren. Beide werden genutzt. Als Transportprotokoll können sowohl UDP (Default) als auch TCP genutzt werden. Das TCP-Protokoll garantiert die Übertragung der Nachrichten auch bei Paketverlust. Kommt es bei einer UDP-basierten Übertragung zu Paketverlusten, so sind die Protokollmeldungen verloren. Hierzu können Sie die folgenden zwei Variablen nutzen: syslog_server1 syslog_server2 Das Format lautet: [udp tcp://]ip[:port] Bespiel: gsm: set syslog_server1 tcp:// :2000 gsm *: commit Wird der Port nicht angegeben, so wird der Default-Port 514 genutzt. Wird das Protokoll nicht angegeben, so wird UDP verwendet. SNMP Die GSM-Appliance unterstützt SNMP. Bisher kann diese SNMP-Unterstützung jedoch nur sinnvoll für den Versand von Traps durch Alerts genutzt werden (siehe Abschnitt Alerts). Das Überwachen von Vitalparameter der Appliance per SNMP und die Aufnahme der Appliance in zentrale Überwachungswerkzeuge wird noch nicht unterstütz (siehe unten). Die unterstützten Parameter sind über eine Management Information Base (MIB)-Datei spezifiziert. Die aktuelle MIB ist über die Homepage von Greenbone abrufbar Greenbone homepage 3. Die GSM-Appliance unterstützt das SNMP-Protokoll Version 3 für lesende Zugri e und SNMPv1 für Traps. Die SNMPv3-Konfiguration wird am einfachsten über das GOS-Admin-Menü unter dem Punkt Remote und SNMP Configuration vorgenommen. Hier wird dann auch deutlich, dass der GSM das Kennwort des SNMPv3-Benutzers mit SHA-1 überträgt und die Verschlüsselung mit AES durchführt. Das Versenden von Traps wird im GOS-Admin-Menü unter Network und SNMP konfiguriert. Alternativ erlauben die folgenden Variablen die Konfiguration des SNMP-Zugangs: snmp snmp_key snmp_password snmp_user snmp_location snmp_contact snmp_trap snmp_trapcommunity snmp_trapreceiver Aktuell ist nur die Konfiguration eines Trap-Receiver sinnvoll. Dieser kann für den Versand von Alerts als SNMP-Trap genutzt werden Kapitel 4. Command Line Interface

33 Abb. 4.4: SNMPv3 Konfiguration gsm: set snmp_trap enabled gsm *: set snmp_trapcommunity public gsm *: commit gsm: get snmp_trapreceiver s snmp_trapreceiver Um einen lesenden SNMP-Zugri mit Hilfe der Variablen zu konfigurieren, nutzen Sie die entsprechenden Variablen snmp_key, snmp_password und snmp_user Anschließend können Sie den lesenden Zugri auf den SNMP-Dienst von Linux/Unix mit snmpwalk testen: $ snmpwalk -v 3 -l authpriv -u user -a sha -A password -x aes -X key iso = STRING: "Greenbone Security Manager" iso = STRING: "gsm" Mehr Daten gibt die GSM Appliance per SNMP bisher nicht preis Experten Netzwerkkonfiguration Das GOS-Admin-Menü und die Variablen erlauben im Moment nur eine einfache Netzwerkkonfiguration. Hierbei können Sie weder VLANs nutzen noch mehrere statische Routen setzen. Um entsprechende Änderungen der Einstellungen vorzunehmen existiert nun ein Expertenmodus. Dieser erwartet die Eingabe sämtlicher Einstellungen in Form eines Skriptes. Die Erzeugung, Anpassung und Aktivierung dieses Skripts wird in diesem Abschnitt beschrieben. Sobald Sie den Expertenmodus verwenden, können Sie nicht mehr die IP-Adressen über das GOS- Admin-Menü oder die Variablen ändern! Um den Expertenmodus zu nutzen, müssen Sie diesen zunächst aktivieren. Hierzu rufen Sie auf der CLI (siehe Abschnitt Kommandozeile) das folgende Kommando auf. Anschließend ist ein Reboot erforderlich. gsm: set netmode expert gsm *: commit gsm: reboot Are you sure you want to reboot the system? y/n? y Um zu einem späteren Zeitpunkt wieder in den normalen Modus zurückzukehren verwenden Sie den Befehl set netmode default Geräteverwaltung 27

34 Bitte beachten Sie, dass Sie noch ein commit ausführen müssen, damit der set netmod Befehl wirksam ist. Nachdem Sie die Datei expertnet.sh angepasst haben ist dann noch ein reboot notwendig, damit die Einstellungen übernommen werden. Derzeit versetzt der Befehl set netmode expert das System in einen Zustand, in dem der Benutzer die gesamte Konfiguration von Hand eingeben muss. Um sie dauerhaft zu speichen, müssen Sie die Befehle in der Datei expertnet.sh speichern und diese ausführbar machen (siehe unten). Um die Datei zu editieren, wechseln Sie in den Shell-Modus. Geben Sie hierzu das Kommand shell ein: gsm: shell ATTENTION: The shell command should only be used by expert users. To leave the expert mode, type 'exit '. :~$ ls -l expertnet.sh -rwxr --r-- 1 admin admin 131 May expertnet.sh admin@gsm :~$ _ Nachdem Sie sich auf der Greenbone OS Shell befinden, können Sie mit ls die Dateien in Ihrem Heimatverzeichnis anzeigen. Hier befindet sich auch eine Datei expertnet.sh. Diese Datei kann von Ihnen mit einem Editor angepasst werden. Hierzu können Sie entweder den Editor vi, vim oder nano verwenden. Wenn Sie den Editor vi bzw. vim nicht kennen, verwenden Sie bitte den Editor nano. Dieser zeigt unten am Fenster eine Hilfe an. Die dort aufgeführten Tastenkombinationen werden alle mit der Steuerungstaste aufgerufen: Strg-O schreibt die Datei. Wenn Sie diese Datei noch nicht editiert haben, hat sie den folgenden Inhalt: # This script can be used to set custom network parameters like # VLANS, source based routing and firewall restrictions on the GSM Ein Editieren auf einem anderen System und das anschließende Übertragen der Datei mit Secure-Copy ist nicht möglich. Der GSM unterstützt kein Secure-Copy via SSH. Ihre erste Änderung in dieser Datei ist das Einfügen einer ersten Zeile, so dasss die Datei anschließend den folgenden Inhalt hat: #!/bin/sh # This script can be used to set custom network parameters like # VLANS, source based routing and firewall restrictions on the GSM Die erste Zeile weist das Greenbone OS an, diese Datei mit Hilfe der Shell /bin/sh zu interpretieren. Ohne diese Zeile wird die Datei später nicht ausgeführt. Damit die Datei ausgeführt werden kann, sollten Sie die Datei auch direkt mit entsprechenden Rechten versehen. Geben Sie hierfür auf der Kommandozeile den folgenden Befehl ein: admin@gsm :~$ chmod 755 expertnet.sh Sämtliche Netzwerkkonfigurationen sollten mit dem Kommando ip erfolgen. Die alternativen Kommandos ifconfig, route und vconfig sollten nicht genutzt werden. Ihre Unterstützung kann in Zukunft eingeschränkt werden. Um Probleme mit den Pfaden auf dem System zu vermeiden, sollte der Befehl ip immer mit seinem kompletten Pfad aufgerufen werden: /bin/ip. Setzen von IP-Adressen Das Setzen von IP-Adressen kann ganz einfach mit dem ip Befehl durchgeführt werden. Hierzu sollten das Setzen in drei Schritten erfolgen: 1. Aktivieren der Netzwerkkarte 2. Setzen der ersten IP-Adresse 3. Setzen von optional weiteren IP-Adressen auf derselben Netzwerkkarte 28 Kapitel 4. Command Line Interface

35 Nach dem Aktivieren der Netzwerkkarte sollte eine Verzögerung von 10 Sekunden eingebaut werden, damit die Netzwerkkarte ausreichend Zeit für die Autonegotiation erhält. Der Einheitlichkeit erfolgt das im Beispiel auch für die Loopback-Karte. /bin/ip link set lo up sleep 10s /bin/ip addr add /8 dev lo /bin/ip link set eth0 up sleep 10s /bin/ip addr add /24 dev eth0 /bin/ip -f inet6 addr add 2607: f0d0 :2001::10/114 dev eth0 Die ersten drei Zeilen aktivieren und konfigurieren das Loopback Interface. Diese Netzwerkschnittstelle dürfen Sie nicht vergessen in dem Skript. Ohne das Loopback Interface ist der GSM nicht funktionstüchtig. Sie können mit dem Kommando ip auch mehrere IP-Adressen auf derselben Netzwerkkarte aktivieren. Mit ip addr add werden weitere IP-Adressen hinzugefügt. Sie ersetzen nicht die vorhandene IP-Adresse. Um eine IP-Adresse zu löschen ist explizit ein ip addr del erforderlich! VLAN Unterstützung Wenn Sie Ihre Switche so konfigurieren, dass diese mehrere VLANs mit Tags (VLAN IDs 4 versehen in einem IEEE 802.1q 5 -Trunk 6 ) an den GSM weiterleiten, so müssen Sie diese auf dem GSM entsprechend zerlegen. Hierzu müssen Sie Subinterfaces auf der physikalischen Netzwerkkarte konfigurieren. Auch diese Subinterfaces erzeugen Sie mit dem Kommando ip. /bin/ip link set eth1 up sleep 10 /bin/ip link add link eth1 name eth1.91 type vlan id 91 /bin/ip link set eth1.91 up /bin/ip addr add /24 dev eth1.91 Das dritte Kommando erzeugt auf der Netzwerkkarte eth1 ein Subinterface mit dem Namen eth1.91. Der Name kann hierbei von Ihnen frei gewählt werden. Sie können also als Namen auch zum Beispiel ServerNet oder MailDMZ oder ähnliches verwenden. Mit der Angabe type vlan weisen Sie den Befehl an, dass ein getaggtes VLAN entsprechend ausgepackt werden soll. Mit der id 91 wählen Sie die tatsächliche VLAN ID aus. Die weiteren Zeilen aktivieren das Subinterface und setzen die IP-Adresse. Auch hier können mehrere IPv4 und auch IPv6 Adressen gesetzt werden. Falls es sich um einen VLAN Trunk mit einem Native VLAN handelt, so können Sie auch für die physikalische Netzwerkkarte eine IP-Adresse setzen. Wurde kein native VLAN konfiguriert, so ist eine IP- Adresse für die physikalische Netzwerkkarte nicht erforderlich. Jedoch müssen Sie in dem Fall daran denken, die physikalische Netzwerkkarte zu aktivieren! Statisches Routing Die meisten Netze verfügen nur über ein Gateway. Dieses Gateway wird häufig auch als Default- Gateway bezeichnet. Teilweise nutzen jedoch historisch gewachsene Netze für unterschiedliche Ziele verschiedene Router. Wenn diese Router untereinander nicht ihre Daten über dynamische Routingprotokolle austauschen, sind häufig auf den Clientsystemen statische Routen für diese Ziele erforderlich. Die Expertenkonfiguration erlaubt Ihnen das Setzen von beliebig vielen statischen Routen. 4 Das 802.1q Protokoll unterstützt mit einem 12Bit VID Feld bis zu 4096 VLANs. Einzelne VLAN IDs sind jedoch reserviert. 5 Das IEEE 802.1q ist heute das am meisten verbreitete VLAN Protokoll. Es hat die proprietären Protokolle einzelner Hersteller (wie ISL von Cisco) abgelöst. 6 Mehrere VLANS werden durch Tags markiert durch eine einzige Verbindung (single interconnect) übertragen Geräteverwaltung 29

36 Wenn Sie die Expertenkonfiguration nutzen, müssen Sie auch das Default-Gateway in der Datei expertnet.sh setzen. Wenn Sie IPv4 und IPv6 nutzen, müssen Sie für jedes Protokoll ein getrenntes Default-Gateway setzen. Wenn Sie bei IPv6 die Autokonfiguration nutzen, kann hier das Default- Gateway entfallen. Um eine Route zu setzen, verwenden Sie ebenfalls den Befehl ip mit dem Argument route: /bin/ip route add default via /bin/ip -f inet6 route add default via 2607: f0d0 :2001::1 Das Schlüsselwort default wird hierbei entsprechend zu /0 oder ::/0 aufgelöst. Um weitere Routen zu setzen können Sie einfach die folgende Syntax nutzen: /bin/ip route add /24 via Hiermit setzen Sie eine Route für das Netzwerk /24 über den Router Fernzugriff Für den Zugri von außen auf die GSM-Appliance stehen grundsätzlich vier Wege zur Verfügung: HTTPS Dies ist der übliche Weg für die Anlage, Durchführung und Analyse der Vulnerability-Scans. Dieser Weg ist daher per Default freigeschaltet und kann auch nicht deaktiviert werden. Sie können lediglich den Timeout für eine automatische Abmeldung bei Inaktivität der HTTPS-Sitzung konfigurieren. SSH Dieser Weg bietet Ihnen die Möglichkeit per Kommandozeile auf die GSM-Appliance zuzugreifen und die CLI und das GOS-Admin-Menü zu verwenden. Dieser Zugang ist per Default deaktiviert und muss zunächst freigeschaltet werden. Dies kann z.b. über die serielle Konsole erfolgen. OMP (OpenVAS Management Protocol) Das OpenVAS Management Protocol (OMP) erlaubt die Kommunikation mit weiteren Greenbone Produkten (z.b. einer weiteren GSM). Es kann auch für die Kommunikation eigener Software mit der Appliance genutzt werden (siehe Abschnitt OpenVAS Management Protokoll (OMP)). SNMP Der lesende Zugri auf den GSM ist via SNMPv3 möglich (siehe Abschnitt SNMP) HTTPS Timeout Dieser Wert kann sowohl mit dem GOS-Admin-Menü (Remote/HTTPS Timeout) eingestellt werden als auch auf der Kommandozeile. Auf der CLI nutzen Sie die Variable gos:var:webtimeout: gsm: get webtimeout s webtimeout 15 gsm: set webtimeout 1 gsm *: commit gsm: get webtimeout s webtimeout 1 Der Wert für den Timeout darf zwischen 1 und 1440 Minuten (1 Tag) betragen SSH-Zugang Der SSH-Zugang kann ebenfalls über das GOS-Admin-Menü (Remote/SSH) als auch über die CLI eingestellt werden. Auf der CLI nutzen Sie die Variable ssh. Diese kann den Wert enabled oder disabled einnehmen. Zusätzlich kann die Variable gelöscht werden: 30 Kapitel 4. Command Line Interface

37 gsm: get ssh s ssh enabled gsm: set ssh disabled gsm *: commit gsm: get ssh s ssh disabled Das GOS-Admin-Menü bietet zusätzlich die Möglichkeit, den Fingerprint des ö entlichen Schlüssels der Appliance (Host-Key) anzuzeigen OpenVAS Management Protocol (OMP) Das OpenVAS Management Protocol kann sowohl über das GOS-Admin-Menü (Remote/OMP) aktiviert werden als auch über die CLI. Auf der CLI nutzen Sie hierzu die Variable public_omp: gsm: get public_omp s public_omp disabled gsm: set public_omp enabled gsm *: commit gsm: get public_omp s public_omp enabled 4.7 Upgrade und Feeds Auf der Kommandozeile können Sie Systemupgrades durchführen und die Feed-Synchronisation konfigurieren. Hierzu stehen mehrere Kommandos und Variablen zur Verfügung Upgrade des Systems Das Kommando systemupgrade führt ein Upgrade durch. Den Status können Sie mit systemupgradestatus oder show schedule anzeigen. Beachten Sie hierzu auch den Abschnitt Upgrade Feed Synchronisation Um die Synchronisation des Feeds zu konfigurieren, stehen mehrere Variablen zur Verfügung: feedsync, syncport und synctime. Alternativ ist die Konfiguration über das GOS-Admin-Menü unter Feed möglich. feedsync Hiermit können Sie die automatische Synchronisation an- und abschalten. syncport Hiermit definieren Sie den Port für den Synchronisation des Feeds. Dieser Port ist per Default 24/tcp. Alternativ können Sie den Port 443/tcp nutzen. Andere Ports können nicht verwendet werden. synctime Hiermit konfigurieren Sie die tägliche Uhrzeit für die Synchronisation des Feeds. Diese sollte ausserhalb der normalen Nutzungszeit liegen. Außerdem ist der Zeitraum von 10:00-12:59 als Wartungsfenster des Feeds nicht nutzbar. Zeiten innerhalb dieses Fensters werden daher abgelehnt. Die Zeiten verstehen sich immer als UTC. gsm: get synctime s synctime 06:25 gsm: set synctime 11:30 syntax error in value gsm: set synctime 13:30 gsm *: commit 4.7. Upgrade und Feeds 31

38 Abb. 4.5: Konfiguration des Feeds gsm: get synctime s synctime 13:30 Alternativ kann der Feed auch auf der Kommandozeile gestartet werden. Hierzu verwenden Sie das Kommando feedstartsync. Mit dem Kommando feedsyncstatus und feedversion können Sie den aktuellen Zustand kontrollieren Proxy Konfiguration Sowohl für den Bezug des Feeds als auch für den Bezug der Software-Updates ist unter Umständen die Nutzung eines Proxy-Servers erforderlich. Für die Konfiguration des Proxies stehen zwei Variablen zur Verfügung: proxy_feed proxy_update Beide Variablen erwarten die Angabe eines HTTP-Proxies in der Syntax gsm: get proxy_feed u proxy_feed gsm: set proxy_feed gsm *: commit gsm: get proxy_feed s proxy_feed http :// :3128 Falls der Proxy eine Authentifizierung verlangt, kann diese über die Variable proxy_credentials konfiguriert werden. Diese Variable erwartet den Benutzernamen und das Kennwort durch Doppelpunkt getrennt: gsm: get proxy_credentials u proxy_credentials gsm: set proxy_credentials user:password gsm *: commit gsm: get proxy_credentials s proxy_credentials user:password 32 Kapitel 4. Command Line Interface

39 4.8 Überwachung und Fehlersuche Es stehen verschiedene Werkzeuge für die Überwachung und Fehlersuche auf der GSM-Appliance zur Verfügung. Die GSM-CLI bietet den Zugri auf einige UNIX-Befehle und -Dateien, die bei der Fehlersuche unterstützen können Fehlersuche und Überwachung der Netzwerkfunktionen Wenn der GSM nicht erreichbar ist oder nicht von allen Client-Systemen erreicht werden kann, müssen Sie die Netzwerkkonfiguration prüfen. Dies ist auch der Fall, wenn der GSM nicht alle Systeme im Rahmen eines Scans erreichen kann. Hierzu können neben den Funktionen des GOS-Admin-Menüs auch einige Kommandozeilenwerkzeuge genutzt werden. Die folgenden Kommandos zeigen die aktuelle Netzwerkkonfiguration an: getip Dieses CLI spezifische Kommando zeigt die aktuelle Netzwerkkonfiguration an. Intern nutzt es das UNIX-Kommando ip addr show. Durch die Angabe einer bestimmten Netzwerkkarte kann die Ausgabe auf diese beschränkt werden: gsm: getip dev eth0 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP > mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 52:54:00:98:36:5 f brd ff:ff:ff:ff:ff:ff inet /24 brd scope global eth0 inet6 fe80 :: dead:beef /64 scope link valid_lft forever preferred_lft forever inet6 fe80 ::5054: ff:fe98 :365f/64 scope link valid_lft forever preferred_lft forever getroute Dieses CLI spezifische Kommando zeigt die aktuelle IPv4-Routing-Tabelle an: gsm: getroute /24 dev eth0 proto kernel scope link src& default via dev eth0 ntpq Dieses Kommando zeigt die konfigurierten NTP-Server und deren Kommunikationszustand an: gsm: ntpq remote refid st t when poll reach delay offset jitter =========================================================================== +ptbtime1.ptb.de.ptb. 1 u *ptbtime2.ptb.de.ptb. 1 u LOCAL (0).LOCL. 10 l 11d Die Zeile mit einem Stern (*) ist der aktuell präferierte NTP-Server. Die Zeile mit einem Plus (+) kennzeichnet den Backup-NTP-Server. ip Das UNIX-Kommando ip steht auch in der CLI für den lesenden Zugri der Netzwerkeigenschaften zur Verfügung. Hiermit können Sie verschiedene Informationen anzeigen. Anzeige der Netzwerkkarten Um eine Liste der Netzwerkkarten anzuzeigen, können Sie den Befehl ip link show verwenden. Dieser Befehl zeigt Ihnen die verfügbaren Netzwerkkarten und ihre MAC-Adressen an: gsm: ip link show 1: lo: <LOOPBACK,UP,LOWER_UP > mtu qdisc noqueue state UNKNOWN mode DEFAULT link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP > mtu 1500 qdisc pfifo_fast state UP mode DE link/ether 52:54:00:98:36:5 f brd ff:ff:ff:ff:ff:ff Anzeige der IP-Adressen Um die Liste der IP-Adressen anzuzeigen, können Sie den Befehl ip address show. Die Ausgabe entspricht dem Befehl getip Überwachung und Fehlersuche 33

40 gsm: ip link show 1: lo: <LOOPBACK,UP,LOWER_UP > mtu qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet /8 scope host lo inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP > mtu 1500 qdisc pfifo_fast state UP qlen 10 link/ether 52:54:00:98:36:5 f brd ff:ff:ff:ff:ff:ff inet /24 brd scope global eth0 inet6 fe80 ::5054: ff:fe98 :365f/64 scope link valid_lft forever preferred_lft forever Anzeige der Routen Um die Routing-Tabelle anzuzeigen, verwenden Sie den Befehl ip route show. Die Ausgabe entspricht dem Befehl getroute. Die Anzeige der IPv6-Routen erfolgt mit ip -6 route show. gsm: ip -6 route show 2001:4 dd0:ff00:d58 ::1 dev eth0 metric 0 cache 2001:4 dd0:ff00:d58 ::/64 dev eth0 proto kernel metric 256 fe80 ::/64 dev eth0 proto kernel metric 256 default via 2001:4 dd0:ff00:d58 ::1 dev eth0 metric 1024 ARP- und Neighbor-Cache Der ARP-Cache enthält die MAC-Adressen der Systeme, mit denen der GSM kürzlich direkt im LAN kommuniziert hat. Die Anzeige kann daher bei der Fehlersuche helfen, wenn der GSM ein System, welches sich im selben LAN befindet, nicht erreichen kann. Der Neighbor-Cache erfüllt dieselbe Aufgabe für IPv6-Adressen, wie sie der ARP-Cache für IPv4-Adressen wahrnimmt. Auf dem GSM werden diese nicht mehr unterschieden und mit demselben Kommando angezeigt. Durch Angabe von -4 oder -6 kann die Anzeige auf IPv4 oder IPv6 beschränkt werden: gsm: ip neigh show fe80 ::216:47 ff:fe7d :11c3 dev eth0 lladdr 00:16:47:7d:11: c3 router STALE dev eth0 lladdr 00:16:47:7d:11: c3 REACHABLE Überwachung des IP-Stacks Mit dem Kommando ip können auch Änderungen der Routing- Tabelle, des ARP- und Neighbor-Caches und der Netzwerkkarten überwacht werden. Hierzu rufen Sie den Befehl ip monitor all auf. Alternativ können nur einzelne Subsysteme (link, address, route, mroute, neigh, netconf) überwacht werden. Um die Überwachung abzubrechen, geben Sie Strg-C ein. gsm: ip monitor all [ROUTE]ff02 ::1 dev eth0 metric 0 cache [ROUTE ]2 a01 :198:5 a1 :201: d6ae :52ff:fe96:fe9b via 2001:4 dd0:ff00:d58 ::1 dev eth0 m cache [ROUTE ]2001:4 dd0:ff00:d58 ::1 dev eth0 metric 0 cache [ROUTE]Deleted 2a01 :198:5 a1 :201: d6ae :52ff:fe96:fe9b via 2001:4 dd0:ff00:d58::1 dev e cache [ROUTE ]2 a01 :198:5 a1 :255:5054: ff:fec3 :7266 via 2001:4 dd0:ff00:d58 ::1 dev eth0 met cache [LINK ]4: eth1: <NO -CARRIER,BROADCAST,MULTICAST,UP > link/ether Link-Status einer Netzwerkkarte Um den Link-Status einer Netzwerkkarte zu prüfen, bietet der GSM das Kommando ethtool. Dieses Kommando erwartet zusätzlich den Namen der Netzwerkkarte und kann anschließend die Konfiguration und den aktuellen Zustand anzeigen. Für die Fehlersuche interessant sind der ausgehandelte Modus und Geschwindigkeit und der aktuelle Link-Status. gsm: ethtool eth0 Settings for eth0: Supported ports: [ TP MII ] 34 Kapitel 4. Command Line Interface

41 Supported link modes: 10 baset/half 10 baset/full 100 baset/half 100 baset/full Supported pause frame use: No Supports auto - negotiation: Yes Advertised link modes: 10 baset/half 10 baset/full 100 baset/half 100 baset/full Advertised pause frame use: Symmetric Advertised auto - negotiation: Yes Link partner advertised link modes: 10 baset/half 10 baset/full 100 baset/half 100 baset/full Link partner advertised pause frame use: Symmetric Link partner advertised auto - negotiation: No Speed: 100Mb/s Duplex: Full Port: MII PHYAD: 32 Transceiver : internal Auto - negotiation: on Supports Wake -on: pumbg Wake -on: d Current message level: 0x (7) drv probe link Link detected: yes 4.8. Überwachung und Fehlersuche 35

42 36 Kapitel 4. Command Line Interface

43 KAPITEL 5 Betrieb Dieses Kapitel beschäftigt sich mit dem Betrieb der Greenbone Security Manager Appliance und betrachtet die wichtigsten Aspekte, die im Betrieb auftreten. Dieses Kapitel beleuchtet erste Schritte der Benutzerverwaltung. Außerdem wird der Upgrade der Appliance direkt aus dem Internet als auch über den Airgap Modus besprochen. Schließlich gehört auch die Sicherung und Wiederherstellung der Daten zu den Themen dieses Kapitels. 5.1 Benutzerverwaltung Die Greenbone Security Manager Benutzerverwaltung erlaubt die Definition und die Verwaltung verschiedenster Benutzer mit unterschiedlichen Rollen und Rechten. Bei der Initialisierung der GSM-Appliance wird über das GOS-Admin-Menü bereits der erste Benutzer, der Web- bzw. Scan- Administrator angelegt. Mit diesem Benutzer ist die Anmeldung und die Verwaltung der weiteren Benutzer möglich. Dabei unterstützt die GSM Benutzerverwaltung ein rollenbasiertes Rechtekonzept bei dem Zugri auf die Weboberfläche. Einige Rollen sind bereits von Werk angelegt. Weitere Rollen können jedoch von einem Administrator erzeugt und verwendet werden. Die Rolle definiert, welche Funktionen der Weboberfläche von dem Benutzer eingesehen und modifiziert werden dürfen. Dabei sind die Rollen nicht in der Weboberfläche, sondern in dem darunterliegenden OMP-Protokoll realisiert und wirken sich daher auf alle OMP-Clients aus. Lesender und modifizierender Zugri kann getrennt den Rollen zugewiesen werden. Neben den Rollen unterstützt die GSM Benutzerverwaltung auch Gruppen. Gruppen erlauben die Zusammenfassung von Benutzern. Dies dient in erster Linie der logischen Gruppierung. Neben einer Verwaltung der Rechte über die Rollen können auch Gruppen entsprechende Privilegien zugewiesen werden. Zusätzlich kann über die Benutzerverwaltung jedem Benutzer ein Bereich von IP-Adressen zugewiesen werden, dessen Scan erlaubt oder verboten ist. Die GSM Appliance weigert sich dann andere als die angegebenen IP-Adressen durch den entsprechenden Benutzer zu scannen. Auch der Zugri auf bestimmte Schnittstellen der GSM-Appliance kann erlaubt bzw. verboten werden. Der Greenbone Security Manager bietet für die Verwaltung der Rollen und spezifischen Privilegien der Benutzer eine eigene Benutzerverwaltung. Um jedoch Kennwörter nicht mehrfach vorhalten zu müssen und eine Kennwortsynchronisation zu erlauben, bietet der Greenbone Security Manager die Anbindung des Systems an einen zentralen LDAP-Server. Dieser wird dann aber nur für die Überprüfung des Kennworts bei der Anmeldung des Benutzer genutzt. Alle weiteren Einstellungen erfolgen in der Benutzerverwaltung der GSM Appliance. Die folgenden Seiten betrachten nur die Erzeugung einzelne Benutzer. Die Verwaltung der Rechte, Gruppen und Rollen wird in Kapitel Benutzer- und Rechteverwaltung betrachtet. 37

44 5.1.1 Anlegen und Verwaltung der Benutzer Den Dialog für das Anlegen und Verwalten der Benutzer erreichen Sie über das Menü:gos:webui:Administration. Dieses Menü wird nur für Administratoren eingeblendet, da zunächst nur diese weitere Benutzer anlegen und verwalten dürfen. Hier können Sie den Dialog für die Anlage neuer Benutzer durch den weißen Stern auf blauen Grund aufrufen oder durch Anwählen des Schraubenschlüssels einen vorhandenen Benutzer modifizieren. Bei der Anlage eines neuen Benutzers sind die folgenden Angaben möglich: Abb. 5.1: Anlegen eines neuen Benutzers Login Name: Dies ist der Name, mit dem sich der Benutzer anmeldet. Wenn ein LDAP-Server als zentraler Kennwortspeicher genutzt wird, muss der Benutzer mit dem identischen Namen (rdn) im LDAP-Server angelegt sein. Der Name darf maximal 80 Zeichen lang sein und aus Buchstaben und Zi ern bestehen. Password: Dies ist das Kennwort des Benutzers. Das Kennwort darf maximal 40 Zeichen aufweisen und aus beliebigen Buchstaben bestehen. Achten Sie darauf, dass, wenn Sie Sonderzeichen verwenden, diese auf allen Tastaturen und Betriebssystemen, die Sie einsetzen, auch erreichbar sind. Roles (optional): Jeder Benutzer darf mehrere Rollen besitzen. Die Rollen definieren die Rechte des Benutzers bei der Verwendung des OMP Protokolls. Da der Greenbone Security Assistant das OMP-Protokoll nutzt, definieren die Rollen auch direkt die Möglichkeiten in der Weboberfläche. Während Sie weitere Rollen hinzufügen und konfigurieren können, stehen zu Beginn einige eingebaute Rollen zur Verfügung. Diese Rollen werden in dem Abschnitt Benutzerrollen genauer betrachtet. Groups (optional): Jeder Benutzer kann Mitglied mehrerer Gruppen sein. Auch über die Gruppen kann eine Rechteverwaltung erfolgen (siehe Abschnitt Permissions) Host Access: Hier können Sie definieren, welche Rechner ein bestimmter Benutzer in einem Scan analysieren darf und welche Rechner nicht in einem Scan berücksichtigt werden. Diese Einschränkungen können auch für Administratoren eingerichtet werden. Diese können jedoch auch selbst die Einschränkungen wieder aufheben. Daher ist diese Funktion bei Administratoren lediglich zum Selbstschutz. Normale Benutzer (User) bzw. andere Rollen ohne Zugri auf die Benutzerverwaltung können diese Einschränkungen jedoch nicht umgehen. Hierbei können Sie grundsätzlich zwischen einer Whitelist (Deny all and allow) und einer Blacklist (Allow all and deny) wählen. Im ersten Fall ist der Scan sämtlicher Rechner grundsätzlich verboten und nur explizit aufgeführte Systeme dürfen gescannt werden. Im zweiten Fall ist der Scan sämtlicher Systeme mit Ausnahme der aufgeführten Systeme erlaubt. Es können sowohl Rechnernamen als auch IPv4- und IPv6-Adressen angegeben werden. Ferner können sowohl einzelne IP-Adressen als auch Adressbereiche und Netzwerksegmente spezifiziert werden. Die folgende Auflistung gibt hierfür einige Beispiele: (IPv4-Adresse) 38 Kapitel 5. Betrieb

45 (IPv4-Bereich Langform) (IPv4-Bereich Kurzform) /25 (CIDR-Notation) 2001:db8::1 (IPv6-Adresse) 2001:db8::1-2001:db8::15 (IPv6-Bereich Langform) 2001:db8::1-15 (IPv6 Bereich Kurzform) 2001:db8::/120 (CIDR-Notation) Sämtliche Optionen können beliebig gemischt und als kommaseparierte Liste angegeben werden. Die Netzmaske in der CIDR-Notation ist jedoch auf maximal 20 bei IPv4 und 116 bei IPv6 beschränkt. In beiden Fällen resultieren hieraus maximal 4096 IP-Adressen. Abb. 5.2: Anzeigen des Benutzers Interface Access: ier können Sie definieren, über welche Netzwerkkarten ein Anwender einen Scan ausführen darf. Hier können Sie eine kommaseparierte Liste von Netzwerkkarten angeben und ähnlich wie bei dem Host Access zwischen einem Whitelist und einem Blacklist-Verfahren wählen. Tipp: Grundsätzlich sollten Sie sich bemühen, das Whitelist-Verfahren zu benutzen und den Scan grundsätzlich bis auf ausgewählte Systeme zu verbieten. Damit ist sichergestellt, dass Ihre Anwender nicht durch Zufall oder aus Unwissenheit Systeme prüfen, die außerhalb ihrer Zuständigkeit liegen, sich irgendwo im Internet befinden oder auf einen Scan mit Fehlfunktionen reagieren. Nach der Anlage des Benutzers werden dessen Eigenschaften angezeigt. Sie sollten diese Anzeige kontrollieren um sicherzustellen, dass Sie dem Benutzer nicht zu viele Privilegien zugewiesen haben. 5.2 Upgrade Im Rahmen Ihrer Subskription stellt Ihnen Greenbone Upgrades für die GSM-Appliance zur Verfügung. Diese Upgrades werden regelmäßig bereitgestellt. Die Anwender können selbst entscheiden, ob Sie ein Upgrade einspielen möchten. Hierbei werden drei verschiedene Arten von Updates unterschieden: Patch-Level Upgrades (z.b. von Version auf ) Release Upgrades (z.b. von Version auf 3.1.0) Generation Upgrades (z.b. von Version auf 3.0.0) Diese Upgrades werden nicht automatisch durchgeführt. Der Benutzer muss die Upgrades manuell anstoßen. Wenn Sie sowohl über Master-GSM als auch Slave-GSM verfügen sind die folgenden Hinweise wichtig: Sensoren werden durch den Master automatisch aktualisiert. Slaves müssen manuell aktualisiert werden. Dabei sollten immer zuerst die Master und dann die Slaves aktualisiert werden. So funktioniert das dann auch im Airgap-Betrieb Upgrade 39

46 Zwei GSM mit unterschiedlichen Patchlevel können zusammenarbeiten. Dies ist aber nicht unterstützt. Unterschiedliche Release-Versionen auf Master und Slave sind nicht möglich! Prüfen der aktuellen Version Um die aktuelle Version zu prüfen, genügt es sich mit der Konsole Ihrer GSM-Appliance zu verbinden. Sie müssen sich hierzu nicht einmal anmelden. Die Willkommensmeldung Ihrer GSM führt die aktuelle Version direkt im Namen. Alternativ können Sie den Befehl softwareversion aufrufen, der dieselbe Ausgabe erzeugt. Welcome to the Greenbone OS running on a Greenbone Security Manager Web Interface available at : https :// gsm login : Ebenso können Sie die Anmeldemaske des Webinterfaces prüfen. Hier wird ebenfalls unten rechts die aktuelle Version angezeigt. Alternativ können Sie nach einer Anmeldung auf der Kommandozeile z.b. via SSH auch im GOS-Admin- Menü die Version prüfen. Dort können Sie unter Upgrade auch direkt prüfen, ob eine aktuellere Version verfügbar ist. Die aktuell installierte Version wird mit Current angezeigt. Available zeigt die auf dem Greenbone Servern verfügbare Version an. Mit dem Menüpunkt Sync können Sie jetzt die verfügbare Version auf den Greenbone Servern prüfen und für eine mögliche Installation herunterladen Durchführung des Patch-Level Upgrades Bevor Sie ein Upgrade durchführen, ist es ratsam, sich über die Änderungen, die mit dem Upgrade einhergehen, zu informieren. Hierzu dokumentiert Greenbone sämtliche durch das Upgrade durchgeführten Änderungen auf Außerdem sollten Sie vor einem Upgrade ein Backup Ihrer GSM durchführen. Die Vorgehensweise für das Backup ist in Abschnitt Sicherung und Wiederherstellung beschrieben. Sinnvoll ist ein Backup der gesamten Appliance auf der internen Backup-Partition falls die Appliance dies unterstützt. Weiterhin sollten Sie für das Upgrade einen Zeitpunkt auswählen, zu dem keine Scans aktiv ausgeführt oder gestartet werden. Möglicherweise werden durch das Upgrade einzelne Systemdienste neugestartet. Hierdurch können die Scanergebnisse verloren gehen und die Geschwindigkeit des Upgrades eingeschränkt werden. Ein Patch-Level-Upgrade sollte üblicherweise nach wenigen Minuten abgeschlossen sein. Im Anschluss ist ein Reboot nicht zwingend aber empfehlenswert. Das Upgrade wird über das GOS-Admin-Menü gestartet. Hierzu rufen Sie das GOS-Admin-Menü und dann den Menüpunkt Upgrade auf. Über den Menüpunkt Sync kann jederzeit die Verfügbarkeit neuer Versionen geprüft werden. Dadurch wird eine neue Software-Synchronisation im Hintergrund gestartet. Die Upgrade-Funktionen sind dann vorübergehend nicht verfügbar. Über die Auswahl des Menüpunkts Refresh können Sie die Anzeige aktualisieren. Die Synchronisation der verfügbaren Upgrades kann einige Minuten dauern, da in diesem Rahmen die erforderlichen Daten für ein mögliches Upgrade heruntergeladen wird. Anschließend kann über den Menüpunkt Upgrade das Upgrade ausgeführt werden. Dieser Vorgang dauert in der Regel nur wenige Minuten, sollten ein Sprung über zahlreiche Patch-Level Versionen erfolgen ggf. einige Minuten mehr. Das Upgrade wird ebenfalls im Hintergrund angefordert. Bis zum eigentlichen Start des Upgrades können noch einige Minuten vergehen. Solange zeigt das GOS-Admin- Menü den Text System upgrade is scheduled an. Sobald das Upgrade durchgeführt wird, ändert sich die Ausgabe des GOS-Admin-Menü in System Upgrade is in progress. Einige Minuten später 40 Kapitel 5. Betrieb

47 Abb. 5.3: Das GOS-Admin-Menü zeigt die Verfügbarkeit neuer Versionen an. Abb. 5.4: Die Suche nach Updates kann jederzeit angestossen werden. ändert sich die Angabe der Current Version. Jedoch ist das Upgrade noch nicht abgeschlossen solange die Anzeige noch den System Upgrade anzeigt. Nach dem Abschluss sollte ein Reboot erfolgen Release Upgrade Ein Release-Wechsel wird nicht im GOS-Admin-Menü angezeigt. Über einen Release-Wechsel informiert Greenbone via Newsletter und auf der Website. Rufen Sie dann im GOS-Admin-Menü den Unterpunkt Switch Release auf. Dieser wird dann nach einer Warnmeldung das verfügbare Release anzeigen und für Sie von den Greenbone Feed Servern herunterladen. Dieser Vorgang benötigt in Abhängigkeit Ihrer Internetverbindung bis zu einer Stunde. Anschließend wird Ihnen die neue Version im GOS-Admin-Menu zum Upgrade angeboten und Sie führen den Release-Wechsel analog zum Patch- Level-Upgrade durch. Hierbei ist im Anschluss ein Reboot verpflichtend. Das Upgrade kann auch einige Stunden in Anspruch nehmen. Während des Upgrades sollten Sie keine Scans durchführen oder starten Upgrade 41

48 Abb. 5.5: System Upgrade in Progress Abb. 5.6: Release Upgrade Verwendung eines Proxies Falls Ihre GSM-Appliance nicht direkt auf das Internet zugreifen kann sondern den Umweg über einen Proxy nutzen muss, müssen Sie diesen auf der GSM-Appliance hinterlegen. Hierzu rufen Sie das GOS- Admin-Menü auf und wechseln dort in den Bereich Upgrade. Anschließend rufen Sie den Punkt Proxy Update auf. Hier können Sie den Proxy eingeben. Achten Sie darauf, dass Sie eine gültige HTTP-URL verwenden. Hierbei können Sie sowohl Namen als auch IP-Adresse verwenden Im Gegensatz zur Konfiguration des Feed ist bei dem Proxy für die Greenbone OS Updates nicht die Angabe eines Benutzers und Kennworts möglich. Es werden aber dieselben Credentials verwendet. Wechseln Sie daher zu Eingabe der Proxy-Credentials in das Menü Feed und rufen Sie dort Credentials auf. 42 Kapitel 5. Betrieb

49 5.3 Sicherung und Wiederherstellung Eine regelmäßige Sicherung der GSM-Appliance und der von Ihnen erzeugten Daten stellt sicher, dass Sie bei Ausfall der Appliance nach Tausch durch Greenbone die neue Appliance schnell wieder in Betrieb nehmen können. Darüberhinaus sollten Sie zur Sicherheit vor jedem Update eine Sicherung des Systems durchführen. Hierzu stehen Ihnen grundsätzlich drei verschiedene Varianten des Backups zur Verfügung: Backup des gesamten Systems (SystemBackup) Snapshot des gesamten Systems (SystemSnapshot) Backup der von Ihnen erzeugten und angepassten Daten (Userdata). Dies enthält alle von Ihnen erzeugten Scankonfigurationen, Benutzer, Overrides, etc. Ein Backup des gesamten Systems ist vor jedem Update der GSM-Appliance ratsam. Damit stellen Sie sicher, dass Sie bei einem Fehler des Updates die GSM-Appliance wieder in den Ausgangszustand zurückversetzen können. Ein Backup der Userdata sollte durch Sie regelmäßig durchgeführt werden. Mit diesem Backup sind Sie in der Lage, bei einem Ausfall der Appliance nach ihrem Austausch durch Greenbone Ihre Konfiguration wiederherzustellen. Zusätzlich ist dieses Backup ebenfalls vor jedem Update ratsam. Die folgenden Abschnitte erläutern die einzelnen Schritte Backup des gesamten Systems Wie das Backup des gesamten Systems durchgeführt wird, hängt von der eingesetzten Appliance ab. Die GSM ONE und der GSM 25V sind virtuelle Appliances. Hier können daher recht einfach die Backup-Möglichkeiten des Hypervisors genutzt werden. Der Hypervisor unterstützt hierzu zum Beispiel Snapshot-Funktionalitäten, mit denen der aktuelle Zustand sogar im laufenden System gesichert werden kann und bei Bedarf wiederhergestellt wird. Für den GSM 25 und GSM 100 wird ein Backup des gesamten Systems nicht unterstützt. Alle weiteren Systeme (GSM 500 und aufwärts) verfügen über eine Backup-Partition. Diese Backup- Partition kann genau ein Komplett-Backup der Appliance speichern. Ein inkrementelles Backup oder das Vorhalten von mehreren Varianten wird nicht unterstützt. Um ein Komplett-Backup durchzuführen, rufen Sie auf der Konsole das GOS-Admin-Menü auf. Hier wählen Sie den Menüpunkt Backup. In dem nun erscheinenden Menü gibt es die Option Create System Backup und Restore System Backup. Abb. 5.7: Das Komplett-Backup wird aus dem GOS-Admin-Menü gestartet Sicherung und Wiederherstellung 43

50 Mit Create System Backup starten Sie den Backup-Vorgang. Die GSM Appliance wird anschließend innerhalb der nächsten 10 Minuten rebooten (meist sofort) und ihr System in der Backup-Partition sichern. Dieser Vorgang dauert etwa Minuten. Daher müssen Sie ein entsprechendes Wartungsfenster vorsehen und werden vor dem Start aufgefordert, diesen Vorgang zu bestätigen. Abb. 5.8: Das Backup benötigt einige Zeit. Während die Appliance auf den Reboot wartet, sind weitere Aktionen im Backup-Menü nicht mehr verfügbar. Abb. 5.9: Nachdem das Backup gescheduled wurde, sind andere Optionen bis zum Neustart nicht mehr verfügbar. Die Wiederherstellung der GSM-Appliance aus einem Komplett-Backup erfolgt ebenfalls mit Hilfe des GOS-Admin-Menüs. Hierzu rufen Sie den Menüpunkt Restore from Partition auf. Sie benötigen ebenfalls ein Wartungsfenster von Minuten und die Appliance führt wieder einen Reboot durch. Sie werden ebenfalls aufgefordert den Vorgang zu bestätigen, da es hierbei auch zu Datenverlust kommen kann. Bemerkung: Falls Sie seit dem letzten Backup Ihre Anwenderdaten angepasst haben, neue Scankonfigura- tionen, Tasks oder Overrides erzeugt haben, werden diese überschrieben. Daher sollten Sie vor der Wiederherstellung im Zweifelsfall auch noch Ihre Nutzerdaten sichern! 44 Kapitel 5. Betrieb

51 5.3.2 Snapshot des Systems Das Snapshot Backup ist eine weitere Alternative um ein Backup des gesamten Systems zu erstellen. Der Systemsnapshot ist jedoch nur bei einzelnen Appliances möglich (z.b. 5xx aber nicht 6xx). Sowohl das Systembackup als auch der Systemsnapshot erstellen ein komplettes Backup der Partition. Jedoch überschreiben sich die beiden Backups nicht. Das heißt Sie können praktisch zwei (Backup- )Zustände speichern (bei einer GSM 5xx). Bei der GSM 600 ist z.b. nur das Systembackup möglich. Um das Erzeugen des Systemsnapshots zu starten, wechseln Sie auf die Kommandozeile und geben das Kommando systemsnapshot ein. Anschließend wird die GSM Appliance booten und den Snapshot erzeugen. Bei den GSM 5xx können Sie sowohl das Snapshotbackup als auch das Systembackup anlegen. Die Wiederherstellung des Systemsnapshots-Backups erfolgt über das Grub-Bootmenü. Hierzu müssen Sie sich über die serielle Schnittstelle oder einen VGA-Monitor mit dem System verbinden (siehe Abschnitt Serielle Schnittstelle). Führen Sie einen Reboot durch. Im Grub Menü (vor dem GOS Boot) sollte nun der Menüpunkt angezeigt werden. Wählen Sie diese Option aus. Das System bootet nun in den Snapshot Backup der Userdata mit USB-Stick Das Backup der Userdata erfolgt auf allen GSM Appliances in der selben Form. Die GSM-Appliance unterstützt zunächst die Sicherung der Userdata auf der GSM-Appliance selbst. Die hierbei erzeugte Datei kann anschließend auf einen USB-Stick kopiert werden. Damit sind die Daten bei einem Ausfall der Appliance weiterhin verfügbar. Für die Speicherung der Daten auf einem externen USB-Stick sind immer zwei Schritte erforderlich: 1. Sicherung der Userdaten 2. Kopieren der Sicherung auf den USB-Stick Derselbe Vorgang erfolgt umgekehrt bei der Wiederherstellung der Userdaten. Zunächst werden die Daten von dem USB-Stick auf die Appliance kopiert. Anschießend kann dann die Wiederherstellung der Daten erfolgen. Im Folgenden werden die Schritte einzeln durchgespielt. Zunächst melden Sie sich wieder auf der Konsole der Appliance z.b. via SSH an. Anschließend rufen Sie das GOS-Admin-Menü auf und wählen hier den Menüpunkt Backup. Nach dem Aufruf des Punkts Backup Userdata sind die weiteren Menüpunkte bis zum Ende des Backups gesperrt. Sie können ansonsten aber das System wie gewohnt weiterverwenden. Ein Wartungsfenster ist nicht erforderlich. Auch ein Reboot wird nicht durchgeführt. Abb. 5.10: Das Backup der Userdaten kann im laufenden Betrieb erfolgen Sicherung und Wiederherstellung 45

52 Im Gegensatz zum Komplett-Backup können mehrere Versionen der Userdata-Backups auf der Appliance vorgehalten werden. Diese werden immer unter einem Namen mit dem folgenden Aufbau gespeichert: <gsf-number>-<date><time>.gsmb gsmb Auf der Appliance werden die Backups in dem Verzeichnis /var/gsm/backups/userdata/ gespeichert. Die gesicherten Benutzerdaten können nun auf einen USB-Stick übertragen werden. Dieser USB-Stick muss partitioniert sein und genau eine primäre Partition mit dem VFAT-Dateisystem enthalten. Dies ist bei den meisten USB-Sticks der Auslieferungszustand. Nach dem Einstecken des USB-Sticks warten Sie bitte einige Sekunden, bis die GSM-Appliance den Stick erkannt hat. Dann können Sie den Inhalt des USB-Sticks über den Punkt anzeigen. Der Aufruf dieses Befehls dauert möglicherweise einige Sekunden. Abb. 5.11: Ein leerer USB-Stick enhält noch keine Dateien. Nun können Sie die Userdaten auf den Stick kopieren. Hierzu wählen Sie den Menüpunkt Copy Userdata to USB. Anschließend können Sie das zu übertragene Backup wählen. Abb. 5.12: Wählen Sie das zu kopierende Backup aus. Falls die Datei bereits auf dem USB-Stick existiert, werden Sie gefragt, ob die Datei umbenannt, überschrieben oder übersprungen werden soll: Long file name " gsmb " already exists. a) utorenmae A) utorename - all r) rename R) ename - all o) verwrite O) verwrite - all s) kip S) kip q) uit ( aarroossq ): Nachdem die Daten auf den Stick kopiert wurden, kann erneut der Inhalt des Stick angezeigt werden (siehe Abbildung Nach dem Kopiervorgang wurden die Daten übertragen.). Sie können auch den USB- Stick anschließend direkt entfernen. Um Daten von dem Stick zurückzuspielen, rufen Sie im GOS-Admin-Menü den Unterpunkt Backup gefolgt von Copy Userdata from USB auf. Nach wenigen Sekunden wird Ihnen die Auswahl der auf dem 46 Kapitel 5. Betrieb

53 USB-Stick verfügbaren Backups angeboten. Nachdem Sie eine der Versionen mit OK bestätigt haben, wird diese wieder auf die GSM-Appliance kopiert. Abb. 5.13: Nach dem Kopiervorgang wurden die Daten übertragen. Abb. 5.14: Userdata-Backups können von dem USB-Stick auf die Appliance kopiert werden Anschließend können sie mit Restore Userdata die Daten wiederherstellen. Hierbei werden Sie gewarnt, dass bei der Wiederherstellung der alten Daten alle aktuellen Daten gelöscht werden. Falls Sie diese vorher sichern möchten, können Sie dies tun. Eine Zusammenführung von mehreren Userdata- Backups ist jedoch nicht möglich. Abb. 5.15: Userdata-Backups können nach der Übertragung vom USB-Stick wieder hergestellt werden. Tipp: Wenn Sie nur einzelne Informationen wie eine Scankonfiguration sichern möchten, können Sie diese über die Weboberfläche exportieren und auch auf einer anderen Appliance importieren! 5.3. Sicherung und Wiederherstellung 47

54 Abb. 5.16: Userdata-Backups können nach der Übertragung vom USB-Stick wieder hergestellt werden Backup der Userdata via SSH Das Backup der Userdata kann auch via SSH erfolgen. Hierzu müssen Sie über ein SSH-Login auf einem entfernten System verfügen. Um das Remote Backup via SSH zu konfigurieren, greifen Sie im GOS-Admin-Menü im Menüpunkt Backup auf das Remote Backup zu. In diesem Menü müssen Sie die folgenden Punkte konfigurieren: Backup server user Dies ist der Benutzer, mit dem Sie sich auf dem entfernen System anmelden können, um die Backups zu übertragen. Backup server password Dies ist das Kennwort des oben angegebenen Benutzers. Backup server address Dies ist die IP-Adresse des Backup-Servers. Backup server fingerprint Hier müssen Sie die MD5-Prüfsumme des Host-Keys des Backup-Servers eingeben. Diesen MD5-Prüfsumme können Sie auf dem Backup-Server mit folgenden Befehl auslesen: Dieser Fingerprint muss ohne Doppelpunkte eingetragen werden (siehe Abbildung Via Fingerprint des Host-Keys wird die Identität des Backup-Servers geprüft.). ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key.pub :82:81:ff:36:b3:b6:03:df:ed:4a:e9:fa:2d:6a:5d (RSA) Abb. 5.17: Via Fingerprint des Host-Keys wird die Identität des Backup-Servers geprüft. 48 Kapitel 5. Betrieb

55 Anschließend müssen Sie das Backup erzeugen mit Backup Userdata und können dann im Menü Remote Backup mit Copy Userdata to server die Dateien auf den entfernten Server übertragen. Eine automatische Übertragung ist noch nicht vorgesehen. 5.4 Airgap Update Die Airgap-Funktion bietet einer GSM-Appliance, die keine direkte Verbindung zum Internet besitzt, dennoch eine Aktualisierung mit Feeds und Updates. Hierzu benötigen Sie zwei GSM-Appliances. Eine dieser Appliances befindet sich in einem gesicherten Bereich und verfügt über keine Verbindung zum Internet. Die zweite Appliance muss über eine Verbindung zum Internet verfügen. Für die Airgap Funktion stehen zwei Wege zur Verfügung: Greenbone Airgap USB Stick Airgap FTP-Server Beide Varianten werden in den folgenden Abschnitten vorgestellt Airgap via USB Stick Die Feeds und Updates werden hierbei von der mit dem Internet verbundenen GSM geladen und auf einen USB-Stick kopiert. Dieser kann dann genutzt werden, um die zweite Appliance zu aktualisieren. Der USB-Stick kann zuvor mit einem Security Gateway auf möglichen Schadcode analysiert werden. Abb. 5.18: Mit der Airgap-Funktion können die Aktualisierungen für GSM, die nicht mit dem Internet verbunden sind, bereitgestellt werden. Nach der Einrichtung der Airgap-Funktionalität ist keinerlei Anmeldung an den Appliances erforderlich. Die Kommunikation erfolgt komplett über das LCD-Display und kann von beliebigem Personal durchgeführt werden. Dieses muss lediglich einmal täglich den USB-Stick vom Airgap-Master abziehen und in den Airgap-Slave einstecken. Nach wenigen Minuten wird er dann über das Display aufgefordert den Stick vom Airgap-Slave wieder abzuziehen und wieder in den Airgap-Master einzustecken Airgap Update 49

56 Die Airgap-Funktion kann nur mit speziellen von Greenbone bereitgestellten USB-Sticks genutzt werden. Wenden Sie sich unter Angabe Ihrer Kundennummer an Greenbone um einen entsprechenden Stick anzufordern. Um die Airgap-Funktion mit dem entsprechenden Stick zu nutzen, müssen Sie Ihre GSM-Appliances entsprechend konfigurieren und die Rollen als Airgap Master und Airgap Slave zuweisen. Hierzu rufen Sie das GOS-Admin-Menü auf und wechseln in das Menü Feed. Hier scrollen Sie bis zum Punkt Airgap management und rufen diesen auf. Abb. 5.19: Das Airgap-Management ist in einem eigenen Untermenü verborgen. Abb. 5.20: Die Airgap-Role kennzeichnet die Funktion der GSM-Appliance in dem Airgap- Vorgang. Tragen Sie bei der Rolle entsprechend der Rolle in dem Verfahren entweder master oder slave ein. Der Master wird nun bei jedem kommenden täglichen Update ein spezielles Update-Paket bauen und auf dem Stick hinterlegen. Dieser Vorgang kann über das Display verfolgt werden. Wenn der Master den Stick aktualisiert, zeigt er nacheinander die Meldungen Airgap Master U1 updating USB... und Airgap Master U2 USB stick ready. an. Sobald der Master in seinem Display USB MEM PRESENT ok to remove!. anzeigt, kann der Stick abgezogen und auf den Slave übertragen werden. Der Slave erkennt den Stick automatisch und lädt das Update von dem Stick. Hierbei protokolliert er dies im Display mit Airgap Slave DL1 updating from USB. und Airgap Slave S0... Sobald auch hier die Meldung USB MEM PRESENT ok to remove!. angezeigt wird, kann der Stick abgezogen und zurück in den Master eingesteckt werden. 50 Kapitel 5. Betrieb

57 Abb. 5.21: Mögliche Werte sind master und slave. Abb. 5.22: Die Airgap-Master zeigt auf seinem Display die Schritte bei der Erstellung des Update- Pakets an Airgap via FTP Alternativ können Sie die Feed-Updates durch einen eigenen FTP-Server zur Verfügung stellen. Dabei übernimmt der FTP-Server die Funktion des USB-Sticks. Sie benötigen also auch zwei GSM: Der Master holt den Feed aus dem Internet und schreibt ihn auf den FTP-Server. Der Slave bezieht den Feed von dem FTP-Server. Auf dem Master müssen Sie das Menü Airgap management wechseln (siehe Abbildung Das Airgap- Management ist in einem eigenen Untermenü verborgen.). Anschließend setzen Sie Airgap type zunächst den auf den Wert ftp und die Airgap role auf master. Anschließend erhalten Sie neue Parameter in dem Menü. Hier tragen Sie nun die entsprechenden Werte ein: FTP location: Dies ist der FTP-Server mit Ordner als kompletter Pfad. FTP user: Dies ist der Benutzer mit dem die Anmeldung erfolgt. FTP password: Dies ist das Kennwort mit dem die Anmeldung erfolgt. Test FTP: Hiermit können Sie die eingegebenen Daten prüfen. Der Test prüft, ob mit den Daten eine Anmeldung möglich ist. Auf dem Slave nehmen sie dieselben Einstellungen vor. Hier stellen sie lediglich die auf slave Airgap Update 51

58 Abb. 5.23: Die Airgap-Slave protokolliert ebenfalls die Schritte. Abb. 5.24: Nach Aktivieren von FTP erhalten Sie neue Parameter für die Konfiguration. Damit die Synchronisation reibungslos klappt, müssen Sie die Synchronisationszeiten des Masters und Slaves aufeinander anpassen. Stellen Sie sicher, dass der Master genügend Zeit für den Upload des Feeds erhält, damit der Slave nicht den Feed lädt, bevor der Master den Upload abgeschlossen hat. Hierzu können Sie die Synctime entsprechend anpassen. Damit der FTP-Server auch wirklich die Funktion einer Diode aufweist, sollten Sie sicherstellen, dass hochgeladene Dateien nach dem Upload geprüft werden. Dies können Sie zum Beispiel mit dem pureftpd erreichen. Dieser FTP-Server bietet die Möglichkeit nach dem Upload einer Datei ein Skript aufzurufen. Dieses startet erst einen Virenscanner. Nach der erfolgreichen Prüfung verschiebt das Skript die Feeddateien in ein weiteres Verzeichnis auf das der Slave Zugri hat und den Feed lädt. 52 Kapitel 5. Betrieb

59 KAPITEL 6 Scanning Dieses Kapitel beschäftigt sich mit der Einrichtung und Durchführung der eigentlichen Scans Ihrer Systeme für das Schwachstellenmanagement. Hierbei beschreibt dieses Kapitel grundlegende erste Schritte. Spätere Abschnitte zeigen Ihnen dann detaillierter die Nutzung und Anpassung Ihrer Scankonfigurationen und die Auswertung der Ergebnisse. 6.1 Einfacher Scan Dieser erste Abschnitt beschreibt die ersten Schritte zur Konfiguration Ihres ersten Scans. Grundsätzlich stehen Ihnen zwei Möglichkeiten o en. Die Weboberfläche Ihrer GSM-Appliance, der Greenbone Security Assistant, stellt Ihnen einen Wizard zur Verfügung, der Ihnen mit nur wenigen Eingaben alle erforderlichen Konfigurationen für einen ersten Scan erzeugt. Alternativ können Sie diese aber auch selbst schrittweise anlegen. Die folgenden beiden Abschnitte betrachten beide Vorgehensweisen. Idealerweise vollziehen Sie die einzelnen Schritte direkt auf einer GSM-Appliance nach Wizard Wenn Sie sich nach der Ersteinrichtung das erste Mal an der Weboberfläche der GSM-Appliance anmelden, wird direkt der Wizard angezeigt. Dies geschieht so lange wie sie noch nicht mehr als drei Scans durchgeführt haben. Später können Sie aber auch jeder Zeit den Wizard durch das Icon aufrufen. Um mit dem Wizard ein System direkt zu scannen, genügt die Angabe der IP-Adresse oder des Rechnernamens. Dazu ist es aber erforderlich, dass die GSM-Appliance den Rechnernamen auflösen kann. Der Task Wizard führt anschließend die folgenden Schritte automatisch durch: 1. Er erzeugt ein neues Scanziel (Target) in dem GSM. 2. Er erzeugt einen neue Scanauftrag (Task) in dem GSM. 3. Er startet diesen Scanauftrag sofort. 4. Er wechselt die Ansicht und lädt diese alle 30 Sekunden neu, so dass Sie den Fortschritt des Tasks beobachten können. Nachdem der Task gestartet wurde, können Sie den Fortschritt beobachten. Hierzu zeigt der Greenbone Security Assistant die Übersichtsseite mit allen Tasks an. Dort ist auch der neue Task zu sehen. Die Farben und der Füllgrad des Statusbalken geben Auskunft über den Zustand des Scans (Siehe auch Abschnitt Start des Task). 53

60 Abb. 6.1: Der Task Wizard erleichtert die ersten Schritte. Abb. 6.2: Nach dem Start wird der Fortschritt angezeigt. Sobald der Scan abgeschlossen ist gibt die Spalte Severity Auskunft über die Kritikalität der gefundenen Schwachstellen. Die sich davor befindene Spalte Solution Type zeigt die Art der verfügbaren Lösung an. Der Häufigste Typ ist hier der VendorFix. Der Task kann über die Aktionen in der rechten Spalte weiter verwaltet werden: Starting of a currently not running task. Hiermit stoppen Sie einen aktuell laufenden Task. Alle gewonnenen Ergebnisse werden in die Datenbank geschrieben. Hiermit können Sie einen gestoppten Task wieder aufnehmen. Hiermit wird ein Task in den Mülleimer verschoben. Hiermit können Sie den Task editieren. Hiermit kopieren Sie einen Task. Hiermit exportieren Sie einen Task als XML Objekt. Dieses Objekt können Sie auf einem anderen GSM wieder importieren. Bevor Ihr Scan abgeschlossen ist, können Sie bereits die Ergebnisse des Scans (siehe Abbildung Die Ergebnisse sind auch vor Abschluß des Scans bereits erreichbar.) betrachten. Hierzu wählen Sie mit der Maus einfach den Fortschrittsbalken aus. Die hier angezeigten Ergebnisse sind natürlich noch nicht vollständig. Sie können aber den Fortschritt weiter oben rechts über den Fortschrittsbalken verfolgen. Diese Seite lädt sich jedoch nicht mehr automatisch neu. Um unterschiedliche Darstellungen der Ergebnisse zu erhalten, können Sie mit der Maus über die Titelzeile fahren. Es ö net sich ein Pulldown-Menü in dem Sie verschiedene Darstellungsformen wählen können. Außerdem können Sie den Bericht auch in verschiedenen Formaten exportieren. Die Export-Formate wählen Sie ebenfalls in der Titelzeile aus. Anschließend können Sie den Bericht durch Wahl des Buttons herunterladen. Die Berichte und Berichtsformate werden im Abschnitt Reports genauer betrachtet. 54 Kapitel 6. Scanning

61 Abb. 6.3: Die Ergebnisse sind auch vor Abschluß des Scans bereits erreichbar. Abb. 6.4: Der Report kann in unterschiedlichen Varianten dargestellt werden Advanced Wizard Neben dem einfachen Wizard bietet der GSM auch einen fortgeschrittenen Wizard, in dem Sie mehr Konfigurationsmöglichkeiten haben. Dieser Wizard erlaubt Ihnen die Abkürzung der manuellen Konfiguration der einzelnen Parameter, bietet aber dennoch eine sehr feingranuläre Konfiguration. Diesen Wizard können Sie über das Kontextmenü des Wizard-Icons aufrufen. Hier können Sie auch einen Wizard aufrufen, der Ihnen die Änderung eines Tasks (Modify Task Wizard) erlaubt Manuelle Konfiguration Der nun folgende Abschnitt erläutert die Erzeugung eines einfachen Scans in den einzelnen Schritten, die auch der Wizard durchführt. Hierbei können Sie aber selbst sinnvolle Namen für die Scanziele (Targets) und den Scanauftrag (Task) vergeben. Anlegen des Targets Der erste Schritt ist die Definition des Scanziels. Dieses wird von dem Greenbone Security Assistant als Target bezeichnet. Wählen Sie zunächst einen oder mehrere Rechner aus Ihrem Netz, den bzw. die Sie scannen möchten. Sie benötigen hierzu entweder dessen IP-Adresse oder dessen DNS-Namen. In beiden Fällen ist es 6.1. Einfacher Scan 55

62 Abb. 6.5: Außerdem kann der Bericht in verschiedenen Formaten heruntergeladen werden Abb. 6.6: Der fortgeschrittene Wizard bietet mehr Möglichkeiten. erforderlich, dass der Greenbone Security Manager diesen Rechner erreichen kann. Bei Nutzung des DNS-Namens muss die GSM Appliance den Namen auflösen können. Wählen Sie aus dem Menü Configuration den Punkt Configuration. Wählen Sie hier das New Target Icon für (den weißen Stern auf blauem Grund: ). Dieses Icon finden Sie an vielen Stellen. Es steht immer für das Anlegen eines neuen Objektes im jeweiligen Kontext. Sie erhalten nun ein neues Fenster, in dem Sie das Target genauer spezifizieren können. Hier geben Sie die folgenden Informationen an: Name Dies ist ein frei wählbarer Name. Sie sollten hier einen möglichst beschreibenden Namen wählen. Denkbar ist Mailserver, ClientNetzwerk, Webserverfarm, DMZ oder ähnliche Namen, die die angegebenen Rechner genauer beschreiben. Comment Der optionale Kommentar erlaubt Ihnen die Angabe von Hintergrundinformationen. Diese erleichtern später das Verständnis des konfigurierten Targets. Hosts Hier können Sie den Rechner manuell eintragen oder eine Liste von Rechnern importieren. Bei der manuellen Eingabe haben Sie die folgenden Möglichkeiten: Eine IP-Adresse, z.b Ein Rechnernamen, z.b. mail.example.com 56 Kapitel 6. Scanning

63 Abb. 6.7: Das Wizard-Kontextmenü erlaubt den Aufruf. Abb. 6.8: Aufrufen der Targets. Ein IPv4 Adressbereich, z.b oder Ein IPv4 Netz in CIDR Notation, z.b /24 1 Einzelne IPv6-Adressen Ein IPv6 Adressbereich im langen Format, z.b. ::12:fe5:fb50-::12:fe6:100 Ein IPv6 Adressbereich im kurzen Format, z.b. ::12:fe5:fb50-fb80 Ein IPv6 Adressbereich in CIDR Notation, z.b. fe80::222:64 :fe76:4cea/120 Mehrere Angaben können durch Kommas getrennt angegeben werden. Bei einem Import aus einer Datei können Sie die gleichen Schreibweisen nutzen. Hier dürfen die Angaben auf mehreren Zeilen in der Datei gespeichert werden. Bei besonders langen Listen von zu scannenden Systemen ist diese Variante häufig die einfachere. Exclude Hosts Hier können Sie Rechner angeben, die in der oben angegebenen Gruppe immer ausgenommen sein sollen. Reverse Lookup Only Hier können Sie einstellen, ob nur die IP-Adresse gescannt werden sollen, zu denen ein DNS-Name aufgelöst werden kann. Reverse Lookup Unify Hier bestimmen Sie, ob die Ausgabe des Reverse-Lookup vereinheitlicht werden soll. Lösen mehrere IPs für den gleichen DNS-Namen auf, so wird dieser DNS-Name nur ein einziges mal gescannt. 1 Die maximale Netzmaske beträgt /20. Dies entspricht 4096 Adressen. Abb. 6.9: Creating a new target Einfacher Scan 57

64 Abb. 6.10: Geben Sie die Details für das Target an. Port list Das TCP und das UDP-Protokoll unterstützen jeweils Ports. Alle Ports zu scannen dauert in vielen Fällen zu lange. Viele Ports werden normalerweise nicht genutzt. Ein Hersteller, der eine neue Applikation entwickelt, reserviert meist beim IANA (Internet Assigned Numbers Association) den entsprechenden Port. Daher genügt es für die meisten Scans nur diese beim IANA registrierten Ports zu scannen. Dabei unterscheiden sich die registrierten Ports von den privilegierten Ports. Als privilegierter Port werden die Ports kleiner als 1024 bezeichnet 2. Beim IANA sind aber auch zum Beispiel die Ports 1433/tcp (MS-SQL) und 3306/tcp (MySQL) in der Liste enthalten. Nmap verwendet wieder eine abweichende Liste und testet auch nicht alle Ports. Auch OpenVAS verwendet einen abweichenden Default. Während der Scan von TCP-Ports einfach und schnell durchgeführt werden kann, da ein Betriebssystem bei einer TCP-Anfrage immer antworten muss und so anzeigt, ob ein Port o en (TCP-ACK) oder geschlossen (TCP-RST) ist, ist das bei UDP nicht der Fall. Hier antwortet ein Betriebssystem nur dann sicher, wenn der Port geschlossen ist ICMP-Port- Unreachable). Ein o ener Port wird von dem Scanner durch eine fehlende Antwort abgeleitet. Der Scanner muss daher einen internen Timeout abwarten. Dieses Verhalten tri t natürlich nur zu, wenn das gescannte System nicht durch eine Firewall geschützt ist. Bei Existenz einer Firewall ist die Erkennung eines o enen oder geschlossenen Ports wesentlich schwieriger. Wenn Sie Applikationen auf ungewöhnlichen Ports betreiben und auch diese mit dem GSM überwachen und testen möchten, sollten Sie unter im Untermenü die mitgelieferten Portlisten kontrollieren und gegebenenfalls eine eigene Liste anlegen, in der Ihr Port aufgeführt ist. Die ausgelieferten Listen können nicht angepasst werden. Alive Test Hier stellen Sie ein, wie die Erreichbarkeit eines Ziels (Targets) vor dem Scan geprüft werden soll. Zur Verfügung stehen: ICMP Ping TCP Service Ping ARP Ping ICMP & TCP Service Ping ICMP & ARP Ping TCP Service & ARP Ping ICMP, TCP Service & ARP Ping In der Praxis gibt es immer wieder Probleme mit diesem Test. So existieren in einigen Umgebungen Router und Firewallsysteme, die einen TCP Service Ping mit einem TCP-RST beantworten, obwohl der eigentlich Host nicht aktiv ist. 2 Unter UNIX wird ein Zugri auf diese Ports nur privilegierten Benutzern (z.b. root) erlaubt. Die Ports ab 1024 stehen auch unprivilegierten Benutzern zur Verfügung. 58 Kapitel 6. Scanning

65 Auch existieren Netzwerkkomponenten, die ein Proxy-ARP unterstützen und einen ARP-Ping beantworten. Daher kann dieser Test in Ihrer Umgebung eine lokale Anpassung erfordern. SSH Credential Hier können Sie einen Benutzer auswählen, der sich auf dem Zielsystem des Scans anmelden kann, wenn es sich um ein UNIX oder Linux System handelt. Dann ist ein authentifizierter Scan möglich (siehe Abschnitt Authentifizierter Scan). SMB Credential Hier können Sie einen Benutzer auswählen, der sich auf dem Zielsystem des Scans anmelden kann, wenn es sich um ein Microsoft Windows System handelt. Dann ist ein authentifizierter Scan möglich (siehe Abschnitt Authentifizierter Scan). ESXi Credential Hier können Sie einen Benutzer auswählen, der sich auf dem Zielsystem des Scans anmelden kann, wenn es sich um ein VMWare ESXi System handelt. Dann ist ein authentifizierter Scan möglich (siehe Abschnitt Authentifizierter Scan). Anlegen des Tasks Der GSM steuert die Durchführung von Scans als Tasks. Diese Tasks können auch regelmäßig wiederholt oder zu bestimmten Uhrzeiten ausgeführt werden. Diese Steuerung wird in Abschnitt Geplanter Scan näher betrachtet. Zunächst soll es in diesem Abschnitt um die grundsätzliche Erzeugung neuer Tasks gehen. Abb. 6.11: Erstellen von Tasks Um auf die Tasks zuzugreifen, benötigen Sie aus der Menüleiste den Punkt Scan Management. Dort wählen Sie die Option Tasks. Auf der folgenden Seite wählen Sie den weißen Stern auf blauen Grund, um einen neuen Task zu erzeugen. Nun ö net sich eine Webseite, auf der Sie die weiteren Optionen für den Task definieren können. Abb. 6.12: Erstellen eines neuen Tasks Hier geben Sie die folgenden Informationen an: Name Dies ist ein frei wählbarer Name. Sie sollten hier einen möglichst beschreibenden Namen wählen. Denkbar ist Scanne Mailserver, Teste ClientNetzwerk, Prüfe DMZ auf neue Ports und Rechner oder ähnliche Namen, die die angegebene Aufgabe beschreiben Einfacher Scan 59

66 Comment Der optionale Kommentar erlaubt Ihnen die Angabe von Hintergrundinformationen. Diese erleichtern später das Verständnis des konfigurierten Targets. Scan Targets Hier wählen Sie ein zuvor konfiguriertes Target aus der Drop-Down-List aus. Alerts Hier können Sie einen vorher konfigurierten Alert auswählen. So können Sie Zustandsänderungen des Tasks mittels , Syslog, HTTP oder eines Konnektors der Außenwelt mitteilen. Schedule Hier können Sie einen vorher konfiguriert Schedule auswählen. Damit können Sie den Task einmalig oder wiederholend zu bestimmten Uhrzeiten ausführen. So ist es möglich, z.b. immer Montag morgens um 6:00 Uhr das Netz zu scannen. Add results to Asset Management Bei Auswahl dieser Option werde die gescannten Systeme automatisch dem Asset Management (siehe Kapitel Asset Management) des GSM zur Verfügung gestellt. Dies kann auch später jederzeit umgeschaltet werden. Alterable Task Alterable TaskDies erlaubt die Modifikation des Tasks, selbst wenn bereits Berichte erzeugt wurden. Damit ist die Konsistenz der Berichte untereinander jedoch nicht mehr gewährleistet. Scanner Scan Config Der GSM kommt mit sechs vorbereiteten Scan-Konfigurationen. * Discovery Hier werden nur die Plugins verwendet, die möglichst viele Informationen über das Zielsystem sammeln. Es werden keine Schwachstellenprüfungen durchgeführt. * Host Discovery Hier werden nur Plugins verwendet, um die verfügbaren Zielsysteme zu ermitteln. Dieser Scan gibt lediglich eine Liste der gefundenen Systeme aus. * System Discovery Hier werden nur Plugins verwendet, um die verfügbaren Zielsysteme einschließlich der installierten Betriebssysteme und verwendeten Hardwaregeräte zu prüfen. * Full and Fast Dies ist der Default und in vielen Umgebungen zu Beginn die richtige Wahl. Diese Konfiguration stützt sich auf die vorher im Portscan gewonnenen Informationen und verwendet fast alle Prüfroutinen. Hierbei werden aber nur diejenigen Prüfroutinen berücksichtigt, die keinen Schaden auf dem Zielsystem anrichten können. Die Prüfroutinen sind best möglich optimiert, so dass die potentielle False-Negative Rate besonders gering ist. Die anderen Varianten bieten nur in sehr seltenen Fällen einen Mehrwert führen aber zu einem wesentlich größerem Aufwand. * Full and fast ultimate Diese Konfiguration erweitert die erste Konfiguration um Prüfroutinen, die auch Dienste oder Rechner stören oder einen Absturz herbeiführen können. * Full and very deep Diese Konfiguration unterscheidet sich von der*full and fas* Konfiguration dadurch, dass die Ergebnisse des Portscans keine Auswirkung auf die Auswahl der Prüfroutinen haben. Daher kommen auch Prüfroutinen zum Einsatz, die dann auf ein Timeout warten müssen. Daher ist dieser Scan langsam. * Full and very deep ultimate Diese Konfiguration ergänzt die Full and very deep um die gefährlichen Prüfroutinen, die möglicherweise Dienste oder Rechner stören können. Auch diese Konfiguration ist entsprechend langsam. Order for target hosts Hier können Sie wählen, wie der angegebene Netzbereich durchsucht werden soll. Zur Auswahl stehen: * Sequential * Random 60 Kapitel 6. Scanning

67 * Reverse Dies ist interessant, wenn Sie ein Netz, z.b /24 scannen, in dem sich gehäuft zu Beginn oder am Ende des IP-Adressbereichs Systeme befinden. Stellen Sie dann den Modus auf Random, zeigt die Fortschrittsanzeige sinnvollere Werte an. Slave Hier können Sie einen vorher konfigurierten auswählen, durch den der Scan durchgeführt wird. Damit kann der Scan an ein anderes System delegiert werden, welches einen besseren Zugang zu dem Zielsystem hat. Scan Intensity Hier konfigurieren Sie die Geschwindigkeit des Scans. Die Defaultwerte sind sinnvoll gewählt. Wenn Sie mehr Prüfroutinen gleichzeitig auf einem Rechner oder mehr Rechner gleichzeitig prüfen lassen, besteht die Gefahr, dass sich der Scan nachteilig auf die Leistungsfähigkeit Ihrer Systeme oder Ihres Netzes auswirkt. Observer Haben Sie den Task gespeichert, so wird er zunächst angezeigt (siehe Abbildung Ein neue erstellter Task.). Abb. 6.13: Ein neuer Task nach seiner Erzeugung. Wenn Sie in dieser Ansicht weiter nach unten scrollen, können Sie die Berechtigungen für den Task verwalten. Dies sind die Observers. Im Gegensatz zu älteren Versionen können Sie hier sowohl einfachen Benutzern als auch Rollen und Gruppen Leserechte an dem Task zuweisen. Abb. 6.14: Die Leserechte können direkt beim Task verwaltet werden. Bemerkung: Normale Nutzer können per Default keinen Observer einrichten, da Sie keine Leserechte 6.1. Einfacher Scan 61

68 auf die Benutzerdatenbank besitzen. Hierzu muss der Benutzer spezifisch das Recht get_users erhalten. Dies erfolgt am sinnvollsten mit einer zusätzlichen Rolle (siehe Abschnitt GetUsers-Rolle für Observer). Hierzu wählen Sie entsprechend User, Group oder Role und tragen den entsprechenden Namen ein. Nach dem Anklicken von wird die Berechtigung eingetragen. Dies wird nun auch in der Task-Übersicht angezeigt. Abb. 6.15: Die Leserechte an einem Task werden in der Übersicht angezeigt. Nach der Anmeldung des Benutzers kann er diese Tasks sehen und auch auf die entsprechenden Berichte zugreifen. Dies wird nun auch in der Task-Übersicht angezeigt. Abb. 6.16: Nach Anmeldung kann der Beobachter die Tasks nun auch sehen aber nicht verändern. Start des Task Haben Sie den Task gespeichert, so wird er zunächst angezeigt (siehe Abbildung Ein neue erstellter Task.). Der Task kann über die Aktionen in der Titelzeile weiter verwaltet werden: Starting of a currently not running task. Hiermit stoppen Sie einen aktuell laufenden Task. Alle gewonnenen Ergebnisse werden in die Datenbank geschrieben. Hiermit können Sie einen gestoppten Task wieder aufnehmen. Hiermit wird ein Task in den Mülleimer verschoben. Hiermit können Sie den Task editieren. Hiermit kopieren Sie einen Task. Hiermit exportieren Sie einen Task als XML Objekt. Dieses Objekt können Sie auf einem anderen GSM wieder importieren. Alternativ kann der Start des Tasks auch über die Übersichtsseite erfolgen, die Sie über Scan Management und anschließend Tasks erhalten (siehe Abbildung In der Übersicht erfolgt die Steuerung des Tasks über die rechte Spalte.). 62 Kapitel 6. Scanning

69 Abb. 6.17: Ein neue erstellter Task. Abb. 6.18: In der Übersicht erfolgt die Steuerung des Tasks über die rechte Spalte. Der Statusbalken gibt Auskunft über den Zustand des Tasks. Hier sind die folgenden Farben und Zustände möglich: Dieser Task ist seit seiner Erzeugung noch nicht gestartet worden. Dieser Task läuft gerade und ist zu 42% abgeschlossen. Diese Angabe basiert auf der Anzahl der ausgeführten NVTs auf den ausgewählten Hosts. Daher korreliert die Angabe nicht zwingend mit der aufgewendeten Zeit. Dieser Task wurde gerade gestartet. Der GSM bereitet den Scan vor. Dieser Task wurde gelöscht. Der tatsächliche Löschvorgang kann jedoch einige Zeit in Anspruch nehmen, da auch die Berichte gelöscht werden. Dieser Task wurde kürzlich gestoppt. Die Scan-Engine hat jedoch noch nicht entsprechend reagiert. Der letzte Scan wurde bei 15% durch den Anwender gestoppt. Der letzte Bericht ist daher wahrscheinlich nicht vollständig. Weitere Gründe für diesen Zustand sind ein Reboot der GSM Appliance oder ein Stromausfall. Nach dem Neustart des Scanners wird der Task nicht automatisch wieder aufgenommen. Es ist ein Fehler aufgetreten. Der letzte Bericht ist möglicherweise nicht vollständig oder fehlt gänzlich. Der Scan ist erfolgreich abgeschlossen worden Einfacher Scan 63

70 Es handelt sich um einen Container-Task. Container Task Ein Container Task kann genutzt werden, um Berichte, die von anderen GSMs erzeugt wurden zu importieren und vorzuhalten. Dabei müssen Sie bei dem Anlegen des Container Task bereits einen ersten Bericht importieren. Anschließend können Sie weitere Berichte (Reports) importieren und diese dann zum Beispiel auch mit einem Delta-Report vergleichen. Abb. 6.19: Der Container Task dient zum Import fremder Berichte. Die Berichte müssen im GSM-XML-Berichtsformat vorliegen. 6.2 Reports Die Ergebnisse eines Scans werden in einem Report zusammengefasst. Dieser Report kann in dem Browser betrachtet werden und in unterschiedlichen Formaten von dem GSM geladen werden. Hat der Scan einmal begonnen, kann zu jedem Zeitpunkt der Report zu den bisher ermittelten Ergebnissen eingesehen werden. Ist der Scan abgeschlossen, ändert sich dessen Status auf Done. Ab jetzt kommen keine weiteren Resultate mehr dazu. Beachten Sie bezüglich der Reports auch das Kapitel Berichte. Abb. 6.20: Die Reportsummary gibt einen Überblick über die gefundenen Schwachstellen. Die Report Summary gibt Ihnen einen schnellen Aufschluss über den aktuellen Stand. Sie erkennen, ob der Scan bereits vollständig ist und wieviele Schwachstellen bereits gefunden wurden. Sie können aus der Summary heraus auch direkt den Bericht in unterschiedlichen Formaten herunterladen. Die folgenden Formate werden zur Verfügung gestellt (siehe auch Abschnitt Report Plugins): ARF: Asset Reporting Format v1.0.0 Dieses Format erzeugt einen Bericht, der dem NIST Asset Reporting Format entspricht. CPE - Common Enumeration CSV Table Dieser Report wählte alle CPE-Tabellen und erzeugt eine einzige komma-separierte Datei. 64 Kapitel 6. Scanning

71 CSV hosts Dieser Bericht erzeugt eine komma-separierte Datei mit den gefundenen Systemen. CSV Results Dieser Bericht erzeugt eine komma-separierte Datei mit den Ergebnissen des Scans. GSR PDF - Greenbone Security Report (empfohlen) Dies ist der vollständige Greenbone Security Bericht mit allen Schwachstellen. GXR PDF - Greenbone Executive Report (empfohlen) Dies ist ein gekürzter Bericht für das Management. HTML Dieser Bericht ist in HTML Format. ITG - IT-Grundschutz-Kataloge Dieser Bericht orientiert sich am BSI IT-Grundschutz Katalog LaTeX Dieser Bericht wird als LaTeX Quelltext zur Verfügung gestellt. NBE Dies ist das alte OpenVAS/Nessus Report Format. Sie können aber auch in der Weboberfläche unterschiedliche Details des Reports anzeigen. Abb. 6.21: Verschiedene Sichten auf denselben Report. Weil ein Report häufig sehr viele Meldungen enthält, können Sie sich sowohl den kompletten Bericht als auch nur gefilterte Ergebnisse anzeigen lassen und herunterladen. In der Voreinstellung werden nur die Meldungen mit den Bedrohungen High und Medium angezeigt. Sie können dies aber einfach ändern. Abb. 6.22: Report Filtering 6.2. Reports 65

72 In dem Abschnitt Filtered Results sehen Sie die gefilterten Ergebnisse. Solange der Scan noch läuft kann es hier zu Umsortierungen kommen. Um die Ergebnisse zu deuten, beachten Sie bitte die folgenden Hinweise: False Positives Als False Positive wird eine Meldung bezeichnet, die ein Problem beschreibt, welches in Wirklichkeit nicht vorhanden ist. So finden Schwachstellen-Scanner oft Indizien, die auf ein Sicherheitsproblem hinweisen. Eine endgültige Aussage ist jedoch nicht möglich. Hier stehen nun zwei Möglichkeiten zur Auswahl: Meldung einer potentiell nicht existenten Schwachstelle (False Positive). Unterlassung der Meldung einer potentiell existenten Schwachstelle (False Negative. Da ein Anwender False Positives aber erkennen, verwalten und damit umgehen kann und dies bei False Negatives nicht der Fall ist, meldet der GSM Schwachstellenscanner alle potentiell existenten Schwachstellen. Es ist dann Aufgabe des Anwenders diese einzuordnen. Besonders typisch ist dieses Problem bei Enterprise Linux Distributionen. Ist zum Beispiel der SSH-Service in der Version 4.4 installiert und meldet diese Software diese Version bei einer Verbindungsaufnahme, so schlägt ein Schwachstellenscanner, der eine Sicherheitslücke in dieser Version kennt, an. Der Distributor hat die Schwachstelle aber vielleicht bereits behoben und eine Version 4.4-p1 verö entlicht, die auch installiert wurde. Diese Version meldet nach außen aber weiterhin die Version 4.4, so dass der Schwachstellenscanner nicht unterscheiden kann. Wenn der Anwender diesen Umstand kennt, kann er Override (siehe Abschnitt Overrides und False Positives) konfigurieren. Auch die AutoFP-Funnktionalitität (siehe Abschnitt Automatische False- Positives (AutoFP)) kann hier helfen. Ist ein besonders veraltetes Softwarepaket installiert, so liegen häufig mehrere Sicherheitslücken vor. Jede dieser Schwachstellen wird von einer eigenen Prüfroutine geprüft und löst eine Meldung aus. Die Installation eines aktuellen Pakets behebt dann viele Schwachstellen auf einen Schlag. Wichtig sind die Resultate der Bereiche High und Medium. Bearbeiten Sie die Meldungen in der Reihenfolge ihrer Einstufungen. Bevor Sie sich mit der Stufe Medium beschäftigen, sollten Sie die Stufe High betrachten. Nur in Ausnahmefällen, wenn Sie wissen, dass die Meldungen der Stufe High für Sie weniger in Betracht kommen (weil die Dienste durch eine Firewall nicht erreichbar sind), sollten Sie von dieser Taktik abweichen. Low und Log dienen im wesentichen dazu, in die Details zu gehen. Daher sind diese Meldungen in der Voreinstellung auch ausgefiltert. Diese Meldungen können aber dennoch sehr interessante Informationen enthalten und ihre Berücksichtigung verbessert die Sicherheit Ihres Netzes und Ihrer Systeme. Meist ist für ihr Verständnis aber auch ein tieferes Wissen um die Applikationen erforderlich. Typisch für eine Meldung auf Log-Ebene ist die Meldung, dass ein Dienst einen Banner mit seinem Namen und Versionnummer verwendet. Dies kann einem Angreifer, wenn diese Version eine bekannte Sicherheitslücke aufweist, in seinem Angri nützlich sein. Um die Behebung der Schwachstelle zu vereinfachen, gibt jede Meldung auch direkt eine Lösung des Problems an. In den meisten Fällen wird auf entsprechende aktuelle Softwarepakete des Herstellers verwiesen. In einigen Fällen wird direkt eine Konfigurationseinstellung angegeben. Obwohl die Meldungen bereits sehr viele Informationen mitliefern, sind immer auch externe Referenzen aufgeführt. Diese verweisen auf Webseiten im Internet, auf denen diese Sicherheitslücke bereits diskutiert wurde. Hier erhalten Sie weitere Hintergrundinformationen, wer die Schwachstelle entdeckt hat, welche Auswirkungen sie haben kann und wie diese Schwachstelle behoben werden kann. 66 Kapitel 6. Scanning

73 6.2.1 Lesen des Reports Der Report enthält eine Liste sämtlicher durch den GSM aufgedeckter Schwachstellen (siehe Abbildung Liste der gefundenen Schwachstellen). Abb. 6.23: Liste der gefundenen Schwachstellen Um den Administrator bei der Analyse der Ergebnisse zu unterstützen, wird der Schweregrad der Schwachstelle (CVSS, siehe auch Abschnitt CVSS) direkt als Balken dargestellt. Um den Admin auf eine einfache Lösung hinzuweisen, zeigt die Spalte Solution-Type das Vorhandensein einer Lösung an. Existiert ein Patch des Hersteller oder ist ein Workaround verfügbar, zeigt das die Spalte an. Existiert keine Lösung für die Schwachstelle, so wird auch dies angezeigt. Falls aktuell die Spalte für eine einzelne Schwachstelle noch leer ist, so wurde der NVT noch nicht entsprechend aktualisiert. Die Spalte Quality of Detection (QoD) ist ein Hinweis auf die Verlässlichkeit der erfolgreichen Erkennung der Schwachstelle. Diese Einschätzung wird schrittweise in alle vorhandenen NVTs eingefügt werden (siehe auch Abschnitt Network Vulnerability Tests). Diese Spalte erlaubt Ihnen auch die Filterung. Per Default werden nur NVTs mit einem QoD von 70% angezeigt. Dadurch sehen Sie Schwachstellen, deren Verlässlichkeit in der Erkennung geringer ist, nicht in dem Bericht. Die Wahrscheinlichkeit für False-Positives ist damit geringer. Auf der Anzeige der eigentlichen Schwachstelle erhalten Sie weitergehende detaillierte Informationen. 6.3 Authentifizierter Scan Ein authentifizierter Scan meldet sich auf dem Zielsystem an, um dieses zu testen. Hierzu verwendet er Zugangsdaten, die der Scan Anwender vorher auf dem GSM hinterlegen muss. Diese Zugangsdaten (Credentials) werden genutzt, um sich für verschiedene Dienste auf dem Zielsystem anzumelden. Dabei können die Ergebnisse durch die Rechte der verwendeten Benutzer unter Umständen eingeschränkt sein. Dabei ist der Scan Minimal-Invasiv. Das bedeutet, dass der GSM ausschließlich den Gefährdungszustand ermittelt und keine Änderung am Ziel-System durchführt. Jedoch ist die Anmeldung durch den GSM in den Protokollen des Zielsystems feststellbar. Die Zugangsdaten können für verschiedenste Dienste von dem GSM benutzt werden. Besonders wichtig sind jedoch SMB Hiermit kann der GSM auf Windows-Systemen den Patch-Level prüfen und lokal installierte Software wie den Adobe Acrobat Reader oder die Java Suite prüfen Authentifizierter Scan 67

74 Abb. 6.24: Detaillierte Informationen über die Schwachstelle und Lösungsmöglichkeiten. SSH Dieser Zugang wird für Prüfungen des Patch-Level bei UNIX und Linux-Systemen verwendet. ESXi Dieser Zugang wird für lokale Prüfungen auf VMWare ESXi Servern verwendet. Der Umfang und Erfolg der Prüfroutinen für authentifizierte Scans ist stark von den Berechtigungen des verwendeten Zugangskontos abhängig. Dabei bestehen besonders bei Windows-Systemen mit unprivilegierten Benutzern große Einschränkungen. Um die Zugangsdaten anzulegen, rufen Sie im Menü den Unterpunkt Credentials auf. Hier geben Sie dann die folgenden Informationen ein: Name Dies ist ein beliebiger Name für die Credentials. Login Dies ist der Anmeldename, mittels dessen sich die GSM an dem zu scannenden System anmeldet. Comment Die ist ein frei wählbarer Kommentar. Autogenerate Credentials Hiermit erzeugt die GSM Appliance selbst ein zufälliges Kennwort. Password Hier können Sie ein Kennwort eingeben. Key Pair Wenn die Anmeldung per SSH erfolgt, können Sie hier einen privaten Schlüssel hochladen. Zusätzlich kann die optionale Passphrase des privaten angegeben werden. 68 Kapitel 6. Scanning

75 Abb. 6.25: Bei den Credentials können auch SSH-Schlüssel genutzt werden Voraussetzungen auf Zielsystemen mit Windows Allgemeine Konfigurationshinweise Der Remote Registry Dienst muss gestartet sein, damit auf die Registry zugegri en werden kann. Bei allein stehenden Systemen muß der folgender Registry Wert gesetzt werden: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\DWORD:LocalAccountTokenFilterP Auf Systemen mit Domänencontroller muss das verwendete Benutzerkonto ein Mitglied der Gruppe Domain Administrators sein um bestmögliche Ergebnisse zu erzielen. Aufgrund des Rechtekonzepts ist es mit Lokalen Admistratoren oder auch über die Domäne zugewiesenen Administratoren nicht möglich, alle Schwachstellen zu erkennen. Alternativ können Sie den weiter unten stehenden Weg Konfigurieren eines Domänenkontos für authentifizierte Scans gehen. Sollten Sie dennoch einen reinen Lokalen Administrator nehmen - was wir ausdrücklich nicht empfehlen - ist es zwingend notwendig, dass auch hier der folgender Registry Wert gesetzt wird: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\DWORD:LocalAccountTokenFilterP Generiertes Installationspaket für Credentials: Der Installer stellt den Remote Registry Dienst auf Autostart. Wird der Installer auf einem Domänencontroller ausgeführt, so wird das Nutzerkonto der Gruppe Domänen-Administratoren (SID S ) zugeordnet. Es muss eine Ausnahmeregel für die IP des GSM in der Windows-Firewall eingerichtet werden. Bei XP-Systemen muss zusätzlich File and Printer Sharing auf enabled gesetzt werden. Generiertes Installationspaket für Credentials: Der Installer bietet während der Installation einen Dialog zur Eingabe der IP des GSM. Wird die Eingabe bestätigt, so wird die Firewall-Regel eingerichtet. Bei XP-Systemen wird der File and Printer Sharing Dienst aktiviert. Konfigurieren eines Domänenkontos für authentifizierte Scans Um ein Domänenkonto für hostbasierte Remote-Audits auf einem Windows Ziel zu nutzen, muss dieses unter dem Betriebssystem Windows XP Professional, Windows Vista, Windows 2003, Windows 2008, Windows 2012 Windows 7, Windows 8 oder Windows 8.1 ausgeführt werden und außerdem Teil einer Domäne sein. Unter Berücksichtigung der Sicherheit sollten acht Schritte zur Einrichtung dieses Scans umgesetzt werden Authentifizierter Scan 69

76 Schritt 1: Einrichten einer Sicherheitsgruppe Richten Sie als erstes eine Sicherheitsgruppe mit dem Namen Greenbone Local Scan ein: Melden Sie sich dazu an einem Domänencontroller an und ö nen Sie Active DirectoryBenutzer und Computer. Nun erstellen Sie die Sicherheitsgruppe im Menü. Dazu wählen Sie Aktion > Neu > Gruppe aus. Nennen Sie die Greenbone Local Scan. Wichtig dabei ist, dass als Bereich Global und als Typ Sicherheit festgelegt ist. Fügen Sie der Gruppe Greenbone Local Scan jenes Konto hinzu, das Sie zur Ausführung von lokalen, authentifizierten Scans mit der Greenbone Aplliance unter Windows verwenden wollen. Schritt 2: Einrichten der Gruppenrichtlinie Nun müssen Sie eine Gruppenrichtlinie mit dem Name Greenbone Local SecRights einrichten. Ö nen Sie dazu die GruppenrichtlinienVerwaltungskonsole. Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekte und wählen Sie Neu aus. Geben Sie als Namen der Richtlinie Greenbone Local SecRights ein. Abb. 6.26: Neues Windows Gruppenrichtlinienobjekt für Greenbone Scans. Schritt 3: Konfiguration der Richtlinie Hier fügen Sie der Richtlinie Greenbone Local SecRights die Gruppe Greenbone Local Scan hinzu und legen sie in den Gruppen Lokale Administratoren ab. Beachten Sie bitte, dass diese Einstellung nach entfernen der GPO weiterhin besteht (Tattooing GPO). Klicken Sie auf die Richtlinie Greenbone Local SecRights und wählen Sie anschließend Edit aus. Ö nen Sie: 70 Kapitel 6. Scanning

77 Computer Configuration\Policies\Windows Settings\Security Settings\Restricted Groups Klicken Sie im linken Bereich mit der rechten Maustaste auf Eingeschränkte Gruppen und wählen Sie Add Group aus. Wählen Sie nun Browse``im Dialogfeld ``Gruppe hinzufügen aus, geben Sie Greenbone Local Scan ein, klicken Sie anschließend auf Namen überprüfen. Abb. 6.27: Windows Gruppen-Namen überprüfen. Klicken Sie nun 2 mal auf OK, um das geö nete Dialogfeld wieder zu schließen. Klicken Sie unter Diese Gruppe ist Mitglied von: auf Add. Fügen Sie die Gruppe Administratoren hinzu. Sollten Sie auch englisch-sprachige Systeme haben, fügen Sie bitte auch noch Administrators hinzu. Bei anders-sprachigen Systemen, gehen Sie bitte den entsprechenden Namen für die Lokale Administratorgruppe ein. Abb. 6.28: Gruppen-Mitgliedschaft hinzufügen. Klicken Sie zwei mal auf OK Authentifizierter Scan 71

78 Abb. 6.29: Eine weitere Gruppen-Mitgliedschaft hinzufügen. Schritt 4: Konfiguration der Richtlinie, um der Gruppe Greenbone Local Scan das lokale anmelden am System zu verweigern Hier fügen Sie der Richtlinie Greenbone Local SecRights die Gruppe Greenbone Local Scan hinzu und verweigern Sie das lokale Anmelden der Bruppenmitglieder. Klicken Sie auf die Richtlinie Greenbone Local SecRights und wählen Sie anschließend Bearbeiten aus. Ö nen Sie: Computer Configuration\Policies\Windows Settings\Security Settigns\Local Policies\User Rights Doppelklicken Sie im rechten Bereich auf Lokal anmelden verweigern. Setzen Sie den Haken bei Diese Richtlinieneinstellung definieren: Klicken Sie auf Benutzer oder Gruppe hinzufügen Wählen Sie nun Durchsuchen im Dialogfeld aus, geben Sie Greenbone Local Scan ein, klicken Sie anschließend auf Namen überprüfen. Klicken Sie nun 2 mal auf OK, um das geö nete Dialogfeld wieder zu schließen. Klicken Sie auf OK. Schritt 5: Konfiguration der Richtlinie, um der Gruppe Greenbone Local Scan das Anmelden per Remotedesktopdienst am System zu verweigern Hier fügen Sie der Richtlinie Greenbone Local SecRights die Gruppe Greenbone Local Scan hinzu und verweigern Sie der Gruppenmitgliedern das Anmelden via RDP. Klicken Sie auf die Richtlinie Greenbone Local SecRights und wählen Sie anschließend Bearbeiten aus. Ö nen Sie: Computer Configuration\Polices\Windows Settings\Security Settings\Local Policies\User Rights 72 Kapitel 6. Scanning

79 Abb. 6.30: Richtlinie für lokales Anmelden bearbeiten. Doppelklicken Sie im rechten Bereich auf Anmelden über Remotedesktopdienst verweigern. Setzen Sie den Haken bei Diese Richtlinieneinstellung definieren: Klicken Sie auf Benutzer oder Gruppe hinzufügen Wählen Sie nun Durchsuchen im Dialogfeld aus, geben Sie Greenbone Local Scan ein, klicken Sie anschließend auf Namen überprüfen. Klicken Sie nun 2 mal auf OK, um das geö nete Dialogfeld wieder zu schließen. Klicken Sie auf OK. Step 6 (optional): Konfigurieren Sie die Richtlinie so, dass nur Lesezugri auf das lokale Laufwerk durch die Gruppe Greenbone Local Scan erfolgen kann. Schränken Sie in der Richtlinie Greenbone Local SecRights für die Gruppe Greenbone Local Scan die Rechte für das Systemlaufwerk ein. Beachten Sie bitte, dass diese Einstellung nach entfernen der GPO weiterhin besteht (Tattooing GPO) Klicken Sie auf die Richtlinie Greenbone Local SecRights und wählen Sie anschließend Bearbeiten aus. Ö nen Sie: Computer Configuration\Polices\Windows Settings\Security Settings\File Systems Klicken Sie im linken Bereich mit der rechten Maustaste auf Dateisystem und wählen Sie Datei Hinzufügen... aus. Tragen Sie im Feld Ordner: %SystemDrive% ein und klicken Sie OK. Klicken Sie auf Hinzufügen unter dem Feld Gruppen oder Benutzernamen. Geben Sie Greenbone Local Scan im sich ö nenden Dialog ein und klicken Sie auf OK Authentifizierter Scan 73

80 Abb. 6.31: Richtlinie für lokales Anmelden bearbeiten. Abb. 6.32: Eingabe des Ordners %SystemDrive%. Wählen Sie nun den Benutzer Greenbone Local Scan aus. Deaktivieren Sie alle Haken unter Zulassen und aktivieren Sie den Haken unter Verweigern > Schreiben. Klicken Sie anschließend auf OK und bestätigen Sie die Warnmeldung mit Ja. Wählen Sie nun Datei oder Ordner konfigurieren und anschließend und vererbbare Berechtigungen an alle Unterordner und Dateien verteilen aus und klicken Sie anschließend auf OK. Schritt 7 (Optional): Konfiguration der Richtlinie, um der Gruppe Greenbone Local Scan nur Leserechte in der Registry zu geben. Beschränken des Zugri s auf das Systemlaufwerk in der Greenbone Local SecRights Richtlinie für die Gruppe Greenbone Local Scan. Hier schränken Sie in der Richtlinie Greenbone Local SecRights für die Gruppe Greenbone Local Scan die Rechte teilweise in der Registry ein. Eine komplette Einschränkung ist auf diesem Wege nur schwer und mit sehr viel Aufwand möglich. Sie können ggf. für Sie kritische Zweige zusätzlich absichern, indem Sie die Zweige manuell hinzufügen. Beachten Sie bitte, dass diese Einstellung nach entfernen der GPO weiterhin besteht (Tattooing GPO). Klicken Sie im linken Bereich mit der rechten Maustaste auf Registrierung und wählen Sie 74 Kapitel 6. Scanning

81 Abb. 6.33: Wählen Sie nun die Gruppe Greenbone Local Scan aus. Abb. 6.34: Schreibzugri auf die Gruppe verweigern. Schlüssel Hinzufügen... aus. Wählen Sie Users aus und klicken Sie OK. Klicken Sie auf Erweitert und anschließend auf Hinzufügen. Geben Sie Greenbone Local Scan im sich ö nenden Dialog ein und klicken Sie auf OK. Im nun folgenden Dialog wählen Sie für Übernehmen für Dieses Objekt und untergeordnete Objekte aus. Unter Berechtigungen wählen Sie Verweigern für Wert festlegen, Unterschlüssel erstellen, Link erstellen, Löschen, Berechtigung ändern und Besitz übernehmen aus. Bitte nichts unter Zulassen auswählen! Klicken Sie anschließend zwei mal auf OK und bestätigen Sie die Warnmeldung mit Ja. Klicken Sie nochmals auf OK. Wählen Sie nun Diesen Schlüssel konfigurieren und Vererbbare Berechtigungen an alle Unterschlüssel verteilen aus und klicken Sie anschließend auf OK Authentifizierter Scan 75

82 Abb. 6.35: Die Zugri sberechtigungen rekursiv einstellen. Führen Sie oben genannte Punkte bitte auch noch einmal für MACHINE und CLASS-ES_ROOT aus indem Sie im linken Bereich mit der rechten Maustaste auf Registrierung klicken und Schlüssel Hinzufügen... auswählen. Schritt 8 (Optional): Verknüpfen des Gruppenrichtlinienobjektes Klicken Sie in der Gruppenrichtlinien Verwaltungskonsole mit der rechten Maustaste auf Ihre Domäne oder eine Organisationseinheit und wählen Sie Vorhandenes Gruppenrichtlinienobjekt verknüpfen aus. Wählen Sie nun das Gruppenrichtlinienobjekt Greenbone Local SecRights aus. Einschränkungen Bedingt dadurch, dass die Schreibrechte auf die Registry und das Systemlaufwerk entzogen wurden, werden die zwei folgenden Tests nicht mehr funktionieren: Leave information on scanned Windows hosts OID Dieser Test legt - wenn gewünscht - unter HKLMSOFTWAREVulScanInfo Informationen zum Start und Ende des Scans an. Dies ist durch das verwehren des Schreibzugri s auf HKLM nun nicht mehr möglich. Wenn Sie dies weiterhin wünschen, müssten Sie hier die GPO entsprechend anpassen. Windows file Checksums OID Der Test legt beim Aufruf - wenn gewünscht - das Tool ReHash unter C:Windowssystem32 (für 32-Bit Systeme) oder C:WindowsSysWOW64 (für 64-Bit Systeme) an. Dies ist durch das verwehren des Schreibzugri s nun nicht mehr möglich. Sie müssten das Tool also entweder selber dort anlegen oder aber die GPO entsprechend anpassen. Nähere Informationen finden Sie hier: Scannen ohne Domainadmin und lokale Adminrechte Es ist theoretisch auch möglich eine GPO zu bauen, bei der ein User auch keine lokalen Adminrechte hat. Aber der Aufwand um jeden einzelne Registry Zweig und auch Verzeichnis mit den entsprechenden Leserechten zu versehen, ist enorm. Denn leider ist die Vererbung von Rechten bei sehr vielen Verzeichnissen oder Zweigen deaktiviert. Des weiteren können diese Änderungen zwar per GPO gesetzt, aber nicht mehr zurück genommen werden (Tattooing GPO). Außerdem würden dabei evtl. spezielle Berechtigungen überschrieben werden, so das es zu weiteren Problemen kommen könnte. Es macht also vom technischen und administrativen Aufwand her wenig Sinn, diesen Weg zu gehen. 76 Kapitel 6. Scanning

83 Abb. 6.36: Richtlinie für Leserecht auf Systemlaufwerk Konfigurieren eines Domänenkontos für authentifizierte Scans Für einen authentifizierten Scan auf Linux oder Unix Systemen ist in der Regel ein einfacher Benutzerzugang ausreichend. Der Login erfolgt dabei über SSH. Die Authentifizierung erfolgt entweder über im GSM hinterlegte Passwörter oder über einen SSH-Schlüssel. Generiertes Installationspaket für Credentials: Das Installationspaket für Linux Debian oder Linux RedHat ist ein.deb beziehungsweise ein.rpm, mit dem ein neuer Benutzer ohne spezielle Rechte angelegt wird. Im Verzeichnis dieses Benutzers wird ein auf dem GSM erzeugter SSH-Schlüssel abgelegt. Für Benutzer anderer Linux Distributionen und UNIX Derivate wird der Schlüssel zum Download angeboten. Das Anlegen des Nutzers und das Ablegen des Schlüssels mit den richtigen Dateirechten ist dann Aufgabe des Anwenders. In beiden Fällen ist darauf zu achten, dass Public Key Authentifizierung in der Konfiguration des SSH Daemons nicht verboten ist. Die Zeile PubkeyAuthentication no darf nicht vorhanden sein. Es können auch bereits bestehende SSH-Schlüssel verwendet werden, die optional durch eine Passphrase geschützt sein können. Es wird empfohlen, die Formate RSA und DSA zu verwenden, wie sie von dem Befehl ssh-keygen erstellt werden. Für Scans, die auch Policyprüfung beinhalten, kann auch eine Rootberechtigung oder die Mitgliedschaft in bestimmten Gruppen (oftmals wheel) nötig sein. Viele Konfigurationsdateien sind aus Sicherheitsgründen nur für Superuser oder Mitglieder einer bestimmten Gruppe lesbar Autogenerate Credentials Um die Installation und Bereitstellung eines Kontos für den authentifizierten Scan zu erleichtern, bietet die Funktion Autogenerate Credential des GSM ein Installationspaket für das jeweilige Zielsystem Authentifizierter Scan 77

84 Abb. 6.37: Auswählen des Registry Schlüssels USERS. Abb. 6.38: Wählen Sie nun die Gruppe Greenbone Local Scan aus. Dieses Paket erzeugt den Benutzer mit den wichtigsten Berechtigungen für den authentifizierten Scan und setzt sie bei De-Installation wieder zurück. Das Installationspaket wird zur Verfügung gestellt für : Debian-basierte Systeme RPM-basierte Systeme Windows Public Key 6.4 Geplanter Scan Haben Sie Ihre Tasks eingerichtet, so ist der manuelle Aufruf nur noch lästig. Daher bietet der GSM die Möglichkeit verschiedenste Aufgaben zu automatisieren. Dies erledigen Sie mit den Schedules. Diese finden Sie in dem Menü Configuration. Direkt nach dem Start ist noch kein Schedule voreingestellt. Sie müssen den ersten Schedule selbst erzeugen. Hierzu verwenden Sie den Button. Als Schedule bezeichnet der Greenbone Security Manager automatische Scans zu einer bestimmten Zeit. Diese können einmalig oder wiederholend ausgeführt werden. Die Wiederholungen sind dabei sehr fein einstellbar: stündlich 78 Kapitel 6. Scanning

85 Abb. 6.39: Bearbeitung der Registry verbieten. Abb. 6.40: Rekursives Propagieren der neuen Einstellungen. täglich wöchentlich monatlich Besonders wichtig bei einem Schedule ist die Zeitzone. Diese kann über ein Drop-Down-Menü ausgewählt werden. Für Deutschland wählen Sie wahrscheinlich Europe/Berlin. Schließlich können Sie auch die maximale Dauer des Scans beschränken. Dauert der Scan länger, so wird er abgebrochen. Damit können Sie sicherstellen, dass der Scan immer innerhalb eines bestimmten Zeitfensters durchgeführt wird. Nun können Sie den Schedule definieren und die folgenden Daten eingeben: Name NameDies ist ein beschreibender Name. Sinnvoll ist hier eine Angabe wie taeglich 17:15 oder Jeder 2. monatlich 4:15. Comment Hier geben Sie wieder einen Kommentar ein. First Time Hier geben Sie den Zeitpunkt der ersten Ausführung ein. Period Dies ist der Abstand zwischen zwei Ausführungen. Hier können Sie wählen zwischen stündlich, täglich, wöchentlich und monatlich. Wenn Sie die Period freilassen, handelt es sich um eine 6.4. Geplanter Scan 79

86 Abb. 6.41: Richtlinie verknüpfen. Abb. 6.42: Schedules erlauben zeitgesteuerte Scans. einmalige Ausführung. Timezone Hier können Sie die Zeitzone anpassen. Standard ist UTC. Duration DurationDies ist die maximale Dauer, die der Task für seine Ausführung benötigen darf. Bei Ablauf dieser Zeit wird der Task abgebrochen. 6.5 Notizen Notizen (Notes) erlauben Ihnen Kommentare an einen Network Vulnerability Test (NVT) zu knüpfen. Diese werden dann auch in den Berichten angezeigt. Dabei kann eine Note an ein bestimmtes Ergebnis, einen bestimmten Task, eine Bedrohungsstufe, Port oder Host gebunden sein, so dass diese Note nur in bestimmten Berichten auftritt. Die Note kann aber genausogut generalisiert werden, so dass sie in allen Berichten angezeigt wird Notizen anlegen Um eine neue Note zu erzeugen, wählen Sie in dem Bericht die Meldung New Note aus, für die Sie eine Notiz hinzufügen wollen und klicken. Alternativ können Sie auch ohne den Bezug zu einer Meldung eine neue Notiz erzeugen. Dann kann der GSM Ihnen jedoch keine sinnvollen Werte für die verschiedenen Felder in dem folgenden Dialog vorschlagen. 80 Kapitel 6. Scanning

87 Abb. 6.43: Bei dem Anlegen eines Schedules müssen Sie mehrere Informationen angeben. Nun ö net sich eine neue Seite, in der genau die Kriterien der von Ihnen gewählten Schwachstelle bereits voreingestellt sind. Hier können Sie einzelne Werte nun an- und abwählen, um die Note zusätzlich zu generalisieren oder spezifischer einzustellen. Außerdem können Sie die Note nur für eine bestimmte Zeit aktiv schalten. Damit ist es möglich in den Berichten einen Hinweis zu hinterlegen, dass ein Sicherheitsupdate in den kommenden sieben Tagen eingespielt wird. In den nächsten sieben Tagen wird die Note in den Berichten angezeigt und so dokumentiert, dass die Schwachstelle bereits in Bearbeitung ist Notizen verwalten Die erzeugten Notes können Sie sich dann unter Scan Management und Notes anzeigen lassen. Hier können Sie auch komplett neue Notes hinzufügen. Unter anderem sehen Sie hier, ob die von Ihnen angelegten Notizen aktuell aktiv sind. Außerdem können Sie die Notizen von hieraus editieren. Um nach einer bestimmten Notiz zu suchen, können Sie den Suchfilter entsprechend nutzen. Dies erleichtert besonders bei vielen Notizen das Au nden einer bestimmten Note. Dazu können Sie den Suchfilter entsprechend aufklappen und den Text entsprechend eingeben oder diesen auch direkt oben in dem Filter-Fenster eingeben. Natürlich können Sie diese Filter auch wie in allen anderen Dialogen speichern und später wieder aufrufen. 6.6 Overrides und False Positives Sie können die Ergebnisse in den Berichten nicht nur mit Hilfe von Notizen um sinnvolle oder hilfreiche Daten ergänzen, sondern auch diese Ergebnisse in ihrem Schweregrad modifizieren. Dies wird von dem GSM als Override bezeichnet. Diese Overrides eignen sich insbesondere dazu, Meldungen, die als False Positive erkannt wurden und mit einer kritischen Severity protokolliert wurden, aber in Zukunft eine andere Severity (z.b. False Positive) erhalten sollen, zu bearbeiten. Das gleiche gilt für Meldungen, die bisher nur die Severity Log erhalten, lokal aber einen erhöhten Schweregrad erhalten sollen. Auch diese können dann mit einem Override bearbeitet werden. Die Verwendung der Overrides ist auch sinnvoll bei der Verwaltung von akzeptablen Risiken. Hier können Sie das Risiko einer Schwachstelle selbst neu einordnen und so die Risiken, die aus Ihrer Sicht nicht kritisch sind, in dem Ergebnis neu bewerten Was ist ein False Positive? Als False Positive wird eine Meldung bezeichnet, die ein Problem beschreibt, welches in Wirklichkeit nicht vorhanden ist. So finden Schwachstellen-Scanner oft Indizien, die auf ein Sicherheitsproblem 6.6. Overrides und False Positives 81

88 Abb. 6.44: Eine neue Notiz hinweisen. Eine endgültige Aussage ist jedoch nicht möglich. Hier stehen nun zwei Möglichkeiten zur Auswahl: Meldung einer potentiell nicht existenten Schwachstelle (False Positive). Unterlassung der Meldung einer potentiell existenten Schwachstelle (False Negative). Da ein Anwender False Positives aber erkennen, verwalten und damit umgehen kann und dies bei False Negatives nicht der Fall ist, meldet der GSM Schwachstellenscanner alle potentiell existenten Schwachstellen. Es ist dann Aufgabe des Anwenders diese einzuordnen. Bemerkung: Beachten Sie hierzu auch das neue Konzept der Quality of Detection (siehe Abschnitt Lesen des Reports and Network Vulnerability Tests). Besonders typisch ist dieses Problem bei Enterprise Linux Distributionen. Ist zum Beispiel der SSH- Service in der Version 4.4 installiert und meldet diese Software diese Version bei einer Verbindungsaufnahme, so schlägt ein Schwachstellenscanner, der eine Sicherheitslücke in dieser Version kennt, an. Der Distributor hat die Schwachstelle aber vielleicht bereits behoben und eine Version 4.4-p1 verö entlicht, die auch installiert wurde. Diese Version meldet nach außen aber weiterhin die Version 4.4, so dass der Schwachstellenscanner nicht unterscheiden kann. Wenn der Scan-Administrator diesen Umstand kennt, kann er mit sicherstellen, dass diese Meldungen nicht mehr angezeigt werden Erzeugen eines Override Overrides lassen sich wie die Notes unterschiedlich erzeugen. Am einfachsten erreichen Sie diese Funktion über das jeweilige Scan-Ergebnis in dem Bericht. Rechts oben bei jeder Meldung befindet 82 Kapitel 6. Scanning

89 Abb. 6.45: Die Notiz im Bericht Abb. 6.46: Die Notizen können einzeln verwaltet werden. sich das Icon. Die Overrides haben die gleichen Funktionen wie die Notes, ergänzen diese aber um die Möglichkeit die Bedrohungsstufe anzupassen: High Medium Low Log False Positive Bedrohungen mit der Stufe False Positive werden in den Berichten nicht angezeigt. Sie können aber auch speziell Berichte für Meldungen mit dieser Stufe erzeugen. Auch bei den Overrides können Sie diese zeitlich beschränken Automatische False-Positives (AutoFP) Der GSM kann auch automatisch False-Positives erkennen und diese mit einem automatischen Override versehen. Hierzu muss jedoch das Zielsystem sowohl von außen als auch von innen in einem authentifizierten Scan analysiert werden. Ein authentifizierter Scan kann Sicherheitslücken in lokal installierter Software erkennen. So können Schwachstellen identifiziert werden, die von lokalen Benutzern ausgenutzt werden können, oder die 6.6. Overrides und False Positives 83

90 Abb. 6.47: Die Notizen können mit einer Suche eingeschränkt werden. einem Angreifer zur Verfügung stehen, falls er sich bereits lokalen Zugri als zum Beispiel unprivilegierter Benutzer verscha t hat. In vielen Fällen erfolgt ein Angri in mehreren Stufen und der Angreifer nutzt mehrere Sicherheitslücken aus, um seine Privilegien zu erweitern. Der authentifizierte Scan bietet aber auch noch eine zweite mächtige Funktion, die seine Durchführung rechtfertigt. In vielen Fällen kann durch den Scan des Systems von außen nicht einwandfrei erkannt werden, ob eine Schwachstelle tatsächlich existent ist. Der Greenbone Security Manager meldet im Zweifelsfall aber jede potentielle Schwachstelle. Durch den authentifizierten Scan können viele dieser potentiellen Schwachstellen als falsch-positive Meldungen erkannt und gefiltert werden. Besonders typisch ist dieses Problem bei Enterprise Linux Distributionen. Ist zum Beispiel der SSH- Service in der Version 4.4 installiert und meldet diese Software diese Version bei einer Verbindungsaufnahme, so schlägt ein Schwachstellenscanner, der eine Sicherheitslücke in dieser Version kennt, an. Der Distributor hat die Schwachstelle aber vielleicht bereits behoben und eine Version 4.4-p1 verö entlicht, die auch installiert wurde. Diese Version meldet nach außen aber weiterhin die Version 4.4, so dass der Schwachstellenscanner nicht unterscheiden kann. Wurde ein authentifizierter Scan durchgeführt, so kann der GSM erkennen, dass die Version 4.4-p1 installiert ist, die diese Schwachstelle nicht mehr besitzt. Die automatischen False Positives werden in der Report-Filter-Funktionalität (siehe Abschnitt Powerfilter) aktiviert. Die besten Ergebnisse liefert die Funktionalität bei Nutzung des Partial CVE match. 84 Kapitel 6. Scanning

91 Abb. 6.48: Overrides erlauben die Anpassung der Bedrohungsstufe Abb. 6.49: Automatische False-Positives (AutoFP) 6.6. Overrides und False Positives 85

92 86 Kapitel 6. Scanning

93 KAPITEL 7 Berichte Der GSM speichert sämtliche Berichte aller Scans in einer lokalen Datenbank ab. Dabei wird nicht nur der letzte Bericht eines Scans, sondern die Berichte sämtlicher jemals durchgeführten Scans gespeichert. Dies erlaubt auch den Zugri auf Informationen aus der Vergangenheit. Die Reports enthalten die in dem Scan gefundenen Schwachstellen und Informationen (siehe auch Abschnitt Reports). Wurde ein Scan bereits mehrfach durchgeführt, so wird auch die Entwicklung der gefundenen Schwachstellen angezeigt. Diesen trend finden Sie jedoch nicht auf der Seite der Reports sondern unter Scan Management/Tasks. Abb. 7.1: Auf der Übersicht der Tasks finden Sie in der entsprechenden Spalte auch den Trend der gefundenen Schwachstellen bei mehrfachen Scans. Über diese Ansicht können Sie auch nur auf die Reports eines bestimmten Scans zugreifen. Hierzu nutzen Sie in der Ansicht die Spalte Reports/Total (siehe Abbildung Die Spalte Reports enthält die Anzahl der insgesamt gespeicherten Reports und das Datum des letzten Reports.). Abb. 7.2: Die Spalte Reports enthält die Anzahl der insgesamt gespeicherten Reports und das Datum des letzten Reports. 87

94 Hier finden Sie sowohl das Datum des letzten gespeicherten Reports, als auch die Anzahl der insgesamt vorhandenen Reports. Dabei gibt die erste Zahl die Anzahl der Reports aller abgeschlossenen Scans und die zweite Zahl die Anzahl der Reports einschließlich der noch nicht abgeschlossenen Scans an. Durch Anklicken einer der Zahlen erhalten Sie eine Liste der entsprechenden Reports. Durch Anklicken des Datums erhalten Sie den letzten Report. 7.1 Delta-Report Wenn Sie sich mehrere Reports eines Tasks anzeigen lassen (siehe Abbildung Nun müssen Sie den zweiten Report für den Vergleich wählen.), dann können Sie auch einen Delta-Report erstellen lassen. Hierzu nutzen Sie die Funktion Compare in der Spalte Actions. Hiermit wählen Sie den ersten Report für den Vergleich aus. Abb. 7.3: Zwei Reports des gleichen Tasks können in einem Delta-Report verglichen werden. Das entsprechende Icon ist anschließend für den gewählten Report ausgegraut. Die Compare-Icons der anderen Reports haben sich nun in ihrem Aussehen geändert. Sie verwenden nun das Icon, um den zweiten Report für den Vergleich zu wählen. Abb. 7.4: Nun müssen Sie den zweiten Report für den Vergleich wählen. Anschließend erhalten Sie den Delta-Report. Dieser kann, wie gewohnt, in unterschiedlichen Varianten angezeigt werden und auch als PDF exportiert werden. Der Report enhält auch die Informationen welche Zeitpunkte miteinander verglichen werden und wieviele Ergebnisse hinzugekommen oder weggefallen sind. 7.2 Report Plugins Report Plugins definieren die Formate mit denen aus den Scan-Resultaten ein Bericht erstellt wird. Dies reicht vom PDF-Dokument gemäß Corporate Identity bis hin zu interaktiven Berichten wie dem 88 Kapitel 7. Berichte

95 Abb. 7.5: Der Delta-Report kann auch als PDF exportiert werden. Greenbone Security Explorer. Diese Plugins können auch zur Überführung der Berichtsinformationen in weitere Datenformate genutzt werden, so dass Fremdanwendungen diese verarbeiten können (Konnektoren). Der Greenbone Support unterstützt die Erstellung weiterer Plugins. Wünsche, Anregungen und konkrete Vorlagen werden gerne entgegen genommen. Das Report Format Plugin Framework besitzt dabei die folgenden Eigenschaften: Einfacher Import/Export: Ein Report Plugin ist immer eine einzelne XML-Datei. Der Import kann einfach durchgeführt werden (siehe Abschnitt Import weiterer Report Plugins). Parametrisierbar: Plugins können mit Parametern ausgestattet sein, die dann in der grafischen Oberfläche an konkrete Bedürfnisse angepasst werden können. Content Type: Für jedes Plugin wird festgelegt welcher Art das Ergebnis ist. Verwendet werden die aus HTTP bekannten Bezeichnungen, zum Beispiel application/pdf, graphics/png oder text/plain. Je nach Content Type erscheinen die Plugins kontextbezogen in der Auswahl. So z.b. die Typen text/* für den inline Versand als . Signatur-Unterstützung: Über den Greenbone Security Feed werden Signaturen zu vertrauenswürdigen Plugins zur Verfügung gestellt. So kann man sich überzeugen, dass ein importiertes Plugin von Greenbone überprüft wurde. Die Reports können in unterschiedlichen Formaten exportiert werden. ARF: Asset Reporting Format v1.0.0 Dieses Format erzeugt einen Bericht, der dem NIST Asset Reporting Format entspricht. CPE - Common Enumeration CSV Table Dieser Report wählte alle CPE-Tabellen und erzeugt eine einzige komma-separierte Datei. CSV hosts Dieser Bericht erzeugt eine komma-separierte Datei mit den gefundenen Systemen. CSV Results Dieser Bericht erzeugt eine komma-separierte Datei mit den Ergebnissen des Scans. GSR PDF - Greenbone Security Report (recommended) Dies ist der vollständige Greenbone Security Bericht mit allen Schwachstellen in grafischer Form als PDF-Datei. Die Sprache ist Englisch. GXR PDF - Greenbone Executive Report (recommended) Dies ist eine Zusammenfassung der gefundenen Schwachstellen in grafischer Form als PDF-Datei für das Management. Die Sprache des Reports ist Englisch. HTML Dieser Bericht ist in HTML formatiert und kann daher in einem Webbrowser geö net werden. Es ist eine detaillierte Auflistung mit kompletter Beschreibung der Schwachstellen inklusive der Notizen und Overrides mit sämtlichen Referenzen und Kreuzverweisen. Es handelt sich um ein 7.2. Report Plugins 89

96 neutrales Dokument ohne weitere Hinweise auf Greenbone der den Greenbone Security Manager. Das Dokument kann auch o ine genutzt werden und verwendet als Sprache Englisch. ITG - IT-Grundschutz-Kataloge Dieser Bericht orientiert sich am BSI IT-Grundschutz Katalog. Es stellt eine tabellarische Übersicht der gefundenen Ergebnisse in CSV-Format und deutscher Sprache zur Verfügung. LaTeX Dieser Bericht wird als LaTeXQuelltext zur Verfügung gestellt. Die Sprache ist Englisch. NBE Dies ist das alte OpenVAS/Nessus Report Format. Daher bietet es keine Unterstützung für Notizen, Overrides und einige weitere Informationen. PDF Dies ist ein kompletter Bericht in PDF. Wie das HTML-Format ist es neutral gehalten. Die Sprache ist Englisch. Topology SVG Dies stellt die Ergebnisse in einem SVG-Bild dar. TXT ies erzeugt eine Text-Datei. Dieses Format eignet sich besonders für den Versand in einer . Die Sprache ist Englisch. Verinice ISM Erzeugt eine Import-Datei für das ISMS-Tool verinice. XML Hiermit wird der Bericht in dem nativen GSM XML-Format exportiert. Im Gegensatz zu den anderen Formaten enthält dieses Format sämtliche Ergebnisse und bereitet diese nicht besonders auf. Abb. 7.6: Greenbone liefert eine Reihe Report-Plugins direkt mit. Die Report-Plugins definieren das Format der exportierten Berichte. Dabei reduzieren viele Report- Plugins die verfügbaren Daten, um diese sinnvoll darzustellen. Das native GSM-XML-Format enthält jedoch sämtliche Daten und kann genutzt werden, um exportierte Berichte auf einem anderen GSM zu importieren. Hierzu nutzen Sie einen Container Task (siehe auch Abschnitt Container Task). Die Übersicht (siehe Abbildung Greenbone liefert eine Reihe Report-Plugins direkt mit.) zeigt Ihnen die weiteren Details der Report Plugins an. Dabei werden zu jedem Plugin in einzelnen Spalten die folgenden Informationen angezeigt: 90 Kapitel 7. Berichte

97 Extension: Der Dateiname für den heruntergeladenen Bericht über das jeweilige Plugin besteht aus der UUID (eindeutige interne ID des Berichts) und dieser Extension. Die Extension hilft unter anderem dem Browser eine passende Anwendung zu starten, falls der Content Type dafür nicht ausreicht. Content Type: Der Content-Type gibt das verwendete Format an und wird beim Download mitgesendet. So kann direkt die passende Anwendung durch den Browser gestartet werden. Darüber hinaus ist der Content Type aber auch intern von Bedeutung: Er wird benutzt um das im Kontext passende Plugin zur Auswahl anzubieten. Beispielsweise werden für die Übermittlung des Berichts via alle Plugins des Typs text/\* angeboten, da diese menschenlesbar in der eingebettet werden können. Trust: Einige Plugins bestehen lediglich aus einer Datentransformation während andere einige komplexere Operationen ausführen und dabei auch Hilfsprogramme verwenden. Um einen Mißbrauch zu vermeiden, sind die Plugins digital signiert. Ist die Signatur authentisch und vertrauen Sie dem Aussteller, so ist sichergestellt, dass Sie das Plugin in genau der vom Aussteller zertifizierten Form vorliegen haben. Die Prüfung erfolgt nicht automatisch, sondern manuell über das Verify-Icon. Das Datum dieser Prüfung wird automatisch gespeichert. Diese Funktion sollte unbedingt für neu importierte Plugins angewendet werden, bevor sie aktiviert werden. Für die mitgelieferten Werks-Plugins ist dies nicht erforderlich. Active: Die Plugins stehen nur dann in den jeweiligen Auswahllisten zur Verfügung, wenn sie aktiviert wurden. Neu importierte Plugins sind zunächst immer deaktiviert. Abb. 7.7: Neue Report Format Plugins können einfach importiert werden Import weiterer Report Plugins Weitere Report Plugins lassen sich einfach importieren. Greenbone stellt auf der Seite die folgenden zusätzlichen Report- Format-Plugins zur Verfügung: Sourcefire Host Input Import (siehe auch Abschnitt Sourcefire Defence Center) OVAL System Characteristics OVAL System Characteristics Archive Auf werden zwei weitere Report Plugins für die Verinice Integration (siehe Abschnitt Verinice) angeboten. Um ein neues Report-Plugin zu importieren, müssen Sie zunächst die entsprechende XML-Datei von Greenbone herunterladen. Anschließend wechseln Sie auf Configuration/Report Formats. Dort wählen Sie das Icon um ein neues Format hinzuzufügen. Abb. 7.8: Importierte Formate sollten vor der Aktivierung überprüft werden Report Plugins 91

98 Abb. 7.9: Neue Formate können einfach aktiviert werden. Wählen Sie die entsprechende Datei und importieren Sie dann das Format. Nach dem Import ist das neue Plugin zunächst nicht aktiv. Report-Plugins können durch den Herausgeber signiert werden. Diese Signatur sollte vor der Aktivierung verifiziert werden. Diese Prüfung wird bei dem Import bereits automatisch durchgeführt. Das Ergebnis mit dem Datum der Prüfung wird in der Spalte Trust angezeigt. Ist das Report-Plugin vertrauenswürdig, so kann es anschließend aktiviert werden. Hierzu editieren Sie das Report Plugin über das Edit-Icon in der Actions-Spalte. 92 Kapitel 7. Berichte

99 KAPITEL 8 Alerts Mit Hilfe der Alerts können Sie die Zustände und Ergebnisse eines Scans automatisch an weitere Systeme übermitteln lassen. Die Alerts verankern sich dann so in dem System, dass bei jedem konfigurieren Ereignis, z.b. dem Start oder dem Ende eines Tasks, eine bestimmte Aktion ausgelöst wird. Dies kann zusätzlich noch an eine Bedingung geknüpft werden. Dabei kann es sich zum Beispiel um das Au nden einer Schwachstelle mit der Bedrohungsstufe größer 9 handeln. Ist dies erfüllt, kann eine oder auch ein SNMP-Trap ausgelöst werden. Um einen neuen Alert zu erzeugen, wechseln Sie auf Configuration/Alerts. Fügen Sie nun einen neuen Alert hinzu. Abb. 8.1: Alerts bietet vielfältige Benachrichtigungsoptionen. Nun können Sie die folgenden Parameter definieren: Name: Dies ist ein frei wählbarer Name, der die Benachrichtigung beschreibt. Comment: Der optionale Kommentar kann weitere Informationen enthalten. Event: Hier definieren Sie das Ereignis, zu dem eine Benachrichtigung versandt wird. Dies kann zum Beispiel bei einer Statusänderung eines Tasks erfolgen. Condition: Hier können Sie eine zusätzliche Bedingung definieren, die für den Versand erfüllt sein muss. Die Benachrichtigung kann erfolgen: Immer, Nur wenn mindestens eine bestimmte Bedrohungstufe erreicht wird oder 93

100 wenn die Bedrohungsstufe sich ändert, größer oder kleiner wird. Abb. 8.2: Alerts müssen bei dem entsprechenden Task aktiviert werden. Method: Hier wählen Sie die Methode für die Benachrichtigung aus. Nur eine Methode kann je Alert verwendet werden. Wenn Sie unterschiedliche Benachrichtigungen für dasselbe Ereignis auslösen möchten, müssen Sie mehrere Alerts erzeugen und diese mit dem gleichen Task verknüpfen. Dies ist die mächtigste und am häufigsten eingesetzte Methode. Um diese Methode zu verwenden, müssen Sie zuvor den zu verwendenen Mailserver auf der GSM- Kommandozeile definiert haben (siehe Abschnitt Mail-Server). Dann können Sie hier zwischen den folgenden Optionen wählen: To Address: Dies ist die -Adresse, an die die gesandt wird. From Address: Dies ist die Absenderadresse der generierten . Content: Hier können Sie den Inhalt der bestimmen: Simple Notice: Dies ist lediglich eine einfache Beschreibung des Ereignisses. Include Report: Wenn Sie als Ereignis die Fertigstellung des Task (Default: Done) auswählen, können Sie den Bericht in der einfügen. Hier können Sie aber nur Berichtsformate wählen, die den Content-Type text/* verwenden, da eine direkt keine binären Inhalte unterstützt. Attach Report: Wenn Sie als Ereignis die Fertigstellung des Task (Default: Done) auswählen, können Sie den Bericht an die anhängen. Hier können Sie beliebige Berichtsformate wählen. Der Bericht wird mit seinem korrekten Mime-Type an die generierte angehängt. Auch PDF ist möglich. System Logger Diese Methode erlaubt die Übermittlung des Ereignisses automatisch an einen Syslog-Daemon oder via einer SNMP-Trap. Der Syslog-Server und auch der SNMP-Trap Dienst werden hierzu auf der Kommandozeile definiert (siehe Abschnitt Zentraler Protokollserver und SNMP). HTTP Get Mit der HTTP Get Methode können Sie zum Beispiel automatisch SMS versenden oder Nachrichten an ein Trouble-Ticket-System übermitteln. Hierbei können Sie die folgenden Variablen bei der Angabe der URL verwenden: $n: Name des Tasks $e: Beschreibung des Ereignisses (Start, Stop, Done) $c: Beschreibung der Bedingung, die eingetreten ist. $$: Das Zeichen $ Sourcefire Connector Hiermit können Sie automatisch die Daten an ein Sourcefire Defense Center übertragen. Weitere Informationen finden Sie in Sourcefire Defence Center.:ref:sourcefire. verinice.pro Connector Hiermit können Sie automatisch die Daten an eine verinice.pro Installation übertragen. Weitere Informationen finden Sie in Verinice. 94 Kapitel 8. Alerts

101 Abb. 8.3: Bei den Alerts kann die Verwendung in den verschiedenen Tasks nachvollzogen werden. Report Result Filter Schließlich können Sie die Ergebnisse auch noch durch einen zusätzlichen Filter einschränken. Hierzu müssen Sie den Filter vorher erzeugt und gespeichert haben (siehe Kapitel Powerfilter). Damit dieser Alert anschließend genutzt wird, muss er bei den entsprechenden Task-Definitionen hinterlegt (siehe Abbildung Alerts müssen bei dem entsprechenden Task aktiviert werden.) werden. Hierzu editieren Sie den entsprechenden Task. Diese Änderung des Tasks ist auch für bereits definierte und verwendete Tasks erlaubt, da diese keine Auswirkung auf die bereits erzeugten Berichte hat. Anschließend wird bei den entsprechenden Alerts auch ihre Verwendung (siehe Abbildung Bei den Alerts kann die Verwendung in den verschiedenen Tasks nachvollzogen werden.) angezeigt. 95

102 96 Kapitel 8. Alerts

103 KAPITEL 9 GUI-Konzepte Dieses Kapitel beschreibt immer wiederkehrende Konzepte in der Benutzung der Weboberfläche des Greenbone Security Managers. Hierzu gehören einheitliche Icons, die Powerfilter, Tags und die Grafiken im Secinfo Dashboard. 9.1 Icons Die Weboberfläche verwendet immer wiederkehrende Icons für die Auslösung identischer Aktionen. Der Bezug dieser Icons ergibt sich dann jeweils aus dem Kontext der aktuellen Ansicht. Hiermit zeigen Sie eine kontextsensitive Hilfe an. Hiermit zeigen Sie eine Liste der aktuellen Objekte an. Hiermit erzeugen Sie ein neues Objekt. Dies kann ein Benutzer, ein Ziel, eine Aufgabe, eine Berechtigung oder ein Filter sein. Hiermit wird ein Objekt in den Mülleimer verschoben. Hiermit können Sie ein Objekt editieren. Hiermit kopieren Sie einen Task. Hiermit exportieren Sie einen Task als GSM Objekt. Dieses Objekt können Sie auf einem anderen GSM wieder importieren. Hiermit aktualisieren Sie die Seite. Hiermit klappen Sie zusätzliche Informationen, z.b. den Powerfilter, in der Darstellung aus und ein. Hiermit löschen Sie ein Objekt unwideruflich. Hiermit springen Sie zum nächsten Objekt (Seite) in einer Darstellung. Hiermit springen Sie zum letzten Objekt (Seite) in einer Darstellung. Dieses Icon weist darauf hin, dass weitere Benutzer auf das Objekt zugreifen dürfen. Einzelne Icons können nur in einem bestimmten Kontext aufgerufen werden. Dies tri t auf die folgenden Icons zu: Hiermit starten Sie einen aktuell nicht laufenden Task. Hiermit stoppen Sie einen aktuell laufenden Task. Alle gewonnenen Ergebnisse werden in die Datenbank geschrieben. Hiermit können Sie einen gestoppten Task wieder aufnehmen. Dieses Icon erlaubt das An- und Abschalten der Overrides. Dieses Icon zeigt Ihnen, ob eine Lösung für die Schwachstelle bekannt ist. 97

104 Dieses Icon zeigt einen Herstellerpatch an. Dieses Icon zeigt einen Workaround an. Dieses Icon zeigt das Fehlen einer Lösung an. Dieses Icon zeigt an, dass eine Scan-Konfiguration automatisch um weitere NVTs ergänzt wird. Dieses Icon zeigt an, dass eine Scan-Konfiguration neue NVTs nicht automatisch aktiviert. 9.2 Charts Die Charts in dem SecInfo Dashboard können angepasst werden. Somit können die SecInfo-Daten auf unterschiedlichste Weise grafisch analysiert und aufbereitet werden. Dabei können die erzeugten Grafiken heruntergeladen und in weiteren Dokumenten eingebunden werden. Es stehen vier verschiedene Chart-Typen zu Auswahl: Liniendiagramm (Line) Balkendiagramm (Bar) Donutdiagramm (Donut) Blasendiagramm (Bubble) 98 Kapitel 9. GUI-Konzepte

105 Die Inhalte der Charts können über das Drop-Down-Menü am unteren Rand jedes Charts ausgewählt werden. Hierdurch ändert sich im Moment auch automatisch der Chart-Typ. Ein Download des Bildes oder eine Kopie kann durch das Kontextmenü in der linken oberen Ecke des Charts ausgewählt werden. Abb. 9.1: Das Chart-Kontextmenü erlaubt den Download eines Charts. 9.3 Powerfilter Fast jede Ansicht in der Weboberfläche bietet die Möglichkeit zur Filterung der angezeigten Informationen. Die hierzu notwendigen Eingaben können in der Filterleiste an dem oberen Rand der Weboberfläche durchgeführt werden. Abb. 9.2: Der Powerfilter bietet überall die Filterung der angezeigten Ergebnisse. Diese Filterleiste kann durch aufgeklappt werden. Dann werden kontextsensitiv mehrere Parameter angezeigt, die zu dem Powerfilter zusammengebaut werden. Diese können von Ihnen aber auch direkt in der Filterleiste editiert werden. Dabei ist der Powerfilter wieder kontextsensitiv. Sollen NVTs oder Ziele gefilter werden, bietet er entsprechend mehr oder weniger Optionen nach dem Aufklappen an: Bemerkung: Der Powerfilter unterscheidet grundsätzlich keine Groß- und Kleinschreibung Komponenten Die in dem Powerfilter möglichen Komponenten hängen von seinem Kontext ab. Grundsätzlich ist die Angabe der folgenden Parameter immer möglich: rows: Hiermit geben Sie die Anzahl der anzuzeigenden Ergebnisse an. Meist ist dieser Wert rows=10. Mit der Angabe -1 werden alle Ergebnisse angezeigt. Mit der Angabe -2 wird der von Ihnen unter My Settings eingestellte Wert Rows Per Page verwendet Powerfilter 99

106 Abb. 9.3: Der Powerfilter kann aufgeklappt werden. Abb. 9.4: Die Möglichkeiten des Powerfilter sind kontextsensitiv. first: Hiermit geben Sie an, ab welcher Position Sie die Ergebnisse anzeigen möchten. Wenn eine Suche 50 Ergebnisse zurückliefert und Sie nur 10 gleichzeitig anzeigen lassen, zeigt Ihnen rows=10 first=11 die zweiten 10 Ergebnisse an. sort: Hiermit definieren Sie die Spalte, die für die Sortierung der Ergebnisse genutzt wird (sort=name). Die Ergebnisse werden aufsteigend sortiert. Der Name der Spalte kann meist von dem Namen der Tabellespalte abgeleitet werden. Sie können testweise auch die Spalte anklicken und so prüfen, wie der Spaltenname lautet. Typische Spaltennamen sind: name severity host location Dabei werden die Spaltennamen der Anzeige in Kleinbuchstaben und Leerzeichen im Namen in Unterstriche umgewandelt. Zusätzlich stehen noch ein paar weitere Felder zur Verfügung: uuid: Die UUID des Ergebnisses comment: Ein möglicher Kommentar modified: Datum und Uhrzeit der letzten Änderung created: Datum und Uhrzeit der Erzeugung 100 Kapitel 9. GUI-Konzepte

107 sort-reverse: Hiermit definieren Sie die Spalte, die für die Sortierung der Ergebnisse genutzt wird (sort-reverse=name). Die Ergebnisse werden absteigend sortiert. tag: Hiermit werden nur Ergebnisse mit einem bestimmten Tag ausgewählt (siehe auch Abschnitt Tags). Dabei können Sie fest auf einen bestimmten Tag mit Wert filtern (tag= server:mail ) oder auch nur nach dem Tag suchen (tag= server ). Reguläre Ausdrücke sind ebenfalls möglich. Bemerkung: Durch die Filterung mit Hilfe der Tags können Sie Ihre ganz eigenen Kategorien erzeugen und in den Filtern verwenden. Dies erlaubt vielfältige und sehr feingranuläre Filterfunktionen! Bei der Angabe dieser Komponenten können Sie mehrere Operatoren nutzen: = gleich z.b. rows=10 enthält z.b. nameadmin < kleiner als z.b. created<-1w Älter als eine Woche > größer als z.b. created>-1w Jünger als eine Woche : RegEx z.b. name:admin$ Hier gibt es dann noch ein paar Besonderheiten. Wenn sie nach dem Gleichheitszeichen den Wert weglassen, werden alle Ergebnisse angezeigt bei denen dieser Wert nicht gesetzt ist: comment= liefert alle Ergebnisse ohne einen Kommentar. Wenn Sie die Spalte, die Sie prüfen möchten weglassen, werden alle Spalten geprüft: = Dies prüft, ob in mindestens einer der Spalten diese Zeichenfolge enthalten ist. Dabei werden die Angaben üblicherweise or-verknüpft. Dies können Sie mit dem Schlüsselwort or auch spezifisch angeben. Um eine Und-Verknüpfung zu erreichen, müssen Sie aber das Schlüsselwort and angeben. Mit not können Sie den Filter negieren. Datumsangaben Datumsangaben im Powerfilter können sowohl absolut als auch relativ angegeben werden. Eine absolute Datumsangabe hat das folgende Format: T13h50 Dabei kann die Uhrzeit weggelassen werden: Dann wird als Uhrzeit automatisch 0:00 Uhr angenommen. Diese Datumsangabe kann dann im Suchfilter genutzt werden, z.b. created> Relative Zeitangaben werden immer relativ zur aktuellen Uhrzeit berechnet. Dabei werden positive Zeitangaben als Angaben in der Zukunft interpretiert. Zeitangaben in der Vergangenheit werden durch ein vorangestelltes Minus (-) definiert. Dabei können die Zeiträume durch die folgenden Buchstaben angegeben werden: s Sekunde m Minute h Stunde d Tag w Woche 9.3. Powerfilter 101

108 m Monat (30 Tage) y Jahr (365 Tage) Um Ergebnisse der letzten 5 Tage zu sehen, können Sie -5d angeben. Eine Kombination 5d1h ist nicht möglich. Diese ist entsprechend zu ersetzen 121h. Um den Zeitraum, z.b. Monat, für den Informationen angezeigt werden sollen, einzugrenzen, können Sie den folgenden Ausdruck verwenden: modified> and modified< Textphrasen Grundsätzlich können Sie zusätzlich auch Textphrasen angeben, nach denen gesucht wird. Es werden dann nur Ergebnisse angezeigt, in denen die Textphrasen gefunden werden. Werden diese Textphrasen nicht auf eine Spalte beschränkt (name=text) werden alle Spalten durchsucht. Damit werden auch Spalten durchsucht, die in der aktuellen Anzeige verborgen sind. Dabei helfen die folgenden Beispiele: overflow Dies findet alle Ergebnisse, in denen das Wort overflow vorkommt. Das tri t auf Overflow und Bufferoverflow gleichermaßen zu. Ebenso findet sowohl als auch remote exploit Dies findet alle Ergebnisse in denen remote oder exploit vorkommt. Natürlich werden auch Ergebnisse angezeigt, in denen beide Wörter vorkommen. remote and exploit Hier müssen beide Begri e in dem Ergebnis in einer beliebigen Spalte vorkommen. Dazu müssen diese Begri e nicht in derselben Spalte gefunden werden. "remote exploit" Hier wird exakt nach dieser Zeichenkette und nicht nach den einzelnen Begriffen gesucht. regexp 192\.168\.[0-9]+.1 Hiermit wird nach diesem regulären Ausdruck gesucht. Abb. 9.5: Häufig benötigte Powerfilter lassen sich speichern und wieder aufrufen Speichern und Verwalten Interessante und häufig verwendete Filter können auch gespeichert werden. Damit können sie einfach wiederverwendet werden. Um zum Beispiel die NVTs anzuzeigen, die in der letzten Woche modifiziert oder zum Feed hinzugefügt wurden, rufen Sie in der GUI SecInfo Management gefolgt NVTs von auf. Dann editieren Sie den Powerfilter so, dass er den folgenden Inhalt hat (siehe Abbildung Häufig benötigte Powerfilter lassen sich speichern und wieder aufrufen.): Created>-1w or modified>-1w sort-reverse=created rows=1 first=1 Abb. 9.6: Die Filter sind über die Drop-Down-Box abrufbar. Damit werden Ihnen alle NVTs angezeigt, die in der letzten Woche erzeugt oder modifiziert wurden. Diesen Filter können Sie nun mit einem Namen versehen. Hierzu dient das Feld rechts neben dem 102 Kapitel 9. GUI-Konzepte

109 Powerfilter. Geben Sie hier den Namen ein und betätigen Sie mit und ist über die Drop-Down-Box daneben auswählbar.. Der Filter wird nun gespeichert Um einen vorher gespeicherten Filter zu nutzen, verwenden Sie die Drop-Down-Box und betätigen anschließend Switch Filter (siehe Abbildung Die Filter sind über die Drop-Down-Box abrufbar.). Ist JavaScript aktiviert, wird der Filter sofort nach Auswahl in der Drop-Down-Box ausgelöst. Wenn Sie bestimmte Filter grundsätzlich in bestimmten Ansichten aktivieren möchten, so geht dies über Ihre Benutzereinstellungen (siehe auch Kapitel MySettings). In diesem Beispiel (Abbildung Häufig benötigte Powerfilter können auch als Default-Filter in den Benutzereinstellungen eingerichtet werden.) ist es der NVT Filter. Abb. 9.7: Häufig benötigte Powerfilter können auch als Default-Filter in den Benutzereinstellungen eingerichtet werden. Alle gespeicherten Filter können über Configuration/Filters verwaltet werden. Hier können die Filter gelöscht, editiert, geklont und für den Import auf anderen Appliances als GSM-Objekt exportiert werden. Abb. 9.8: Alle Filter können einfach verwaltet werden. Diese Filter können dann auch für die Filterung von Ereignisse bei den Alerts verwendet werden. Filter können freigegeben werden. 9.4 Tags Die Tags sind willkürliche Informationen, die von den Benutzern an jede beliebige Ressource gebunden werden können. Dabei werden die Tags am einfachsten direkt bei den Ressourcen angelegt. Sie können dann die Tags nutzen, um mit Hilfe des Powerfilters (siehe Abschnitt Powerfilter) die Objekte entsprechend zu filtern. Hiermit sind sehr mächtige und feingranuläre Filtermöglichkeiten vorhanden. Diese Tags können anschließend in Filter-Ausdrücken genutzt werden. Mit dem Filter tag=target:server muss das entsprechende Tag gesetzt sein, um erfasst zu werden. Der zugewiesene Wert des Tags ist unerheblich und darf auch leer sein. Mit tag="target:server=mail" muss exakt dieser Tag mit dem entsprechenden Wert gesetzt sein Tags 103

110 Abb. 9.9: Tags sind beliebige Zeichenketten, denen Sie einen Wert zuweisen können. 104 Kapitel 9. GUI-Konzepte

111 KAPITEL 10 Scan-Konfiguration Die GSM Appliance bringt bereits zahlreiche vorbereitete Scan-Konfigurationen mit. Diese können jedoch von Ihnen angepasst und durch eigene Konfigurationen erweitert werden. Die folgenden Konfigurationen sind bereits durch Greenbone hinterlegt: Empty Dies ist ein leeres Template. Discovery Dies ist die Standardeinstellung. Hier werden nur die NVTs verwendet, die Informationen über das Zielsystem sammeln. Es werden keine Schwachstellenprüfungen durchgeführt. Host Discovery Hier werden nur NVTs verwendet, um die verfügbaren Zielsysteme zu ermitteln. Dieser Scan gibt lediglich eine Liste der gefundenen Systeme aus. System Discovery Hier werden nur NVTs verwendet, um die verfügbaren Zielsysteme einschließlich der installierten Betriebssysteme und verwendeten Hardware zu prüfen. Full and Fast Dies ist in vielen Umgebungen zu Beginn die richtige Wahl. Diese Konfiguration stützt sich auf die zuvor im Portscan gewonnenen Informationen und verwendet fast alle Prüfroutinen. Hierbei werden aber nur diejenigen Prüfroutinen berücksichtigt, die keinen Schaden auf dem Zielsystem anrichten können. Die Prüfroutinen sind best möglich optimiert, so dass die potentielle False-Negative Rate besonders gering ist. Die anderen Varianten bieten nur in sehr seltenen Fällen einen Mehrwert bei wesentlich größerem Aufwand. Full and fast ultimate Diese Konfiguration erweitert die Full and fast Konfiguration um Prüfroutinen, die auch Dienste oder Rechner stören können oder einen Absturz herbeiführen. Full and very deep Diese Konfiguration unterscheidet sich von der Full and fast Konfiguration, so dass die Ergebnisse des Portscans keine Auswirkung auf die Auswahl der Prüfroutinen haben. Daher kommen auch Prüfroutinen zum Einsatz, die dann auf ein Timeout warten müssen. Daher ist dieser Scan sehr langsam. Full and very deep ultimate Diese Konfiguration ergänzt die Full and very deep Konfiguration um die gefährlichen Prüfroutinen, die möglicherweise Dienste oder Rechner stören können. Auch diese Konfiguration ist entsprechend langsam. Sie können die verfügbaren Scan-Konfigurationen über Configuration/Scan Configs anzeigen. Beachten Sie bitte, dass in der Default-Einstellung nur die ersten 10 Konfigurationen immer angezeigt werden. In Abbildung Die GSM bringt bereits eine Vielzahl Scan-Konfigurationen mit. können Sie erkennen, wie viele NVT-Familien und wie viele NVTs in den Konfigurationen aktiviert wurden. Zusätzlich zeigt der Trend an, ob die Scan-Konfiguration dynamisch oder statisch konfiguriert wurde. Greenbone verö entlicht regelmäßig neue Prüfungen (NVTs). Auch neue NVT families können durch den Greenbone Security Feed eingeführt werden. dynamisch Scan-Konfigurationen, die dynamisch konfiguriert wurden, nehmen neue NVT- Familien oder neue NVTs aus den entsprechend aktivierten Familien automatisch bei einem Greenbone NVT Feed Update auf und aktivieren diese. Damit ist sichergestellt, 105

112 Abb. 10.1: Die GSM bringt bereits eine Vielzahl Scan-Konfigurationen mit. dass die neuen NVTs auch tatsächlich sofort ohne Interaktion des Administrators aktiv sind. statisch Das Icon Scan-Konfigurationen, die statisch konfiguriert wurden, ändern sich bei einem NVT- Feed-Update nicht. zeigt an, ob andere Benutzer die Scan-Konfiguration sehen und benutzen dürfen. Abb. 10.2: Die Scan-Konfigurationen der Benutzer sind nur für diese sichtbar. Um eine Konfiguration freizugeben, müssen Sie dem entsprechenden Benutzer, der Rolle oder der Gruppe das Privileg get_configs zuweisen. Dann wird diese Konfiguration auch den entsprechenden Benutzern angezeigt. Abb. 10.3: Mit den entsprechenden Berechtigungen können andere Benutzer auf die Konfigurationen zugreifen. 106 Kapitel 10. Scan-Konfiguration

113 10.1 Erzeugen einer neuen Scan-Konfiguration Um eine neue Scan-Konfiguration anzulegen, rufen Sie zunächst Configuration/Scan Configs auf. Anschließend kann durch Anklicken von eine neue Scan-Konfiguration erzeugt werden. Auf dem folgenden Bildschirm haben Sie die Möglichkeit eine Scan-Konfiguration zu importieren oder eine eigene Scan-Konfiguration zu erzeugen. Greenbone stellt selbst verschiedene Scan- Konfigurationen auf seiner Webseite zur Verfügung. Außerdem können Sie Scan-Konfigurationen auf anderen GSM-Appliances exportieren, um diese dann hier zu importieren. Abb. 10.4: Eine neue Scan-Konfiguration kann selbst erzeugt oder importiert werden. Wenn Sie eine eigene Scan-Konfiguration erzeugen möchten, geben Sie ihr einen Namen und einen optionalen Kommentar und entscheiden Sie, welche Scan-Konfiguration als Template verwendet werden soll. Hier haben Sie die Auswahl zwischen: Empty, static and fast Full and fast Wenn Sie eine andere Scan-Konfiguration als Template verwenden möchten, so können Sie diese auf der Übersichtsseite klonen. Dann können Sie die Konfiguration editieren und mit einem eigenen Namen und Kommentar versehen und weiter anpassen. Auf dem nächsten Bildschirm wird Ihnen zunächst die Konfiguration angezeigt. Um diese zu editieren, verwenden Sie das entsprechende Icon mit dem Schraubenschlüssel. Abb. 10.5: Die Konfiguration bietet viele Anpassungsmöglichkeiten Erzeugen einer neuen Scan-Konfiguration 107

114 Nun können Sie die Konfiguration anpassen. Wichtig sind hier die folgenden Einstellungen: Family Trend Hier können Sie entscheiden, ob neue Familien automatisch in dieser Scan- Konfiguration aktiviert werden sollen. NVT Trend Bei jeder Familie können Sie entscheiden, ob neue NVTs dieser Familie automatisch aktiviert werden sollen. Select All In dieser Spalte können Sie einstellen, ob alle NVTs einer Familie ausgewählt werden sollen. Action Über dieses Icon können Sie direkt in die Familie springen, und die einzelnen NVTs auswählen, wenn Sie nicht alle verwenden möchten. Wenn Sie weiter nach unten scrollen, erscheinen die Scanner Preferences (siehe Abschnitt Scanner Preferences). Hier können Sie weitergehende Einstellungen für den Scan vornehmen. Außerdem gibt es die NVT-Preferences, die von den NVTs genutzt werden. Diese können hier angepasst werden. Es gibt ferner die Möglichkeit, die Einstellungen auch direkt bei den entsprechenden NVTs zu definieren. Abb. 10.6: Die Konfiguration erlaubt auch spezifische Anpassungen der NVTs. Um die Einstellungen der NVTs vorzunehmen, müssen Sie in die entsprechende Familie wechseln. Nach dem Aufruf einer Familie haben Sie Zugri auf die einzelnen NVTs. Sie sehen die NVTs, die Bestandteil der Familie sind, und ihre Bedrohungsstufen. Außerdem können Sie den Zustand (aktiv/inaktiv) und den Timeout der NVT-Prüfung einsehen und prüfen, ob der NVT über eine Einstellung (Spalte Pref) weiter konfiguriert werden kann. Ist dies der Fall, kann über den entsprechenden Schraubenschlüssel die Konfiguration aufgerufen werden. Die Einstellungen sind auf der folgenden Seite ganz unten aufzufinden. Die bei den NVTs angepassten Einstellungen werden dann auf der Übersichtsseite der Scan- Konfiguration (siehe Abbildung Die Konfiguration bietet viele Anpassungsmöglichkeiten und Die Konfiguration erlaubt auch spezifische Anpassungen der NVTs.) angezeigt. Für den praktischen Einsatz sind insbesondere die Einstellungen der verwendeten Port Scanner interessant. Die GSM Appliance nutzt als Port-Scanner Nmap und Ping. Nmap wird über den NASL wrapper genutzt. Dies ermöglicht die größte Flexibilität. 108 Kapitel 10. Scan-Konfiguration

115 Abb. 10.7: Bei dem Zugri auf eine Familie sehen Sie die einzelnen NVTs. Abb. 10.8: Die Preferences können auch bei jedem NVT einzeln eingestellt werden Scanner Preferences Sämtliche Scanner und NVT Preferences hier zu dokumentieren, würde den Rahmen sprengen. Daher sollen hier nur die wichtigen allgemeinen Einstellungen und die spezifischen Einstellungen des Ping und Nmap-Scanners beschrieben werden Allgemeine Preferences auto_enable_dependencies: Hiermit werden automatisch NVTs aktiviert, die von anderen NVTs benötigt werden. cgi_path: Dies ist der Pfad, der von NVTs für den Zugri auf CGI-Skripte genutzt wird. checks_read_timeout: Dies ist der Timeout für die Netzwerksockets während des Scans. drop_privileges: Mit diesem Parameter gibt der OpenVAS-Scanner vor dem Start der NVTs die root-privilegien ab. Dies erhöht die Sicherheit, führt aber auch bei einigen NVTs zu weniger Ergebnissen. host_expansion: Hier sind drei verschiedene Werte erlaubt: dns: Führt einen AXFR-Zonentransfer auf dem Zielsystem durch und prüft die dabei gefundenen Systeme Scanner Preferences 109

116 Abb. 10.9: Diese Einstellungen werden allgemein von der Konfiguration genutzt. nfs: Prüft die Systeme, die auf dem Zielsystem auf NFS-Freigabe zugreifen dürfen. ip: Scanned das angegebene Subnetz. log_whole_attack: Ist diese Option aktiv, protokolliert das System die Laufzeit jedes einzelnen NVTs. Ansonsten wird nur Start und Ende des Scans protokolliert. Dies reduziert den benötigten Speicherplatz auf der Festplatte. max_sysload: Dies ist die maximale Systemlast, die bei dem Scan erreicht werden darf. network_scan: Experimentelle Option, bei der das gesamte Netzwerk auf einmal gescannt wird, anstatt für jeden Host einzeln zu starten. Dies kann in bestimmten Umgebungen Zeit sparen. non_simult_ports: Diese Ports werden nicht gleichzeitig durch NVTs getestet. optimize_test: NVTs werden nur gestartet, wenn die entsprechenden Voraussetzungen (z.b. offener Port) gegeben sind. plugins_timeout: Maximale Laufzeit eines NVTs. report_host_details: Detaillierte Angaben zum Host werden im Report hinterlegt. safe_checks: Einige NVTs können auf dem Zielsystem Schaden anrichten. Diese Einstellung deaktiviert die entsprechenden NVTs. unscanned_closed: Dieser Parameter definiert, ob TCP-Ports, die nicht gescannt wurden, wie geschlossene Ports behandelt werden. unscanned_closed_udp: Dieser Parameter definiert, ob UDP-Ports, die nicht gescannt wurden, wie geschlossene Ports behandelt werden. use_mac_addr: Hiermit werden die Systeme an Hand ihrer MAC-Adresse und nicht der IP- Adresse identifiziert. Dies kann in DHCP-Umgebungen sinnvoll sein. vhosts: Wenn die GSM einen Webserver mit namensbasierten virtuellen Hosts scannen soll, dann können die Einstellungen vhosts und vhosts_ip nutzt werden. In der Einstellung vhosts werden kommasepariert die Namen der virtuellen Webhosts hinterlegt. 110 Kapitel 10. Scan-Konfiguration

117 vhosts_ip: Wenn die GSM einen Webserver mit namensbasierten virtuellen Hosts scannen soll, dann können die Einstellungen vhosts und vhosts_ip genutzt werden. In der Einstellung vhosts_ip wird die IP-Adresse des Webservers hinterlegt. In dem Bericht kann jedoch noch nicht nachvollzogen werden, auf welcher virtuellen Webinstanz ein NVT eine Schwachstelle gefunden hat Ping Preferences Der Ping-Scanner-NVT hat die folgenden Konfigurationsparameter. Beachten Sie, dass die Alive Test Einstellung eines Target-Objektes einige Einstellungen für den Ping-Scanner überschreiben kann. Do a TCP ping: iermit können Sie entscheiden, ob Sie per TCP die Erreichbarkeit eines Hosts prüfen möchten. In diesem Fall werden die folgenden Ports geprüft: 21,22,23,25,53,80,135,137,139,143,443,445. Standard: Nein. Do an ICMP ping: Hiermit können Sie entscheiden, ob Sie per ICMP die Erreichbarkeit eines Hosts prüfen möchten. Standard: Ja. Mark unreachable Hosts as dead: Hiermit entscheiden Sie, ob Rechner, die von diesem NVT nicht erkannt wurden, später noch von anderen NVTs geprüft werden. Standard: Nein. Report about reachable Hosts: Hiermit entscheiden Sie, ob die von diesem NVT gefundenen Systeme aufgelistet werden. Standard: Nein. Report about unreachable Hosts: Hiermit entscheiden Sie, ob die von diesem NVT nicht gefundenen Systeme aufgelistet werden. Standard: Nein. TCP ping tries also TCP-SYN ping: Der TCP-Ping nutzt per Standard ein TCP-ACK Paket. Hiermit können Sie zusätzlich auch ein TCP-SYN Paket nutzen. Standard: Nein. Use ARP: Hiermit entscheiden Sie, ob Hosts mit dem ARP-Protokoll im lokalen Netz gesucht werden sollen. Standard: Nein. Use Nmap: Hiermit entscheiden Sie, ob für den Ping-NVT Nmap eingesetzt wird: Standard: Ja. nmap: try also with only sp: Falls Nmap eingesetzt wird, wird auch der Ping-Scan mit der Option -sp durchgeführt. nmap additional ports for PA: Hier können zusätzliche Ports für den TCP-Ping-Test angegeben werden. Dies ist aber nur der Fall, wenn gesetzt ist. Standard: 8080, Nmap NASL Preferences Die folgenden Optionen werden direkt in Optionen für den Aufruf des Nmap-Kommandos umgesetzt. Weiterführende Informationen sind daher auch in der Dokumentation zu Nmap documentation for nmap 1 zu finden. Do not randomize the order in which ports are scanned: Nmap scanned dann die Ports in aufsteigender Reihenfolge. Do not scan targets not in the file: Nur sinnvoll gemeinsam mit File containing grepable results. Fragment IP packets: Nmap fragmentiert die Pakete für den Angri. Damit konnten früher einfache Paketfilter überwunden werden. Get Identd info: Nmap fragt den UNIX-Ident-Daemon ab. Dieser wird heute nicht mehr genutzt. Identify the remote OS: Nmap versucht das Betriebssystem zu ermitteln. RPC port scan: Nmap prüft das System auf Sun RPC Ports Scanner Preferences 111

118 Run dangerous ports even if safe checks are set: UDP und RPC Scans können Probleme verursachen und werden bei der Einstellung üblicherweise abgeschaltet. Service scan: Hiermit versucht Nmap die Dienste zu erkennen. Use hidden option to identify the remote OS: Nmap versucht das Betriebssystem aggressiver zu erkennen. Host Timeout: Hiermit wird der Host-Timeout definiert. Initial RTT timeout: Dies ist der initiale Round-Trip-Timout. Nmap kann diesen Timeout in Abhängigkeit der Ergebnisse anpassen. Max RTT timeout: Dies ist der maximale RTT. Min RTT timeout: Dies ist der minimale RTT. Minimum wait between probes: Hiermit können Sie die Geschwindigkeit des Scans steuern. Ports scanned in parallel (min): siehe oben Source port: Hiermit können Sie den Source-Port definieren. Dies kann interessant sein, um durch eine Firewall zu scannen, wenn diese Verbindungen von einem bestimmten Port grundsätzlich erlaubt wird. File containing grepable results: Hermit können Sie eine Datei angeben, in der sich zeilenweise Einträge der Form Host: ip-addresse befinden. Wenn gleichzeitig die Option Do not scan targets not in the file gesetzt ist, werden nur die Rechner gescannt, die in der Datei aufgeführt sind. TCP scanning technique: Hiermit definieren Sie die eigentliche Scan-Methode Timing policy: Anstatt die Timeout-Werte einzeln anzupassen, können Sie auch die Timing policy modifizieren. Die Timing Policy verwendet die folgenden Werte: Ports scanned in parallel (max): Hiermit definieren Sie, wieviele Ports gleichzeitig gescannt werden. initial_rtt_timeout min_rtt_timeoutmax_rtt_timeoutmax_parallelismscan_delay max_scan_delay Paranoid 5 min 100 ms 10 sec Serial 5 min 1 sec Sneaky 15 sec 100 ms 10 sec Serial 15 sec 1 sec Polite 1 sec 100 ms 10 sec Serial 400 ms 1 sec Normal 1 sec 100 ms 10 sec Parallel 0 sec 1 sec Aggressive 500 ms 100 ms 1250 ms Parallel 0 sec 10 ms Insane 250 ms 50 ms 300 ms Parallel 0 sec 5 ms 112 Kapitel 10. Scan-Konfiguration

119 KAPITEL 11 Alternative Oberflächen Die Weboberfläche der GSM ist austauschbar. Alle Weboberflächen nutzen einen eingebauten Webserver, der alle Aktionen in das OpenVAS Management Protokoll umsetzt und die Ergebnisse entsprechend anzeigt. Die Weboberflächen verfügen daher über keinerlei eigene Intelligenz. Die Intelligenz ist komplett in dem OpenVAS Manager verborgen. Daher können die Weboberflächen ausgetauscht werden. In der Version GOS 3.1 bietet die GSM zwei verschiedene Weboberflächen: Klassisch: Dies ist die klassische Ansicht des Greenbone Security Assistant. ITS: Dies ist die vereinfachte Darstellung in Form einer IT-Schwachstellenampel. Um zwischen den verschiedenen Darstellungen umzuschalten, ist ein Zugang zur Kommandozeile erforderlich. Die ausgewählte Oberfläche ist immer für alle Anwender einer GSM-Appliance aktiv. Die Auswahl kann nicht benutzerabhängig gesteuert werden IT-Schwachstellenampel Bemerkung: Diese Oberfläche ist im Moment (GOS ) nur in deutscher Sprache verfügbar. Bevor Sie auf die IT-Schwachstellenampel (ITS) umschalten, sollten Sie in der klassischen Ansicht noch einige Schritte umsetzen. Ansonsten erhalten Sie Warnungen in der Schwachstellenampel wie in Abbildung Scan mit der ITS Schwachstellenampel. dargestellt: (Dieser Schritt entfällt ab GOS 3.1.9) Klonen Sie den OpenVAS-Scanner. Hierzu wechseln Sie in das Menü Configuration. Hier rufen Sie den Punkt Scanners auf. Dort Klonen Sie den OpenVAS Default Scanner. Editieren Sie anschließend den Scanner und benennen ihn um in ITS-Scanner. Importieren Sie das ITS-Report-Format. Laden Sie von das ITS-Report Format und importieren Sie diese unter Configuration/Report Formats. Editieren dsie das Report- Format und aktivieren Sie es. Nun sollten Sie es noch durch einen Klick verifizieren. Importieren Sie die ITS-Scankonfiguration Laden Sie von died ITS- Scankonfiguration und importieren Sie diese unter Configuration/Scan Configs. Sind diese Vorarbeiten abgeschlossen, können Sie umschalten. Möglicherweise waren auf Ihrem System einzelne Vorarbeiten auch schon durchgeführt worden. Um die Darstellung zu verändern, rufen Sie das GOS-Admin-Menü auf. Dort können Sie im Menüpunkt Remote das HTTPS web interface konfigurieren. Der Default-Wert ist classic. Um auf die IT-Schwachstellenampel umzuschalten, setzen 113

120 Sie den Wert auf its. Nach einem Commit wird die Änderung innerhalb weniger Minuten aktiv. Ein Reboot ist nicht erforderlich. Alternativ können Sie den Wert auch auf der Kommandozeile direkt setzen: gsm: set web_interface its gsm *: commit Nach wenigen Minuten ist die ITS-Schwachstellenampel aktiv. Das Login zeigt nun das Vorhandensein der neuen Oberfläche an (siehe Abbildung Der Login an der ITS Schwachstellenampel.). Abb. 11.1: Der Login an der ITS Schwachstellenampel. Nach der Anmeldung erscheint ein Wizard, mit dem Sie einen einfachen Scan starten können. Für den Scan können Sie einen administrativen Benutzer angeben. Der Scanner wird sich dann auf dem System anmelden und das System auch von innen scannen (siehe Abbildung Scan mit der ITS Schwachstellenampel.). Wenn Sie das Berichtsformat und die Scankonfiguration importiert und den ITS-Scanner geklont haben, werden die Warnungen nicht mehr angezeigt. Werden Schwachstellen gefunden, so beginnt die abgebildete Ampel während des Scans in der entsprechenden Farbe zu blinken. Sobald die Prüfung abgeschlossen ist, stellt die Ampel das Blinken ein und zeigt den Zustand dauerhaft an (Siehe Abbildung Nach Abschluss wird der Status von der Ampel dauerhaft angezeigt.). Über das Drucker-Icon (Abbildung Das Drucker-Icon stellt den Bericht bereit.) kann der PDF-Bericht geladen werden. 114 Kapitel 11. Alternative Oberflächen

121 Abb. 11.2: Scan mit der ITS Schwachstellenampel. Abb. 11.3: Nach Abschluss wird der Status von der Ampel dauerhaft angezeigt. Abb. 11.4: Das Drucker-Icon stellt den Bericht bereit IT-Schwachstellenampel 115

122 116 Kapitel 11. Alternative Oberflächen

123 KAPITEL 12 Benutzer- und Rechteverwaltung Dieses Kapitel betrachtet die Benutzer-, Gruppen-, Rollen- und Rechteverwaltung im Detail Benutzerverwaltung Die Greenbone Security Manager Benutzerverwaltung erlaubt die Definition und die Verwaltung verschiedenster Benutzer mit unterschiedlichen Rollen und Rechten. Bei der Initialisierung der GSM-Appliance wird über das GOS-Admin-Menü bereits der erste Benutzer, der Web- bzw. Scan- Administrator angelegt. Mit diesem Benutzer ist die Anmeldung und die Verwaltung der weiteren Benutzer möglich. Dabei unterstützt die GSM Benutzerverwaltung ein rollenbasiertes Rechtekonzept bei dem Zugri auf die Weboberfläche. Mehrere Rollen sind bereits von Werk angelegt. Weitere Rollen können jedoch von einem Administrator erzeugt und verwendet werden. Die Rolle definiert, welche Funktionen der Weboberfläche von dem Benutzer eingesehen und modifiziert werden dürfen. Dabei sind die Rollen nicht in der Weboberfläche, sondern in dem darunterliegenden OMP-Protokoll realisiert und wirken sich daher auf alle OMP-Clients aus. Lesender und modifizierender Zugri kann getrennt den Rollen zugewiesen werden. Neben den Rollen unterstützt die GSM Benutzerverwaltung auch Gruppen. Gruppen erlauben die Zusammenfassung von Benutzern. Dies dient in erster Linie der logischen Gruppierung. Neben einer Verwaltung der Rechte über die Rollen können auch Gruppen entsprechende Privilegien zugewiesen werden. Zusätzlich kann über die Benutzerverwaltung jedem Benutzer ein Bereich von IP-Adressen zugewiesen werden, dessen Scan erlaubt oder verboten ist. Die GSM Appliance weigert sich dann andere als die angegebenen IP-Adressen durch den entsprechenden Benutzer zu scannen. Auch der Zugri auf bestimmte Schnittstellen der GSM-Appliance kann erlaubt bzw. verboten werden. Der Greenbone Security Manager bietet für die Verwaltung der Rollen und spezifischen Privilegien der Benutzer eine eigene Benutzerverwaltung. Um jedoch Kennwörter nicht mehrfach vorhalten zu müssen und eine Kennwortsynchronisation zu erlauben, bietet der Greenbone Security Manager die Anbindung des Systems an einen zentralen LDAP-Server. Dieser wird dann aber nur für die Überprüfung des Kennworts bei der Anmeldung des Benutzer genutzt. Alle weiteren Einstellungen erfolgen in der Benutzerverwaltung der GSM Appliance. Diese Funktionen werden auf den nächsten Seiten genauer betrachtet Anlegen und Verwaltung der Benutzer Den Dialog für das Anlegen und Verwalten der Benutzer erreichen Sie über das Menü Administration. Dieses Menü wird nur für Administratoren eingeblendet, da zunächst nur diese weitere Benutzer anlegen und verwalten dürfen. Hier können Sie den Dialog für die Anlage neuer Benutzer durch den weißen 117

124 Stern auf blauen Grund aufrufen oder durch Anwählen des Schraubenschlüssels einen vorhandenen Benutzer modifizieren. Abb. 12.1: Anlegen eines neuen Benutzers Bei der Anlage eines neuen Benutzers sind die folgenden Angaben möglich: Login Name: Dies ist der Name, mit dem sich der Benutzer anmeldet. Wenn ein LDAP-Server als zentraler Kennwortspeicher genutzt wird, muss der Benutzer mit dem identischen Namen (rdn) im LDAP-Server angelegt sein. Der Name darf maximal 80 Zeichen lang sein und aus Buchstaben und Zi ern bestehen. Password: Dies ist das Kennwort des Benutzers. Das Kennwort darf maximal 40 Zeichen aufweisen und aus beliebigen Buchstaben bestehen. Achten Sie darauf, dass, wenn Sie Sonderzeichen verwenden, diese auf allen Tastaturen und Betriebssystemen die Sie einsetzen, auch erreichbar sind. Roles (optional): Jeder Benutzer darf mehrere Rollen besitzen. Die Rollen definieren die Rechte des Benutzers bei der Verwendung des OMP Protokolls. Da der Greenbone Security Assistant das OMP-Protokoll nutzt, definieren die Rollen auch direkt die Möglichkeiten in der Weboberfläche. Während Sie weitere Rollen hinzufügen und konfigurieren können, stehen zu Beginn die Rollen Administrator, User, Info, Observer, und ein paar weitere zur Verfügung. Diese Rollen werden in dem Abschnitt Benutzerrollen genauer betrachtet. Groups (optional): Jeder Benutzer kann Mitglied mehrerer Gruppen sein. Auch über die Gruppen kann eine Rechteverwaltung erfolgen (siehe Abschnitt Permissions) Host Access: Hier können Sie definieren, welche Rechner ein bestimmter Benutzer in einem Scan analysieren darf und welche Rechner nicht in einem Scan berücksichtigt werden. Diese Einschränkungen können auch für Administratoren eingerichtet werden. Diese können jedoch auch selbst die Einschränkungen wieder aufheben. Daher ist diese Funktion bei Administratoren lediglich zum Selbstschutz. Normale Benutzer (User) bzw. andere Rollen ohne Zugri auf die Benutzerverwaltung können diese Einschränkungen jedoch nicht umgehen. Hierbei können Sie grundsätzlich zwischen einer Whitelist (Deny all and allow) und einer Blacklist (Allow all and deny) wählen. Im ersten Fall ist der Scan sämtlicher Rechner grundsätzlich verboten und nur explizit aufgeführte Systeme dürfen gescannt werden. Im zweiten Fall ist der Scan sämtlicher Systeme mit Ausnahme der aufgeführten Systeme erlaubt. Es können sowohl Rechnernamen als auch IPv4- und IPv6-Adressen angegeben werden. Ferner können sowohl einzelne IP-Adressen als auch Adressbereiche und Netzwerksegmente spezifiziert werden. Die folgende Auflistung gibt hierfür einige Beispiele: (IPv4-Adresse) (IPv4-Bereich Langform) (IPv4-Bereich Kurzform) /25 (CIDR-Notation) 2001:db8::1 (IPv6-Adresse) 118 Kapitel 12. Benutzer- und Rechteverwaltung

125 2001:db8::1-2001:db8::15 (IPv6-Bereich Langform) 2001:db8::1-15 (IPv6 Bereich Kurzform) 2001:db8::/120 (CIDR-Notation) Sämtliche Optionen können beliebig gemischt und als kommaseparierte Liste angegeben werden. Die Netzmaske in der CIDR-Notation ist jedoch auf maximal 20 bei IPv4 und 116 bei IPv6 beschränkt. In beiden Fällen resultieren hieraus maximal 4096 IP-Adressen. Abb. 12.2: Anzeigen des Benutzers. Interface Access: Hier können Sie definieren, über welche Netzwerkkarten ein Anwender einen Scan ausführen darf. Hier können Sie eine kommaseparierte Liste von Netzwerkkarten angeben und ähnlich wie bei dem Host Access zwischen einem Whitelist und einem Blacklist-Verfahren wählen. Tipp: Grundsätzlich sollten Sie sich bemühen, das Whitelist-Verfahren zu benutzen und den Scan grundsätzlich bis auf ausgewählte Systeme zu verbieten. Damit ist sichergestellt, dass Ihre Anwender nicht durch Zufall oder aus Unwissenheit Systeme prüfen, die außerhalb ihrer Zuständigkeit liegen, sich irgendwo im Internet befinden oder auf einen Scan mit Fehlfunktionen reagieren. Nach der Anlage des Benutzers werden dessen Eigenschaften angezeigt. Sie sollten diese Anzeige kontrollieren um sicherzustellen, dass Sie dem Benutzer nicht zu viele Privilegien zugewiesen haben Gleichzeitige Anmeldung Natürlich ist es möglich, dass zwei unterschiedliche Benutzer gleichzeitig an einem GSM angemeldet sind. Möchte sich der gleiche Benutzer mehrfach anmelden, so muss diese Anmeldung von einem anderen PC oder zumindest mit einem anderen Browser erfolgen. Eine weitere Anmeldung durch denselben Browser invalidiert die erste Anmeldung Benutzerrollen Ab dem Greenbone OS 3.1 können Sie mit dem Greenbone Security Assistant die Benutzerrollen selbst neu anlegen und anpassen. Wie in allen anderen Fällen ist die Modifikation der eingebauten und ausgelieferten Rollen nicht möglich. Diese können jedoch kopiert (geklont) werden. Dieser Klon kann dann modifiziert werden. Dies stellt ein konsistentes Verhalten bei Updates der Software sicher. Sie erreichen die Rollenverwaltung über die Weboberfläche im Menü Administration im Unterpunkt Roles. Die folgenden Rollen sind bereits im Auslieferungszustand verfügbar: Admin: Diese Rolle verfügt im Auslieferungszustand über sämtliche Privilegien. Sie darf insbesondere weitere Benutzer anlegen und verwalten Benutzerverwaltung 119

126 Guest: Diese Rolle entspricht der Info-Rolle. Sie darf lediglich ihre Einstellungen nicht modifizieren. Info: Diese Rolle (Information Browser) besitzt nur lesenden Zugri auf die NVTs und die SCAP- Informationen. Alle weiteren Informationen sind nicht verfügbar. Monitor: Diese Rolle hat Zugri auf die Performance-Daten des GSM (siehe Abschnitt Überwachung und Fehlersuche). Observer: Diese Rolle besitzt nur lesenden Zugri auf das System. Sie darf keine eigenen Scans erzeugen oder starten. Sie besitzt auch nur lesenden Zugri für die Scans für die die entsprechenden Benutzer als Observer eingerichtet worden sind. Super Admin: Diese Rolle hat Zugri auf alle Objekte von allen Benutzern. Sie hat keine Beziehung zum SuperUser auf der Kommandozeile. Diese Rolle kann nicht über die Weboberfläche konfiguriert werden. Die Konfiguration ist nur im GOS-Admin-Menü möglich (siehe auch Abschnitt Super Admin). User: Diese Rolle verfügt im Auslieferungszustand über sämtliche Privilegien mit der Ausnahme der Benutzer-, Rollen- und Gruppenverwaltung. Außerdem darf diese Rolle nicht die Feeds verwalten und synchronisieren. In der Weboberfläche besteht kein Zugri auf den Menüpunkt Administration. Alle weiteren Funktionen stehen dieser Rolle aber zur Verfügung Weitere Rollen können einfach angelegt werden. Am einfachsten kopieren Sie eine der vorhandenen Rollen, die Ihren Anforderungen am nächsten kommt und passen diese dann an. In seltenen Fällen möchten Sie vielleicht eine Rolle erzeugen, die nur wenige Funktionen unterstützt. Dann ist es sinnvoller mit einer leeren Rolle zu beginnen. Ein Benutzer kann auch mehrere Rollen besitzen. Daher können die Privilegien mit Hilfe der Rollen auch gruppiert werden. Werden dann mehrere Rollen einem Benutzer zugewiesen, so addieren sich die Privilegien. Daher kann zum Beispiel eine Rolle Maintenance erzeugt werden. Diese Rolle erhält dann die folgenden Privilegien: authenticate get_settings write_settings help describe_cert describe_feed describe_scap sync_cert sync_feed sync_scap Weitere Rollen können dann den Namen TargetAdmin, ScanConfigAdmin, TaskAdmin und Scanner und erhalten und mit entsprechenden Rechten ausgestattet werden. Wichtig ist die Tatsache, dass die Rollen alle mindestens die Privilegien :gos:perm: authenticate und get_settings erhalten. Diese werden für die Anmeldung an der grafischen Weboberfläche zwingend benötigt. Sinnvoll ist dann auch noch das Privileg write_settings. Dann kann der Benutzer sein eigenes Kennwort, die Zeitzone und weitere persönliche Einstellungen ändern. Den Benutzern können dann unterschiedliche Permutationen dieser Rollen zugewiesen werden. So können bestimmte Benutzer anschließend die Zielsysteme, die Scankonfiguration oder den tatsächlichen Scan konfigurieren oder starten. In der Auswahl der Privilegien werden Ihnen nur die noch nicht zugewiesenen Privilegien angezeigt. Dies erleichtert das Hinzufügen und den Überblick über die noch verfügbaren Privilegien. 120 Kapitel 12. Benutzer- und Rechteverwaltung

127 Abb. 12.3: Die Rolle TaskAdmin gibt nur eingeschränkten Zugri Meldet sich anschließend ein Benutzer mit der Rolle TaskAdmin an, so ist die Menüauswahl entsprechend eingeschränkt. Abb. 12.4: Die Menüauswahl der Rolle TaskAdmin ist eingeschränkt Gastanmeldung Die GSM kann für die Gastanmeldung konfiguriert werden. Als Gast verfügt der Benutzer nur die Möglichkeit auf das SecInfo-Management (siehe Abschnitt SecInfo Management) zuzugreifen. Damit kann ohne Kennwort ein einfacher Zugri auf die aktuellen Informationen geboten werden. Um diesen Gastzugri zu erlauben, können Sie einen Benutzer erzeugen und diesem die Rolle Guest zuweisen. Dieser Benutzer kann sich nun bei Kenntnis des Kennworts anmelden und erhält das Dashboard. Um eine Gastanmeldung ohne Kennwort zu erlauben, muss dieser zunächst auf der Kommandozeile aktiviert werden. Hierzu starten sie das GOS-Admin-Menü und rufen den Punkt User auf. Anschließend können Sie den Guest login im entsprechenden Punkt aktivieren. Mögliche Werte sind disabled und enabled. Anschließend müssen Sie auch noch den Namen des Gast-Benutzers und dessen Kennwort angeben. Dies erfolgt im gleichen Menü unter dem Punkt Guest User. Dieser Menüpunkt erscheint, sobald der Gast-Zugri aktiviert wurde. Aktivieren Sie die Änderungen durch den Aufruf von Commit im Menü. Alternativ können Sie den Zugri auch über die Einstellung guest_login aktivieren: gsm: get guest_login s guest_login disabled Benutzerverwaltung 121

128 Abb. 12.5: Die Rolle Gast hat Zugri auf das SecInfo Dashboard. Abb. 12.6: Erzeugen Sie einen Gast-Benutzer. gsm: set guest_login enabled gsm: set guest_user guest gsm: set guest_password guest gsm *: commit gsm: get guest_login s guest_login enabled Anschließend sollte ein Reboot erfolgen. Nun ist auf der Anmelde-Maske unten rechts das Login als Gast verfügbar (siehe Abbildung Login als Gast-Benutzer ohne Kennwort.) Super Admin Der ist die höchste Zugri sstufe. Sie wurde mit dem neuen Berechtigungskonzept eingeführt. Die normale Rolle Admin ist vom Rechtemodell zunächst einem einfachen Benutzer gleichzusetzen. Dabei ist der Admin jedoch in der Lage, neue Benutzer zu erzeugen, zu modifizieren und zu löschen. Des weiteren kann der Admin sämtliche Rechte(Permissions) auf dem System einsehen, modifizieren und 122 Kapitel 12. Benutzer- und Rechteverwaltung

129 Abb. 12.7: Login als Gast-Benutzer ohne Kennwort. löschen. Dennoch ist er auch diesen Rechten unterworfen. Wenn ein Benutzer eine private Scan- Konfiguration anlegt und diese nicht freigibt, kann der Admin die Scan-Konfiguration nicht sehen. Natürlich könnte der Admin sich selbst ein entsprechendes Recht für die von dem Benutzer erzeugte Ressource geben. Der Super Admin ist hiervon ausgenommen. Der Super Admin darf sämtliche Konfigurationseinstellungen aller Benutzer sehen und kann diese auch editieren. Der Super Admin kann nicht in der Weboberfläche erzeugt werden. Um den Super Admin zu erzeugen ist ein Zugri auf der Kommandozeile erforderlich. Hier können Sie im GOS-Admin-Menü im Punkt User im Unterpunkt Add Super Admin diesen Benutzer mit Kennwort anlegen. Anschließend kann der Benutzer in der Weboberfläche editiert werden. Abb. 12.8: Der Super Admin kann nicht in der Weboberfläche erzeugt werden! Der Super Admin kann nicht durch den normalen Administrator verändert werden. Nur der Super Admin selbst kann die Einstellungen des Benutzers ändern! Super Permissions Sie können auch eine Rolle mit Super-Permissions ausstatten. Dann darf diese Rolle auf alle Objekte einer Gruppe zugreifen. Jede auf dem GSM angelegte Ressource (Scan Konfiguration, Target, etc.) ist entweder global oder gehört einem bestimmten Benutzer. Globale Ressourcen sind an dem Icon zu erkennen. Jede nicht Benutzerverwaltung 123

130 globale Ressource darf zunächst nur von ihrem Besitzer gesehen und verwendet werden. Hier sind individuelle Berechtigungen erforderlich, um die Ressource anderen Anwendern zur Verfügung zu stellen. Dies ist recht aufwändig. Daher bietet das Greenbone OS 3.1 nun die Möglichkeit Super Permissions zu verteilen. Ein Benutzer kann diese Super Permission erhalten für: Benutzer Rolle Gruppe Jeder Diese Super Permissions erlauben dann den kompletten Zugri auf sämtliche Ressourcen des entsprechenden Benutzers, der Rolle, der Gruppe oder tatsächlich auf alle Ressourcen. Dabei kann der Jeder-Zugri nicht explizit gesetzt werden. Dies ist ein Privileg des Super Admins (siehe Abschnitt Super Admin). Diese letzte Super Permission kann daher nur durch das Erzeugen eines Super Admins gesetzt werden. Dabei kann ein Benutzer nur Super Berechtigungen für die Objekte setzen, die er selbst erzeugt hat. Hierzu muss er zunächst die RessourceID des Benutzers, der Rolle oder der Gruppe ermitteln für die er die Super Berechtigung setzen möchte. Anschließend kann er dann die Werte im Dialog eintragen. Abb. 12.9: Für die Super-Berechtigung benötigen Sie die Resource-ID In der Erfolgsmeldung wird dann statt der Ressource ID der Klartextname angezeigt. Abb : Der Benutzer Ralf hat Super Zugri auf die Ressourcen des Benutzers Theo. Die Super Berechtigungen vereinfachen die Rechteverwaltung auf dem GSM. So können leicht auch die Super Berechtigungen für ganze Gruppen vergeben werden. Damit können alle Benutzer einer Gruppe auf alle Ressourcen, die von weiteren Mitgliedern der Gruppe angelegt wurden, zugreifen. GetUsers-Rolle für Observer Die GSM erlaubt die Verwaltung von Observern (siehe Abschnitt Observer). Dies sind Benutzer, die Leserechte an bestimmten Tasks und deren Reports erhalten. Diese Observer können per Default nur von Administratoren an den Tasks und Reports berechtigt werden. Normale Benutzer können keine 124 Kapitel 12. Benutzer- und Rechteverwaltung

131 Observer an ihren eigenen Tasks berechtigen. Sie können ihre Tasks somit nicht für andere Benutzer freigeben. Bei ihnen ist der entsprechende Dialog zur Verwaltung der Berechtigungen einen Tasks nicht funktionsfähig. Abb : Normale Benutzer können keine Observer einrichten. Damit normale Benutzer ebenfalls ihre Tasks mit Leserechten für andere Benutzer ausstatten dürfen, benötigen Sie das Privileg get_users für den Zugri auf die Benutzerdatenbank. Dieses Recht verwalten Sie am einfachsten über eine eigene Rolle. Erzeugen Sie hierzu eine Rolle GrantReadPriv (siehe Abbildung Die Rolle GrantReadPriv erlaubt die Verwaltung der Leserechte.). Dieser weisen Sie in einem zweiten Schritt dann das Privileg zu. Damit erhält jeder Benutzer mit dieser zusätzlichen Rolle das Recht, Leserechte an den eigenen Tasks zu vergeben. Abb : Die Rolle GrantReadPriv erlaubt die Verwaltung der Leserechte. Dann müssen Sie nur noch den entsprechenden Benutzern diese Rolle zusätzlich zuweisen. Bemerkung: Falls der Benutzer ebenfalls Leserechte an Gruppen oder Rollen vergeben darf, müssen entsprechend die Berechtigungen get_groups und get_roles zugewiesen werden Gruppen Neben den Rollen gibt es auch eine Gruppenverwaltung im Greenbone Security Assistant. Diese Gruppen dienen der logischen Gruppierung der Benutzer. Zusätzlich können über diese Gruppen aber auch Berechtigungen zugewiesen werden (siehe Abschnitt Permissions). Im Auslieferungszustand sind keine Gruppen eingerichtet. Sie können beliebig viele Gruppen erzeugen. Hierbei müssen Sie die folgenden Informationen angeben: Name: Der Name der Gruppe darf maximal 80 Zeichen lang sein und aus Buchstaben und Zi ern bestehen. Comment: Ein optionaler Kommentar beschreibt die Gruppe genauer Benutzerverwaltung 125

132 Users: Hier können Sie direkt die Mitglieder der Gruppe angeben. Dabei dürfen Sie die Mitglieder durch Leerzeichen oder Kommas trennen. Die Länge der Angabe darf maximal 1000 Zeichen betragen. Alternativ können Sie die Gruppenmitgliedschaften direkt bei den Benutzern verwalten. Abb : Gruppen können für die Verwaltung von Rechten genutzt werden Permissions Unter dem Menüpunkt Configuration/Permissions können Sie sämtliche auf dem System vergebenen Berechtigungen einsehen. Bei mehreren angelegten Rollen können das leicht mehrere Hundert Berechtigungen sein. Jede einzelne hier angezeigte Berechtigung bezieht sich immer auf genau ein Subject. Ein Subject ist entweder ein Benutzer, eine Rolle oder eine Gruppe. Üblicherweise werden die Berechtigungen durch die Weboberfläche über die Rollen (siehe Abschnitt Benutzerrollen) verwaltet. Dabei können Sie die Berechtigungen der Rollen sowohl in der Rollenverwaltung als auch hier verwalten. Alternativ können Sie aber auch Berechtigungen direkt Benutzern oder Gruppen zuweisen. Diese Möglichkeit bietet Ihnen die maximal mögliche Flexibilität in der Verwaltung der Berechtigungen. Jedoch empfiehlt sich das Hinzufügen und Verwalten der Berechtigungen über diesen Dialog nur für erfahrene Benutzer, die zum Beispiel eine bestimmte Berechtigung suchen und für einen bestimmten Benutzer entfernen möchten. Bemerkung: Auch bei den eingebauten Rollen ist eine Modifikation der Berechtigungen über diesen Dialog möglich. Dies führt bei Updates möglicherweise zu unerwünschten E ekten, wenn die Berechtigungen wieder zurückgesetzt werden. Freigabe einzelner Objekte für andere Benutzer Jeder Benutzer kann beliebige Objekte, die er selbst erzeugt hat, freigeben. Dazu muss er jedoch über das Privileg get_users verfügen. Ansonsten hat er nicht das Recht die Namen der anderen Benutzer zu ermitteln (siehe Abschnitt GetUsers-Rolle für Observer). Um ein Objekt freizugeben, ermitteln Sie zunächst die Objekt-ID. Eine Freigabe über den Namen ist nicht möglich. Hierzu zeigen Sie das Objekt, welches Sie freigeben möchten (z.b. einen Filter) im Browser an. Oben Rechts in der Anzeige können Sie die ID sehen und kopieren. Abb : Kopieren der ID des freizugebenden Objektes. 126 Kapitel 12. Benutzer- und Rechteverwaltung

133 Anschließend wechseln Sie in das Menü Configuration/Permissions. Erzeugen Sie hier eine neue Berechtigung. Wählen Sie dann die richtige Berechtigung für das von Ihnen freizugebende Objekt aus: Filter: get_filters Scan-Konfiguration: get_configs Alert: get_alerts Notizen: get_notes Overrides: get_overrides Tags: get_tags Targets: get_targets Task mit Reports: get_tasks Schedules: get_schedules Wählen Sie das passende Subjekt (User, Role oder Group) aus und fügen Sie die kopierte Ressource ID in das entsprechende Feld. Abb : Kopieren der ID des freizugebenden Objektes Zentrale Benutzerverwaltung Besonders in größeren Umgebungen mit mehreren Benutzern ist es häufig schwierig eine Synchronisation der Kennwörter zu erreichen. Der Aufwand für das Zurücksetzen oder die erneute Vergabe der Kennwörter ist dann meist recht hoch. Um dies zu vermeiden, bietet die GSM-Appliance die Anbindung an einen zentralen Kennwortspeicher. Hierbei handelt es sich um eine LDAP-Schnittstelle. Über diese Schnittstelle können Sie auf beliebige LDAP-Bäume für die Authentifizierung, auch zum Beispiel auf ein Active Directory, zurückgreifen. Voraussetzung für die Nutzung der zentralen Authentifizierung ist die gleiche Benennung Ihrer Benutzer mit den Objekten im LDAP-Baum. Im Folgenden wird die Anbindung an einen LDAP-Baum beschrieben. Dabei verwendet die GSM- Appliance eine sehr einfache Schnittstelle. Während andere LDAP-Anbindungen zunächst nach einem passenden Objekt im Baum suchen, um sich anschließend als dieses Objekt anzumelden (Search&Bind), verwendet die GSM-Appliance einen Bind mit einem hardkodierten Objektpfad. Dies hat zur Folge, dass die GSM nicht Benutzer in unterschiedlichen Teilästen oder auf unterschiedlichen Rekursionstiefen eines LDAP-Baums unterstützt. Alle Benutzer, die sich an dem GSM anmelden möchten, müssen sich im selben Bereich und auf der selben Ebene des LDAP-Baums befinden! Dann können Sie den distinguishedname der Objekte eindeutig definieren. Der Platzhalter %s ersetzt dabei den Benutzernamen. Beispiele für den Auth. DN sind: uid=%s,ou=people,dc=domain,dc=de Benutzerverwaltung 127

134 Abb : Die zentrale LDAP-Authentifizierung verlangt die Angabe des DNs domain.de\%s Während das erste Beispiel mit den korrekten Attributen bei jedem LDAP-Server funktionieren sollte, sind das zweite und dritte Beispiel typische Schreibweisen bei einem Active Directory. Hierbei ist auch der exakte Ort des Benutzerobjekts im Baum unerheblich. Als einzige zusätzliche Information ist der LDAP Host notwendig. Hier kann lediglich ein System mit IP-Adresse oder Name und Port angegeben werden. Sobald die LDAP-Authentifizierung aktiviert wurde, kann bei jedem Benutzer zwischen der lokalen Authentifizierung und der Authentifizierung via LDAP gewählt werden. Funktionstüchtig ist die LDAP-Authentifizierung jedoch erst nach einem Reboot. Dieser Reboot ist einmalig zwingend nach der Aktivierung der LDAP-Authentifizierung erforderlich. Bemerkung: Die Kommunikation muss durch SSL/TLS geschützt werden. Unterstützt der LDAP- Server dies nicht, so verweigert die GSM-Appliance die Zusammenarbeit. Details hierzu werden im folgenden Abschnitt gegeben. LDAP mit SSL/TLS Die GSM-Appliance nutzt entweder das Kommando StartTLS via dem LDAP-Protokoll auf Port 389 oder SSL via LDAPS auf dem Port 636. Damit die GSM-Appliance die Identität des LDAP-Servers prüfen kann, muss sie dessen Zertifikat vertrauen. Hierzu muss das Zertifikat der ausstellenden Zertifizierungsstelle im GSM hinterlegt werden. Außerdem muss der LDAP-Server seine Dienste via SSL zur Verfügung stellen. Die exakte Konfiguration aller verfügbarer LDAP-Server geht über die Möglichkeiten dieses Handbuchs hinaus. Daher werden im Folgenden nur einige Verweise gegeben: Microsoft: OpenLDAP: Zusätzlich müssen Sie das Zertifikat der Zertifizierungsstelle auf der GSM-Appliance hinterlegen. Hierzu müssen Sie das Zertifikat ihrer Zertifizierungsstelle in BASE64-Kodierung als Datei exportieren. Unter stellt Greenbone Hinweise für den Export zur Verfügung. Diese Datei müssen Sie nun auf Ihren GSM übertragen. Hierzu verbinden Sie sich am besten via SSH (z.b. Putty) mit der Appliance. Ö nen Sie das Zertifikat in einem Editor und kopieren Sie es in die Zwischenablage. Rufen Sie auf der GSM-Kommandozeile den Befehl ldapcertdownload auf und fügen Sie das Zertifikat ein. Schließen Sie den Kopiervorgang mit einem Enter und anschließend Strg-D ab. 128 Kapitel 12. Benutzer- und Rechteverwaltung

135 Falls die LDAP-Authentifizierung nicht funktioniert, so prüfen Sie bitte, ob die Angabe bei dem LDAP Host mit dem commonname des Zertifikats Ihres LDAP-Servers übereinstimmt. Kommt es hier zu Abweichungen, so verweigert die GSM-Appliance die Nutzung des LDAP-Servers Benutzerverwaltung 129

136 130 Kapitel 12. Benutzer- und Rechteverwaltung

137 KAPITEL 13 OpenVAS Management Protokoll (OMP) Die gesamte Steuerung der GSM Appliance erfolgt über das OpenVAS Management Protocol (OMP). Auch die Weboberfläche ist ein OMP-Client und greift via OMP auf die GSM-Funktionen zu. Das OMP-Protokoll ist auf der Greenbone Webseite unter dokumentiert. Dieses Kapitel beschreibt die Aktivierung und Nutzung des Protokolls durch Fremdanwendungen Aktivieren des OMP Protokolls Um das OMP-Protokoll nutzen zu können, muss es zunächst auf der GSM-Appliance aktiviert werden. Die Weboberfläche nutzt das OMP-Protokoll nur lokal auf der Appliance und nicht über das Netzwerk. Die Aktivierung des OMP-Protokolls kann entweder direkt über eine Variable auf der Kommandozeile erfolgen (siehe Abschnitt OpenVAS Management Protocol (OMP)) oder über das GOS-Admin-Menü unter Remote und anschließend OMP. Wichtig ist, dass Sie in beiden Fällen anschließend die GSM Appliance neu starten müssen, damit diese Einstellung aktiv wird. Der Zugri auf das OMP-Protokoll erfolgt grundsätzlich SSL-verschlüsselt und authentifiziert. Hier werden die gleichen Benutzer genutzt, die Sie auch in der Weboberfläche verwenden und einrichten können. Die Benutzer unterliegen auch den gleichen Einschränkungen und verfügen über exakt dieselben Rechte Zugriff mit omp Während Sie mit Hilfe der Dokumentation des OMP-Protokolls Ihre eigenen Applikationen für den Zugri entwickeln können, hat Greenbone auch für den einfachen Zugri eine Kommandozeilenapplikation entwickelt und auf der Webseite für Linux und Windows zur Verfügung gestellt. GNU/Linux: omp 1 Microsoft Windows: omp.exe 2 (Diese Datei wurde von Greenbone Networks GmbH digital signiert.) Das Protokoll OMP ist XML-basiert. Jedes Kommando und jede Antwort ist ein XML Objekt. Das von Greenbone Networks gelieferte Kommandozeilen-Werkzeug omp bietet zum einen das direkte Versenden und Empfangen von XML-Kommandos und XML-Antworten. Das ist vor allem für den Batch-Betrieb (Stapelverarbeitung, Scripting) hilfreich. Zum anderen sind die wichtigsten Kommandos als Kommandozeilenparameter einschließlich einer Option für eine menschenlesbare Ausgabe verfügbar. Dies ist gedacht für spontane Abfragen, Tests und zur Ausarbeitung von Batch- Prozessen. Mit diesem Werkzeug können Sie das OMP-Protokoll auf einfache Weise nutzen:

138 omp --xml=<get_tasks/> omp --get-tasks omp --xml=<help/> omp --help Grundsätzlich bietet das Kommandozeilen-Werkzeug omp zwei Arten der Verwendung an. Über den Schalter --xml werden OMP-Kommandos im XML Format gesendet. Die Antworten sind dann ebenfalls im XML Format. Einige der Kommandos sind ebenfalls als direkte Schalter verfügbar. So entspricht --xml=<get_tasks/> dem Schalter - get-tasks. Bei Verwendung von letzterem erfolgt die Ausgabe aber nicht im XML-Format, sondern als einfache Text-Tabelle Konfiguration des Clients Zur Nutzung des omp Kommandos müssen Sie sich an der Appliance anmelden. Hierzu geben Sie mit den Optionen --user, --password, --host und --port die erforderlichen Angaben an. Damit dies nicht bei jedem Aufruf erforderlich ist, können Sie die Verbindungsdaten zur Vereinfachung in der Datei omp.config im Heimatverzeichnis des Anwenders hinterlegen. Unter Unixähnlichen Systemen ist das $(HOME)/omp.config. Auf Windows-Systemen befindet sich die Datei in %USERPROFILE%omp.config. Erstellen Sie diese Datei mit folgendem Inhalt (host, username und password sind natürlich entsprechend anzupassen) und achten Sie auf korrekte Groß- Kleinschreibung): [Connection] host=gsm port=9390 username=webadmin password=password Start eines Scans Ein typisches Beispiel für die Nutzung des OMP-Protokolls ist ein automatischer Scan eines neuen Systems. Im Folgenden gehen wir davon aus, dass Sie ein Intrusion Detection System betreiben, welches die Rechner in Ihrer DMZ überwacht und neue Systeme und ungewöhnliche bisher nicht genutzte TCP-Ports sofort erkennt. Falls nun ein derartiges Ereignis erkannt wird, soll das IDS automatisch einen Scan des Systems initiieren. Dies soll mit Hilfe eines Skripts umgesetzt werden. Dazu eignet sich der Befehl omp sehr gut. Ausgangspunkt ist die IP-Adresse des neuen verdächtigen Systems. Für diese IP-Adresse muss zunächst ein Target im GSM erzeugt werden. Für diese Funktion gibt es keine einfache Option in dem Kommando omp. Daher muss dies mit Hilfe von XML erfolgen. Unter ist das Kommando create_target beschrieben. Wenn die IP-Adresse in der Variablen $IPADDRESS gespeichert ist, kann mit dem folgenden Kommando das entsprechende Target angelegt werden: $./omp -X "<create_target><name>suspect Host</name><hosts>$IPADDRESS</hosts></create_target>" <create_target_response status="201" id="aa410e98-ff8d-45b6-be98-11fd7a895435" status_text="ok, re Nun kann der Task erzeugt werden. Hierfür existieren einfache Optionen für das OMP-Kommando: $./omp -c daba56c8-73ec-11df-a cea -C --name "ScanSuspectHost" -t aa410e98-ff8d-45b a4bdad7c c1-884b-fd226a6e7a19 Der ausgegebene Rückgabewert ist die ID des Tasks. Diese wird für den Start benötigt. Die hier angegebenen IDs müssen entsprechend ausgelesen werden. Dazu können die folgenden Befehle genutzt werden: 132 Kapitel 13. OpenVAS Management Protokoll (OMP)

139 $./omp -T b493b7a df-a3ec cea aa410e98-ff8d-45b6-be98-11fd7a $./omp -g 8715c877-47a0-438d-98a3-27c7a6ab ce-73ed-11df-83c cea daba56c8-73ec-11df-a cea 698f691e df-9d8c cea 708f25c df cea 74db13d df-91b cea 2d3f051c-55ba-11e3-bf ea4fc5 bbca7412-a950-11e ea4fc5 Localhost Suspect Host Discovery empty Full and fast Full and fast ultimate Full and very deep Full and very deep ultimate Host Discovery System Discovery Nun muss der Task nur noch gestartet werden: $./omp -S a4bdad7c c1-884b-fd226a6e7a19 58f7f696-5ec7-49f d35991f8f2e Der ausgegebene Rückgabewert ist die ID des Reports. Nun muss bis zur vollständigen Abarbeitung des Tasks gewartet werden. Der Status des Tasks kann mit dem folgenden Kommando angezeigt werden: $./omp --get-tasks a4bdad7c c1-884b-fd226a6e7a19 a4bdad7c c1-884b-fd226a6e7a19 Running 20% ScanSuspectHost 58f7f696-5ec7-49f d35991f8f2e Running T12:43:17Z $./omp --get-tasks a4bdad7c c1-884b-fd226a6e7a19 a4bdad7c c1-884b-fd226a6e7a19 Done ScanSuspectHost 58f7f696-5ec7-49f d35991f8f2e Done T12:43:17Z Sobald der Scan abgeschlossen ist, kann der Bericht geladen werden. Hierfür wird die ID, die bei dem Start des Task ausgegeben wurde, benötigt. Ferner muss ein sinnvolles Report-Format angegeben werden. Die IDs der Report-Formate erhalten Sie mit: $./omp --get-report-formats ca-dc05-11e1-954f ea4fc5 5ceff8ba-1f62-11e1-ab9f ea4fc5 9087b18c-626c-11e ea4fc5 c a-11e3-a ea4fc5 35ba7077-dc85-42ef-87c9-b0eda7e903b6 ebbc7f34-8ae5-11e1-b07b-001f29eadec8 6c f62-11e1-b ea4fc5 77bd6c4a-1f62-11e1-abf ea4fc5 a684c02c-b531-11e1-bdc ea4fc5 9ca6fe72-1f62-11e1-9e7c ea4fc5 c402cc3e-b531-11e ea4fc5 9e5e5deb-879e-4ecc-8be6-a71cd0875cdd a3810a62-1f62-11e ea4fc5 a994b278-1f62-11e1-96ac ea4fc5 ARF CPE CSV Hosts CSV Results GSR PDF GXR PDF HTML ITG LaTeX NBE PDF Topology SVG TXT XML Nun kann der Report geladen werden: $./omp --get-report 58f7f696-5ec7-49f d35991f8f2e --format c a-11e3-a e Für eine vollständig automatische Verarbeitung der Daten könnte der Task mit einem Alert verknüpft werden, der bei einer bestimmten Bedrohungsstufe den Report automatisch versendet Zugriff mit omp 133

140 Status Codes Das OMP-Protokoll verwendet Status Codes für die Kommunikation. Diese Status Codes können auch in der Weboberfläche angezeigt werden. Abb. 13.1: Das OMP-Protokoll verwendet Status Codes und Nachrichten für die Statusübermittlung. Der ähnelt den HTTP-Status Codes. Die folgenden Codes werden verwendet: 2xx: Das Kommando ist erfolgreich übertragen, verstanden und akzeptiert worden. 200: OK 201: Resource created 202: Request submitted 4xx: Es liegt ein Benutzerfehler vor. 400: Syntax-Fehler Hierbei kann es sich um verschiedene Syntaxfehler handeln. Meist fehlen Elemente oder Attribute im OMP-Befehl. Der Statustext gibt weitere Informationen. Aktuell wird dieser Status-Code auch noch bei fehlender oder falscher Authentifizierung genutzt. 401: Authenticate First Dies ist der Fehlercode, der bei einer fehlenden oder falschen Authentifizierung verwendet wird. Aktuell wird hier aber noch der Wert 400 verwendet. 403: Access to resource forbidden Dies ist der Fehlercode. der bei nicht ausreichenden Rechte genutzt wird. Häufig wird stattdessen noch 400 Permission denied ausgegeben. 404: Resource missing Die Ressource konnte nicht gefunden werden. Die Ressource-ID war leer oder falsch. 409: Resource busy Diese Fehlermeldung tritt zum Beispiel auf, wenn Sie eine Feed- Synchronisation starten, während diese bereits läuft. 5xx: Es liegt ein Serverfehler vor. 500: Internal Error Dies können Eingaben sein, die interne Pu ergrößen überschreiten. 503: Scanner loading NVTs Der Sanner ist momentan damit beschäftigt NVT s in seinen Speicher zu laden. Probieren Sie es später wieder. 503: Service temporarily down Möglicherweise läuft der Scanner-Daemon nicht. Ein häufiges Problem sind auch abgelaufene Zertifikate. Prüfen Sie die Readiness (siehe Abschnitt Readiness). 503: Service unavailable: Der OMP-Befehl ist auf dem GSM gesperrt. 134 Kapitel 13. OpenVAS Management Protokoll (OMP)

141 KAPITEL 14 MySettings Jeder Anwender der GSM Appliance kann seine eigenen Einstellungen für die Weboberfläche verwalten. Diese Einstellungen erhält er, indem er entweder Extras unter den Menüpunkt My Settings aufruft oder seinen Login-Namen oben rechts anklickt. Abb. 14.1: Jeder Benutzer kann seine eigenen Einstellungen verwalten. Durch Wahl des Knopfes sind: kann der Benutzer diese Einstellungen verändern. Wichtige Einstellungen Timezone: Intern speichert die GSM Appliance alle Informationen in der UTC-Zeitzone. Damit die Daten in der Zeitzone des Benutzers angezeigt werden, ist hier eine entsprechende Auswahl erforderlich. Password: Hier kann ein Benutzer sein Kennwort ändern. User Interface Language: Hier wird die Sprache definiert. Die Voreinstellung nutzt die Spracheinstellung des Browsers. Um immer eine englische oder deutsche Anzeige zu erhalten, nutzen Sie english oder german. Rows Per Page: Dies ist die Zahl der angezeigten Ergebnisse in einer Liste. Wizard Rows: Dies definiert, wie lange der Wizard angezeigt wird. Wird der Wert beispielsweise auf 3 gesetzt, so wird auf der Task-Übersicht der Wizard nicht mehr angezeigt sobald mindestens 4 Tasks vorhanden sind. Severity Class: Hier können Sie die Einstufung der Schwachstellen entsprechend ihrem Score definieren. NVD Vulnerabiliy Severity Ratings : High : Medium : Low BSI Schwachstellenampel : Rot 135

142 : Gelb : Grün OpenVAS klassisch : High : Medium : Low PCI-DSS : High : None Filter: Hier können für jede Seite spezifische Default-Filter eingestellt werden, die bei dem Aufruf der Seite automatisch aktiviert werden. 136 Kapitel 14. MySettings

143 KAPITEL 15 SecInfo Management Das SecInfo Management bietet einen zentralen Zugri auf verschiedene Informationen zur IT- Sicherheit. Hierzu gehören die folgenden Informationen: NVTs: Dies sind die Network Vulnerability Tests. Diese Tests prüfen das Zielsystem auf mögliche Schwachstellen. CVEs: Die Common Vulnerability and Exposures sind die von Herstellern und Sicherheitsforschern verö entlichten Schwachstellen. CPEs: Die Common Platform Enumeration stellt eine standardisierte Benennung der in der Informationstechnologie verwendeten Produkte dar. OVAL Definition: Die Open Vulnerability Assessement Language stellt eine standardisierte Sprache für die Prüfung von Schwachstellen bereit. Die OVAL Definitions nutzen diese Sprache um konkrete Schwachstellen zu erkennen. CERT-Bund Advisories: Die CERT-Bund Advisories werden von dem Computer-Notfallteam emergency response team 1 des Bundesamts für Sicherheit in der Informationstechnik (BSI) veröffentlicht. Die maßgebliche Aufgabe des CERT-Bund ist der Betrieb eines Warn- und Informationsdienstes, der Informationen zu neuen Schwachstellen und Sicherheitslücken sowie aktuellen Bedrohungen für IT-Systeme publiziert. DFN-CERT Advisories: Das DFN-CERT DFN-CERT 2 ist das Computer-Notfallteam des Deutschen Forschungsnetzwerks (DFN). Die CVEs, CPEs und OVAL-Definitionen werden von dem NIST im Rahmen der National Vulnerability Database (NVD) bereitgestellt (siehe auch Abschnitt Security Content Automation Protocol (SCAP)). Um einen schnellen Überblick über diese Informationen zu erhalten, existiert ein Secinfo Dashboard (siehe Abbildung Das index:secinfo Dashboard erlaubt die grafische Aufbereitung der Daten.). Dieses erlaubt die grafische Darstellung der verschiedenen Informationen gruppiert nach unterschiedlichen Aspekten Secinfo Portal Die SecInfo Daten werden von Greenbone Networks auch online bereitgestellt. Auf dieses Portal portal 3 können Sie direkt über das Internet zugreifen. Es entspricht den Daten, die Sie auch in Ihrer GSM darstellen können. Das SecInfo Portal ist ein GSM ONE der speziell für einen anynonymen Gast-Zugang konfiguriert ist. Gegenüber einem vollwertigen GSM sind lediglich das SecInfo Management und der CVSS Online-Rechner für den Gast freigeschaltet. Das SecInfo Portal von Greenbone erfüllt eine Reihe von Aufgaben:

144 Abb. 15.1: Das index:secinfo Dashboard erlaubt die grafische Aufbereitung der Daten. Anonymer Zugang zu Details der Greenbone Schwachstellenprüfungen sowie von SCAP-Daten (CVE, CPE, OVAL) und Meldungen verschiedener CERTs. Die Daten sind in sich referenziert und bieten dadurch die Möglichkeit, durch die Sicherheits-Information zu einem Produkt, einem Hersteller oder einer bestimmten Schwachstelle zu browsen. Demo für die jeweils kommende Version von Greenbone OS sobald der SecInfo Abschnitt den Beta-Status erreicht hat. Service für eingebettete Digramme wie es beispielsweise von der Greenbone Website zur Feed Statistik verwendet wird. Service für direkte Verweise zu Details oder speziellen Selektionen wie beispielsweise für eine spezielle CVE (CVE , Heartbleed) oder eine Übersicht: Alle 2013 verö entlichten CVE Meldungen. Service für Verweise zu CVSS Schwachstellenbewertung inklusive CVSS Online-Rechner: AV:N/AC:L/Au:N/C:P/I:P/A:P Beispiel wie man einen eigenen GSM für ein Intranet konfigurieren kann um direkte Verweise in internen Berichten und Plattformen zu ermöglichen. Sie können einen derartigen Zugang auch selbst durch die Aktivierung des Gast-Zugangs (siehe Abschnitt Gastanmeldung) bereitstellen. 138 Kapitel 15. SecInfo Management

145 15.2 Network Vulnerability Tests Die Abkürzung steht für Network Vulnerability Test. Dies sind die Prüfroutinen, die der GSM verwendet und die über den Greenbone Security Feed regelmäßig aktualisiert werden. Hier finden Sie Informationen, wann die Prüfroutine entwickelt wurde, welche Systeme betro en sind, welche Auswirkungen die Schwachstelle haben kann und wie Sie diese beheben. Die NVTs enthalten im Vergleich zu Greenbone OS 3.0 zwei neue Informationen: Solution Type: Diese Information zeigt mögliche Lösungen für die Behebung der Schwachstelle an. Aktuell werden drei verschiedene Varianten unterschieden: Vendor-Fix: Der Hersteller stellt einen Patch zur Verfügung. Workaround: Es gibt einen Workaround. None-Available: Eine Behebung der Schwachstelle in dem Produkt ist nicht möglich. Quality of Detection: Das Konzept der Quality of Detection (QoD) misst die Verlässlichkeit der erfolgreichen Erkennung der Schwachstelle durch den NVT. Die NVTs erhalten QoD-Werte von 0% - 100%. Diese QoD-Werte können auch für die Filterung genutzt werden. Mit der Einführung dieser Werte fällt der Parameter Paranoid in den Scan-Konfigurationen (siehe Abschnitt Scan- Konfiguration) ersatzlos weg. In der Vergangenheit hat eine Scan-Konfiguration ohne diesen Parameter nur die NVTs mit einem QoD von mindestens 70% genutzt. Erst mit diesem Parameter wurden alle NVTs verwendet. Jetzt werden in einer Scan-Konfiguration immer alle NVTs angewendet und ausgeführt. Die Filterung der gebnisse erfolgt aber auf Basis des QoD. Dadurch sind immer alle Ergebnisse in der Datenbank vorhanden und können entsprechend ein- bzw. ausgeblendet werden Security Content Automation Protocol (SCAP) Das National Institute of Standards and Technology (NIST) der USA stellt die National Vulnerability Database (NVD) National Vulnerability Database 4 bereit. Die NVD ist ein Datenrepository für das Schwachstellenmanagement der US-Regierung. Ziel ist die standardisierte Bereitstellung der Daten für die automatische Verarbeitung und Unterstützung bei Aufgaben des Schwachstellenmanagements, der Sicherheitsbewertung und der Umsetzung von Compliance Richtlinien. Die NVD stellt verschiedenste Datenbanken bereit. Diese enthalten Checklisten, Schwachstellen, Konfigurationfehler, Produkte und Bedrohungsmetriken. Dabei nutzt die NVD das Security Content Automation Protocol (SCAP) Security Content Automation Protocol 5. Das Security Content Automation Protcol ist eine Kombination verschiedener interoperabler Standards. Dabei wurden viele Standards durch ö entliche Diskussion gewonnen oder abgeleitet. Die ö entliche Beteiligung der Community in der Weiterentwicklung ist ein wichtiger Aspekt für die Akzeptanz und die Verbreitung des SCAP-Standards. Das SCAP-Protokoll ist aktuell in der Version 1.2 spezifiziert und umfasst die folgenden Komponenten: Sprachen XCCDF: The Extensible Configuration Checklist Description Format OVAL: Open Vulnerability and Assessment Language Network Vulnerability Tests 139

146 OCIL: Open Checklist Interactive Language Asset Identification ARF: Asset Reporting Format Sammlungen CCE: Common Configuration Enumeration CPE: Common Platform Enumeration CVE: Common Vulnerabilities and Exposure Metriken CVSS: Common Vulnerability Scoring System CCSS: Common Configuration Scoring System Integrität TMSAD: Trust Model for Security Automation Data OVAL, CCE, CPE und CVE sind Warenzeichen des NIST. Der Greenbone Schwachstellenscanner nutzt den OVAL Standard, CVE, CPE und CVSS. Durch die Nutzung dieser Standards ist eine Interoperabilität des System mit anderen Produkten gewährleistet. Diese Standards erlauben auch den Vergleich der Ergebnisse. Schwachstellenscanner, wie der Greenbone Security Scanner, können sich auch entsprechend vom NIST validieren lassen. Der Greenbone Security Manager ist entsprechend der SCAP Version 1.0 validiert worden SCAP version Die vom Greenbone Schwachstellenscanner genutzten Standards werden im Folgenden genauer erläutert CVE Da es in der Vergangenheit häufig mehrere Organisationen gab, die gleichzeitig eine Schwachstelle erkannt und gemeldet haben und dabei der Schwachstelle unterschiedliche Namen und Kennungen zugewiesen haben, war eine Kommunikation und ein Vergleich der Ergebnisse nicht einfach. Unterschiedliche Scanner haben dieselbe Schwachstelle mit unterschiedlichen Namen gemeldet. Tatsächlich handelte es sich aber statt um zwei verschiedene Schwachstellen um ein und dieselbe Schwachstelle. Das MITRE 7 hat 1999 das CVE Projekt, gesponsert durch das US-CERT, gegründet, um Abhilfe zu schaffen. Jede Schwachstelle erhält eine eindeutige Kennung bestehend aus der Jahreszahl und einer einfachen Nummer. Diese Nummer dient dann als zentrale Referenz. Die CVE Datenbank des Mitre ist keine Schwachstellendatenbank. CVE ist entwickelt worden, damit Schwachstellendatenbank und andere Systeme untereinander verknüpft werden können. Dies erlaubt den Vergleich von Sicherheitswerkzeugen und Dienstleistungen. Die CVE Datenbank enthält daher keine Angaben zur Gefährdung, Auswirkungen oder Behebung der Schwachstelle. Detaillierte technische Informationen sind ebenfalls nicht enthalten. Ein CVE enthält lediglich die Identifizierungsnummer mit Status, eine kurze Beschreibung und Referenzen auf Berichte und Advisories. Die National Vulnerability Database (NVD) bezieht die CVE Datenbank vom Mitre und ergänzt diese um Informationen zur Behebung der Schwachstelle, dem Schweregrad, betro ene Produkte und möglichen Auswirkungen. Der Greenbone bezieht die CVE-Datenbank von der NVD, so dass diese Informationen enthalten sind. Gleichzeitig verknüpft der GSM die Informationen mit den NVTs und den CERT- Bund und DFN-CERT Advisories Die MITRE (Massachusetts Institute of Technology Research & Engineering) Corporation ist eine Organisation zum Betrieb von Forschungsinstituten im Auftrag der Vereinigten Staaten, die durch Abspaltung vom Massachusetts Institute of Technology (MIT) entstanden ist. 140 Kapitel 15. SecInfo Management

147 Abb. 15.2: Die CVEs enthalten Informationen über Schweregrad und betro ene Produkte. Diese Informationen können komfortabel über die Weboberfläche angezeigt werden CPE Die Abkürzung CPE steht für Common Platform Enumeration und wurde als Industriestandard für eine einheitliche Namenskonvention informationstechnischer Systeme, Plattformen und Softwarepakete nach dem Vorbild des CVE ebenfalls durch das Mitre ins Leben gerufen. Hiermit besteht eine einheitliche Namensgebung für Betriebssysteme und Applikationen, die eine globale Referenzierung ermöglicht. Ursprünglich wurde der Common Platform Enumeration Standard (CPE) von dem MITRE initiiert. Heute wird der CPE Standard jedoch von dem US-amerikanischen National Institute for Standards and Technology (NIST) im Rahmen der National Vulnerability Database (NVD) gepflegt. Das NIST hatte bereits das o zielle CPE-Dictionary und die CPE Spezifikationen für mehrere Jahre gepflegt. CPE ist ein strukturiertes Benennungsschema für Applikationen, Betriebssysteme und Hardwaregeräte. Es basiert auf der generischen Syntax der Uniform Resource Identifier (URI). Da der CPE-Standard eng mit dem CVE-Standard verknüpft ist, erlauben diese Standards in ihrer Kombination bei Erkennung einer Plattform oder eines Produkts den Rückschluss auf vorhandene Schwachstellen. CPE besteht aus den folgenden Komponenten: Security Content Automation Protocol (SCAP) 141

148 Abb. 15.3: Common Product Enumeration: Name Structure Naming: Die Namensspezifikation beschreibt die logische Struktur der Well-formend Names (WFNs), ihrer Bindung an URIs und formatierte Zeichenketten und die Konvertierung der WFNs und ihrer Bindungen. Name Matching: Die Name Matching Spezifikation beschreibt die Methoden für den Vergleich der WFNs untereinander. Dies erlaubt die Prüfung, ob einige oder alle sich auf das gleiche Produkt beziehen. Dictionary: Das Dictionary ist ein Repositorium der CPE Namen und Metadaten. Jeder Name kennzeichnet eine einzelne Klasse eines IT-Produkts. Die Dictionary Spezifikation beschreibt die Prozesse für die Verwendung des Dictionaries, wie die Suche nach einem bestimmten Namen oder der Suche nach Einträgen, die zu einer allgemeineren Klasse gehören. Applicability Language: Die Applicability Language Spezifikation beschreibt die Erzeugung komplexer logischer Ausdrücke mit Hilfe der WFNs. Diese Applicability Statements können für das Markieren (Tagging) von Checklisten, Richtlinien oder anderer Dokumente genutzt werden und so beschreiben auf welche Produkte diese Dokumente anzuwenden sind. 142 Kapitel 15. SecInfo Management

149 OVAL Die Open Vulnerability and Assessment Language ist ebenfalls ein Projekt des Mitre. Hierbei handelt es sich um eine Sprache, um Schwachstellen (Vulnerability), Konfigurationseinstellungen (Compliance), Patches(Patch) und Programme (Inventory) zu beschreiben. Die in XML gehaltenen Definitionen erlauben eine einfache Verarbeitung durch automatische Systeme. So beschreibt die OVAL Definition oval:org.mitre.oval:def:22127 aus der Inventory-Klasse die Installation des Adobe Flash Player 12 während die Oval-Definition oval:org.mitre.oval:def:22272 eine Verwundbarkeit des Google Chrome Browsers unter Windows beschreibt. Abb. 15.4: OVAL beschreibt die Erkennung von Schwachstellen Diese OVAL Definitionen werden in XML bereitgestellt und beschreiben die Erkennung einzelner Systeme und Schwachstellen die oben erwähnte OVAL Definition hat folgende Struktur: <definition id="oval:org.mitre.oval:def:22272" version="4" class="vulnerability"> <metadata> <title>vulnerability in Google Chrome before on Windows allows attackers to trigg <affected family="windows"> <platform>microsoft Windows 2000</platform> <platform>microsoft Windows XP</platform> <platform>microsoft Windows Server 2003</platform> <platform>microsoft Windows Server 2008</platform> <platform>microsoft Windows Server 2008 R2</platform> <platform>microsoft Windows Vista</platform> <platform>microsoft Windows 7</platform> <platform>microsoft Windows 8</platform> <platform>microsoft Windows 8.1</platform> <platform>microsoft Windows Server 2012</platform> <platform>microsoft Windows Server 2012 R2</platform> Security Content Automation Protocol (SCAP) 143

150 <product>google Chrome</product> </affected> <reference source="cve" ref_id="cve " ref_url=" <description>the OneClickSigninBubbleView::WindowClosing function in browser/ui/views/sync/one <oval_repository> <dates> <submitted date=" t12:56:06"> <contributor organization="altx-soft">maria Kedovskaya</contributor> </submitted> <status_change date=" t12:25: :00">draft</status_change> <status_change date=" t04:03: :00">interim</status_change> <status_change date=" t04:00: :00">accepted</status_change> </dates> <status>accepted</status> </oval_repository> </metadata> <criteria> <extend_definition comment="google Chrome is installed" definition_ref="oval:org.mitre.oval:de <criteria operator="and" comment="affected versions of Google Chrome"> <criterion comment="check if the version of Google Chrome is greater than or equals to 32.0 <criterion comment="check if the version of Google Chrome is less than or equals to </criteria> </criteria> </definition> Diese Informationen werden von der Weboberfläche grafisch aufbereitet und leicht lesbar dargestellt (siehe Abbildung OVAL beschreibt die Erkennung von Schwachstellen) CVSS Ein großes Problem für den normalen Administrator ist die Deutung der Schwachstellen in seiner persönlichen Umgebung. Wie kritisch muss er eine Schwachstelle einstufen? Um hier den Personen, die sich nicht ununterbrochen mit der Analyse und Bewertung von Schwachstellen beschäftigen, zu unterstützen, wurde das Common Vulnerability Scoring System (CVSS) erfunden. CVSS ist ein Industriestandard zur Beschreibung des Schweregrades von Sicherheitslücken in Computer-Systemen. Im CVSS werden Sicherheitslücken nach verschiedenen Kriterien bewertet und miteinander verglichen. So kann eine Prioritätenliste für Gegenmaßnahmen erstellt werden kann. Der CVSS Score wird regelmäßig weiterentwickelt. Aktuell wird üblicherweise der CVSS-Score in der Version 2 verwendet. Die Version 3 wird jedoch von der CVSS Special Interest Group (CVSS-SIG) des Forum of Incident Respons and Security Teams (FIRST) entwickelt Forum of Incident Response and Security Teams 8. Der CVSS Score in der Version 2 unterstützt Base Score Metrics, Tempora Score Metrics und Environmental Score Metrics. Die Base Score Metrics prüfen allgemein die Ausnutzbarkeit einer Schwachstelle und deren Auswirkung auf das Zielsystem. Hierbei bewerten Sie den Zugang, die Komplexität und die Erfordernis einer Authentifizierung. Gleichzeitig bewerten sie, ob die Vertraulichkeit, die Integrität oder Verfügbarkeit bedroht wird. Die Temporal Score Metrics prüfen, ob bereits fertiger Beispiel-Code existiert, der Hersteller bereits einen Patch bereitstellt und die Sicherheitslücke bestätigt wurde. Dieser Score ändert sich daher im Laufe der Zeit sehr stark. Die Environmental Score Metrics betrachten, ob ein Kolleteralschaden zu befürchten ist, die Zielverteilung und ob eine Vertraulichkeit, Integrität und Verfügbarkeit erforderlich ist. Diese Beurteilung ist stark von der Umgebung, in der das verwundbare Produkt eingesetzt wird, abhängig. Da lediglich die Base Score Metriken sinnvoll allgemeingültig und dauerhaft bestimmt werden können, stellt der GSM diese im Rahmen der SecInfo-Daten zur Verfügung Kapitel 15. SecInfo Management

151 Abb. 15.5: Der CVSS Rechner erlaubt angenehm die Berechnung des Scores. Hierbei wird folgende Formel verwendet, die auch mit dem CVSS-Rechner des GSMs berechnet werden kann (Extras/CVSS-Calculator, siehe Abbildung Der CVSS Rechner erlaubt angenehm die Berechnung des Scores.). BaseScore = roundt o1decimal(((0.6 * Impact) + (0.4 * Exploitability) 1.5) * f(impact)) Hierbei wird der Impact folgendermaßen berechnet: Impact = * (1 (1 ConfImpact) * (1 IntegImpact) * (1 AvailImpact)) Die Exploitability wird berechnet als: Exploitability = 20 * AccessV ector * AccessComplexity * Authentication Die Funktion f(impact) ist 0, wenn der Impact 0 ist. In allen anderen Fällen ist der Wert Die weiteren Werte sind Konstanten: Access Vector Lokaler Zugri erforderlich: Naher Netzwerkzugang erforderlich: Netzwerkzugang ausreichend: 1.0 Access Complexity: Hohe Zugangkomplexität: 0.35 Mittlere Zugangkomplexität: 0.61 Niedrige Zugangskomplexität: 0.71 Authentication Mehrfache Authentifizierung erforderlich: 0.45 Einmalige Authentifizierung erforderlich: 0.56 Keine Authentifizierung erforderlich: ConfImpact: Kein Bruch der Vertraulichkeit: 0.0 Teilweiser Bruch der Vertraulichkeit: Kompletter Bruch der Vertraulichkeit: Security Content Automation Protocol (SCAP) 145

152 IntegImpact Kein Bruch der Vertraulichkeit: 0.0 Teilweiser Bruch der Vertraulichkeit: Kompletter Bruch der Vertraulichkeit: AvailImpact Kein Bruch der Vertraulichkeit: 0.0 Teilweiser Bruch der Vertraulichkeit: Kompletter Bruch der Vertraulichkeit: DFN-CERT Während die einzelnen NVTs, CVEs, CPEs und OVAL Definitionen in erster Linie zur Verarbeitung durch Computersysteme erzeugt werden, verö entlicht das DFN-CERT, wie viele andere Computer Emergency Report Teams (CERTs) weltweit, regelmäßig neue Warnungen (Advisories). Das DFN-CERT ist verantwortlich für mehrere Hundert Universitäten und Forschungseinrichtungen, die am deutschen Forschungsnetz ( DFN) angeschlossen sind. Ein Advisory beschreibt besonders kritische Sicherheitslücken, die eine schnelle Reaktion verlangen. Auch diese werden von dem GSM bezogen und in der internen Datenbank zur Referenzierung gespeichert. Sie können diese aber auch direkt anzeigen CERT-Bund CERT-Bund bietet einen Warn- und Informationsdienst (WID) an. Dieser Dienst stellt aktuell zwei verschiedene Arten von Informationen zur Verfügung (Zitat von der Webseite Advisories: Dieses Informationsangebot steht derzeit nur Bundesbehörden als geschlossene Liste zur Verfügung! In den Advisories sind aktuelle Informationen zu sicherheitskritischen Vorfällen in Computersystemen und Maßnahmen zur Behebung von Sicherheitslücken in ausführlicher Form beschrieben. Kurzinformationen Kurzinformationen zeichnen sich dadurch aus, dass aktuelle Informationen zu Sicherheitslücken und Schwachstellen in IT-Systemen kurz und knapp beschrieben werden. Beachten Sie bitte, dass die Informationen teilweise nicht verifiziert sind und daher unter Umständen unvollständig oder auch fehlerhaft sein können. Der Greenbone Security Feed enthält die CERT-Bund Kurzinformationen. Diese können auch an dem K in der Meldung erkannt werden (CB-K14/1296). 146 Kapitel 15. SecInfo Management

153 KAPITEL 16 Asset Management Alle Ergebnisse sämtlicher Scans kann der GSM im Asset-Management speichern. Bei der Definition eines Tasks können Sie entscheiden, ob die Ergebnisse des Scans in das Asset Management aufgenommen werden sollen (siehe Abschnitt Anlegen des Tasks). In der Übersicht sehen Sie zunächst alle in der Asset Datenbank gespeicherten Systeme. Abb. 16.1: Die Asset-Datenbank zeigt die gespeicherten Systeme. Hier sehen Sie, wieviele Sicherheitslücken aktuell auf dem System gefunden wurden. Außerdem zeigt die Übersicht das Betriebssystem mit einem Logo (Spalte OS) und die erkannten Ports und Applikationen an. Außerdem wird angezeigt, wie ein Scan des Systems in diesem Moment wahrscheinlich ausfallen würde (Spalte Prognosis, siehe auch Abschnitt Prognose). Über das können Sie auch jetzt einen prognostischen Bericht erzeugen lassen. Über das Asset Management haben Sie immer auch Zugri auf den letzten Report des Hosts. Sie sehen das Datum des Reports und können diesen direkt durch Anklicken des Links aufrufen. Wenn mehrere Berichte existieren, können Sie in den Host-Details auch auf ältere Reports zugreifen. Durch Anklicken der Host-IP-Adresse erhalten Sie die Host Details. Hier sehen Sie die Anzahl der gefundenen Schwachstellen, das erkannte Betriebssystem, die vorgefundenen Ports und die Anzahl der erkannten Applikationen auf dem Zielsystem. Die Host-Details enthalten weitere Informationen über den Rechner: Hardware: Hier speichert der GSM Informationen über die Hardware. Wenn bekannt, ist hier zum Beispiel die MAC-Adresse aufgeführt. Diese kann aber nur angezeigt werden, wenn sich das Zielsystem in demselben LAN wie der GSM befindet. Detected Applications: Besonders interessant sind die erkannten Applikationen. Hiermit kann der Greenbone Security Manager ohne einen erneuten Scan basierend auf den Informationen seiner SecInfo-Datenbank eine Prognose abgeben, ob er weitere Sicherheitslücken finden würde. Dies ist insbesondere bei Systemen interessant, die aktuell über keine Schwachstellen verfügen und für die Sie nicht regelmäßig neue Scans durchführen wollen. 147

154 16.1 Prognose Die Prognose erlaubt, ohne einen erneuten Scan, basierend auf den aktuellsten Informationen zu bekannten Sicherheitslücken aus dem SecInfo Management (SCAP, Security Content Automation Protocol) Angaben über mögliche Sicherheitslücken zu machen (siehe auch Abschnitt SecInfo Management). Dies ist insbesondere interessant in einer Umgebung in der Sie mit Hilfe des GSM die meisten Schwachstellen entfernt und behoben haben. Natürlich werden täglich neue Schwachstellen bekannt. Nicht jede Schwachstelle rechtfertigt aber einen neuen Scan des Netzes oder einzelner Rechner. Da aber der GSM diese Informationen erhält, kann er, das Wissen um die installierten Applikationen zugrundelegend, prognostizieren, welche Sicherheitslücken vorhanden sind. Werden Sicherheitslücken bekannt, ist die tatsächliche Durchführung eines Scan gerechtfertigt, um diese Prognose zu überprüfen. Hierzu benötigt die Asset-Datenbank natürlich aktuelle Daten. Ein Scan der Systeme sollte daher in regelmäßigen wöchentlichen oder monatlichen Abständen erfolgen. Sie können auch einen prognostischen Scan durchführen lassen. Dieser ermittelt dann die wahrscheinlich vorhandenen Schwachstellen. 148 Kapitel 16. Asset Management

155 KAPITEL 17 Performanz Beim Einsatz des Greenbone Security Managers können zum einen erhebliche Datenmengen von den Zielsystemen ermittelt werden. Zum anderen werden auch die vorliegende Scan-Ergebnisse auf dem GSM analysiert, gefiltert oder aufbereitet. Auf größeren GSM Modellen findet das auch in der Regel gleichzeitig und durch viele Anwender oder Automatismen statt. Dieses Kapitel widmet sich diversen Fragen der Performanz und zeigt Möglichkeiten zur Optimierung auf Scan Performanz Die Geschwindigkeit eines Scans ist von vielen Parametern abhängig. Dieser Abschnitt weist auf die wichtigsten Einstellungen hin und gibt einige Empfehlungen Wahl der Port-Liste für einen Scan Welche Port-Liste für ein Ziel und damit für die Aufgabe und die Scans konfiguriert wird hat eine weitreichende Bedeutung, zum einen für die Erkennungsleistung und zum anderen bzgl. Scan-Dauer. Zwischen diesen beiden Aspekten gilt es bei der Planung der Schwachstellenprüfungen abzuwägen. Über Ports Ports sind die Verbindungspunkte einer Netzwerkkommunikation, wobei sich jeweils der Port des einen Rechners mit einem Port auf einem anderen Rechner verbindet. Jeder Rechner verfügt über TCP-Ports und UDP-Ports. Streng genommen gibt es einen mehr, nämlich den speziellen Port 0. Bei Verbindungen zwischen TCP-Ports findet eine Datenübertragung in beide Richtungen statt, bei UDP nur in eine Richtung. Da bei UDP empfangene Daten nicht unbedingt bestätigt werden, sind die Prüfungen für UDP-Ports in der Regel langsamer. Hervorzuheben sind die Ports 0 bis 1023 die als sogenannte privilegierte oder System-Ports gelten und üblicherweise nicht durch Anwender-Programme geö net werden können. Bei der IANA (Internet Assigned Numbers Authority) können für Standard-Protokolle Ports reserviert werden die dann mit einem Protokollnamen versehen sind wie beispielsweise Port 80 für http oder Port 443 für https. Bei IANA sind über 5000 Ports registriert. Es ist jedoch einer Software durchaus möglich einen dieser Ports für beliebige andere Zwecke zu verwenden, sofern er auf dem jeweiligen System noch nicht verwendet wird. Aus Analysen, bei denen sämtliche Ports sämtlicher Internet-zugängiger Rechner geprüft wurden, sind Listen für die am häufigsten verwendeten Ports entstanden. Diese spiegeln nicht unbedingt die 149

156 IANA-Liste wieder, denn es existiert keine Verpflichtung dort einen Dienst-Typ für einen bestimmten Port zu registrieren. Typischerweise sind bei Desktop-Rechnern weniger Ports o en als bei Servern. Aktive Netzwerk- Komponenten wie Router, Drucker und IP-Telefone haben in der Regel nur einige wenige Ports o en, nämlich nur die, die für ihre eigentliche Aufgabe und für deren Wartung erforderlich sind. Welche Port-Liste für welche Scan-Aufgabe Die Wahl der Port-Liste ist immer eine Abwägung zwischen Erkennungsleistung und Scan-Dauer. Die Dauer des Port-Scans wird vor allem durch die Anzahl der zu prüfenden Ports und durch Netzwerk- Konfigurationen bestimmt. So kann es beispielsweise ab einer bestimmten Anzahl geprüfter Ports zu einer Ausbremsung seitens Netzwerk-Elementen oder seitens des geprüften Systems kommen. Bei der Erkennungsleistung ist es o ensichtlich, dass Dienste, die an nicht in der Liste enthalten Ports gebunden sind, auch nicht auf Schwachstellen geprüft werden. Ebenso werden auch Schadprogramme die sich an solche Ports gebunden haben natürlich nicht erkannt. Zumeist ö nen die Schadprogramme Ports die üblicherweise nicht verwendet werden und weit jenseits der System-Ports liegen. Ein weiteres Kriterium sind Abwehreinrichtungen, die bei bestimmten, zumeist umfangreichen, Port- Prüfungen aktiviert werden und Gegenmaßnahmen oder einen Alarm einleiten. Schon bei normalen Port-Scans könnten Firewalls vortäuschen, dass alle Ports aktiv sind und verlangsamen so den eigentlichen Scan dieser Ports die dann ins Leere laufen, also in sogenannte Timeouts. Zu beachten ist auch, dass bei jedem Port, der angefragt wird, der Dienst dahinter mindestens mit einem Log-Eintrag reagiert. Einige Dienste sollen möglicherweise aus organisatorischen Gründen nicht oder nur zu vereinbarten Zeiten angesprochen werden. Die folgende Tabelle gibt Anhaltspunkte welche Port-Listen für welche Aufgabenstellung sinnvoll sein könnten. Aufgabe/Fragestellung Anfangsverdacht, Penetrationstest, Hochsicherheit, Erst-Scan unbekannter Systeme in geringer Zahl Hintergrundprüfung einer Umgebung mit bekannter bzw. definierter Umgebung (Server) in großer Zahl oder in hoher Frequenz Port-Liste All TCP und All UDP SpezifischeListe für die bekannten Dienste All IANA TCP Erst-Scan unbekannter Systeme in großer Zahl oder in hoher Frequenz All IANA TCP Nmap Top 1000 TCP und Top 100 UDP Die letztendliche Abwägung muss durch den Verantwortlichen für die Scans erfolgen. Es sollte mindestens eine Dokumentation der Ziele bzw. Fragestellungen der Scans hierbei erfolgen, um die Wahl der Port-Liste zu begründen. Auf der einen Seite kann auf Nummer sicher gehen, also immer sämtliche Ports scannen, zur Nicht- Erfüllung der eigentlichen Aufgabe führen weil schlichtweg nicht alle Systeme in der verfügbaren Zeit geprüft werden können oder aber weil eine Störung im Betriebsablauf erzeugt wird. Auf der anderen Seite kann superschnell, also einfach nur alle privilegierten TCP-Ports, für unbekannte Systeme mit hohem Sicherheitsbedarf als ungeeignet erscheinen wenn später ein Schadensfall durch eine eigentlich leicht au ndbare Schwachstelle festgestellt wird. Beispiele dafür sind Datenbankdienste. Zu beachten ist auch, dass einige Systeme keine feste Port-Zuordnung verwenden sondern diese sogar im laufenden Betrieb ständig ändern. Das erschwert natürlich das Port-Profiling für eine spezifische Port-Liste. 150 Kapitel 17. Performanz

157 Scan-Dauer Sämtliche TCP- und UDP-Ports zu prüfen kann in Situationen mit Scan-Ausbremsung durchaus 24 Stunden und mehr für einen einzelnen Rechner bedeuten. Da die Scans parallel ausgeführt werden, dauern zwei Rechner natürlich nur unwesentlich länger als ein einzelner Rechner. Jedoch hat die Parallelisierung auf Grund der System-Ressourcen bzw. Netzwerk-Leistung auch ihre Grenzen. Sämtliche IANA TCP-Ports hingegen benötigen in der Regel nicht mehr als wenige Minuten. Da einige Abwehrmechanismen die Scan-Dauer erhöhen können, besteht auch die Möglichkeit, auf der Seite der Abwehrsystem durch Konfigurationsanpassung eine Ausbremsung zu verhindern. Insgesamt lernt man letztlich die zu scannenden Netzbereiche und wie diese auf die Scans reagieren mit der Zeit kennen, und man kann seine Routineaufgaben darauf hin optimieren. Bei Verdachtsfällen einer Kompromittierung oder höchsten Sicherheitsansprüchen bleibt ein vollumfänglicher Scan natürlich unerlässlich. Totale Sicherheit Auch bei den Port-Scans gilt natürlich der Grundsatz, dass es keine totale Sicherheit gibt. Dies bedeutet, auch wenn All TCP und All UDP verwendet wurde, so kann der voreingestellte Timeout der Port-Prüfung zu kurz sein um ein sich versteckendes Schad-Programme zu einer Antwort zu verleiten. Oder es kommt gerade durch die große Anzahl Ports zur Abwehr durch die Infrastruktur. Weniger kann also sogar gelegentlich mehr bedeuten. Liegt ein Anfangsverdacht vor, so sollten auf einen erfahrenen Penetrationstester zurückgegri en werden, der die eigentlichen Scan-Tools mit Erfahrung und berufsbedingtem Gespür ergänzt sowie die Fein-Parametrisierung für die Scans beherrscht Scan-Konfiguration Auch die Scan-Konfiguration hat eine Auswirkung auf die Dauer des Scans. Der GSM bietet für den Schwachstellenscan vier verschiedene Scan-Konfiguarationen: Full and fast Full and fast ultimate Full and very deep Full and very deep ultimate Die beiden Scan-Konfigurationen Full and fast und Full and fast ultimate optimieren ihren Ablauf mit Hilfe der bereits gewonnenen Informationen. Dadurch können viele NVTs optimiert werden und müssen im Zweifelsfall nicht geprüft werden. Die beiden anderen Scan-Konfigurationen ignorieren die bereits gewonnenen Informationen und führen daher alle NVTs aus. Hierzu gehören auch diejenigen NVTs, die auf Grund vorher gewonnener Informationen nicht sinnvoll sind Tasks Bei dem Ablauf des Scans wird ein Fortschrittsbalken erzeugt. Dieser Fortschrittsbalken soll den prozentualen Ablauf des Scans widerspiegeln. In den meisten Fällen handelt es sich hierbei nur um eine grobe Schätzung denn wie sich die noch nicht gescannten Systeme oder Dienste im Vergleich zu den bisher gescannten Systemen und Diensten verhalten ist für dem GSM schwer vorhersagbar. Dies kann an einem Beispiel am besten verstanden werden. Gegeben sei ein Netz /24 mit 5 Hosts: Sie konfigurieren einen Scan dieses Netzes. Der Scan erfolgt sequentiell. Da zu Beginn des Netzes die IP-Adressen nicht genutzt werden, läuft der Scan sehr schnell und erreicht 95%. Dann jedoch werden Systeme erkannt, die über viele Dienste verfügen. Der Scan ist entsprechend langsamer, da alle diese Dienste geprüft werden müssen. Der Fortschrittsbalken macht nun Scan Performanz 151

158 nur noch geringe Sprünge. Um dieses Verhalten anzupassen, kann im Scanner-Dialog die Order for target hosts angepasst werden. Sinnvoll ist hier die Einstellung Random Backend Performanz Das Webinterface greift mit Hilfe des OMP-Protokolls auf den GSM zu. Einige Operationen benötigen hier mehr Zeit als andere. Um eine Analyse und Untersuchung der Geschwindigkeit des OMP-Backends zu ermöglichen, zeigt jede Webseite die von ihr benötigte Zeit zur Aufbereitung der Daten unten auf der Webseite an. Abb. 17.1: Die Verarbeitungszeiten des Backends werden angezeigt Appliance Performanz Die Gesamt-Performanz des GSM kann durch die integrierte Überwachung kontrolliert werden. Unter stellt der GSM eine eigene Performance-Überwachung zur Verfügung. Hier kann die Ressourcennutzung der GSM für die letztestunde, Tag, Woche, Monat und Jahr angezeigt werden. Dabei kann der Bericht auch für einen Slave angezeigt werden. Abb. 17.2: Die Verarbeitungszeiten des Backends werden angezeigt. Hierbei sind die folgenden Punkte wichtig: Prozesse Eine hohe Zahl Prozesse ist nicht kritisch. Es sollten jedoch in erster Regel nur schlafende (Sleeping) und laufende (Running) Prozesse angezeigt werden. System Load Eine dauerhaft hohe Last ist kritisch. Dabei gilt eine Last von 4 auf einem System mit 4 Kernen als OK. 152 Kapitel 17. Performanz

159 CPU Usage Hier ist besonders ein hoher Wait-IO kritisch. Memory Usage Der GSM nutzt aggressives Caching. Die Nutzung des größten Teils des Arbeitsspeichers als Cache ist in Ordnung. Swap Eine Nutzung des Swap-Speichers zeigt auf eine potentielle Überlastung des Systems hin Appliance Performanz 153

160 154 Kapitel 17. Performanz

161 KAPITEL 18 Master und Slave Setups Der Greenbone Security Manager erlaubt den Aufbau von verteilten Scan-Systemen. Hierbei ist es möglich, dass ein GSM einen anderen GSM zum Zwecke eines Scans fernsteuert. Dabei wird der steuernde GSM als Master und der gesteuerte GSM als Slave bezeichnet. Sobald zwei GSM als Master und Slave konfiguriert wurden, kann ein Anwender einen Scan für den Scan-Slave in der Weboberfläche des Scan-Master je nach Bedarf und Berechtigung individuell konfigurieren. Jeder GSM ab der Midrange-Klasse aufwärts kann als Scan-Master genutzt werden und einen oder mehr Scan-Slaves steuern. Jeder GSM kann als Scan-Slave arbeiten. Die Scan-Slaves sind eigenständige GSM. Daher muss der Administrator die Feed-Updates und Release-Updates auch auf den Slaves lokal konfigurieren und deren Ausführung sicherstellen. Ein Scan-Slave verfügt weiterhin über eine eigene grafische Oberfläche und eigene Verwaltung. Er kann daher auch lokal komplett eigenständig genutzt werden, obwohl einige Scans von einem Scan-Master ausgeführt werden. Zusätzlich kann der Slave als Sensor konfiguriert werden. Ein Scan-Sensor ist ein GSM der ausschließlich für die Funktion als Scan-Slave gedacht ist und außerdem vollständig durch einen zugeordneten Master verwaltet wird. Diese Verwaltung beinhaltet sowohl die automatische Aktualisierung des Feeds als auch automatische Release-Updates. Ein Sensor benötigt keinerlei Netzwerk-Verbindungen außer zu seinem Sensor-Master und nach der Ersteinrichtung keinerlei administrative Tätigkeiten Scan-Sensoren wie -Slaves können in einem Scan-Master integriert werden, um auch die Netzwerk- Segmente auf Schwachstellen zu prüfen, die auf anderen Wegen nicht erreichbar sind. Grundsätzlich baut der Master die Verbindung zu den abgesetzten Scan-Slaves auf. Die Verbindung erfolgt dabei über das OpenVAS Management Protocol (OMP), das TCP Port 9390 benutzt. Für die Feedund Release-Updates auf einem Scan-Sensor ist zusätzlich der Port 22/tcp (SSH) nötig. Abb. 18.1: Aufrufen eines Tasks auf dem Slave 155

162 18.1 Anbindung eines Slaves Wie bei jedem anderen GSM auch erfolgt die Grundkonfiguration des Scan Slaves über die serielle Schnittstelle. Neben den Netzwerkeinstellungen und dem Administrator Zugang sind zwei zusätzliche Grundparameter für die Nutzung als Slave erforderlich: Setzen eines Scan-Administrators auf dem Slave, mit dem der Master den Scan-Slave steuern kann. Dieser wird auf dem Slave im GOS-Admin-Menü unter User und dann Add Web Admin gesetzt. Aktivieren des Remote OMP Features. Dies kann in dem GOS-Admin-Menü unter Remote und OMP gesetzt werden. Alternativ kann es direkt auf der Kommandozeile mit der Variable public_omp gesetzt werden: set public_omp enabled Beachten Sie: Das Aktivieren des Remote OMP Features erfordert einen Reboot des Scan Slaves. Auf dem Master kann anschließend der Slave eingerichtet werden und ein Task auf den Slave übertragen werden: 18.2 Sensor Häufig ist aus Sicherheitsgründen das Scannen eines Netzwerksegments nicht direkt möglich. Meist ist dann auch der direkte Zugri aus diesem Segment auf das Internet unerwünscht. Damit ein Scan Sensor auch in diesen Fällen über aktuelle NVTs verfügt, ist es möglich, den Greenbone Security Feed vom Master auf den Scan Sensor zu übertragen und so eine Feed-Synchronisation mit dem Sensor zu ermöglichen. Dies erfolgt nach der Einrichtung automatisch. Sobald der Master sich mit dem Feed Server synchronisiert hat, überträgt er die Informationen auch auf den Sensor. Hierzu nutzt der Master das SSH-Protokoll. Die folgenden Schritte erlauben dem Master die passwortlose Anmeldung auf dem Sensor via SSH für die Übertragung dieser Informationen. Abb. 18.2: Activating SSH access. Zunächst muss der ö entliche SSH-Key des Masters (Masterkey) auf den Sensor übertragen werden. Dann kann der Master automatisch die SSH-Verbindung zum Sensor aufbauen. Hierzu zeigen Sie auf dem Master der Schlüssel an. Dafür verwenden Sie das Kommando show masterkey. Den angezeigten Schlüssel kopieren Sie in die Zwischenablage. gsm-master> show masterkey ssh-dss AAAAB3... Anschließend verbinden Sie sich auf den Sensor und geben hier auf der Kommandozeile das Kommando masterkeydownload ein. Dann kopieren Sie den Schlüssel aus der Zwischenablage auf die Kommandozeile und schließen die Eingabe mit CTRL-D ab. 156 Kapitel 18. Master und Slave Setups

163 gsm-sensor> masterkeydownload Please paste the master key into the CLI, END with CTRL -D ssh-dss AAAAB3... gsm-sensor> show masterkey ssh-dss AAAAB3... Eine anschließende Kontrolle des Schlüssels ist speziell bei der Nutzung eines USB/Seriell-Adapters ratsam. Viele derartige Adapter übertragen einzelne Zeichen fehlerhaft. Zusätzlich muss der Administrator auf dem Sensor den SSH-Zugangs aktivieren. Dies kann entweder über die Variable ssh oder über das GOS-Admin-Menü erfolgen. Abb. 18.3: Der Feed des Sensors wird vom Master übertragen Damit der Sensor nicht mehr versucht den Feed direkt zu beziehen, muss diese Funktion deaktiviert werden. Diese Einstellung findet der Administrator im GOS-Admin-Menü Feed unter Automatic Sync. Zusätzlich müssen der Administrator in diesem Menü die Aktualisierung des Feeds durch den Master aktivieren (Feed from Master). Zum Abschluss müssen diese Einstellungen durch ein Commit bestätigt werden. Abb. 18.4: Eintragen der Sensoren auf dem Master Da der Master die Verbindungen zu den Sensoren aufbaut, müssen die Sensoren noch in die Verwaltung des Masters aufgenommen werden. Diese Funktion finden Sie auf dem Master im GOS-Admin- Menü unter Sensors. Aktivieren Sie hier die Funktion Automatic Sensor Sync. Anschließend fügen Sie die IP-Adresse des Sensors zur Sensorliste (Sensors) hinzu. Hierbei handelt es sich um eine Liste von IP-Adressen, die mit Leerzeichen separiert wurden. Mit dem Sensor-Check kann die Erreichbarkeit der Sensoren geprüft werden Kommunikation der Sensoren Die Slaves/Sensoren kommunizieren über zwei Protokolle: OMP (Slaves und Sensoren) und SSH (nur Sensor). Diese Protokolle müssen durch die möglicherweise vorhandenen Firewall-Systeme zugelassen werden. Dabei baut immer der Master die Verbindung zum Slave/Sensor auf Sensor 157

164 Abb. 18.5: Bei dem Sensorcheck prüft der GSM die Erreichbarkeit. Das Feed Update der abgesetzten Scan Sensoren erfolgt wahlweise entweder direkt von den Greenbone Update Servern oder über den Master. Für Updates vom Master zum Scan Sensor wird SSH (TCP Port 22) benutzt. Wenn dieses Feature nicht benutzt wird, ist darauf zu achten, dass eine gegebenenfalls zwischen Master und Scan Sensor platzierte Firewall die Verbindungen nicht ohne Rückmeldung blockiert (Einstellung Drop oder Deny). Statt dessen sollte der Verbindungsaufbau zugelassen (Accept oder Permit) oder mit Rückmeldung verhindert (Reject) werden, da der Master immer versucht, die Feed Updates auf den Scan Sensor zu übertragen. 158 Kapitel 18. Master und Slave Setups

165 KAPITEL 19 Kopplung/Integration mit weiteren Systemen Die Greenbone GSM Appliance kann mit weiteren Systemen gekoppelt werden. Dieses Kapitel zeigt die hierzu möglichen Wege auf. Einige Systeme sind auch durch Greenbone Networks bereits in den GSM integriert worden. Hierzu zählen das Verinice ITSM System, die Sourcefire IPS Defense Center und das Nagios Monitoring System. Die folgenden Abschnitte weisen Sie in diese Möglichkeiten ein und geben Hinweise für die Konfiguration Integration von Drittherstellern Die GSM verfügt über eine Vielzahl von Schnittstellen, die eine Kommunikation mit Produkten von Drittherstellern ermöglichen. Dieser Abschnitt zeigt die Möglichkeiten für eine Integration und Kopplung mit anderen Systemen auf. Die GSM bietet hierzu die folgenden Schnittstellen: OpenVAS Management Protokoll (OMP) Das OpenVAS Management Protokoll erlaubt die komplette Fernsteuerung der GSM Appliance. Das Protokoll unterstützt das Anlegen von Benutzern, Erzeugen und Starten von Scan-Tasks, Beziehen von Reports, etc. Anbindung weiterer Scanner über OSP Das OpenVAS Scanner Protokoll (OSP) ist eine einheitliche Schnittstelle für unterschiedliche Schwachstellenscanner. Über diese Schnittstelle kann der GSM diese steuern und in den Scanprozess aufnehmen. Ihre Ergebnisse können in den Bericht importiert werden (siehe Abschnitt OSP Scanner). Report Format Die GSM kann die Scan-Ergebnisse in einem beliebigen Format präsentieren. Dazu bringt die GSM bereits eine Reihe vorinstallierter Report Formats mit. Weitere Report-Formats können von Greenbone bezogen oder in Zusammenarbeit mit Greenbone erstellt werden. Eine digitale Signatur des Plugins seitens Greenbone ist notwendig um es auf dem GSM ausführen zu können. Alerts via Syslog, , SNMP-Trap oder HTTP Automatische Ergebnisweiterleitung über Konnektoren Diese Konnektoren werden von Greenbone erstellt, geprüft und auf dem GSM integriert. Überwachung via SNMP Auf der Webseite stellt Greenbone die aktuelle MIB-Datei (Management Information Base) bereit. MIB-Dateien beschreiben die Daten die über SNMP über das Gerät abgefragt werden können OSP Scanner Das OpenVAS Scanner Protokoll ähnelt dem OpenVAS Management Protokoll (OMP, siehe Abschnitt OpenVAS Management Protokoll (OMP)). Es ist XML-basiert, zustandlos und benötigt keine dauerhafte Verbindung für die Kommunikation. Das Design erlaubt die Einbindung zusätzlicher Scanner mit einem Wrapper. Dieser Wrapper ist der OSPD. Den OSPD können Sie von 159

166 beziehen. Dieser stellt die notwendigen Python-Klassen für die Kommunikation via OSP zur Verfügung. Basierend auf dieser API können dann eigene Scanner hinzugefügt werden. Beispiele, wie diese Integration alternativer Scanner aussehen kann, finden Sie unter Hier befinden sich die Wrapper für w3af, ovaldi (OVAL Interpreter) und ancor Verinice Verinice ist ein freies OpenSource Information Security Management System (ISMS). Verinice eignet sich: zur Umsetzung der BSI IT-Baseline Kataloge zum Durchführen einer risk analysis nach ISO für den Betrieb eines ISMS nach ISO für das Durchführen eines IS-Assessments nach VDA Vorgaben für den Nachweis von Compliance mit Standards wie ISO 27002, IDW PS 330 Der Greenbone Security Manager kann sowohl bei der Modellierung und Umsetzung von BSI IT- Grundschutz als auch bei dem Betrieb eines ISMS unterstützen. Hierzu stellt Greenbone für den Export der Daten aus dem GSM in verinice zwei Report-Plugins zur Verfügung: Verinice-ISM mit sämtlichen Scan-Ergebnissen Verinice-ITG mit Scan-Ergebnissen eines BSI IT-Grundschutz Scans Es besteht die Möglichkeit der vollautomatischen Übertragung der Daten vom Greenbone Security Manager an verinice.pro, der Server-Erweiterung von verinice. Im Folgenden betrachten wir den manuellen Import der Berichte aus dem GSM in die freie verinice Version. Für Unterstützung bei der Anwendung des Connector wenden Sie sich bitte an SerNET oder Greenbone IT Security Management Das Report-Plugin für verinice ist vorkonfiguriert im GSM verfügbar als Verinice-ISM. Mit diesem Report-Plugin unterstützt Greenbone Sie bei der Schwachstellenverfolgung in Verinice. Hierbei spielen die Notizen (Notes-Objekte, siehe Kapitel Notizen) der Scan-Ergebnisse für das Verinice-ISM Plugin eine zentrale Rolle. Über die Notizen werden in verinice Objekte zu Schwachstellen für die Bearbeitung angelegt. Gibt es zu einem Scan-Task keine Notizen, so werden lediglich die Assets übernommen sowie der Gesamt Schwachstellen-Bericht. Ausschließlich solche Schwachstellen die mit einer Notiz versehen sind werden in verinice auch als Schwachstelle übernommen. Damit können Sie den Import feingranular steuern. Anschließend müssen Sie Ihren Bericht als Verinice ISM-Report speichern. Sie erhalten eine.vna Datei. Hierbei handelt es sich um ein ZIP-Archiv mit den Daten des GSM-Scans. Starten Sie für den Import Verinice. Ö nen Sie ein Verinice die ISM Perspektive. Importieren Sie den Katalog Implementierungshilfe für ISO Erzeugen Sie Ihre Organisation. Anschließend sieht Ihre Arbeitsfläche ähnlich wie in Abbildung Verinice bietet eine ISM Perspektive. aus. 1 ANCOR ( ist ein Analyse und Korrelationswerkzeug. 160 Kapitel 19. Kopplung/Integration mit weiteren Systemen

167 Abb. 19.1: Verinice bietet eine ISM Perspektive. Import des ISM-Scans Wählen Sie in der verinice Oberfläche die Import-Funktion im Informationssicherheitsmodell aus. Abb. 19.2: Der Import-Button befindet sich im Fenster Informationssicherheitsmodell. Wählen Sie nun Ihren ISM-Report aus. Die restlichen Parameter können auf ihren Default- Einstellungen verbleiben. Die Ergebnisse des ISM-Reports wurden importiert und können in den Verinice ausgeklappt werden. Dabei wurden nur die Ergebnisse importiert, die im GSM-Bericht mit Notizen versehen wurden. Der Prozess zur Verfolgung von Schwachstellen für die importierte Organisation gliedert sich in zwei Unterprozesse: Erzeugung von Aufgaben Beheben von Schwachstellen Erzeugung von Aufgaben Vor dem Erzeugen von Aufgaben müssen die Daten in der Organisation mit den folgenden Schritten vorbereitet werden: Verinice 161

168 Abb. 19.3: Wählen Sie im Dialog Ihren Report aus. Abb. 19.4: Über das Setzen der Notizen können Sie den Import der Schwachstellen steuern. Nach dem ersten Import einer Organisation, muss diese aus der Gruppe der importierten Objekte auf die oberste Ebene verschoben werden. Schneiden Sie dazu die Organisation aus und fügen Sie diese auf der höchsten Ebene wieder ein. Die Assets und Controls müssen gruppiert werden. Wählen Sie im Kontextmenü der obersten Asset- und Control-Gruppe die Funktion Gruppiere mit Tags... aus. In der Abbildung Die Assets wurden bereits gruppiert. wurde dies bereits für die Assets durchgeführt. Allen Asset-Gruppen muss eine verantwortliche Person zugewiesen werden. Verknüpfen Sie dazu eine Person mit einer oder mehreren Asset-Gruppen. Hierzu legen Sie die Personen an und verknüpfen diese mit Drag&Drop. Die erfolgreiche Verknüpfung wird im Fenster Relations angezeigt. Nachdem allen Asset-Gruppen eine verantwortliche Person zugeordnet wurde, kann über das Kontextmenü der Organisation der Prozess zum Beheben von Schwachstellen gestartet werden. Wählen Sie aus dem Kontextmenü einer Organisation Aufgaben Greenbone: Start Schwachstellenverfolgung. Zuerst wird geprüft, ob allen Asset-Gruppen eine Person zugeordnet und ob Assets und Controls gruppiert sind. Das Ergebnis der Überprüfung wird in einem Dialog angezeigt. Der Benutzer kann fortfahren und Aufgaben erzeugen oder die Erzeugung abbrechen. 162 Kapitel 19. Kopplung/Integration mit weiteren Systemen

169 Abb. 19.5: Die importierte Organisation muss auf die höchsten Ebene verschoben werden. Abb. 19.6: Die Assets wurden bereits gruppiert. Beheben von Schwachstellen Die erzeugten Aufgaben können mit Hilfe des Aufgaben-Views oder des Webfrontends in der Version verinice.pro (unter: ISO Aufgaben) bearbeitet werden. Die Aufgabe zum Beheben von Schwachstellen hat den Titel Schwachstellen beheben. Eine Aufgabe enthält Controls, Szenarios und Assets, die mit einer Control-Gruppe verknüpft sind und zu einer verantwortlichen Person gehören. Dieser Vorgang erfolgt nun in den folgenden Schritten: Die verantwortliche Person muss nun die Schwachstelle für alle Assets beheben. Wenn der Termin für die Aufgabe Schwachstellen beheben abläuft, wird per eine Erinnerung an die verantwortliche Person verschickt. Nach Abschluss einer Aufgabe mit dem Titel Schwachstellen beheben, werden alle Verknüpfungen zwischen Assets und Szenarios, die einer Aufgabe zugeordnet waren, gelöscht. Ein Control wird als umgesetzt markiert, wenn dem Szenario keine Assets mehr zugeordnet sind. Abb. 19.7: Die Verknüpfungen einzelner Objekte lassen sich im Relations Fenster nachkontrollieren Verinice 163

170 Wenn noch andere Verknüpfungen zu Assets bestehen, wird der Status eines Controls als teilweise markiert. Anschließend wird der Prozess beendet IT-Grundschutz Greenbone stellt sowohl eine spezielle Scankonfiguration (IT-Grundschutz-Scan inkl. Discovery für verinice) als auch ein IT-Grundschutz-Report-Plugin unter zur Verfügung, welches den Export der Berichte in einem für Verinice geeigneten Format erlaubt. Für die optimalen Ergebnisse müssen Sie sowohl die Scan-Konfiguration importieren als auch das Report-Plugin importieren, verifizieren und anschließend aktivieren (siehe auch Abschnitt Import weiterer Report Plugins). Für die optimalen Ergebnisse im Scan, ist es hilfreich, einen authentifizierten Scan durchzuführen (siehe Abschnitt Authentifizierter Scan). Sobald der Scan abgeschlossen ist, exportieren Sie den Bericht im Verinice ITG Format. Sie erhalten eine Datei mit der Endung.vna. Hierbei handelt es sich um ein ZIP-Archiv, in dem die Ergebnisse des Scans gespeichert wurden. Diese Datei kann direkt von Verinice geladen werden. Im Folgenden verwenden wir für die Übersichtlichkeit einen Scan, in dem nur ein Host gescannt wurde. Ö nen Sie Verinice und wechseln Sie in die BSI-Grundschutz Startperspektive (Abbildung Verinice ö net den bereits modellierten IT-Verbund.). Falls Sie noch keinen IT-Verbund angelegt haben, ist die mittlere Sicht noch leer. Abb. 19.8: Verinice ö net den bereits modellierten IT-Verbund. 164 Kapitel 19. Kopplung/Integration mit weiteren Systemen

171 Import des ITG-Scans Wählen Sie in der verinice Oberfläche die Import-Funktion im Grundschutz-Modell aus. Abb. 19.9: Der Import-Button befindet sich im Fenster BSI-Modell. Wählen Sie nun Ihren ITG-Report aus. Die restlichen Parameter können auf ihren Default- Einstellungen verbleiben. Abb : Wählen Sie im Dialog Ihren Report aus. Die Ergebnisse des ITG-Reports wurden importiert und können in den Verinice ausgeklappt werden. Abb : Die importierten Daten können in Verinice ausgeklappt werden. Die importierten Objekte sind nach ihrem Ziel im GSM oder ihrer IP-Adresse benannt. Jedes der importierten Objekte besitzt ein Tochterobjekt GSM result mit den Maßnahmenergebnissen des Scans. Nun können Sie die IT-Grundschutz-Module hinzugefügt werden. Dazu wählen Sie den Server mit einem Rechts-Mausklick aus. Im Kontext-Menü wählen Sie Greenbone: Bausteine automatisch Verinice 165

172 Abb : Die IT-Grundschutzbausteine können nun automatisch gewählt werden. zuordnen. Verinice wird nun auf Grund der von dem GSM gesetzten Tags automatisch die richtigen Bausteine für Modellierung des Systems auswählen. Nun können Sie die Ergebnisse des Scans auf den Maßnahmenkatalog übertragen. Hierzu markieren Sie das Server-Objekt und rufen im Kontextmenü die Funktion Greenbone. Automatischer Basis-Sicherheitscheck auf Nagios Nagios kann die Scan-Ergebnisse in seine Monitoring-Aufgaben als weitere Prüfung integrieren. Es findet dabei eine automatische Zuordnung der gescannten Systeme zu den überwachten Systemen statt. Damit stehen letztendlich die Scan-Ergebnisse auch den Alarmierungsregeln und sonstigen Abläufen von Nagios zur Verfügung. Bei der Kopplung von Nagios mit GSM übernimmt Nagios die Steuerungsfunktion. Nagios ermittelt regelmäßig selbständig die neuesten Scan-Ergebnisse vom Greenbone Security Manager. Dies erfolgt über ein Nagios-Plugin welches von Greenbone unter zur Verfügung gestellt wird. Im Folgenden finden Sie eine exemplarische Schritt-für-Schritt Anleitung für die Anbindung des GSM an Nagios im Rahmen des Open Monitoring Distribution 2 (OMD) Installation des Plugins Greenbone stellt das check_omp Nagios Plugin unter zur Verfügung. Für die Analyse des Quelltexts ist unter auch dieser einsehbar. Laden Sie das Plugin auf Ihrem Monitoring System herunter und machen Sie es ausführbar: omd-host :~# wget -q omd-host :~# chmod 755 check_omp omd-host :~#./check_omp --version Check-OMP Nagios Command Plugin 1.3+ beta3 Copyright (C) 2013 Greenbone Networks GmbH License GPLv2+: GNU GPL version 2 or later This is free software : you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. Dieses Plugin kopieren Sie nun nach /opt/omd/sites/site/local/lib/nagios/plugins/ Konfiguration des GSM-Nutzers Das Plugin benötigt für den Zugri einen Benutzer, der Eigentümer der zu prüfenden Tasks ist. Außerdem muss ein Netzwerkzugri via OMP auf die GSM Appliance möglich sein. Der OMP-Zugang muss Kapitel 19. Kopplung/Integration mit weiteren Systemen

173 Abb : Die Konfiguration erfolgt am Beispiel einer leeren Beispiel-Site. daher im GOS-Admin-Menü oder über die Kommandozeile freigeschaltet werden (siehe Abschnitt Aktivieren des OMP Protokolls und OpenVAS Management Protocol (OMP)). Dieser Benutzer muss nun die entsprechenden Tasks erzeugen. Diese sollten als geplante Tasks regelmäßig ausgeführt werden Konfiguration des Plugins Prüfen Sie zunächst, ob das Plugin den GSM über das Netzwerk erreichen kann, OMP aktiviert wurde und der Benutzer richtig angelegt wurde. Ersetzen Sie im folgenden Aufruf die IP-Adresse durch die Adresse Ihres GSM und geben Sie den Benutzernamen und das Kennwort ein, welches Sie angelegt haben. omd-host# /opt/omd/sites/<site>/local/lib/nagios/plugins/check_omp -H u omd -w pas OMP OK: Alive and kicking! Prüfen Sie anschließend, ob Sie auch Zugri auf die Daten haben. Dies geschieht am einfachsten auf der Kommandozeile: omd-host# /opt/omd/sites/<site>/local/lib/nagios/plugins/check_omp -H u omd -w pas OMP CRITICAL: 4 vulnerabilities found - High : 1 Medium : 1 Low : 2 High=1 Medium=1 Low=2 Sofern diese Tests erfolgreich waren, können Sie den Check in OMD über das Web- Administrationsfrontend WATO einbauen. Wechseln Sie hierzu auf die Weboberfläche Multisite für Ihre OMD-Site (siehe Abbildung Die Konfiguration erfolgt am Beispiel einer leeren Beispiel-Site.). Legen Sie zunächst einen Host-Tag (Abbildung Der Host-Tag kennzeichnet die Rechner, die von dem GSM überwacht werden.) an. Dieser kennzeichnet die Hosts, die auch von der GSM Appliance gescannt werden. Hierzu rufen Sie im linken Menü die Host Tag auf und erzeugen hier einen neuen Tag. Nun erstellen Sie eine neue Regel (Abbildung Diese Regel prüft für jeden Host mit dem Tag Monitored by GSM den Status im GSM.), die den Host-Tag auswertet. Hierzu wechseln Sie im linken Menü in Host & Service Parameters. Wählen Sie hier Active Checks. Im nächsten Menü wählen Sie Classical Active and Passive Nagios Checks. Dann erzeugen Sie eine neue Regel (Abbildung Diese Regel prüft für jeden Host mit dem Tag Monitored by GSM den Status im GSM.) im aktuel Nagios 167

174 Abb : Der Host-Tag kennzeichnet die Rechner, die von dem GSM überwacht werden. len Ordner (Create Rule in Folder Main Directory). Achten Sie hierbei darauf, den folgenden Aufruf zu verwenden: $USER2$/check_omp -H <gsm -ip > -u <user > -w < password > -- status -T <report > --last -report - Nun müssen Sie noch den Host anlegen bzw. so anpassen, dass er über das entsprechende Host-Tag verfügt (siehe Abbildung Jeder von dem GSM gescannte Host muss nun das Tag erhalten.). Nachdem Sie die Änderungen in der Multisite aktiviert haben (Activate Changes) stehen die Status-Informationen in der grafischen Oberfläche zur Verfügung. Damit der Benutzername und das Kennwort nicht in der grafischen Oberfläche angezeigt werden, können diese in der Datei /opt/omd/sites/site/etc/nagios/resource.cfg als Variablen hinterlegt werden: ############################################ # OMD settings, please use them to make your config # portable, but dont change them $USER1$=/omd/sites/produktiv/lib/nagios/plugins $USER2$=/omd/sites/produktiv/local/lib/nagios/plugins $USER3$=produktiv $USER4$=/omd/sites/produktiv ############################################ # set your own macros here: $USER5$=omd $USER6$=kennwort Nun können Sie den Benutzernamen und das Kennwort in WATO durch die Variablen USER5 bzw. USER6 ersetzen Sourcefire Defence Center Das Sourcefire Intrusion Prevention System (IPS) ist eine der führenden Lösungen für die Einbruchserkennung und -abwehr in Rechnernetzen. Als Network Intrusion Detection System (NIDS) hat es die Aufgabe, Angri e gegen das Netz zu erkennen, zu melden und abzuwehren. Das Sourcefire IPS benötigt für eine korrekte Erkennung und Zuordnung der Angri e möglichst exakte Informationen über die im Netz vorhandenen Systeme, dort installierte Applikationen sowie deren mögliche Schwachstellen. Hierzu hält das Sourcefire System eine eigene Asset-Datenbank vor, die über den GSM mit Informationen ergänzt werden kann. Außerdem kann das Sourcefire System bei Verdachtsmomenten einen automatischen Scan anstoßen. Es existieren zwei Kopplungsmethoden: 168 Kapitel 19. Kopplung/Integration mit weiteren Systemen

175 Abb : Diese Regel prüft für jeden Host mit dem Tag Monitored by GSM den Status im GSM. 1. Automatischer Daten-Transfer von GSM nach NIDS/IPS Sind GSM und NIDS/IPS entsprechend konfiguriert, so ist der Datentransfer von GSM nach NIDS/IPS so einfach nutzbar, wie jede andere Alert-Funktionalität beim GSM. Nach Abschluss eines Scans wird entsprechend der gewünschten Kriterien das Scan-Ergebnis als Alert automatisch an das NIDS/IPS übertragen. Läßt man diesen Scan-Auftrag jede Woche automatisch ausführen, erhält man ein vollautomatisiertes Melde- und Optimierungssystem. 2. Aktive Steuerung des GSM durch NIDS/IPS Beim Betrieb des NIDS/IPS können Verdachtsmomente zu Systemen mit besonderer Gefährdung entstehen. Das NIDS/IPS kann in einem solchen Fall den GSM anweisen, das System zu überprüfen 3. Um diese Kopplung in den Varianten 1 oder 2 zu nutzen, muss sowohl das GSM als auch das Sourcefire Defense Center vorbereitet werden. Auf dem GSM müssen Sie ein Report Plugin installieren und auf dem Defense Center müssen Sie die Annahme der Daten erlauben Installation des Report Export Plugins Das Report Plugin erhalten sie auf der Greenbone Webseite unter Laden Sie das Plugin herunter und installieren Sie es in dem GSM. Denken Sie daran, nach dem Import das Plugin zu verifizieren und zu 3 Diese Steuerung existiert im Moment noch nicht als fertige Remediation für das Sourcefire System, kann jedoch via OMP realisiert werden (siehe Kapitel chapter OpenVAS Management Protokoll (OMP)) Sourcefire Defence Center 169

176 Abb : Jeder von dem GSM gescannte Host muss nun das Tag erhalten. aktivieren (siehe Abschnitt Import weiterer Report Plugins) Konfiguration des Host-Input-API-Clients Melden Sie sich auf Ihrem Sourcefire Defense Center an und erzeugen Sie einen Host- Input-Client. Die Host-Input-API ist die Schnittstelle, über die das Defense Center Daten für seine Asset Datenbank von anderen Anwendungen annimmt. Sie finden diese Funktion in der Weboberfläche des Defense Centers unter System->Local->Registration. Dort wechseln Sie zur Registerkarte Host Input Client. Hier legen Sie die GSM-Appliance an. Wichtig ist, dass Sie hier die IP-Adresse der Appliance eintragen, mit der sich die Appliance mit dem Defense Center verbindet. Diese Verbindung ist TLS-verschlüsselt. Das Defense-Center erzeugt automatisch einen privaten Schlüssel und ein Zertifikat. In dem Zertifikat wird die angegebene IP-Adresse als Common Name eingetragen und bei dem Verbindungsaufbau des Clients geprüft. Wenn der Client eine andere IP-Adresse nutzt, schlägt die Verbindung fehl. Abb : Der GSM-Status wird nun in der Multisite angezeigt. 170 Kapitel 19. Kopplung/Integration mit weiteren Systemen

177 Abb : Das Report Plugin bereitet die Daten für Sourcefire auf. Abb : Der GSM muss in dem Defense Center angelegt werden. Die erzeugte PKCS12-Datei wird optional mit einem Kennwort gesichert. Anschließend wird das Zertifikat und der Schlüssel erzeugt und als PKCS12-Datei zum Download angeboten. Laden Sie diese Datei herunter Konfiguration des Alerts auf dem GSM Nun müssen Sie auf dem GSM einen entsprechenden Alerts einrichten. Hierzu wechseln Sie auf Configuration/Alerts. Geben Sie hier die Daten des Sourcefire-Systems und die PKCS12-Datei an. Wenn Sie bei der Erzeugung des Clients ein Kennwort angegeben haben, müssen Sie die PKCS12-Datei vor dem Laden auf dem GSM entschlüsseln. Hierzu können Sie unter Linux das folgende Kommando nutzen: $ openssl pkcs12 -in encrypted.pkcs12 -nodes -out decrypted.pcks12 Enter Import Password : password MAC verified OK $ Sourcefire Defence Center 171

178 Abb : Die erzeugte PKCS12 Datei muss heruntergeladen werden. Abb : Die PKCS12-Datei nutzt der Connector zur Authentifizierung. 172 Kapitel 19. Kopplung/Integration mit weiteren Systemen

179 KAPITEL 20 OpenVAS Scanner Protokoll Das OpenVAS Scanner Protocol (OSP) ist eine XML-basierte zustandlose Request-Response API die eine einheitliche Abstraktion für Schwachstellen-Scanner bietet. Der Greenbone Security Manager ist in der Lage OSP-Scanner bruchfrei in das Schwachstellenmanagement zu integrieren. OSP-Scanner werden alle auf die gleiche Weise gesteuert und die Ergebnisse sind in der Datenbank in ein und derselben Struktur abgelegt. Es kann eine beliebige Zahl gleicher oder verschiedener OSP-Scanner angebunden werden. Der Begri Schwachstellen-Scanner ist hierbei sehr weit gefasst zu sehen. Es kann sich auch um Abfragen in ein Patch-Management System handeln oder eine reine Asset-Abfrage. Als Result eines Scanners wird lediglich erwartet, dass es sich um Schwachstellen-Details oder um Asset- Informationen handelt. Letzteres können installierte Software-Pakete, o ene Ports, laufende Dienste, TLS-Zertifkate und ähnliches sein Wie man einen OSP Wrapper baut Die OSP Protokoll-Dokumentation ist auf der Greenbone Website verfügbar unter Die Aufgabe: debsecan als OSP-Scanner Im Folgenden stellen wir uns die Aufgabe, das Werkzeug debsecan mit einem OSP Wrapper zu versehen. Dieses Werkzeug ist für Debian GNU/Linux Systeme verfügbar und ermittelt für das System auf dem es ausgeführt wird eine Liste von Schwachstellen zu den installierten Paketen. Es geht dabei über die herrkömmliche Abfrage nach fehlenden Updates hinaus und holt sich über eine Online-Verbindung Informationen zu noch in Bearbeitung befindlichen Schwachstellen. Weitere Details zu diesem Werkzeug finden such auf der debsecan Homepage: Für die Ausführung von debsecan reichen einfache Anwender-Privilegen aus: $ debsecan CVE chromium (remotely exploitable, high urgency) CVE chromium (remotely exploitable, medium urgency) CVE chromium (remotely exploitable, medium urgency) TEMP EA424A libbluray1 CVE libelf1 (remotely exploitable, medium urgency) CVE libmagickcore5 CVE libmagickcore5 CVE libmagickcore5 CVE libmagickcore5 TEMP FC21E libmagickcore5 (low urgency) 173

180 TEMP C079F libmagickcore5 TEMP EEF23C libmagickcore5 (low urgency) TEMP FDAC72 libmagickcore5 TEMP EB6CF libmagickcore5 CVE libpolkit-gobject-1-0 (low urgency) CVE libstdc dev (low urgency) CVE libstdc dev... Wie man sieht sind viele Schwachstellen schon direkt mit einer CVE verknüpft. Diese Scan- Informationen wollen wir nun OpenVAS zugängig machen Die Basis: ospd OSP it letztlich nur eine Spezifikation. Man könnte also selbst einen OSP Wrapper in einer beliebigen Programmiersprache entwickeln. Um sofort mit der eigentlichen Anbindung zu starten, kann man aber auch auf das OpenVAS-Modul ospd zurückgreifen. Dies ist in Python geschrieben und stellt eine Basis-Klasse sowie Hilfsfunktionen zur Verfügung. Damit ist die gesamte Service-Funktionalität inklusive TLS-Verschlüsselt bereits fertig. Das aktuelle ospd Paket kann hier heruntergeladen werden: Wir arbeiten mit Version 1.0.0: Und prüfen natürlich die Signatur: $ gpg --verify ospd tar.gz.sig $ tar xzf ospd tar.gz $ cd ospd-1.0.0/ Wir installieren das Paket an einen temporäre Ort: $ mkdir /tmp/osptest $ export PYTHONPATH=/tmp/in/lib/python2.7/site-packages/ Nun wird ospd dorthin installiert: $ python setup.py install --prefix=/tmp/osptest Natürlich führen viele Wege nach Rom. Man kann das Paket auch an andere Orte und auf andere Weise installieren. Wer selbst häufiger mit Python zu tun hat, kann hier gerne den bevorzugten Weg gehen Das Grundgerüst für den neuen OSP Scanner Zunächst legen wir ein passendes Verzeichnis und die zentrale Datei wrapper.py an. Die beiden wichtigsten Elemente dort sind zunächst eine Ableitung des OSPDaemon mit einer fürs erste sehr einfachen Selbstauskunft ( OSPDdebsecan ) sowie die Hauproutine für den Service selbst ( main ). $ mkdir -p debsecan/ospd_debsecan $ cd debsecan/ospd_debsecan $ gvim wrapper.py 174 Kapitel 20. OpenVAS Scanner Protokoll

181 from ospd.ospd import OSPDaemon from ospd.misc import main as daemon_main from ospd_debsecan import version class OSPDdebsecan(OSPDaemon): """ Class for ospd-debsecan daemon. """ def init (self, certfile, keyfile, cafile): """ Initializes the ospd-debsecan daemon s internal data. """ super(ospddebsecan, self). init (certfile=certfile, keyfile=keyfile, cafile=cafile) self.server_version = version self.scanner_info[ name ] = debsecan def check(self): """ Checks that debsecan command line tool is found and is executable. """ return True def main(): """ OSP debsecan main function. """ daemon_main( OSPD - debsecan wrapper, OSPDdebsecan) Nun komplettieren wir das Gerüst um einen lau ähigen, wenn auch noch sehr dummen Service zu erhalten. Dafür legen wir noch init.py im selben Verzeichnis von wrapper.py an: version = 1.0b1 nd das Steuerungs-Modul für das Paket: debsecan/setup.py: from setuptools import setup from ospd_debsecan import version setup( name= ospd-debsecan, version= version, packages=[ ospd_debsecan ], url= author= OpenVAS Development Team, author_ = info@openvas.org, license= GPLV2+, install_requires=[ ospd==1.0.0 ], ) entry_points={ console_scripts : [ ospd-debsecan=ospd_debsecan.wrapper:main ], }, Damit läßt sich unser neuer Server installieren und starten: $ python setup.py install --prefix=/tmp/osptest Falls noch nicht geschehen, sollte der Pfad für den Server angepasst werden: $ export PATH=$PATH:/tmp/osptest/bin Dann kann der Aufruf direkt erfolgen: $ ospd-debsecan --version OSP Server for debsecan version 1.0b Wie man einen OSP Wrapper baut 175

182 OSP Version: 1.0 Using: OSPd Copyright (C) 2014, 2015 Greenbone Networks GmbH License GPLv2+: GNU GPL version 2 or later This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. Testen wir als nächstes die Server-Funktion und schicken den Server in den Hintergrund, so dass er auf unserem System an Port 2346 auf Anfragen wartet: $ ospd-debsecan -b p 2346 \ -k /tmp/osptest/var/lib/openvas/private/ca/clientkey.pem \ -c /tmp/osptest/var/lib/openvas/ca/clientcert.pem \ --ca-file /tmp/osptest/var/lib/openvas/ca/cacert.pem & Die verwendeten Schlüssel und Zertifikate sind diejenigen die mit dem Tool openvas-mkcert eigentlich für den OpenVAS Scanner erstellt werden. Für unsere Entwicklung verwenden zur Vereinfachung einfach diese anstatt uns ordnungsgemäß ein eigenes Schlüsselpaar auszustellen. Wie man bereits vermuten kann, erfolgt die Authentifizierung bei einem OSP-Server via Klient- Zertifikat. Eine Anmeldung mit einer Kombination von Benutzername und Passwort ist nicht vorgesehen. Mit dem omp Kommandozeilen-Werkzeug des openvas-cli Paketes kontaktieren wir den Server: $ omp -h p use-certs -X "<get_version/>" <get_version_response status_text="ok" status="200"><protocol><version>1.0</versi... Voreingestellt verwendet omp mit use-certs die Standardpfade für die Schlüssel und Zertifikate. Das funktioniert natürlich nur wenn wir in der selben Umgebung des Servers arbeiten. Etwas hübscher und besser lesbar ist die Antwort mit der zusätzlichen Option pretty-print : $ omp -h p use-certs --pretty-print -X "<get_version/>" <get_version_response status_text="ok" status="200"> <protocol> <version>1.0</version> <name>osp</name> </protocol> <daemon> <version>1.0.0</version> <name>ospd</name> </daemon> <scanner> <version>no version</version> <name>debsecan</name> </scanner> </get_version_response> Schauen wir uns das in der OpenVAS Web-Oberfläche an: Über den Menüpunkt Configuration/Scanners wird ein neuer Scanner angelegt, siehe Abbildung Anlegen eines neuen OSP Scanners.. Die Zertifikate sind die gleichen wir beim Start des Servers. Es werden direkt nach Erstellung die Details zum Scanner angezeigti, sie Abbildung Online Rückmeldungstest für den OSP Scanner.. Diese Online Response zeigt uns die schon oben abgefragte Versionsnummer sowie auch einen Parameter: debug_mode ist ein Standardparameter der durch die Basisklasse OSPDaemon mitgeliefert wird. So weit, so gut: Wir haben einen funktionierenden Server. Leider kann er noch nichts von seiner eigentlichen Bestimmung. Das werden wir nun ändern. 176 Kapitel 20. OpenVAS Scanner Protokoll

183 Abb. 20.1: Anlegen eines neuen OSP Scanners. Abb. 20.2: Online Rückmeldungstest für den OSP Scanner Verbindung schaffen zwischen debsecan und OSP Dafür müssen wir eine weitere Methode für die Klasse OSPDaemon definieren, nämlich exec_scan : def exec_scan(self, scan_id, target): """ Starts the debsecan scanner for scan_id scan. """ # run the debsecan command result = subprocess.check_output(["debsecan"]) # parse the output of the debsecan command and create # respective alarms for line in result.split("\n"): words = line.split() if words. len () > 2 and words[0].split("-")[0] == "CVE": self.add_scan_alarm(scan_id, host=target, name=words[0], value=line) Wie oben installieren und starten wir die neue Version und testen danach die Funktion erstmal auf der Kommandozeile: Wie man einen OSP Wrapper baut 177

184 $ omp -h p use-certs --pretty-print \ -X "<start_scan target= localhost ><scanner_params/></start_scan>" <start_scan_response status_text="ok" status="200"> <id>8f48d691-c f-8f31-d8761e1c75e1</id> </start_scan_response> Damit haben wir die ID unseres Scans. Schauen wir die Details dazu an: $ omp -h p use-certs --pretty-print \ -X "<get_scans scan_id= 8f48d691-c f-8f31-d8761e1c75e1 />" <get_scans_response status_text="ok" status="200"> <scan id="8f48d691-c f-8f31-d8761e1c75e1" target="localhost" end_time=" " progress="100" start_time=" "> <results> <result host="localhost" severity="" test_id="" name="cve " type="alarm">cve chromium (remotely exploitable, high urgency)</result> <result host="localhost" severity="" test_id="" name="cve " type="alarm">cve chromium (remotely exploitable, medium urgency)</result> <result host="localhost" severity="" test_id="" name="cve " type="alarm">cve chromium (remotely exploitable, medium urgency)</result> <result host="localhost" severity="" test_id="" name="cve " type="alarm">cve libelf1 (remotely exploitable, medium urgency)</result> <result host="localhost" severity="" test_id="" name="cve " type="alarm">cve libpolkit-gobject-1-0 (low urgency)</result> <result host="localhost" severity="" test_id="" name="cve " type="alarm">cve libstdc dev (low urgency)</result> <result host="localhost" severity="" test_id="" name="cve " type="alarm">cve kdelibs5-plugins (remotely exploitable, low urgency)</result> </results> </scan> </get_scans_response> Das sieht soweit gut aus. Nun ein Scan über die GUI. Dafür brauchen wir zuerst noch eine Scan Configuration für debsecan, auch wenn diese eigentlich leer beibt. Diese wird über das Menü Configuration/Scan Configs neu erstellt, siehe Abbildung Anlegen einer neuen Scan-Konfiguration für den debscan OSP-Scanner.. Abb. 20.3: Anlegen einer neuen Scan-Konfiguration für den debscan OSP-Scanner. Nun den Task erstellen wie in Abbildung Anlegen eines Tasks für den debscan OSP-Scanners.: Und dann auf die übliche Weise den Scan starten und wir erhalten die Ergebnisse wie in Abbilung Ein Scan-Ergebnis eines OSP debscans.. Der Schweregrad der Ergebnisse wird automatisch durch den GSM bestimmt, basierend auf der internen CVE Datenbank Fazit Wir haben mit 40 Zeilen Python-Quelltext eine OSP Scanner-Anbindung gescha en die die CVE- Schwachstellen-Informationen des Werkzeuges debsecan an den Greenbone Security Manager lie- 178 Kapitel 20. OpenVAS Scanner Protokoll

185 Abb. 20.4: Anlegen eines Tasks für den debscan OSP-Scanners. Abb. 20.5: Ein Scan-Ergebnis eines OSP debscans. fern kann. Durch die Verwendung als ganz regulären Task können wir die debsecan-basierten Prüfungen nun mit einer zeitgesteuerten Ausführung versehen, wir können Notizen und Übersteuerungen anlegen, und eben alles was ein vollwertiges Schwachstellen-Management ausmacht. Aber noch ist der OSP-Wrapper für debsecan recht rudimentär. Es fehlen noch Fehlerbehandlungen und wir können durch bessere Aufbereitung noch mehr aus den Scan-Resultaten für den Greenbone Security Manager herausholen. Abseits dieser Erweiterungen ist ein weiteres Ziel erstrebenswert: Der Ausbau des OSP-debsecan zu einem Remote-Scanner. Bisher wird das Zielsystem ignoriert und einfach immer das lokale System geprüft. Doch könnte sich der OSP-Wrapper unter Verwendung von über den GSM konfigurierten Zugangsdaten per SSH auf den genannten Zielsystemen einloggen und den dort installierten debsecan ausführen und die Resultate entsprechend aufbereiten. Damit liessen sich dann ganze Netzwerke prüfen ohne, dass auf jedem System ein ospd-debsecan installiert wäre. Der OSP-Scanner ospdovaldi ist ein Beispiel für einen solchen Remote-Scanner Wie man einen OSP Wrapper baut 179