GFI LANguard Network Security Scanner 3.3. Handbuch. GFI Software Ltd.

Transkript

1 GFI LANguard Network Security Scanner 3.3 Handbuch GFI Software Ltd.

2 Dieses Handbuch wurde von GFI SOFTWARE Ltd. erstellt. GFI SOFTWARE Ltd. Die Informationen in diesem Dokument können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten Firmen, Namen und Daten sind, wenn nicht anders angegeben, rein fiktiv. Ohne vorherige ausdrückliche und schriftliche Zustimmung von GFI Software Ltd. darf das Dokument weder ganz noch teilweise in irgendeiner Form, sei es elektronisch oder mechanisch oder zu irgendeinem Zweck reproduziert bzw. übertragen werden. GFI LANguard ist ein urheberrechtlich geschütztes Produkt von GFI SOFTWARE Ltd GFI SOFTWARE Ltd. Alle Rechte vorbehalten. Version 3.3 Letzte Aktualisierung

3 Inhaltsverzeichnis Einleitung 5 Funktionsweise des GFI LANguard Network Security Scanner...5 Potenzieller Schwachpunkt interne Netzwerk-Sicherheit...5 Patch-Verwaltung...6 Die wichtigsten Funktionen...7 Neue Funktionen des GFI LANguard Network Security Scanner Registrierung von GFI LANguard N.S.S...9 Installation des GFI LANguard Network Security Scanner 11 Systemanforderungen Installationsablauf Erste Schritte: Audits durchführen 13 Einführung in Sicherheits-Audits Durchführen eines Scan-Vorgangs Analyse der Scan-Ergebnisse Zusätzliche Ergebnisse Tipps für den optimalen Einsatz des GFI LANguard N.S.S. 23 Einleitung On-Site Scan Off-Site Scan Vergleich der Scan-Ergebnisse Konfigurierung der Scan-Optionen 25 Einführung in die Verwendung der Scan-Optionen Allgemeine Optionen Optionen für Passwort-Cracks Scan-Optionen Konfigurierung der zu scannenden Ports Optionen für den Sitzungsaufbau Überprüfung auf bekannte Sicherheitslücken Konfigurations-Manager Warnmeldungen 35 Einführung in Warnmeldungen Aktualisierung von Warnmeldungen Verschiedene Arten von Warnmeldungen Zu überprüfende Sicherheitslücken LANS Speichern der Scan-Ergebnisse 43 Einführung Berichterstellung Filtern der Scan-Ergebnisse Erstellen eigener Berichte Beispielbericht Handbuch GFI LANguard N.S.S. Inhaltsverzeichnis i

4 Bericht-Generator 51 Funktion des Bericht-Generators Verteilung und Installation von Patches auf Microsoft-Rechnern 53 Einführung in die Patch-Verteilung Microsoft SUS und GFI LANguard N.S.S Identifizierung fehlender Hot Fixes oder Service Packs Patch-Verteilung unterstütze Produkte Installation von Hot Fixes Installation von Service Packs Installation individueller Patches Wichtige Hinweise zur Patch-Installation Patches ignorieren Durchsuchen von Microsoft-Bulletins Suche nach MS Bulletins Vergleich von Scan-Ergebnissen 65 Warum Ergebnisse vergleichen? Interaktiver Vergleich von Ergebnissen Ergebnis-Vergleich nach einem festen Zeitplan Identifizierung des Betriebssystems 69 Identifizierung des Betriebssystems Fingerprint-Dateien LANS: LANguard Scripting 73 Was ist LANS? LANS Syntax Erstellung eines LANS-Skripts Netzwerk-Funktionen Lookup-Funktionen SNMP-Funktionen String-Funktionen Konvertierungen Registry-Funktionen Weitere Funktionen Zukünftige Einsatzmöglichkeiten des LANS Urheberrechtliche Hinweise Zusätzliche Tools und Funktionen 99 Einleitung Rechner hinzufügen Rechner entfernen Rechner suchen Rechner anordnen DNS-Lookup WhoIs Client Traceroute SNMP Walk SNMP-Auditing MS SQL Server Audit Aufgelistete Rechner Zusätzliche Scan-Funktionen 105 Zusätzliche Scan-Funktionen ii Inhaltsverzeichnis Handbuch GFI LANguard N.S.S.

5 In Zwischenablage kopieren Informationen erfassen SNMP Walk Adresse auflösen Passwort-Crack (Win9x) Wörterbuch-Angriff Patches verteilen auf -> Neuesten Service Pack verteilen auf -> Individuelle Patches verteilen auf -> Auditing aktivieren auf -> Nachricht verschicken Herunterfahren Syntax der Befehlszeile 109 Steuerung des N.S.S. über die Befehlszeile Allgemeine Hinweise 111 Einleitung Intrusion Detection Software (IDS) Gemeinsame Administration Sicherheits-Software Troubleshooting/Support 113 Wenn Sie Fragen haben Knowledge Base Web-Forum Bugs gefunden? Index 115 Handbuch GFI LANguard N.S.S. Inhaltsverzeichnis iii

6

7 Einleitung Funktionsweise des GFI LANguard Network Security Scanner Der GFI LANguard Network Security Scanner (N.S.S.) ist ein Tool, mit dem sich Sicherheits-Audits von Netzwerken schnell und problemlos durchführen lassen. Der N.S.S. vereint die Funktionen eines Port- Scanners mit den Vorteilen eines Sicherheits-Scanners. Zudem lassen sich Berichte erstellen, mit deren Hilfe Sicherheitsprobleme in einem Netzwerk schneller erkannt und beseitigt werden können. Im Gegensatz zu anderen Sicherheits-Scannern liefert der N.S.S. keine unübersichtliche Flut von Informationen, die mühevoll bewertet und analysiert werden müssen. Stattdessen bietet er eine übersichtliche Aufstellung aller netzwerkrelevanten Informationen. Ferner werden Hyperlinks zu Sicherheits-Sites bereitgestellt, wo sich weitergehende Informationen zu den jeweils festgestellten Sicherheitslücken abrufen lassen. Der N.S.S. ist für den privaten Einsatz als Freeware erhältlich. Potenzieller Schwachpunkt interne Netzwerk-Sicherheit Das Problem der internen Netzwerk-Sicherheit wird in den meisten Fällen von Administratoren nicht genügend beachtet und somit unterschätzt. Oftmals besteht überhaupt kein Schutz gegen Angriffe von innen, sodass es für Benutzer ein Leichtes ist, mit Hilfe von bekannten Exploits, Standardeinstellungen oder des so genannten Social Engineering auf Rechner von Kollegen zuzugreifen. Für den überwiegenden Teil dieser Angriffe ist kein oder nur wenig Fachwissen erforderlich, und die Integrität des Netzwerks kann jederzeit kompromittiert werden. Ein universeller Zugriff auf alle Rechner, Verwaltungsfunktionen, Netzwerk-Geräte u. ä. durch sämtliche Mitarbeiter ist in den meisten Fällen nicht erforderlich und sollte zudem auch nicht ermöglicht werden. Für den normalen Betrieb interner Netzwerke ist jedoch ein hohes Maß an Flexibilität erforderlich, und mit Regeln, die maximale Sicherheit garantieren, wäre die Produktivität zu sehr eingeschränkt. Fehlen jedoch entsprechende Sicherheitsmechanismen, können interne Benutzer zur großen Gefahr für das Intranet werden. Mitarbeiter innerhalb eines Unternehmens haben bereits weitreichenden Zugriff auf viele interne Quellen. Um an vertrauliche Daten im internen Netzwerk zu kommen, müssen sie nicht einmal Firewalls oder andere Sicherheitsbarrieren überwinden, die zum Schutz vor Anfragen aus nicht vertrauenswürdigen externen Quellen (z. B. aus dem Internet) errichtet wurden. Interne Benutzer können mit ein wenig Fachkenntnis sogar an administrative Netzwerk-Rechte für den Fernzugriff gelangen. Dieser Missbrauch bleibt oftmals vollkommen unerkannt oder ist nur sehr schwer als ein solcher zu identifizieren. Handbuch GFI LANguard N.S.S. Einleitung 5

8 Patch-Verwaltung 80% aller Netzwerk-Angriffe werden innerhalb des Firewallgeschützten Bereichs verübt (ComputerWorld, Januar 2002). Eine unzureichende Netzwerk-Sicherheit bedeutet auch, dass beim erfolgreichen Zugriff eines externen Hackers auf nur einen Rechner des Netzwerks auch das übrige interne Netzwerk ohne größere Probleme kontrolliert werden kann. Versierte Angreifer hätten somit die Möglichkeit, vertrauliche s und Dokumente zu lesen, diese zu veröffentlichen oder Rechner unbrauchbar zu machen, indem z. B. wichtige Systemdaten gelöscht werden. Zudem können Ihr Netzwerk und die Netzwerk-Ressourcen auch selbst als Ausgangspunkt für weitere Angriffe auf andere Sites eingesetzt werden. Wird ein solcher Angriff zurückverfolgt, sind nur Sie und Ihr Unternehmen als Verursacher erkennbar, jedoch nicht der Hacker! Die meisten Angriffe erfolgen über bekannte Exploit-Schwachstellen von Netzwerken, die sich problemlos beseitigen lassen. Voraussetzung hierfür ist jedoch, dass der Administrator über die Sicherheitslücken informiert ist. Diese Aufgabe übernimmt der N.S.S. und hilft Administratoren bei der Identifizierung von Gefahrenquellen. Mit GFI LANguard N.S.S. können Patches mühelos und umfassend verwaltet werden. Stellt der GFI LANguard N.S.S. beim Scannen Ihres Netzwerks fest, dass im Betriebssystem und einzelnen Anwendungen Patches und Service Patches fehlen, können diese nach der Überprüfung vom N.S.S. im gesamten Netzwerk verteilt und installiert werden. Mit GFI LANguard N.S.S. lassen sich zur Zeit folgende Applikationen patchen: 1. SQL Server 7 2. SQL Server Microsoft ISA Server 4. Microsoft Exchange 2000 Standard 5. Microsoft Exchange 2000 Enterprise 6. Microsoft Exchange Office XP 8. Office 2000 Developer 9. Office 2000 Premium 10. Office 2000 Small Business 11. Office 2000 Standard 12. Office 2000 mit MultiLanguage Pack Mit GFI LANguard N.S.S. können Sie auch Betriebssystem-Patches verteilen. Es wird jedoch empfohlen, hierfür Microsoft SUS zu verwenden. Patches für nicht englischsprachige Betriebssysteme können nur mit Microsoft SUS verteilt werden! 6 Einleitung Handbuch GFI LANguard N.S.S.

9 Die wichtigsten Funktionen Liste von Angriffspunkten/Zugriffsmöglichkeiten Schädliche Dienste und offene TCP- und UDP-Ports SNMP-Lücken CGI-Schwachstellen Backdoor-User Trojaner oder Backdoor-Software Offene Freigaben Unsichere Netzwerk-Passwörter Offene Auflistung von Benutzern, Diensten etc. Methoden Erfassen von Informationen Identifizierung des Betriebssystems Überprüfung bekannter Sicherheitslücken von Software-Paketen Erkennung aktiver Hosts Warnmeldungen Sofortige Indentifizierung bekannter Sicherheitsprobleme Intelligente Scan-Funktionen Liste von Hot Fixes und Service Packs, die auf NT/2000/XP- Rechnern fehlen Aussagekräftige Ausgabeergebnisse Ausgabe von Ergebnissen im HTML-, XSL- und XML -Format Individuelle Anpassung der Berichte per XSL Zusätzliche Funktionen Überprüfung auf NetBIOS-Schwachstellen unter Windows 95/98/ME SNMP-Auditing MS SQL-Auditing Traceroute-Unterstützung DNS-Lookup WhoIs-Client Remote-Shutdown von Rechnern Überprüfung auf Akzeptanz von Spoofed Messages (unter falscher Identität verschickte Nachrichten; bei Hackern beliebte Social Engineering-Technik) LANS Skript-Sprache, mit der neue Warnmeldungen erstellt werden können Überprüfung des Audit-Status Handbuch GFI LANguard N.S.S. Einleitung 7

10 Weitere Funktionen der registrierten/kommerziellen Version Regelmäßige Scans nach festem Zeitplan Aktualisierung der Sicherheitswarnungen Verteilen von Hot Fixes und Service Packs an Remote-Rechner Vergleich von Scan-Ergebnissen zur Identifizierung neuer potenzieller Schwachstellen Datenabfrage für XML-Dateien Neue Funktionen des GFI LANguard Network Security Scanner 3.3 In Version 3.3 des GFI LANguard Network Security Scanner steht eine Vielzahl neuer und optimierter Funktionen zur Verfügung. Hierzu zählen unter anderem: Die zusätzliche Unterstützung von Service Packs für internationale Windows-Versionen mit Identifizierung und Installation der SPs Zu den unterstützten Sprachen zählen unter anderem Italienisch, Französisch und Deutsch. Die zusätzliche Unterstützung von Patches/Service Packs für internationale Versionen von Microsoft Office 2000/XP-Suites mit Identifizierung und Installation fehlender Patches. Zu den unterstützten Sprachen zählen unter anderem Italienisch, Französisch und Deutsch. Neuer Bericht zu Rechner-Freigaben Zusätzlicher Support neuer Produkte unter anderem SQL Server, Microsoft ISA Server, Microsoft Exchange Server und Microsoft Office. Neue Warnmeldungen z. B. für den Sendmail-Bug und neue FTP Alerts Support für nicht identifizierbare Patches Bei einigen Patches fehlen Informationen, anhand derer eine Installations- Entscheidung getroffen werden kann. GFI LANguard N.S.S. informiert Sie über diese Patches unter einem neuen Knoten: "Nicht-identifizierbare Patches". Erhöhte Benutzerfreundlichkeit Vor der Patch-Verteilung erhalten Sie Informationen zu Patches, die nur interaktiv installiert werden können, und welche Schritte bei dieser Installation zu beachten sind. Liste zu ignorierender Patches Fügen Sie dieser Liste die IDs nicht benötigter Patches hinzu, damit diese bei den Scans nicht länger als fehlend angezeigt werden. Die notwendigen Einstellungen können Sie problemlos über die entsprechende Option im N.S.S.-Menü vornehmen. Automatischer Download neuester Updates zur Sicherheits- Patch-Identifizierung vom GFI-Server GFI bietet nun eine eigene Version der Datei mssecure.xml, die stets auf dem aktuellsten Stand ist und genauestens überprüfte Informationen enthält. Geplante Scans werden nun von einem Dienst verwaltet, der zum Scannen nicht länger das UI des GFI LANguard N.S.S. benötigt. 8 Einleitung Handbuch GFI LANguard N.S.S.

11 Zusätzlich wurden einzelne Bugs beseitigt und weitere hilfreiche Optionen hinzugefügt. Ausführlichere Informationen zu diesem Bereich finden Sie unter Hilfe > Neuerungen. Dadurch rufen Sie das Modifikationsprotokoll mit allen seit der Version 3.1 durchgeführten Änderungen auf. Registrierung von GFI LANguard N.S.S. Einige Funktionen des GFI LANguard Network Security Scanner 3.3 können nur in der registrierten Version genutzt werden. Die 30 Tage gültige Test-Version des N.S.S. hilft Ihnen, die Funktionen des Programms umfassend kennen zu lernen. Folgende Funktionen stehen nur in der registrierten Version zur Verfügung: Geplante Scans Bericht-Generator Vergleich von Scan-Ergebnissen Verteilung fehlender Hot Fixes an Windows-Rechner Internet-Aktualisierung von Sicherheitswarnungen und Fingerprint- Informationen. Die aktuellen Preise für den N.S.S. stehen zur Verfügung unter: Unter diesem Link finden Sie Angaben zu Volllizenzen und Upgrades von Version 2.0 auf 3.2. Handbuch GFI LANguard N.S.S. Einleitung 9

12

13 Installation des GFI LANguard Network Security Scanner Systemanforderungen Installationsablauf Die Installation des GFI LANguard Network Security Scanner erfordert: Windows 2000/2003 oder Windows XP Internet Explorer 5.1 oder höher. Installierter Client für Microsoft Networks. Während des Scan-Vorgangs darf KEINE persönliche Firewall- Software aktiv sein. Andernfalls könnte diese die Scan-Funktionen des N.S.S. blockieren. 1. Sie starten die Installationsroutine des GFI LANguard Network Security Scanner, indem Sie die Datei lannetscan.exe doppelklicken. Bitte bestätigen Sie, dass Sie den N.S.S. installieren möchten. Der Setup-Assistent wird gestartet. Klicken Sie auf Weiter. 2. Klicken Sie im Dialogfenster der Lizenzvereinbarung auf Ja, um die Lizenzvereinbarung zu akzeptieren und mit der Installation fortzufahren. 3. Wählen Sie das Installationsverzeichnis für den N.S.S. und klicken Sie auf Weiter. Hinweis: GFI LANguard N.S.S. will need approximately 8-10 MB of free hard disk space. 4. Nachdem die Software erfolgreich installiert worden ist, können Sie das Programm über das Start-Menü aufrufen. Handbuch GFI LANguard N.S.S. Installation des GFI LANguard Network Security Scanner 11

14

15 Erste Schritte: Audits durchführen Einführung in Sicherheits-Audits Mit Hilfe eines Netzwerk-Audits können Administratoren mögliche Sicherheitslücken in einem Netzwerk aufdecken. Diese Überprüfung manuell durchzuführen ist sehr zeitaufwändig, da sich viele Arbeitschritte und Aufgaben wiederholen und auf jedem einzelnen Netzwerk-Rechner durchgeführt werden müssen. Mit einem Tool wie dem N.S.S. von GFI können gängige Sicherheitslücken in Ihrem Netzwerk rasch aufgespürt werden. Der N.S.S. setzt auf intelligente Scan-Methoden, dank derer in kürzester Zeit alle Informationen zu Rechnern innerhalb des Scan-Perimeters zusammengetragen werden können. Zu diesen Daten zählen üblicherweise Benutzernamen und Gruppen (die Schadteile einschleusen können, um eine Hintertür zum Netzwerk öffnen) oder auch sämtliche Netzwerk-Freigaben und ähnliche Objekte, die in einer NT- oder Windows 2000-Domäne zu finden sind. Zusätzlich identifiziert der N.S.S. auch andere Sicherheitsschwachstellen wie Konfigurationsprobleme bei FTP-Servern, Exploits auf Microsoft IISund Apache Web-Servern, fehlerhaft konfigurierte NT- Sicherheitsrichtlinien sowie eine Vielzahl anderer potenzieller Gefahrenquellen. Durchführen eines Scan-Vorgangs Der erste Schritt zu Beginn eines Netzwerk-Audits besteht darin, einen Scan der aktuellen Netzwerk-Rechner und -Geräte durchzuführen. So starten Sie einen Netzwerk-Scan: 1. Klicken Sie auf Datei > Neu. 2. Wählen Sie IP-Bereich scannen. 3. Geben Sie Anfangs- und End-Adresse der zu scannenden IPs an. 4. Klicken Sie auf Fertig stellen. 5. Klicken Sie im Hauptfenster auf die Schaltfläche Play [Scan- Vorgang starten]. Handbuch GFI LANguard N.S.S. Erste Schritte: Audits durchführen 13

16 Durchführen eines Scan-Vorgangs Der GFI LANguard Network Security Scanner überprüft nun den gesamten angegebenen IP-Bereich. Zunächst werden sämtliche aktiven Hosts/Computer aufgelistet und nur diese gescannt. Hierfür werden NetBIOS-Probes, ICMP-Ping und SNMP-Anfragen eingesetzt. Reagiert ein Gerät auf einen dieser Tests nicht, geht der N.S.S. davon aus, dass es zum Zeitpunkt der Überprüfung unter keiner bestimmten IP-Adresse erreichbar oder gerade deaktiviert ist. Wenn der N.S.S. sämtliche Geräte überprüfen soll, auch solche, die auf diese Anfragen nicht reagieren, finden Sie alle hierfür notwendigen Einstellungen im Kapitel Konfigurierung der Scan-Optionen Allgemeine Optionen Nicht reagierende Computer hinzufügen. Bitte beachten Sie jedoch den entsprechenden Warnhinweis zur Scan-Dauer, bevor Sie entsprechende Einstellungen vornehmen. Des weiteren stehen folgende Scan-Möglichkeiten zur Verfügung: 1. Einzelrechner scannen o Der Scan-Vorgang wird nur für einen Computer durchgeführt. 2. Rechnerliste scannen o Computer können dieser Liste entweder einzeln hinzugefügt oder über eine Text-Datei importiert werden. Mit einem rechten Mausklick im entsprechenden Fenster öffnet sich ein Menü, über das sich weitere Rechner hinzufügen lassen. 3. Rechner scannen, die Teil einer Netzwerk-Domäne sind o Wenn Sie auf die Schaltfläche Computer auswählen klicken, wird eine Liste aller Workgroups und Domänen angezeigt, die der N.S.S. im Netzwerk finden konnte. Aktivieren Sie das Kästchen neben der Workgroup oder Domäne, die Sie scannen möchten. Sämtliche in dieser Workgroup/Domäne gefundenen Rechner werden vom N.S.S. gescannt. Es ist auch möglich, einzelne Rechner innerhalb dieser Workgroup/Domäne auszuwählen. 14 Erste Schritte: Audits durchführen Handbuch GFI LANguard N.S.S.

17 Analyse der Scan-Ergebnisse Analyse der Ergebnisse Nach jedem Scan-Vorgang werden unter allen vom N.S.S. gefundenen Rechnern verschiedene Knoten aufgeführt. Im linken Fenster werden sämtliche Rechner und Netzwerk-Geräte aufgelistet. Werden diese erweitert, erscheinen verschiedene Knoten mit allen Informationen, die zum jeweiligen Rechner oder dem Netzwerk-Gerät gesammelt werden konnten. Während eines Netzwerk-Scans findet der N.S.S. alle aktiven Netzwerk-Geräte. Eine genaue Identifizierung der Geräte durch den N.S.S. und die Art der abfragbaren Informationen sind abhängig vom Gerätetyp und dem Anfragetyp, auf den das Gerät reagiert. Nach Abschluss des Netzwerk-Scans werden die Informationen wie im obigen Screenshot Analyse der Ergebnisse angezeigt. Je nach identifiziertem Gerät stehen unterschiedliche Informationen zur Verfügung. Zu Demonstrationszwecken beziehen sich alle Scan- Informationen, die im Folgenden betrachtet werden sollen, zum größten Teil auf Daten, die von einem Windows-Rechner gewonnen wurden. IP-Adresse und Name des Netzwerk-Gerätes Als erstes wird die IP-Adresse des Geräts gezeigt, mit dem man arbeitet. Daneben steht der NetBIOS- oder DNS-Name, je nach Gerätetyp. Als letzte Angabe in diesem Bereich wird das Betriebssystem des Rechners angezeigt. Wenn es sich um Windows NT/2000/XP handelt, werden Sie zudem darüber informiert, welches Service Pack installiert ist. NetBIOS-Namen Der erste Knoten unter dem Gerät liefert NetBIOS-Informationen wie Dienste,, aktuell angemeldete Benutzer usw. (Weitere Informationen hierzu finden Sie im Kapitel Zusätzliche Ergebnisse in diesem Handbuch.) Handbuch GFI LANguard N.S.S. Erste Schritte: Audits durchführen 15

18 Vertraute Domänen Ist der Rechner Teil einer Domäne, werden eine oder mehrere vertraute Domänen angezeigt. Bitte stellen Sie sicher, dass die Vertrauensstellungen ordnungsgemäß aufgebaut wurden und dass der Rechner allen aufgeführten Domänen vertraut. Shares Ungeschützte offene Freigaben stellen eine Bedrohung für die Netzwerk-Integrität dar. Administratoren sollten sicher stellen, dass: kein Benutzer anderen Benutzern Zugriff auf die gesamte Festplatte gewährt. ein anonymer/nicht authentifizierter Zugriff auf Freigaben nicht erlaubt ist. Der N.S.S. kann nun nach Freigaben ohne Passwortschutz suchen und ggf. eine Warnmeldung ausgeben. Auto-Start-Ordner oder ähnliche Systemdateien nicht gemeinsam genutzt werden können. Andernfalls hätten Benutzer mit eingeschränkten Zugriffsrechten dennoch die Möglichkeit, Programme auf gesperrten Rechnern ablaufen zu lassen. Diese Warnungen gelten für alle Rechner, aber insbesondere für solche, die wichtig für die Systemintegrität sind, z. B. Public Domain Controller. Wird der Auto-Start-Ordner (oder das Verzeichnis mit dem Auto-Start-Ordner) auf dem PDC vom Administrator für alle Benutzer freigegeben, kann dies schwer wiegende Folgen haben. Mit den entsprechenden Zugriffsrechten können Benutzer problemlos ausführbare Dateien in den Auto-Start-Ordner kopieren, die dann beim nächsten interaktiven Einloggen des Administrators gestartet werden. Hinweis: Wenn Sie den Scan durchführen, während Sie als Administrator angemeldet sind, werden auch die administrativen Freigaben angezeigt, z. B. C$ - default share. Diese Freigaben stehen normalen Benutzern jedoch nicht zur Verfügung. Aufgrund der neuartigen Verbreitung des Klez-Virus und anderer neuer Viren über offene Freigaben sollten alle nicht benötigten Shares deaktiviert werden. Alle anderen Freigaben sollten durch ein Passwort gesichert sein. Benutzer und Gruppen Die nächsten zwei eingeblendeten Knoten geben Aufschluss über lokale Gruppen und Benutzer auf dem Rechner. Überprüfen Sie diesen Bereich um sicher zu stellen, dass es keine zusätzlichen Benutzerkonten gibt und dass das Gäste-Konto deaktiviert ist. Über diese Konten könnten böswillige Benutzer und Gruppen anderen Benutzern eine Hintertür für den Zugriff auf das Netzwerk öffnen! Einige Backdoor-Programme aktivieren das Gäste-Konto und versehen es mit Administrator-Rechten. Daher sollten Sie den Benutzer-Knoten erweitern, um einen Überblick über die Aktivitäten aller Konten und ihrer Rechte zu erhalten. Im Idealfall sollten sich Benutzer nicht über ein lokales Konto anmelden können, sondern nur in einer Domäne oder über ein Active Directory-Konto. 16 Erste Schritte: Audits durchführen Handbuch GFI LANguard N.S.S.

19 Zudem ist es auch noch wichtig zu überprüfen, ob Passwörter eventuell bereits zu lange in Gebrauch sind. Dienste und Prozesse Sämtliche Dienste, die auf den überprüften Rechnern laufen, werden aufgelistet. Es sollten nur tatsächlich benötigte Dienste aktiv sein. Stellen Sie daher sicher, dass alle anderen Dienste deaktiviert sind. Jeder Dienst stellt ein potenzielles Sicherheitsrisiko dar und könnte als Schlupfloch für Hacker dienen. Indem Sie nicht benötigte Dienste beenden oder deaktivieren, kann dieses Risiko automatisch verringert werden. Allgemeine Informationen Allgemeine Informationen zum gescannten Rechner werden unter Netzwerk-Geräte, Laufwerke und Remote-TOD angezeigt. Hinweis: Weitere Informationen zu diesen Bereichen finden Sie unter Zusätzliche Ergebnisse im nächsten Kapitel. Passwort-Richtlinien Der nächste Knoten ist sehr wichtig. Er informiert Sie darüber, ob Ihre Passwort-Richtlinien sicher und auf dem neuesten Stand sind. Beispielsweise können Sie die maximale Gültigkeitsdauer festlegen und die Passwort-Protokollierung aktivieren. Die minimale Passwort- Länge sollte 8 Zeichen betragen. Wenn Sie Windows 2000 verwenden, können Sie mit Hilfe der GPO (Group Policy Objects) im Active Directory eine netzwerkweite Richtlinie für sichere Passwörter erstellen. Registry Dieser Knoten liefert wichtige Informationen zur Remote-Registry. Klicken Sie auf den Knoten Auto-Start um herauszufinden, welche Programme beim Booten des Rechners automatisch gestartet werden. Stellen Sie sicher, dass die automatisch gestarteten Applikationen keine Trojaner oder sogar gültige Programme sind, über die remote auf einen Rechner zugegriffen werden kann (wenn letzteres in Ihrem Netzwerk untersagt ist). Jede Remote Access-Software kann sich u. U. als Backdoor-Schwachstelle herausstellen, die von Hackern ausgenutzt werden kann. Auditing Wenn der überprüfte Rechner mit Windows NT/2000/XP betrieben wird, überprüft der N.S.S., ob die Audit-Funktion aktiviert ist. Die Audit-Funktion sollte auf Windows-Rechnern immer aktiviert sein. Standardmäßig ist dies jedoch nicht der Fall. Nur mit einer aktivierten Audit-Funktion lassen sich Sicherheitsverletzungen erkennen und nachvollziehen. Handbuch GFI LANguard N.S.S. Erste Schritte: Audits durchführen 17

20 Mit Hilfe des N.S.S. können Sie bei einem Scan des Rechners auch das Auditing aktivieren, vorausgesetzt, Sie besitzen Administratorrechte für diesen Rechner. Um die Audit-Funktion zu aktivieren, klicken Sie mit der rechten Maustaste und wählen Sie Auditing aktivieren auf > Diesem Rechner. Daraufhin wird ein Bildschirm wie in der obigen Abbildung eingeblendet. Kreuzen Sie die Ereignisse auf dem Rechner an, die protokolliert werden sollen. Installierte Hot Fixes Der Hot Fixes-Knoten informiert darüber, welche Hot Fixes installiert sind. Bitte vergewissern Sie sich, dass Sie auf Ihren Rechnern alle aktuellen Hot Fixes und Service Packs installiert haben. Es gibt unter Windows scheinbar kein größeres Sicherheitsrisiko als die Vernachlässigung von Betriebssystem-Aktualisierungen durch Hot Fixes und Service Packs. Daher sollten stets die neuesten Patches installiert sein. Offene Ports Der Knoten führt alle offenen Ports auf, die auf dem Rechner gefunden wurden (Port-Scan). Der LANguard Network Security Scanner führt einen selektiven Port-Scan durch. Dabei werden nicht sämtliche TCP- und UDP-Ports gescannt, sondern nur solche, die vom Benutzer angegeben werden. Weitere Informationen zum Festlegen der Ports, die der N.S.S. scannen soll, finden Sie in diesem Handbuch unter Konfigurierung der Scan-Optionen Konfigurierung der zu scannenden Ports. Jeder offene Port steht für einen Dienst/eine Applikation. Ist einer dieser Dienste nur unzureichend vor Missbrauch geschützt, können Hacker ungehindert Zugriff auf diesen Rechner nehmen. Daher ist es wichtig, nicht benötigte Ports zu schließen. Hinweis: Bei Windows Networks sind die Ports 135, 139 und 445 wahrscheinlich offen. In diesem Fall muss Ihre Internet-Firewall die Ports gegen Angriffe von außen schützen. 18 Erste Schritte: Audits durchführen Handbuch GFI LANguard N.S.S.

21 Der N.S.S. zeigt alle entdeckten offenen Ports an, nach denen gemäß den Einstellungen gescannt werden soll. Wird ein Port als ein bekannter Trojaner-Port eingestuft, wird er vom N.S.S. ROT angezeigt. Andernfalls wird er GRÜN dargestellt. Dies zeigt folgender Screenshot: Hinweis: Selbst wenn ein Port als möglicher Trojaner-Port ROT angezeigt wird, heißt dies jedoch nicht, das dort tatsächlich ein Backdoor-Programm installiert ist. Einige gültige Programme öffnen Ports, die auch von bekannten Trojanern missbraucht werden. Ein bekanntes Anti-Virus-Programm nutzt beispielsweise den gleichen Port wie NetBus Backdoor. Daher sollten Sie immer die angegebenen Banner-Informationen kontrollieren und auf den betreffenden Rechnern weitere Prüfungen durchführen. Knoten für Warnmeldungen Der Knoten für Warnmeldungen informiert Sie über bekannte Sicherheitsprobleme und gibt Tipps, wie diese zu beseitigen sind. Zu diesen Sicherheitsgefahren zählen HTTP-Schwachstellen, NetBIOS- Gefahren, Konfigurationsprobleme etc. Warnmitteilungen werden für folgende Bereiche ausgegeben: Fehlende Patches und CGI-Missbrauch, Sicherheitslücken in den Bereichen FTP, DNS, , RPC, bei aktiven Diensten und in der Registry. Auf sonstige allgemeine Gefahrenbereiche und Sicherheitsinformationen wird ebenfalls hingewiesen. Fehlende Patches werden für Windows NT/2000/XP-Rechner eingeblendet, wenn Hot Fixes oder Service Packs fehlen. Über den N.S.S. steht ggf. ein Link zur Microsoft-Seite zur Verfügung, von der der benötigte Patch heruntergeladen werden kann. CGI-Missbrauch informiert Sie über Probleme bei Apache-, Netscape-, IIS- und anderen Web-Servern. Warnungen zu FTP-, DNS-, -, RPC und sonstigen Bereichen bieten Links zu Bugtraq oder anderen Sicherheits-Sites, wo Sie weitere Informationen zu dem vom N.S.S. gefundenen Problem finden. Dienst-Warnungen können verschiedenster Art sein: Sie können sich auf aktuelle Dienste beziehen, die auf dem untersuchten Gerät aktiv sind, oder auch auf bisher ungenutzte Rechner-Konten. Registry-Warnungen werden für Schwachstellen ausgegeben, die zu Beginn des Scans in der Registrierdatenbank eines Windows- Rechners gefunden werden. Hierbei können über entsprechende Links zur Microsoft-Site oder anderen Security-Sites nähere Informationen abgerufen werden, warum die betreffenden Registry- Einträge geändert werden sollten. Informationswarnungen sind Sicherheitsmitteilungen, die in der Datenbank gespeichert werden, und über die der Administrator informiert sein muss; sie beschreiben Sicherheitslücken, die jedoch nur bedingt gefährlich sind. Handbuch GFI LANguard N.S.S. Erste Schritte: Audits durchführen 19