GSM ONE +++ Setup Guide +++ Über dieses Dokument: Diese Anleitung beschreibt die Inbetriebnahme eines Greenbone Security Manager ONE (GSM ONE), einem Produkt der Greenbone Networks GmbH (http://www.greenbone.net). Diese Anleitung bezieht sich auf Greenbone OS 1.7.0 ab Patch Level 21 (1.7.0-21). Bitte kontaktieren Sie den Greenbone Support falls Sie einen GSM ONE mit anderer Versionsnummer haben. Version: 20120521 Copyright 2012 Greenbone Networks GmbH 1/6
Inhaltsverzeichnis 1 Vor Inbetriebnahme zu beachten...3 1.1 Leistungsanforderungen für GSM ONE...3 1.2 Unterstützte Hypervisor...3 1.3 Bereitgestellter GSM ONE...3 1.4 Technische Einschränkungen...3 2 Inbetriebnahme der VM...4 2.1 OVA VM-Abbild importieren und starten...4 2.2 Mögliche Fehlermeldungen und deren Beseitigung...4 3 Inbetriebnahme des GSM ONE...5 4 GSM ONE verwenden...6 5 Erste Schritte...6 Version: 20120521 Copyright 2012 Greenbone Networks GmbH 2/6
1 Vor Inbetriebnahme zu beachten 1.1 Leistungsanforderungen für GSM ONE Im Hypervisor sollten dem GSM ONE folgendes Leistungen zugeordnet werden: Hauptspeicher: mindestens 2 GB, höchstens 4 GB (GSM ONE ist mit nur 1.5GB vorkonfiguriert) Prozessorleistung: Mindestens 2 CPU-Kerne (GSM ONE ist mit nur einem CPU- Kern vorkonfiguriert) 1.2 Unterstützte Hypervisor Der GSM ONE ist mit vielen verschiedenen Hypervisor Produkten lauffähig. Der Greenbone Support hat die folgenden Lösungen aufgenommen. Für andere Hypervisor Produkte kann kein Support geleistet werden. Oracle VirtualBox 4.1 auf GNU/Linux-System Oracle VirtualBox 4.1 auf Windows-Systemen 1.3 Bereitgestellter GSM ONE Der GSM ONE wird individualisiert mit einem Zugangsschlüssel ausgeliefert. Sie sollten das VM-Abbild im OVA-Format vorliegen haben, z.b. als Datei GSM-ONE-1.7.0-21- gsf201199999.ova. Dieses VM-Abbild sollte nicht schon anderweitig in Betrieb genommen worden sein. 1.4 Technische Einschränkungen Die folgenden technischen Einschränkungen sind unbedingt zu beachten um den einwandfreien Betrieb zu Gewährleisten. Jedes GSM ONE VM-Abbild ist mit einem individuellen Zugangsschlüssel versehen. Verwenden Sie niemals 2 GSM ONE mit dem selben Zugangsschlüsssel. Falls mehr als ein VM-Abbild mit dem gleichen Schlüssel aktiviert wird, so kann es zu Wechselwirkungen mit Inkonsistenzen kommen! Für GOS 1.7 gilt: Ändern Sie auf keinen Fall die MAC-Adresse der konfigurierten Netzwerkkarte. Der GSM ONE würde nach Änderung nicht mehr in der Lage eine Netzwerkverbindung aufzubauen. Version: 20120521 Copyright 2012 Greenbone Networks GmbH 3/6
2 Inbetriebnahme der VM 2.1 OVA VM-Abbild importieren und starten 1. VirtualBox starten. 2. VM-Abbild importieren: Die Datei "GSM-ONE-1.7.0-21-gsf201199999.ova" über "Datei" -> "Appliance importieren..." öffnen. Der Dateiname variiert natürlich entsprechend Version und Zugangsschlüssel. 3. Hinweis bei Verwendung von Windows als Host-System: Kontrollieren Sie ob bei Netzwerk noch eth0 steht. Falls ja, dann wurde die automatische Netzwerk-Anpassung nicht ausgeführt. Das passiert z.b. dann wenn der zugeordnete Hauptspeicher als zu hoch bewertet wird. Wählen Sie Ändern, dort wird in so einem Fall dann unten Ungültige Einstellungen erkannt stehen. Wählen Sie System und reduzieren Sie den Hauptspeicher bis er aus dem roten Bereich heraus ist. Bestätigen Sie nun mit OK. Bei Netzwerk sollte nun eth0 von allein auf einen passenden Netzwerk-Controller umspringen. Erst wenn bei Netzwerk nicht mehr eth0 steht, macht ein Start der VM Sinn. 4. VM starten: Das importierte VM-Abbild auswählen und die VM mit dem Befehl "Starten" starten. 2.2 Mögliche Fehlermeldungen und deren Beseitigung [Linux] Falls das VM-Abbild auf einer xfs-partition liegt, erscheint unter Umständen eine Warnung, dass der Host-I/O-Cache aktiviert wurde. Dies ist normal und kann mit "OK" bestätigt werden. [Linux] "Failed to attach the network LUN (VERR_INTNET_FLT_IF_NOT_FOUND ).": Falls die VM keine Netzwerkkarte findet, muss in den Eigenschaften der VM unter "Netzwerk" -> "Adapter 1" der korrekte Adaptertyp gesetzt werden. In der Regel reicht es aus, die Vorgabe durch einen Klick auf "OK" zu übernehmen. [Linux/Windows] "AMD-V is disabled in the BIOS. (VERR_SVM_DISABLED).": Auf dem Host-Rechner ist vermutlich die Option "VT-x/AMD-V" im BIOS deaktiviert. Als Abhilfe kann hier entweder die entsprechende Option im BIOS aktiviert werden oder in den Eigenschaften der VM unter "System" -> "Beschleunigung" die Nutzung von VT-X/AMD-V abgeschaltet werden. Je nach Host-System muss anschließend noch die Anzahl der virtualisierten Prozessoren (unter "System" -> "Prozessor") auf 1 reduziert werden. Version: 20120521 Copyright 2012 Greenbone Networks GmbH 4/6
3 Inbetriebnahme des GSM ONE Achtung: GOS ist unter Umständen mit einem US-Keyboard vorkonfiguriert. Änderung des Keyboards: Starten Sie gos-admin-menu und gehen Sie zu Keyboard Management. 1. Einloggen: Starten Sie die VM und loggen Sie sich als Benutzer admin mit Passwort admin ein. 2. Gehen Sie in das Administrations-Menü: gos-admin-menu 3. Netzwerkkonfiguration einstellen: Der GSM ONE hat ein Netzwerkinterface, eth0 welches mit DHCP vorkonfiguriert ist. Sollten Sie die Netzwerkverbindungen Ihres Hypervisors für die VM so eingerichtet haben, dass der VM kein DHCP angeboten wird, so können die Einstellungen für dem GSM auch manuell eingestellt werden: Gehen Sie in das Menü Network und dort nach ETH. Binden Sie den GSM nun in Ihr Netzwerk ein. Das könnte beispielsweise so aussehen: Default Route: 192.168.110.254 eth0: 192.168.110.2/24 Oder bei Verwendung von DHCP einfach: eth0: dhcp Übernahme der Änderungen erfolgt mit Commit. Falls Sie kein DHCP verwenden, ist eine Einrichtung des DNS-Dienstes sinnvoll: Gehen Sie dafür in das Menü DNS (ein Untermenü von Network ). Beispiel: DNS 1: 192.168.110.10 Übernahme der Änderungen erfolgt mit Commit. 4. Passwort-Änderung GSM-Administrator-Konto admin : Gehen Sie in das Menü User und wählen Sie dort GSM Admin. Folgen Sie den Anweisungen. Die Vergabe von Trivial-Passworten ist nicht möglich, dazu zählt auch das voreingestellte Passwort welches dann nicht mehr verwendbar ist. 5. SSL-Zertifikat einstellen: Die schnellste Methode ist ein selbst-signiertes Zertifikat über das Menü SSL und dort Self-Signed. Das konfigurierte Zertifikat wird bei der Anmeldung angezeigt. Das Administrator-Handbuch des GSM beschreibt die Verwendung regulärer Trust-Center Zertifikate. Version: 20120521 Copyright 2012 Greenbone Networks GmbH 5/6
6. Web-Admin einrichten: Erstellen Sie einen initialen Administrator-Anwender für die Web-Oberfläche über das Menü User und dann Add Web Admin. Später können Sie über die Web-Oberfläche dann weitere Anwender-Konten einrichten. 7. Aktivierung: Geben Sie reboot ein um alle Änderungen zu aktivieren und den GSM damit im Netzwerk einsatzbereit und zugänglich zu machen. 4 GSM ONE verwenden Anmeldung als Admin-Benutzer (wie in Schritt 3 zuvor eingerichtet) über Web-Browser: https://<ip-adresse> Anmeldung für Administration aus der Ferne über SSH ist ebenfalls möglich und erfolgt über: ssh admin@<ip-adresse> Falls Sie DHCP verwenden, so können Sie die IP-Adresse auch nach dem Neustart des GSM via gos-admin-menu abfragen. Wählen Sie dafür im Menü Network, Untermenü ETH das Kommando Show IPs. 5 Erste Schritte Lesen Sie nun GSM: Erste Schritte. Die aktuellste Fassung, auch als PDF, finden Sie hier: http://www.greenbone.net/learningcenter/first_steps.de.html Version: 20120521 Copyright 2012 Greenbone Networks GmbH 6/6