7 Das Greenbone Operating System verwalten

Bemerkung

Dieses Kapitel dokumentiert alle möglichen Menüoptionen.

Allerdings unterstützen nicht alle GSM-Modelle alle Menüoptionen. Um festzustellen, ob ein bestimmtes Feature für das genutzte GSM-Modell verfügbar ist, können die Tabellen in Kapitel 3 genutzt werden.

7.1 Allgemeine Informationen

7.1.1 Greenbone Security Feed (GSF) Subscription-Schlüssel

Beim Kauf eines Greenbone Security Managers (GSM) ist ein eindeutiger Subscription-Schlüssel für den Greenbone Security Feed (GSF) vorinstalliert, um dem GSM Zugriff auf den Greenbone Update Service, auch Greenbone Feed Service genannt, zu ermöglichen. Der Subscription-Schlüssel wird nur für Autorisierungszwecke genutzt, nicht für Abrechnungen oder Verschlüsselungen.

Der Subscription-Schlüssel ist für jeden GSM individuell und kann nicht auf mehr als einer GSM-Appliance installiert sein.

Falls der Subscription-Schlüssel gefährdet wird (z. B. indem er in die Hände Dritter gerät), entsteht dem rechtmäßigen Besitzer des Subscription-Schlüssels kein Schaden. Greenbone Networks deaktiviert den gefährdeten Schlüssel, um eine weitere unberechtigte Nutzung zu vermeiden. Ein Ersatz-Subscription-Schlüssel kann ohne zusätzliche Kosten herausgegeben werden.

Ein Zurücksetzen auf Werkseinstellungen löscht den Subscription-Schlüssel vom GSM und der Subscription-Schlüssel muss neu installiert werden. Falls ein Zurücksetzen geplant ist, sollte der Greenbone Networks Support per E-Mail (support@greenbone.net) kontaktiert werden, um eine Kopie des Subscription-Schlüssels zu erhalten.

7.1.2 Autorisierungskonzept

Der GSM bietet zwei unterschiedliche Level für den Zugriff:

  • Web-Oberfläche – Anwendungsebene
    Die Anwendungsebene ist über die Web-Oberfläche oder das Greenbone Management Protocol (GMP) erreichbar.
  • GOS-Administrationsmenü – Systemebene
    Die Systemebene ist nur über die Konsole oder das Secure Shell Protocol (SSH) erreichbar.

7.1.2.1 Zugriff auf die Anwendungsebene

Die Anwendungsebene ermöglicht den Zugriff auf das Schwachstellenscanning und die Schwachstellenverwaltung und unterstützt die Administration von Benutzern, Gruppen und detaillierten Berechtigungen.

Der Zugriff auf die Anwendungsebene ist entweder über die Web-Oberfläche, auch Greenbone Security Assistant (GSA) genannt, oder mithilfe des Greenbone Management Protocols (GMP) möglich.

Bemerkung

Für die GSM-Modelle GSM 35 und GSM 25V ist kein Zugriff auf die Anwendungsebene möglich. Diese Appliances müssen über einen GSM-Master verwaltet werden.

Nach dem Ausliefern des GSMs durch Greenbone Networks oder nach einem Zurücksetzen auf Werkseinstellungen ist kein Account für die Anwendungsebene auf dem GSM konfiguriert. Es ist notwenig, mindestens einen solchen Account mithilfe der Systemebene zu erstellen.

Bemerkung

Weitere Informationen über die Web-Oberfläche befinden sich in den Kapiteln 8 und 9.

Weitere Informationen über GMP befinden sich in Kapitel 15.

7.1.2.2 Zugriff auf die Systemebene

Die Systemebene ermöglicht den Zugriff auf die Administration des Greenbone Operating Systems (GOS). Nur ein einziger Systemadministrator wird unterstützt. Der Systemadministrator kann Systemdateien nicht direkt verändern, aber das System anweisen, Konfigurationen zu ändern.

GOS wird über eine menübasierte, grafische Oberfläche (GOS-Administrationsmenü) verwaltet. Der Systemadministrator muss nicht zwingend die Befehlszeile (Shell) für Konfigurations- oder Wartungsaufgaben nutzen. Zugriff auf die Shell ist nur für den Support und für die Problemlösung vorgesehen.

Für den Zugriff auf die Systemebene wird entweder ein Konsolenzugriff (seriell, Hypervisor oder Monitor/Tastatur) oder eine SSH-Verbindung benötigt. Um SSH zu nutzen, ist eine Netzwerkverbindung notwendig und der SSH-Dienst muss aktiviert sein (siehe Kapitel 7.2.3.3).

Nach dem Ausliefern des GSMs durch Greenbone Networks oder nach einem Zurücksetzen auf Werkseinstellungen ist ein Standardaccount und -passwort für den Systemadministrator vorkonfiguriert. Während des ersten Setups sollte das Passwort des Systemadministrators geändert werden (siehe Kapitel 7.2.1.1).

7.1.2.2.1 Mithilfe der Konsole auf das GOS-Administrationsmenü zugreifen

Nachdem die Appliance eingeschaltet wurde, bootet sie. Dieser Prozess kann in der Konsole überwacht werden.

_images/boot_gos.png

Abb. 7.1 Eingabeaufforderung der Appliance

Nachdem der Boot-Vorgang abgeschlossen ist, wird eine Eingabeaufforderung angezeigt (siehe Abb. 7.1). Die Standarddaten für den Login sind:

  • Benutzer: admin
  • Passwort: admin

Bemerkung

Während des ersten Setups sollte das Passwort geändert werden (siehe Kapitel 7.2.1.1).

Nach dem Ausliefern des GSMs durch Greenbone Networks oder nach einem Zurücksetzen auf Werkseinstellungen wird ein Setup-Wizard angezeigt, der bei der grundlegenden Konfiguration von GOS behilflich ist. Indem Yes gewählt und Enter gedrückt wird, können alle notwendigen Einstellungen konfiguriert werden. Indem No oder Cancel gewählt und Enter gedrückt wird, wird der Setup-Wizard geschlossen.

7.1.2.2.2 Mithilfe von SSH auf das GOS-Administrationsmenü zugreifen

Bemerkung

Nach dem Ausliefern des GSMs durch Greenbone Networks oder nach einem Zurücksetzen auf Werkseinstellungen ist der SSH-Zugriff möglicherweise deaktiviert und muss erst über die Konsole aktiviert werden (siehe Kapitel 7.2.3.3). Eine Netzwerkverbindung wir ebenfalls für SSH benötigt (siehe Kapitel 7.2.2.2).

Um eine SSH-Verbindung auf Linux-, macOS- oder Unix-ähnlichen Systemen herzustellen, kann die Befehlszeile wie folgt genutzt werden:

$ ssh admin@<gsm>

<gsm> durch die IP-Adresse oder den Domainnamen der GSM-Appliance ersetzen.

Durch Anzeigen des Fingerprints kann der Host-Schlüssel wie folgt verifiziert werden:

  1. GOS-Administrationsmenü starten.

  2. Setup wählen und Enter drücken.

  3. Services wählen und Enter drücken.

  4. SSH wählen und Enter drücken.

  5. Fingerprint wählen und Enter drücken.

    → Der Fingerprint wird im GOS-Administrationsmenü angezeigt.

Um eine SSH-Verbindung auf Microsoft-Windows-Systemen herzustellen, können die Tools PuTTY oder smarTTY genutzt werden. Auf Microsoft Windows Server 2019, Microsoft Windows 10 Build 1809 oder neuer kann die OpenSSH-Client-Komponente installiert werden, um über die Befehlszeile auf SSH zuzugreifen.

7.1.3 Das GOS-Administrationsmenü nutzen


gb_video

Die Schritte zur Nutzung des GOS-Administrationsmenüs, die in den folgenden Kapiteln beschrieben werden, werden kurz in einem Video basierend auf GOS 5.0 erklärt.


Das GOS-Administrationsmenü kann mithilfe einer Tastatur gesteuert werden. Die Pfeiltasten der Tastatur werden genutzt, um die aktuelle Menüauswahl zu ändern. Durch Drücken von Enter wird die momentane Menüauswahl bestätigt und fortgefahren. Durch Drücken von Leerzeichen wird zwischen Auswahlmöglichkeiten gewechselt. Das aktuelle Menü kann durch Drücken von Esc verlassen werden.

Änderungen an der Konfiguration, die im GOS-Administrationsmenü vorgenommen wurden, werden nicht unmittelbar aktiviert. Stattdessen wird die Menüoption Save unterhalb der anderen Optionen hinzugefügt (siehe Abb. 7.2). Die Änderungen treten in Kraft, indem Save gewählt und Enter gedrückt wird.

_images/gos_menu_changes.png

Abb. 7.2 Neue Menüoption zum Speichern ausstehender Änderungen

Falls ein Menü verlassen wird, ohne die ausstehenden Änderungen zu speichern, wird eine Warnung angezeigt (siehe Abb. 7.3). Die Änderungen können gespeichert werden, indem Yes gewählt und Enter gedrückt wird. Falls No gewählt wird, werden die Änderungen verworfen.

_images/gos_menu_discard.png

Abb. 7.3 Speichern ausstehender Änderungen

7.2 Setup-Menü

7.2.1 Benutzer verwalten

Das GOS-Administrationsmenü bietet die Möglichkeit, die Web-Benutzer zu verwalten. Web-Benutzer sind Benutzer der Web-Oberfläche des GSMs.

7.2.1.1 Das Passwort des Systemadministrators ändern

Das Passwort des Systemadministrators kann geändert werden. Dies ist insbesondere bei der ersten Basiskonfiguration wichtig. Die Werkseinstellung ist nicht für eine Produktionsumgebung geeignet. Dass Passwort kann wie folgt geändert werden:

  1. Setup wählen und Enter drücken.

  2. User wählen und Enter drücken.

  3. Password wählen und Enter drücken (siehe Abb. 7.4).

    _images/gos_menu_adminpassword.png

    Abb. 7.4 Öffnen der Benutzerverwaltung

  4. Aktuelles Passwort eingeben und Enter drücken (siehe Abb. 7.5).

    _images/gos_menu_adminpassword2.png

    Abb. 7.5 Das Passwort des Systemadministrators ändern

  5. Neues Passwort eingeben und Enter drücken.

    Bemerkung

    Triviale Passwörter werden abgelehnt. Dies schließt auch das Standardpasswort admin ein.

  6. Neues Passwort wiederholen und Enter drücken.

    Bemerkung

    Die Änderung tritt sofort in Kraft und eine Bestätigung ist nicht notwendig. Es ist nicht möglich, die Änderung rückgängig zu machen.

7.2.1.2 Web-Benutzer verwalten

Bemerkung

Für die GSM-Modelle 35 und GSM 25V gibt es keine Web-Benutzer.

Für diese GSM-Modelle ist dieses Kapitel nicht relevant.

Um den GSM nutzen zu können, muss ein Web-Administrator eingerichtet werden. Dieser Benutzer wird von einigen Dokumenten und Anwendungen als Scanadministrator bezeichnet.

Das Einrichten des ersten Web-Administrators ist nur wie folgt mithilfe des GOS-Administrationsmenüs möglich:

  1. Setup wählen und Enter drücken.

  2. User wählen und Enter drücken.

  3. Users wählen und Enter drücken.

    → Mehrere neue Optionen werden angezeigt (siehe Abb. 7.6).

    _images/gos_menu_webusers.png

    Abb. 7.6 Verwalten der Web-Benutzer

  4. List Users wählen und Enter drücken, um eine Liste aller konfigurierten Web-Benutzer anzeigen zu lassen.

Bemerkung

Es kann mehr als ein Benutzer mit administrativen Rechten eingerichtet werden.

Um die vorhandenen Benutzer zu verändern oder um Benutzer mit weniger Berechtigungen hinzuzufügen, wird die Web-Oberfläche genutzt.

7.2.1.3 Einen Web-Administrator erstellen

Ein neuer Web-Administrator kann wie folgt erstellt werden:

  1. Setup wählen und Enter drücken.

  2. User wählen und Enter drücken.

  3. Users wählen und Enter drücken.

  4. Admin User wählen und Enter drücken.

  5. Benutzernamen und Passwort des Web-Administrators festlegen und Tab drücken (siehe Abb. 7.7).

    _images/gos_menu_newadmin.png

    Abb. 7.7 Erstellen eines neuen Web-Administrators

  1. Enter drücken.

    → Der Web-Administrator wird erstellt und kann mithilfe der Web-Oberfläche bearbeitet werden.

7.2.1.4 Einen Gastbenutzer aktivieren

Um es einem Gast zu ermöglichen, sich ohne Passwort einzuloggen, muss diese Funktion wie folgt aktiviert werden:

  1. Setup wählen und Enter drücken.

  2. User wählen und Enter drücken.

  3. Users wählen und Enter drücken.

  4. Guest User wählen und Enter drücken.

  5. Benutzernamen und Passwort eines vorhandenen Benutzers eingeben und Tab drücken.

  6. Enter drücken.

    → Der Gastbenutzer wird aktiviert und kann sich ohne Passwort in die Web-Oberfläche einloggen (siehe Abb. 7.8).

    _images/gos_menu_guestlogin.png

    Abb. 7.8 Einloggen als Gast ohne Nutzung eines Passworts

7.2.1.5 Einen Super-Administrator erstellen

Ein neuer Super-Administrator kann wie folgt erstellt werden:

  1. Setup wählen und Enter drücken.

  2. User wählen und Enter drücken.

  3. Users wählen und Enter drücken.

  4. Super Admin wählen und Enter drücken.

    → Eine Warnung fordert den Benutzer auf, den Vorgang zu bestätigen (siehe Abb. 7.9).

    _images/gos_menu_superadmin_warning.png

    Abb. 7.9 Warnung beim Erstellen eines neuen Super-Administrators

  5. Yes wählen und Enter drücken.

  6. Benutzernamen und Passwort des Super-Administrators festlegen und Tab drücken.

  7. Enter drücken.

    → Der Super-Administrator wird erstellt und kann mithilfe der Web-Oberfläche bearbeitet werden.

    Bemerkung

    Der Super-Administrator kann nur durch den Super-Administrator selbst bearbeitet werden.

7.2.1.6 Einen Benutzeraccount löschen

Bemerkung

Super-Administratoren können nur wie hier beschrieben gelöscht werden. Das Löschen eines Super-Administrators über die Web-Oberfläche ist nicht möglich.

Ein Web-Benutzer kann wie folgt gelöscht werden:

  1. Setup wählen und Enter drücken.

  2. User wählen und Enter drücken.

  3. Users wählen und Enter drücken.

  4. Delete Account wählen und Enter drücken.

  5. Web-Benutzer, der gelöscht werden soll, wählen und Enter drücken.

    → Eine Nachricht fragt, ob ein Nachfolger gewählt werden soll.

  6. Falls ein Nachfolger gewählt werden soll, Yes wählen und Enter drücken.

  7. Web-Benutzer, der der Nachfolger sein soll, wählen und Enter drücken.

    Bemerkung

    Der Web-Benutzer wird sofort gelöscht.

    Bemerkung

    Der Benutzer, der Feed Import Owner ist, kann nicht gelöscht werden. Zuerst muss ein anderer Feed Import Owner festgelegt oder die Einstellung auf (Unset) geändert werden (siehe Kapitel 7.2.1.9.1).

  8. Durch Drücken von Enter zum vorherigen Menü zurückkehren.

7.2.1.7 Das Benutzerpasswort ändern

Das Passwort eines Web-Benutzers kann wie folgt geändert werden:

  1. Setup wählen und Enter drücken.

  2. User wählen und Enter drücken.

  3. Users wählen und Enter drücken.

  4. Change Password wählen und Enter drücken.

  5. Web-Benutzer, dessen Passwort geändert werden soll, wählen und Enter drücken.

  6. Neues Passwort zweimal eingeben und Tab drücken (siehe Abb. 7.10).

    _images/gos_menu_changepassword.png

    Abb. 7.10 Ändern des Benutzerpassworts

  7. Enter drücken.

7.2.1.8 Die Passwortrichtlinie ändern

Die Anforderungen an Passwörter können wie folgt geändert werden:

  1. Setup wählen und Enter drücken.

  2. User wählen und Enter drücken.

  3. Users wählen und Enter drücken.

  4. Password Policy wählen und Enter drücken.

  5. Length wählen und Enter drücken, um die minimale Länge, die ein Passwort haben muss, festzulegen.

    Username wählen und Enter drücken, um festzulegen, ob Benutzername und Passwort gleich sein dürfen.

    Complex wählen und Enter drücken, um festzulegen, ob ein Passwort mindestens einen Buchstaben, eine Zahl und ein Symbol enthalten muss.

    _images/gos_menu_passwordpolicy.png

    Abb. 7.11 Ändern der Passwortrichtlinie

7.2.1.9 Die Einstellungen für Datenobjekte konfigurieren

Scan-Konfigurationen, Compliance-Richtlinien, Berichtformate und Portlisten von Greenbone Networks (im Folgenden als „Objekte“ bezeichnet) werden über den Feed verteilt. Diese Objekte müssen einem Nutzer, dem Feed Import Owner, gehören.

Die Objekte werden während eines Feed-Updates heruntergeladen und aktualisiert, falls ein Feed Import Owner festgelegt wurde.

Nur der Feed Import Owner, ein Super-Administrator oder Nutzer, die entsprechende Berechtigungen erhalten haben, können Objekte löschen. Wenn die Objekte gelöscht werden, werden sie während des nächsten Feed-Updates erneut heruntergeladen.

Bemerkung

Falls die Objekte im Papierkorb verbleiben, gelten sie noch nicht als gelöscht und werden beim nächsten Feed-Update nicht neu heruntergeladen.

Falls keine Objekte heruntergeladen werden sollen, darf kein Feed Import Owner festgelegt sein.

Der Feed Import Owner, ein Super-Administrator (Standardrolle) und ein Administrator (Standardrolle), welcher aktuell Berechtigungen für die Objekte hat, können anderen Nutzern auch zusätzliche Berechtigungen für die Objekte erteilen (siehe Kapitel 9.4.1.1 oder 9.4.1.2). Normalerweise gilt dies nur für die Standardrollen. Benutzerdefinierten Rollen müssen erst manuell Berechtigungen erteilt werden.

7.2.1.9.1 Den Feed Import Owner ändern

Der Feed Import Owner wird während des ersten Setups des GSMs festgelegt (siehe Kapitel 6 und 5). Jedoch kann der Feed Import Owner auch zu einem späteren Zeitpunkt geändert werden.

Bemerkung

Falls der Feed Import Owner geändert wird, sind die Objekte beim nächsten Import aus dem Feed im Besitz des neuen Feed Import Owners, genauso wie die zugehörigen Berechtigungen für die konfigurierten Rollen. Der vorherige Feed Import Owner ist bis dahin weiterhin Besitzer der Objekte.

Falls der vorherige Feed Import Owner die Objekte entfernt, werden sie während des Feed-Updates importiert und gehen in den Besitz des neuen Feed Import Owners über.

Der Feed Import Owner kann wie folgt geändert werden:

  1. Setup wählen und Enter drücken.

  2. User wählen und Enter drücken.

  3. Users wählen und Enter drücken.

  4. Distributed Data wählen und Enter drücken (siehe Abb. 7.12).

    _images/gos_menu_distr_objects_1.png

    Abb. 7.12 Konfigurieren der Einstellungen für die Datenobjekte

  5. Import Owner wählen und Enter drücken.

  6. Nutzer, der Feed Import Owner sein soll, wählen und Leertaste drücken.

  7. Enter drücken.

Bemerkung

Der Nutzer, der Feed Import Owner ist, kann nicht gelöscht werden (siehe Kapitel 7.2.1.6). Ein anderer Feed Import Owner muss festgelegt oder die Einstellung muss auf (Unset) geändert werden.

7.2.1.9.2 Die Zugriffsrollen festlegen

Standardmäßig haben die Rollen User, Admin und Super Admin Lesezugriff auf die Objekte, d. h. sie können sie auf der Web-Oberfläche sehen und nutzen.

Jedoch können die Rollen, die Lesezugriff auf die Objekte haben sollen, wie folgt ausgewählt werden:

  1. Setup wählen und Enter drücken.

  2. User wählen und Enter drücken.

  3. Users wählen und Enter drücken.

  4. Distributed Data wählen und Enter drücken.

  5. Access Roles wählen und Enter drücken.

  6. Rollen wählen, die in der Lage sein sollen, die Datenobjekte zu sehen und zu nutzen und Leertaste drücken (siehe Abb. 7.13).

    _images/gos_menu_distr_objects_2.png

    Abb. 7.13 Wählen der Rollen, die Datenobjekte nutzen können

  7. Enter drücken.

7.2.2 Die Netzwerkeinstellungen konfigurieren

Bemerkung

Jede Änderung in der Netzwerkkonfiguration muss im Menü gespeichert werden und der GSM muss neu gestartet werden, damit die Änderung voll wirksam ist.

Einige GSM-Modelle (GSM 5400/6500 und GSM 400/450/600/650) haben zwei unterschiedliche Namesräume:

  • Namensraum: Management
    Dieser Namensraum enthält alle Schnittstellen, die für Managementtätigkeiten benötigt werden.
  • Namensraum: Scan1
    Dieser Namensraum enthält alle Schnittstellen, die für Scanzwecke benötigt werden.

Standardmäßig befinden sich alle Schnittstellen im Management-Namensraum. Dies ermöglicht sowohl Management- als auch Scanverkehr über alle Schnittstellen. Sobald mindestens eine Schnittstelle im Scan-Namensraum ist, tritt die Namensraumtrennung in Kraft.

Nur Schnittstellen im Management-Namensraum können Managementverkehr verarbeiten. Dies beinhaltet den Zugriff auf das GOS-Administrationsmenü, die Web-Oberfläche und den Greenbone Feed Server sowie das Konfigurieren der Master-Sensor-Kommunikation.

Schnittstellen im Scan-Namensraum verarbeiten nur Scanverkehr.

Die Namensräume werden getrennt, um nur die Schnittstellen aus dem Scan-Namensraum mit Netzwerken zu verbinden, die vom Internet aus erreichbar sind. Auf diese Weise können Angriffe aus dem Internet die Management-Schnittstellen des GSM nicht erreichen.

Tipp

Die Trennung der Namensräume wird empfohlen.

7.2.2.1 Eine Schnittstelle in einen anderen Namensraum verschieben

Schnittstellen, die in einen anderen Namensraum verschoben werden sollen, können wie folgt gewählt werden:

  1. Setup wählen und Enter drücken.

  2. Network wählen und Enter drücken.

  3. Configure Namespaces wählen und Enter drücken.

  4. Enter drücken.

    Bemerkung

    Schnittstellen im Scan-Namensraum sind mit * gekennzeichnet (siehe Abb. 7.14).

    Schnittstellen im Management-Namensraum sind entsprechend gekennzeichnet.

    _images/gos_menu_switchingnamespace.png

    Abb. 7.14 Verschieben von Schnittstellen in einen anderen Namensraum

  5. Schnittstelle, die verschoben werden soll, wählen und :kbd: Leertaste` drücken.

    Bemerkung

    Es dürfen nicht alle Schnittstellen in den Scan-Namensraum verschoben werden, da sonst der GSM nicht mehr erreichbar ist.

  6. Enter drücken.

7.2.2.2 Netzwerkschnittstellen konfigurieren

Bemerkung

Mindestens eine Netzwerkschnittstelle muss konfiguriert sein, damit über das Netzwerk auf den GSM zugegriffen werden kann. Normalerweise wird der erste Netzwerkadapter eth0 dafür genutzt. Der Administrator muss diese Netzwerkschnittstelle konfigurieren und die Appliance mit dem Netzwerk verbinden.

Auf allen virtuellen Appliances ist die erste Netzwerkschnittstelle über DHCP mit IPv4 vorkonfiguriert.

Netzwerkschnittstellen können wir folgt konfiguriert werden:

  1. Setup wählen und Enter drücken.

  2. Network wählen und Enter drücken.

  3. Namensraum, in dem sich die gewünschte Schnittstelle befindet, wählen und Enter drücken.

  4. Interfaces wählen und Enter drücken.

  5. Gewünschte Schnittstelle wählen und Enter drücken.

    Bemerkung

    Falls es in diesem Namensraum nur eine Schnittstelle gibt, wird die Konfiguration dieser Schnittstelle direkt geöffnet.

    → Die Schnittstelle kann konfiguriert werden (siehe Abb. 7.15).

    _images/gos_menu_configureinterface_1.png

    Abb. 7.15 Konfigurieren der Netzwerkschnittstelle

7.2.2.2.1 Eine statische IP-Adresse festlegen
  1. Gewünschte Schnittstelle wählen (siehe Kapitel 7.2.2.2).

  2. Static IP (für IPv4 oder IPv6) wählen und Enter drücken.

  3. dhcp aus dem Eingabefeld löschen und mit korrekter IP-Adresse, einschließlich Präfixlänge, ersetzen (siehe Abb. 7.16).

    _images/gos_menu_staticip.png

    Abb. 7.16 Eingeben einer statischen IP-Adresse

  4. Enter drücken.

    → Eine Nachricht informiert den Benutzer darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  5. Enter drücken, um die Nachricht zu schließen.

Bemerkung

Die statische IP-Adresse kann deaktiviert werden, indem das Eingabefeld leer gelassen wird.

7.2.2.2.2 Eine Netzwerkschnittstelle so konfigurieren, dass DHCP genutzt wird

Eine Netzwerkschnittstelle kann wie folgt konfiguriert werden, sodass DHCP genutzt wird:

  1. Gewünschte Schnittstelle wählen (siehe Kapitel 7.2.2.2).
  2. DHCP (für IPv4 oder IPv6) wählen und Enter drücken.
7.2.2.2.3 Die Maximum Transmission Unit (MTU) konfigurieren

Bemerkung

Die Konfiguration der MTU ist nur möglich, falls eine statische IP-Adresse konfiguriert ist.

  1. Gewünschte Schnittstelle wählen (siehe Kapitel 7.2.2.2).

  2. MTU (für IPv4 oder IPv6) wählen und Enter drücken.

  3. MTU in das Eingabefeld eingeben.

  4. Enter drücken.

    → Eine Nachricht informiert den Benutzer darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  5. Enter drücken, um die Nachricht zu schließen.

Bemerkung

Falls das Eingabefeld leer gelassen wird, wird der Standardwert eingestellt.

7.2.2.2.4 Das Router-Advertisement für IPv6 nutzen

Falls die Konfiguration von IP-Adressen und das Routing für IPv6 automatisch ablaufen sollen, kann das Router-Advertisement wie folgt aktiviert werden:

  1. Gewünschte Schnittstelle wählen (siehe Kapitel 7.2.2.2).
  2. Router-advertisement wählen und Enter drücken.
7.2.2.2.5 VLANs konfigurieren

Bemerkung

Das Einrichten von VLANs auf virtuellen Appliances ist aktuell nicht möglich. Falls der Hypervisor virtuelle Switches unterstützt, können diese für VLANs genutzt werden.

Eine neue VLAN-Subschnittstellen kann wie folgt erstellt werden:

  1. Gewünschte Schnittstelle wählen (siehe Kapitel 7.2.2.2).

  2. Configure the VLAN interfaces on this interface wählen und Enter drücken.

  3. Configure a new VLAN interface wählen und Enter drücken.

  4. VLAN ID in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.17).

    → Eine Nachricht informiert den Benutzer darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

    _images/gos_menu_vlan_1.png

    Abb. 7.17 Erstellen einer neuen VLAN-Subschnittstelle

  5. Enter drücken, um die Nachricht zu schließen.

    → Die neue Schnittstellen kann mithilfe von IPv4 und IPv6 konfiguriert werden (siehe Abb. 7.18).

Eine erstellte Subschnittstelle kann wie folgt konfiguriert werden:

  1. Gewünschte Schnittstelle wählen (siehe Kapitel 7.2.2.2).

  2. Configure the VLAN interfaces on this interface wählen und Enter drücken.

  3. Configure the VLAN interface … für die gewünschte Subschnittstelle wählen.

  4. Subschnittstelle wie in Kapitel 7.2.2.2 beschrieben konfigurieren.

    _images/gos_menu_vlan_2.png

    Abb. 7.18 Konfigurieren der VLAN-Subschnittstelle

7.2.2.2.6 Die Routen für eine Schnittstelle konfigurieren

Eine neue Route für eine Schnittstelle kann wie folgt konfiguriert werden:

  1. Gewünschte Schnittstelle wählen (siehe Kapitel 7.2.2.2).

  2. Configure the Routes for this interface wählen und Enter drücken.

  3. Configure IPv4 Routes oder Configure IPv6 Routes wählen und Enter drücken (siehe Abb. 7.19).

    _images/gos_menu_routes.png

    Abb. 7.19 Konfigurieren der Routen für eine Schnittstelle

  4. Add a new route wählen und Enter drücken.

  5. Zielnetzwerk und next hop in die Eingabefelder eingeben, OK wählen und Enter drücken.

Alle erstellten Routen können wie folgt konfiguriert werden:

  1. Gewünschte Schnittstelle wählen (siehe Kapitel 7.2.2.2).
  2. Configure the Routes for this interface wählen und Enter drücken.
  3. Configure IPv4 Routes oder Configure IPv6 Routes wählen und Enter drücken.
  4. Gewünschte Route wählen und Enter drücken.
  5. Route bearbeiten, OK wählen und Enter drücken.

7.2.2.3 Den DNS-Server konfigurieren

Um den Feed und Updates zu erhalten, benötigt der GSM einen erreichbaren und funktionierenden DNS-Server (Domain Name System) für die Namensauflösung. Diese Einstellung wird nicht benötigt, falls der GSM einen Proxy zum Herunterladen des Feeds und der Updates verwendet.

Falls DHCP für die Konfiguration der Netzwerkschnittstellen genutzt wird, werden die vom DHCP-Protokoll bereitgestellten DNS-Server genutzt.

Der GSM unterstützt bis zu drei DNS-Server. Mindestens ein DNS-Server wird benötigt. Zusätzliche Server werden nur bei einem Ausfall des ersten Servers genutzt.

Der DNS-Server kann wie folgt konfiguriert werden:

  1. Setup wählen und Enter drücken.

  2. Network wählen und Enter drücken.

  3. Namespace: Management wählen und Enter drücken.

  4. DNS wählen und Enter drücken.

  5. Gewünschten DNS-Server wählen und Enter drücken.

  6. IP-Adresse, die als DNS-Server genutzt wird, in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.20).

    _images/gos_menu_dns.png

    Abb. 7.20 Konfiguration des DNS-Servers

    → Eine Nachricht informiert den Benutzer darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  7. Enter drücken, um die Nachricht zu schließen.

Bemerkung

Ob der DNS-Server erreicht wird und funktioniert, kann ermittelt werden, indem ein Selbstcheck durchgeführt wird (siehe Kapitel 7.3.1).

7.2.2.4 Das globale Gateway konfigurieren

Das globale Gateway wird möglicherweise automatisch mithilfe von DHCP oder vom Router-Advertisements erhalten. Das globale Gateway wird oft auch das Standard-Gateway genannt.

Bemerkung

Falls der GSM so konfiguriert ist, dass er statische IP-Adressen nutzt, muss das globale Gateway manuell konfiguriert werden. Für IPv4 und IPv6 sind separate Optionen verfügbar.

Falls DHCP für das Zuweisen von IP-Adressen genutzt wird, wird das globale Gateway über DHCP bestimmt, sofern es nicht ausdrücklich festgelegt wurde.

Das globale Gateway kann wie folgt konfiguriert werden:

  1. Setup wählen und Enter drücken.

  2. Network wählen und Enter drücken.

  3. Namensraum, für den das globale Gateway konfiguriert werden soll, wählen und Enter drücken.

  4. Global Gateway für IPv4 oder Global Gateway (IPv6) für IPv6 wählen und Enter drücken.

  5. Gewünschte Schnittstellen wählen und Enter drücken (siehe Abb. 7.21).

    _images/gos_menu_globalgateway.png

    Abb. 7.21 Konfigurieren des globalen Gateways

  6. IP-Adresse, die als globales Gateway genutzt wird, in das Eingabefeld eingeben und Enter drücken.

    → Eine Nachricht informiert den Benutzer darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  7. Enter drücken, um die Nachricht zu schließen.

7.2.2.5 Den Hostnamen und den Domainnamen festlegen

Obwohl der GSM keinen speziellen Hostnamen benötigt, ist der Hostname ein wichtiges Element beim Erstellen von Zertifikaten und Senden von E-Mails.

Der Hostname wird zum Konfigurieren des kurzen Hostnamens und der Domainname für das Domainsuffix verwendet. Die Werkseinstellungen sind:

  • Hostname: gsm
  • Domainname: gbuser.net

Der Hostname und der Domainname können wie folgt konfiguriert werden:

  1. Setup wählen und Enter drücken.

  2. Network wählen und Enter drücken.

  3. Namespace: Management wählen und Enter drücken.

  4. Hostname oder Domainname wählen und Enter drücken.

  5. Hostnamen oder Domainnamen in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.22).

    _images/gos_menu_hostname.png

    Abb. 7.22 Festlegen des Hostnamens/Domainnamens

    → Eine Nachricht informiert den Benutzer darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  6. Enter drücken, um die Nachricht zu schließen.

7.2.2.6 Den Managementzugriff beschränken

Die IP-Adresse, auf welcher die Managementschnittstelle verfügbar ist, kann festgelegt werden.

Jeder administrative Zugriff (SSH, HTTPS, GMP) wird auf die entsprechende Schnittstelle beschränkt und ist nicht auf anderen Schnittstellen verfügbar.

Bemerkung

Diese Funktionalität überschneidet sich mit der Namensraumtrennung (siehe Kapitel 7.2.2). Das Trennen der Namensräume wird empfohlen.

Bemerkung

Falls keine IP-Adresse festgelegt wird, ist die Managementschnittstelle auf allen IP-Adressen im Management-Namensraum verfügbar.

Die IP-Adresse für die Managementschnittstelle kann wie folgt festgelegt werden:

  1. Setup wählen und Enter drücken.

  2. Network wählen und Enter drücken.

  3. Namespace: Management wählen und Enter drücken.

  4. Management IP (v4) oder Management IP (v6) wählen und Enter drücken.

  5. IP-Adresse für die Managementschnittstelle in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.23).

    Bemerkung

    Die IP-Adresse muss die IP-Adresse einer der Schnittstellen im Management-Namensraum sein. Falls eine andere IP-Adresse festgelegt wird, ist die Managementschnittstelle nicht verfügbar.

    Es kann entweder die IP-Adresse oder der Name der Schnittstelle (z. B. eth0) eingegeben werden.

    _images/gos_menu_restrictmanagement.png

    Abb. 7.23 Beschränken des Managementzugriffs

7.2.2.7 Die MAC- und die IP-Adressen und die Netzwerkrouten anzeigen

Die genutzten MAC-Adressen, die aktuell konfigurierten IP-Adressen und die Netzwerkrouten des GSMs können in einer einfachen Übersicht angezeigt werden.

Bemerkung

Dies unterstützt nicht die Konfiguration von MAC-Adressen.

Die MAC- und die IP-Adressen der Schnittstellen und die Netzwerkrouten können wie folgt angezeigt werden:

  1. Setup wählen und Enter drücken.

  2. Network wählen und Enter drücken.

  3. Namensraum, für den die IP-Adressen, MAC-Adressen oder Netzwerkrouten angezeigt werden sollen, wählen und Enter drücken.

  4. MAC, IP oder Routes wählen und Enter drücken.

    → Die MAC-/IP-Adressen oder Netzwerkrouten des gewählten Namensraums werden angezeigt (siehe Abb. 7.24).

    _images/gos_menu_mac.png

    Abb. 7.24 Anzeigen der MAC-/IP-Adressen oder Netzwerkrouten

7.2.3 Dienste konfigurieren

Um remote auf die GSM-Appliance zuzugreifen, sind viele Schnittstellen verfügbar:

HTTPS
Die Web-Oberfläche ist die übliche Option für das Erstellen, Ausführen und Analysieren von Schwachstellenscans. Sie ist standardmäßig aktiviert und kann nicht deaktiviert werden.
GMP (Greenbone Management Protocol)

GMP ermöglicht die Kommunikation mit anderen Produkten von Greenbone Networks (z. B. einem zusätzlichen GSM). Es wird für die Master-Sensor-Kommunikation benötigt (siehe Kapitel 16).

Es kann auch für die Kommunikation interner Software mit der Appliance genutzt werden (siehe Kapitel 15).

SSH
SSH ermöglicht den Zugriff auf das GOS-Administrationsmenü des GSMs. Dieser Zugriff ist standardmäßig deaktiviert und muss erst aktiviert werden, z. B. durch das Nutzen der seriellen Konsole. Zusätzlich wird SSH für Feed-Updates vom Greenbone Feed Server und für die Master-Sensor-Kommunikation benötigt (siehe Kapitel 16).
SNMP
SNMP-Lesezugriff des GSMs ist über SNMPv3 möglich (siehe Kapitel 7.2.3.4).

7.2.3.1 HTTPS konfigurieren

7.2.3.1.1 Das Timeout der Web-Oberfläche konfigurieren

Der Wert für das Timeout der Web-Oberfläche kann wie folgt festgelegt werden:

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. HTTPS wählen und Enter drücken.

  4. Timeout wählen und Enter drücken.

  5. Gewünschten Wert für das Timeout in das Eingabefeld eingeben und Enter drücken.

    Bemerkung

    Der Wert kann zwischen 1 und 1440 Minuten (1 Tag) liegen. Der Standard ist 15 Minuten.

    _images/gos_menu_httpstimeout.png

    Abb. 7.25 Festlegen des Timeouts

    → Eine Nachricht informiert den Benutzer darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  6. Enter drücken, um die Nachricht zu schließen.

7.2.3.1.2 Die Verschlüsselungsalgorithmen konfigurieren

Die HTTPS-Verschlüsselungsalgorithmen können konfiguriert werden. Die aktuelle Einstellung erlaubt nur sichere Verschlüsselungsalgorithmen, die mindestens eine Schlüssellänge von 128 Bits nutzen. AES-128-CBC, Camellia-128-CBC und die Verschlüsselungsalgorithmen-Suites, die von SSLv3 und TLSv1.0 genutzt werden, werden ausdrücklich nicht zugelassen.

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. HTTPS wählen und Enter drücken.

  4. Ciphers wählen und Enter drücken.

  5. Gewünschten Wert in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.26).

    Bemerkung

    Die zur Definition der Verschlüsselungsalgorithmen verwendete Zeichenkette wird von GnuTLS validiert und muss der Syntax „GnuTLS Priority Strings“ entsprechen. Weitere Informationen über die Syntax finden sich unter https://gnutls.org/manual/html_node/Priority-Strings.html.

    _images/gos_menu_httpsciphers.png

    Abb. 7.26 Konfigurieren der Verschlüsselungsalgorithmen

    → Eine Nachricht informiert den Benutzer darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  6. Enter drücken, um die Nachricht zu schließen.

7.2.3.1.3 Zertifikate verwalten

Die GSM-Appliance nutzt grundsätzlich zwei Arten von Zertifikaten:

  • Selbstsignierte Zertifikate
  • Von einer externen Zertifizierungsstelle ausgestellte Zertifikate

Alle modernen Betriebssysteme unterstützen das Erstellen und Verwalten eigener Zertifizierungsstellen. Unter Microsoft Windows Server unterstützen die Active-Directory-Zertifikatdienste die Erstellung einer root-Zertifizierungsstelle. Für Linux-Systeme sind mehrere Optionen verfügbar. Eine Option ist im IPSec-Howto beschrieben.

Beim Erstellen und Austauschen von Zertifikaten muss beachtet werden, dass der Administrator vor dem Erstellen des Zertifikats verifiziert, wie später auf die Systeme zugegriffen wird. Die IP-Adresse oder der DNS-Name wird gespeichert, wenn das Zertifikat erstellt wird. Außerdem ist nach dem Erstellen ein Neustart nötig, damit alle Dienste das neue Zertifikat nutzen können. Dies muss beachtet werden, wenn das Zertifikat geändert wird.

Das aktuelle Zertifikat kann wie folgt angezeigt werden:

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. HTTPS wählen und Enter drücken.

  4. Certificate wählen und Enter drücken.

  5. Show wählen und Enter drücken.

    → Das Zertifikat wird angezeigt.

7.2.3.1.3.1 Selbstsignierte Zertifikate

Die Nutzung selbstsignierter Zertifikate ist der einfachste Weg. Es stellt trotzdem die niedrigste Sicherheit und mehr Arbeit für den Benutzer dar:

  • Die Vertrauenswürdigkeit eines selbstsignierten Zertifikats kann nur manuell durch den Benutzer geprüft werden, indem das Zertifikat importiert und sein Fingerprint untersucht wird.
  • Selbstsignierte Zertifikate können nicht widerrufen werden. Sobald sie durch den Benutzer akzeptiert wurden, werden sie dauerhaft im Browser gespeichert. Wenn ein Angreifer Zugriff auf den entsprechenden privaten Schlüssel erhält, kann er einfache Man-in-the-Middle-Angriffe auf die Verbindungen, die durch das Zertifikat geschützt werden, durchführen.

Um ein schnelles Setup zu ermöglichen, unterstützt der GSM selbstsignierte Zertifikate. Für die meisten GSM-Modelle sind solche Zertifikate standardmäßig nicht installiert und müssen vom Administrator erstellt werden. Der GSM ONE enthält bereits ein vorinstalliertes Zertifikat.

Selbstsignierte Zertifikaten können einfach wie folgt erstellt werden:

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. HTTPS wählen und Enter drücken.

  4. Certificate wählen und Enter drücken.

  5. Generate wählen und Enter drücken.

    → Eine Nachricht informiert den Benutzer darüber, dass das aktuelle Zertifikat und der aktuelle private Schlüssel überschrieben werden (siehe Abb. 7.27).

    _images/gos_menu_httpscertificate.png

    Abb. 7.27 Herunterladen des Zertifikats

  6. Yes wählen und Enter drücken, um die Nachricht zu bestätigen.

  7. Einstellungen für das Zertifikat eingeben, OK wählen und Enter drücken.

    → Wenn der Vorgang abgeschlossen ist, informiert eine Nachricht den Benutzer darüber, dass das Zertifikat heruntergeladen werden kann.

  8. Enter drücken, um die Nachricht zu schließen.

  9. Download wählen und Enter drücken.

  10. Webbrowser öffnen und angezeigte URL eingeben.

  11. PEM-Datei herunterladen.

  12. Im GOS-Administrationsmenü Enter drücken.

    → Wenn das Zertifikat vom GSM erhalten wurde, zeigt das GOS-Administrationsmenü den Fingerprint des Zertifikats zur Verifizierung an.

  13. Fingerprint prüfen und Enter drücken, um das Zertifikat zu bestätigen.

    → Um das neue Zertifikat zu aktivieren, ist ein Neustart des GSMs nötig (siehe Kapitel 7.3.9.1).

7.2.3.1.3.2 Zertifikat einer externen Zertifizierungsstelle

Das Nutzen eines Zertifikats, das von einer Zertifizierungsstelle ausgegeben wurde, hat mehrere Vorteile:

  • Alle Clients, die der Zertifizierungsstelle vertrauen, können das Zertifikat direkt verifizieren und eine sichere Verbindung herstellen. Im Browser wird keine Warnung angezeigt.
  • Das Zertifikat kann einfach von der Zertifizierungsstelle widerrufen werden. Falls Clients die Möglichkeit haben, den Zertifikatsstatus zu prüfen, können sie ein Zertifikat ablehnen, welches noch in seinem Gültigkeitszeitraum ist, aber widerrufen wurde.
  • Insbesondere, wenn mehrere Systeme in einer Organisation SSL-/TLS-geschützte Informationen liefern, vereinfacht die Nutzung einer organisatorischen Zertifizierungsstelle die Verwaltung erheblich. Alle Clients müssen einfach der organisatorischen Zertifizierungsstelle vertrauen, um alle von der Zertifizierungsstelle ausgestellten Zertifikate zu akzeptieren.

Zum Importieren eines von einer externen Zertifizierungsstelle ausgestellten Zertifikats gibt es zwei Möglichkeiten:

  • Zertifikatsanforderung (engl. Certificate Signing Request, CSR) auf dem GSM generieren, diese mithilfe einer externen Zertifizierungsstelle signieren und Zertifikat importieren.
  • Zertifikatsanforderung und Zertifikat extern generieren und beides mithilfe einer PKCS#12-Datei importieren.

Das Erstellen einer neuen Zertifikatsanforderung und das Importieren des Zertifikats kann wie folgt durchgeführt werden:

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. HTTPS wählen und Enter drücken.

  4. Certificate wählen und Enter drücken.

  5. CSR wählen und Enter drücken.

    → Eine Nachricht informiert den Benutzer darüber, dass das aktuelle Zertifikat und der aktuelle private Schlüssel überschrieben werden (siehe Abb. 7.28).

    _images/gos_menu_csr.png

    Abb. 7.28 Generieren einer Zertifikatsanforderung

  6. Yes wählen und Enter drücken, um die Nachricht zu bestätigen.

  7. Einstellungen für das Zertifikat eingeben, OK wählen und Enter drücken.

  8. Webbrowser öffnen und angezeigte URL eingeben.

  9. PEM-Datei herunterladen.

    → Das GOS-Administrationsmenü zeigt eine Nachricht, um zu verifizieren, dass die Zertifikatsanforderung nicht gefälscht wurde.

  10. Enter drücken, um die Information zu verifizieren.

  11. Wenn das Zertifikat signiert wurde, Certificate wählen und Enter drücken.

  12. Webbrowser öffnen und angezeigte URL eingeben.

  13. Auf Browse… klicken, das signierte Zertifikat wählen und auf Upload klicken.

    → Wenn das Zertifikat vom GSM erhalten wurde, zeigt das GOS-Administrationsmenü den Fingerprint des Zertifikats zur Verifizierung an.

  14. Fingerprint prüfen und Enter drücken, um das Zertifikat zu bestätigen.

    → Um das neue Zertifikat zu aktivieren, ist ein Neustart des GSMs nötig (siehe Kapitel 7.3.9.1).

Falls bereits ein privater Schlüssel und ein signiertes Zertifikat, die für den GSM genutzt werden sollen, verfügbar sind, können diese importiert werden. Der private Schlüssel und das Zertifikat müssen als PKCS#12-Datei formatiert sein. Die Datei kann mit einem Exportpasswort geschützt werden.

Die PKCS#12-Datei kann wie folgt importiert werden:

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. HTTPS wählen und Enter drücken.

  4. Certificate wählen und Enter drücken.

  5. PKCS#12 wählen und Enter drücken.

    → Eine Nachricht informiert den Benutzer darüber, dass das aktuelle Zertifikat und der aktuelle private Schlüssel überschrieben werden.

  6. Yes wählen und Enter drücken, um die Nachricht zu bestätigen.

  7. Webbrowser öffnen und angezeigte URL eingeben.

  8. Auf Browse… klicken, die PKCS#12-Datei wählen und auf Upload klicken.

    Bemerkung

    Falls ein Exportpasswort zum Schützen der PKCS#12-Datei genutzt wird, muss das Passwort eingegeben werden.

    → Wenn das Zertifikat vom GSM erhalten wurde, zeigt das GOS-Administrationsmenü den Fingerprint des Zertifikats zur Verifizierung an.

  9. Fingerprint prüfen und Enter drücken, um das Zertifikat zu bestätigen.

    → Um das neue Zertifikat zu aktivieren, ist ein Neustart des GSMs nötig (siehe Kapitel 7.3.9.1).

7.2.3.1.4 Fingerprints anzeigen

Die Fingerprints des genutzten Zertifikats können wie folgt geprüft und angezeigt werden:

  1. Setup wählen und Enter drücken.
  2. Services wählen und Enter drücken.
  3. HTTPS wählen und Enter drücken.
  1. Fingerprints wählen und Enter drücken.

    → Die folgenden Fingerprints des aktuell aktiven Zertifikats werden angezeigt:

    • SHA1
    • SHA256
    • BB
    _images/gos_menu_httpsfingerprints.png

    Abb. 7.29 Anzeigen der Fingerprints

7.2.3.2 Das Greenbone Management Protocol (GMP) konfigurieren

Das Greenbone Management Protocol (GMP) kann wie folgt mithilfe des GOS-Administrationsmenüs aktiviert werden:

Bemerkung

Der SSH-Dienst muss aktiviert sein, bevor GMP aktiviert werden kann (siehe Kapitel 7.2.3.3).

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. GMP wählen und Enter drücken.

  4. Enter drücken, um GMP zu aktivieren oder zu deaktivieren (siehe Abb. 7.30).

    → Eine Nachricht informiert den Benutzer darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  5. Enter drücken, um die Nachricht zu schließen.

_images/gos_menu_gmp.png

Abb. 7.30 Aktivieren des GMP

7.2.3.3 SSH konfigurieren

7.2.3.3.1 Den SSH-Zustand aktivieren

Der in den GSM eingebettete SSH-Server kann wie folgt mithilfe des GOS-Administrationsmenüs aktiviert werden:

  1. Setup wählen und Enter drücken.
  2. Services wählen und Enter drücken.
  3. SSH wählen und Enter drücken.
  4. SSH State wählen und Enter drücken, um SSH zu aktivieren.
7.2.3.3.2 Einen Loginschutz aktivieren und verwalten

Ein Loginschutz kann aktiviert werden. Falls eine bestimmte Anzahl aufeinanderfolgender Loginversuche fehlschlägt, wird der Benutzer gesperrt.

Bemerkung

Ein Selbst-Scan, d. h. ein Scan, bei dem der GSM Teil des Scan-Ziels ist, kann den Loginschutz auslösen.

Bemerkung

Das Einloggen mithilfe eines SSH-Administratorschlüssels wird nicht vom Loginschutz gesperrt, falls solch ein Schlüssel eingerichtet ist (siehe Kapitel 7.2.3.3.3).

Der Loginschutz kann wie folgt aktiviert und verwaltet werden:

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. SSH wählen und Enter drücken.

  4. Login Protection wählen und Enter drücken.

  5. Login Protection wählen und Enter drücken (siehe Abb. 7.31).

    _images/gos_menu_sshprotect.png

    Abb. 7.31 Einrichten eines Loginschutzes

    → Eine Nachricht informiert den Benutzer darüber, dass der Loginschutz zu einem gesperrten SSH-Zugang führen kann.

  6. Continue wählen und Enter drücken, um den Loginschutz zu aktivieren.

  7. Login Attempts wählen und Enter drücken.

  8. Gewünschten Wert eingeben und Enter drücken.

    → Eine Nachricht informiert den Benutzer darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  9. Enter drücken, um die Nachricht zu schließen.

Falls das System nach zu vielen fehlgeschlagenen Loginversuchen gesperrt ist, muss es mithilfe des Konsolenzugriffs (seriell, Hypervisor oder Monitor/Tastatur) wie folgt entsperrt werden:

  1. Setup wählen und Enter drücken.

  2. User wählen und Enter drücken.

  3. Unlock SSH wählen und Enter drücken.

    → Die Loginversuche werden zurückgesetzt.

  4. Enter drücken, um die Nachricht zu schließen.

7.2.3.3.3 Einen SSH-Administratorschlüssel hinzufügen

Öffentliche SSH-Schlüssel können hochgeladen werden, um eine schlüsselbasierte Authentifizierung der Administratoren zu ermöglichen.

Bemerkung

SSH-Schlüssel können mit OpenSSH mithilfe des Befehls ssh-keygen auf Linux oder puttygen.exe beim Nutzen von PuTTY auf Microsoft Windows generiert werden. Die Formate Ed25519 oder RSA werden unterstützt. Alle SSH-Schlüssel müssen RFC 4716 entsprechen.

Ein SSH-Administratorschlüssel kann wie folgt hochgeladen werden:

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. SSH wählen und Enter drücken.

  4. Admin Key wählen und Enter drücken.

  5. Webbrowser öffnen und angezeigte URL eingeben (siehe Abb. 7.32).

    _images/gos_menu_sshadminkey.png

    Abb. 7.32 Hochladen eines öffentlichen SSH-Schlüssels

  6. Auf Browse… klicken, den öffentlichen SSH-Schlüssel wählen und auf Upload klicken.

    → Wenn das Hochladen abgeschlossen ist, informiert eine Nachricht den Benutzer darüber, dass der Login über SSH möglich ist.

7.2.3.3.4 Fingerprints anzeigen

Der GSM stellt unterschiedliche Host-Schlüssel für seine eigene Authentifizierung bereit. Der Client entscheidet, welcher öffentliche Schlüssel genutzt wird. Im GOS-Administrationsmenü können die Fingerprints des öffentlichen Schlüssels, der vom SSH-Server der Appliance genutzt wird, wie folgt angezeigt werden:

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. SSH wählen und Enter drücken.

  4. Fingerprint wählen und Enter drücken.

    → Die SHA256-Fingerprints der folgenden Schlüssel werden angezeigt:

    • ED25519
    • RSA

7.2.3.4 SNMP konfigurieren

Die GSM-Appliance unterstützt SNMP. Die SNMP-Unterstützung kann genutzt werden, um Traps mithilfe von Benachrichtigungen zu senden und die Parameter der Appliance zu überwachen.

Die unterstützten Parameter werden in einer Management-Information-Base-Datei (MIB-Datei) bestimmt. Die aktuelle MIB-Datei ist im Greenbone Tech-Doc-Portal verfügbar.

Der GSM unterstützt SNMPv3 für Leserechte und SNMPv1 für Traps.

SNMPv3 kann wie folgt konfiguriert werden:

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. SNMP wählen und Enter drücken.

  4. SNMP wählen und Enter drücken, um SNMP zu aktivieren.

    → Mehrere neue Optionen werden angezeigt (siehe Abb. 7.33).

    _images/gos_menu_snmp.png

    Abb. 7.33 Konfigurieren von SNMPv3

  5. Location wählen und Enter drücken.

  6. Ort des SNMP-Diensts in das Eingabefeld eingeben und Enter drücken.

  7. Contact wählen und Enter drücken.

  8. Kontakt des SNMP-Diensts in das Eingabefeld eingeben und Enter drücken.

  9. Username wählen und Enter drücken.

  10. SNMP-Benutzername in das Eingabefeld eingeben und Enter drücken.

    Bemerkung

    Beim Konfigurieren der Passphrasen für die Authentifizierung und die Verschlüsselung muss beachtet werden, dass der GSM entsprechend SHA-1 und AES128 nutzt.

  11. Authentication wählen und Enter drücken.

  12. SNMP-Authentifizierungspassphrase in das Eingabefeld eingeben und Enter drücken.

  13. Privacy wählen und Enter drücken.

  14. Passphrase für die Verschlüsselung des SNMP-Benutzers eingeben und Enter drücken.

    Bemerkung

    Nachdem ein Benutzer konfiguriert wurde, kann die ID der Maschine des GSMs angezeigt werden, indem Engine ID gewählt und Enter gedrückt wird.

  15. Lesezugriff des SNMP-Diensts unter Linux/Unix mit snmpwalk prüfen:

$ snmpwalk -v 3 -l authPriv -u user -a sha -A password -x aes -X key 192.168.222.115
iso .3.6.1.2.1.1.1.0 = STRING: "Greenbone Security Manager"
iso .3.6.1.2.1.1.5.0 = STRING: "gsm"
...

Die folgenden Informationen können gesammelt werden:

  • Betriebszeit
  • Netzwerkschnittstellen
  • Speicher
  • Festplatte
  • Last
  • CPU

7.2.3.5 Einen Port für den temporären HTTP-Server konfigurieren

Standardmäßig wird der Port für HTTP-Uploads und -Downloads zufällig gewählt.

Ein permanenter Port kann wie folgt konfiguriert werden:

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. Temporary HTTP wählen und Enter drücken.

  4. Port wählen und Enter drücken.

  5. Port in das Eingabefeld eingeben und Enter drücken.

    → Eine Nachricht informiert den Benutzer darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  6. Enter drücken, um die Nachricht zu schließen.

7.2.4 Regelmäßige Backups konfigurieren

Der GSM unterstützt automatische, tägliche Backups. Die Backups werden lokal oder remote unter Verwendung des folgenden Schemas gespeichert:

  • Tägliche Backups der letzten 7 Tage
  • Wöchentliche Backups der letzten 5 Wochen
  • Monatliche Backups des letzten Jahrs

Backups, die älter als ein Jahr sind, werden automatisch gelöscht. Im Werkszustand sind Backups deaktiviert.

Periodische Backups können wir folgt aktiviert werden:

  1. Setup wählen und Enter drücken.

  2. Backup wählen und Enter drücken.

  3. Periodic Backup wählen und Enter drücken (siehe Abb. 7.34).

    → Periodische Backups sind aktiviert.

    _images/gos_menu_backup_1.png

    Abb. 7.34 Konfigurieren periodischer Backups

Standardmäßig werden Backups lokal gespeichert. Um sie auf einem Remoteserver zu speichern, muss der Server entsprechend eingerichtet werden. Der GSM nutzt das Secure File Transfer Protocol (SFTP), das von SSH unterstützt wird, um Backups zu übertragen.

Der Remoteserver kann wie folgt eingerichtet werden:

  1. Setup wählen und Enter drücken.

  2. Backup wählen und Enter drücken.

  3. Backup Location wählen und Enter drücken.

    → Mehrere neue Optionen für den Ort des Backups werden angezeigt (siehe Abb. 7.35).

    _images/gos_menu_backup_2.png

    Abb. 7.35 Einrichten des Remoteservers

  4. Server wählen und Enter drücken.

  5. Adresse des Remoteservers im folgenden Format eingeben:

    username@hostname[:port]/directory

    Bemerkung

    Der optionale Port kann weggelassen werden, falls der Server Port 22 nutzt.

  6. OK wählen und Enter drücken.

    → Eine Nachricht informiert den Benutzer darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  7. Enter drücken, um die Nachricht zu schließen.

    Bemerkung

    Der GSM nutzt einen öffentlichen SSH-Hostschlüssel, um den Remoteserver vor dem Einloggen zu identifizieren.

    Der Remoteserver muss nach dem öffentlichen SSH-Schlüssel durchsucht werden. Auf Linux oder den meisten Unix-artigen Systemen kann er unter /etc/ssh/ssh_host_*_key.pub gefunden werden.

    Der öffentliche SSH-Hostschlüssel muss das Format „protocol public_key“ haben, z. B. ssh-rsa AAAAB3NzaC1y…P3pCquVb.

  8. Server key wählen und Enter drücken.

  9. Webbrowser öffnen und angezeigte URL eingeben (siehe Abb. 7.36).

    _images/gos_menu_backupserverkey.png

    Abb. 7.36 Einrichten des Serverschlüssels

  10. Auf Browse… klicken, den öffentlichen SSH-Schlüssel wählen und auf Upload klicken.

    Bemerkung

    Der GSM nutzt einen öffentlichen SSH-Schlüssel, um sich in den Remoteserver einzuloggen. Um den Loginvorgang zu ermöglichen, muss der GSM mit der authorized_keys-Datei auf dem Remoteserver aktiviert sein.

  11. User key wählen und Enter drücken, um den öffentlichen Schlüssel herunterzuladen.

  12. Webbrowser öffnen und angezeigte URL eingeben.

  13. PUB-Datei herunterladen.

    Bemerkung

    Falls mehrere GSM-Appliances ihre Backups auf denselben Remoteserver hochladen, müssen die Dateien unterscheidbar sein. Dafür muss eine eindeutige Backupbezeichnung definiert werden. Falls diese Bezeichnung nicht festgelegt ist, wird der Hostname genutzt. Falls der Hostname verändert wurde und einzigartig ist, sind die Backupdateien auch unterscheidbar.

  14. Client wählen und Enter drücken.

  15. Bezeichnung eingeben und Enter drücken.

    Bemerkung

    Da das Setup des Remotebackups mit den Schlüsseln fehleranfällig ist, ist eine Prüfroutine verfügbar. Diese testet das erfolgreiche Einloggen in das Remotesystem.

  16. Test wählen und Enter drücken.

    → Der Login in das Remotesystem wird getestet.

7.2.5 Die Feedsynchronisation konfigurieren

Der Greenbone Security Feed (GSF) stellt Updates für die Network Vulnerability Tests (NVTs), die SCAP-Daten (CVE und CPE) und die Advisories des CERT-Bunds und des DFN-CERTs bereit. Zusätzlich bietet der GSF GOS-Updates.

Um den GSF nutzen zu können, wird ein GSF-Subscription-Schlüssel benötigt (siehe Kapitel 7.1.1). Der Schlüssel ermöglicht es dem GSM, den von Greenbone Networks bereitgestellten GSF herunterzuladen.

Falls kein gültiger GSF-Subscription-Schlüssel auf der Appliance gespeichert ist, nutzt die Appliance nur den öffentlichen Greenbone Community Feed (GCF) und nicht den GSF.


gb_video

Die Schritte zum Konfigurieren der Feedsynchronisation, die in den folgenden Kapiteln beschrieben werden, werden kurz in einem Video basierend auf GOS 5.0 erklärt.


7.2.5.1 Einen Greenbone-Security-Feed-Subscription-Schlüssel hinzufügen

Ein neuer GSF-Subscription-Schlüssel kann auf der Appliance gespeichert werden, indem er entweder mithilfe von HTTP hochgeladen oder mithilfe eines Editors eingefügt wird.

Für mehr Informationen über den GSF-Subscription-Schlüssel siehe Kapitel 7.1.1.

Bemerkung

Ein neuer Schlüssel überschreibt jeden Schlüssel, der bereits auf der Appliance gespeichert ist.

Der Schlüssel kann über HTTP wie folgt hinzugefügt werden:

  1. Setup wählen und Enter drücken.

  2. Feed wählen und Enter drücken.

  3. Key(HTTP) wählen und Enter drücken.

    → Eine Nachricht informiert den Benutzer darüber, dass der aktuelle Subscription-Schlüssel überschrieben wird (siehe Abb. 7.37).

    _images/gos_menu_gsfkeynew.png

    Abb. 7.37 Überschreiben des aktuellen Subscription-Schlüssels

  4. Yes wählen und Enter drücken.

  5. Webbrowser öffnen und angezeigte URL eingeben.

  6. Auf Browse… klicken, den Subscription-Schlüssel wählen und auf Upload klicken.

Der Schlüssel kann über den Editor wie folgt hinzugefügt werden:

  1. Setup wählen und Enter drücken.

  2. Feed wählen und Enter drücken.

  3. Key(Editor) wählen und Enter drücken.

    → Eine Nachricht informiert den Benutzer darüber, dass der aktuelle Subscription-Schlüssel überschrieben wird (siehe Abb. 7.37).

  4. Yes wählen und Enter drücken.

    → Der Editor wird geöffnet.

  5. Den GSF-Subscription-Schlüssel eingeben.

  6. Strg + X drücken.

  7. Y drücken, um die Änderungen zu speichern.

  8. Enter drücken.

7.2.5.2 Die Synchronisation aktivieren oder deaktivieren

Die automatische Synchronisation des GSF kann deaktiviert werden, falls der GSM keinen Zugriff auf das Internet hat und nicht versuchen soll, den Dienst von Greenbone Networks über das Internet zu erreichen. Die Synchronisation kann wieder aktiviert werden.

Die Synchronisation kann wie folgt aktiviert oder deaktiviert weden:

  1. Setup wählen und Enter drücken.

  2. Feed wählen und Enter drücken.

  3. Synchronisation wählen und Enter drücken.

    → Die Synchronisation ist aktiviert.

  4. Die Synchronisation kann deaktiviert werden, indem erneut Synchronisation gewählt und Enter gedrückt wird.

Bemerkung

Die Zeit der automatischen Feedsynchronisation kann eingestellt werden, indem die Wartungszeit geändert wird (siehe Kapitel 7.2.12).

7.2.5.3 Den Synchronisationsport konfigurieren

Der GSF wird von Greenbone Networks auf zwei unterschiedlichen Ports bereitgestellt:

  • 24/tcp
  • 443/tcp

Während Port 24/tcp der Standardport ist, erlauben viele Firewallsetups keinen Verkehr über diesen Port im Internet. Deshalb ist die Änderung des Ports zu Port 443/tcp möglich. Dieser Port ist meistens erlaubt.

Der Port kann wie folgt konfiguriert werden:

  1. Setup wählen und Enter drücken.

  2. Feed wählen und Enter drücken.

  3. Greenbone Server wählen und Enter drücken.

  4. Sync port wählen und Enter drücken.

  5. Gewünschten Port wählen und Enter drücken (siehe Abb. 7.38).

    _images/gos_menu_feedsyncport.png

    Abb. 7.38 Konfigurieren des Synchronisationsports

Bemerkung

Der Port 443/tcp wird normalerweise von HTTPS-Verkehr genutzt. Obwohl der GSM diesen Port nutzt, ist der tatsächliche Verkehr nicht HTTPS, sondern SSH. Der GSM nutzt rsync, eingebettet in SSH, um den Feed zu erhalten. Firewalls, die tiefgehende Untersuchung und Application-Awareness unterstützen, könnten trotzdem den Verkehr zurückweisen, falls diese Funktionen aktiviert sind.

7.2.5.4 Den Synchronisationsproxy einstellen

Falls die Sicherheitsrichtlinie keinen direkten Zugriff auf das Internet erlaubt, kann der GSM jeden HTTPS-Proxydienst nutzen. Der Proxy darf den SSL-/TLS-Verkehr nicht untersuchen, aber die CONNECT-Methode unterstützen. Der Datenverkehr durch den Proxy ist nicht HTTPS, sondern SSH, gekapselt in http-proxy.

Der Proxy kann wie folgt eingerichtet werden:

  1. Setup wählen und Enter drücken.

  2. Feed wählen und Enter drücken.

  3. Greenbone Server wählen und Enter drücken.

  4. Sync proxy wählen und Enter drücken.

  5. URL des Proxys in das Eingabefeld eingeben (siehe Abb. 7.39).

    Bemerkung

    Die URL muss die Form http://proxy:port haben.

    _images/gos_menu_feedsyncproxy.png

    Abb. 7.39 Einstellen des Synchronisationsproxys

7.2.5.5 Den Greenbone-Security-Feed-Subscription-Schlüssel löschen

Der GSF-Subscription-Schlüssel kann entfernt werden. Dies ist hilfreich, falls eine Appliance das Ende der Lebensdauer erreicht hat und nicht mehr genutzt werden soll. Das Entfernen stellt sicher, dass keine Lizenzen auf der Appliance verbleiben. Ohne den GSF-Subscription-Schlüssel erhält der GSM nur den Greenbone Community Feed.

Es wird eine Warnung angezeigt, wenn diese Option gewählt wird.

Das Entfernen kann wie folgt durchgeführt werden:

  1. Setup wählen und Enter drücken.

  2. Feed wählen und Enter drücken.

  3. Cleanup wählen und Enter drücken.

    → Eine Nachricht informiert den Benutzer darüber, dass die Synchronisation mit dem GSF nach dem Entfernen nicht länger möglich ist (siehe Abb. 7.40).

    _images/gos_menu_cleanup.png

    Abb. 7.40 Entfernen des GSF-Subscription-Schlüssels

  4. Yes wählen und Enter drücken.

    → Eine Nachricht informiert den Benutzer darüber, dass der GSF-Subscription-Schlüssel entfernt wurde.

  5. Enter drücken, um die Nachricht zu schließen.

7.2.6 Den Boreas-Erreichbarkeitsscanner aktivieren oder deaktivieren

Der Boreas-Erreichbarkeitsscanner ist ein neuer, optionaler Erreichbarkeitsscanner für Hosts, welcher aktive Hosts in einem Zielnetzwerk identifiziert.

Im Vergleich zum Portscanner Nmap, der herkömmlicherweise genutzt wird, ist der Boreas-Erreichbarkeitsscanner hinsichtlich der maximalen Anzahl an gleichzeitig ausgeführten Erreichbarkeitsstatus-Scans nicht beschränkt und somit schneller. Er ist insbesondere für große Netzwerkbereiche mit einer geringen Anzahl an aktiven Hosts geeignet.

Wenn er aktiviert ist, führt der Boreas-Erreichbarkeitsscanner den Erreichbarkeitstest aus, der beim Erstellen des Ziels gewählt wurde (siehe Kapitel 10.2.1).

Bemerkung

Der Boreas-Erreichbarkeitsscanner kann ungewolltes Verhalten hervorrufen, da er z. B. sehr schnell auf erreichbare Hosts prüft, könnten Firewalls oder Angrifferkennungssysteme unvorhersehbar reagieren.

Zusätzlich kann die Nutzung einiger Erreichbarkeitstest-Optionen in Kombination mit dem Boreas-Erreichbarkeitsscanner zu unerwartetem Verhalten oder zu unerwarteten Aktionen führen.

Für mehr Informationen siehe Kapitel 2.

Bemerkung

Der Boreas-Erreichbarkeitsscanner wird aktuell weiter verbessert und entwickelt. In zukünftigen GOS-Versionen könnte er den Nmap-Erreichbarkeitsscanner komplett ersetzen.

Der Boreas-Erreichbarkeitsscanner kann wie folgt aktiviert oder deaktiviert werden:

  1. Setup wählen und Enter drücken.

  2. Scanner wählen und Enter drücken.

  3. Boreas Alive Scanner wählen und Enter drücken.

  4. Enter drücken, um den Boreas-Erreichbarkeitsscanner zu aktivieren oder zu deaktivieren.

    _images/gos_menu_boreas.png

    Abb. 7.41 Aktivieren oder Deaktivieren des Boreas-Erreichbarkeitsscanners

  5. Save wählen und Enter drücken.

7.2.7 Den GSM als Airgap-Master/-Sensor konfigurieren

Die Airgap-Funktion ermöglicht es einem GSM, der nicht direkt mit dem Internet verbunden ist, Feed-Updates und GOS-Upgrades zu erhalten.

Zwei GSMs werden benötigt:

  • Airgap-Sensor: in einerem sicheren Bereich platziert und nicht mit dem Internet verbunden
  • Airgap-Master: mit dem Internet verbunden

Alle GSM-Modelle ab GSM 400 und höher können als Airgap-Master/-Sensor konfiguriert werden.

Zwei Optionen sind für die Airgap-Funktion verfügbar:

  • Airgap-USB-Stick von Greenbone Networks
  • Airgap-FTP-Server

7.2.7.1 Den Airgap-USB-Stick nutzen

Die Updates und Upgrades werden von einem GSM, der mit dem Internet verbunden ist, geladen und auf einen USB-Stick kopiert. Der USB-Stick kann dann genutzt werden, um den zweiten GSM zu aktualisieren.

Bemerkung

Der USB-Stick muss ein besonderer Greenbone-Airgap-USB-Stick sein, der von Greenbone Networks zur Verfügung gestellt wird. Um einen entsprechenden Airgap-USB-Stick anzufordern, kann der Greenbone Networks Support unter Angabe der Kundennummer per E-Mail (support@greenbone.net) kontaktiert werden.

Tipp

Der USB-Stick kann vorher durch ein Sicherheitsgateway auf Schadsoftware geprüft werden.

Die Datenübertragung mithilfe des Airgap-USB-Sticks wird wie folgt durchgeführt:

  1. Im GOS-Administrationsmenü des Airgap-Masters Setup wählen und Enter drücken.

  2. Feed wählen und Enter drücken.

  3. Airgap Master wählen und Enter drücken.

  4. USB Master wählen und Enter drücken (siehe Abb. 7.42).

    _images/gos_menu_airgapmaster_usb.png

    Abb. 7.42 Konfigurieren des Airgap-USB-Masters

  5. Save wählen und Enter drücken.

    Bemerkung

    Das Konfigurieren eines GSMs als einen Airgap-USB-Master deaktiviert die Möglichkeit, den GSM als einen Airgap-USB-Sensor zu konfigurieren.

  6. Airgap-USB-Stick mit dem Airgap-Master verbinden.

    → Die Datenübertragung startet automatisch.

  7. Wenn die Datenübertragung abgeschlossen ist, Airgap-USB-Stick mit dem Airgap-Sensor verbinden.

    → Die Datenübertragung startet automatisch.

7.2.7.2 Den Airgap-FTP-Server nutzen

Die Updates und Upgrades können über einen FTP-Server, der als Datendiode wirkt, bereitgestellt werden. Eine Datendiode ist ein einseitiges Sicherheitsgateway, das den Datenfluss nur in eine Richtung erlaubt.

Der FTP-Server übernimmt die Funktion des Airgap-USB-Sticks (siehe Kapitel 7.2.7.1).

  • Der Airgap-Master nimmt die Updates/Upgrades vom Greenbone-Server und schreibt sie zu seiner Wartungszeit auf den FTP-Server.
  • Der Airgap-Sensor lädt die Updates/Upgrades zu seiner Wartungszeit vom FTP-Server herunter.

Bemerkung

Es muss sichergestellt werden, dass die Wartungszeit des Airgap-Sensors mindestens drei Stunden hinter der Wartungszeit des Airgap-Master liegt (siehe Kapitel 7.2.8).

Die Datenübertragung mithilfe des Airgap-FTP-Servers wird wie folgt durchgeführt:

  1. Im GOS-Administrationsmenü des Airgap-Masters Setup wählen und Enter drücken.

  2. Feed wählen und Enter drücken.

  3. Airgap Master wählen und Enter drücken.

  4. FTP Master wählen und Enter drücken.

    → Mehrere neue Menüoptionen für die Konfiguration des FTP-Servers werden angezeigt (siehe Abb. 7.43).

    _images/gos_menu_airgapmaster_ftp.png

    Abb. 7.43 Konfigurieren des FTP-Servers für den Airgap-Master

  5. FTP Master Location wählen und Enter drücken.

  6. Pfad des FTP-Servers in das Eingabefeld eingeben und Enter drücken.

  7. FTP Master User wählen und Enter drücken.

  8. Benutzer, der für das Einloggen in den FTP-Server genutzt wird, in das Eingabefeld eingeben und Enter drücken.

  9. FTP Master Password wählen und Enter drücken.

  10. Passwort, das für das Einloggen in den FTP-Server genutzt wird, in das Eingabefeld eingeben und Enter drücken.

  11. FTP Master Test wählen und Enter drücken.

    → Es wird geprüft, ob ein Login mit den eingegebenen Informationen funktioniert.

  12. Save wählen und Enter drücken.

  13. Im GOS-Administrationsmenü des Airgap-Sensors Setup wählen und Enter drücken.

  14. Feed wählen und Enter drücken.

  15. Airgap Sensor wählen und Enter drücken.

  16. Schritte 5 bis 12 im GOS-Administrationsmenü des Airgap-Sensors mit den gleichen Eingaben wie für den Airgap-Master durchführen.

    Bemerkung

    Die Namen der Menüoptionen unterscheiden sich leicht im Vergleich zum GOS-Administrationsmenü des Airgap-Master (siehe Abb. 7.44).

    → Die Datenübertragung startet automatisch.

    _images/gos_menu_airgapsensor_ftp.png

    Abb. 7.44 Konfigurieren des FTP-Servers für den Airgap-Sensor

7.2.8 Die Zeitsynchronisation konfigurieren

Um die Appliance mit zentralen Zeitservern zu synchronisieren, unterstützt der GSM das Network Time Protocol (NTP). Bis zu vier unterschiedliche NTP-Server können konfiguriert werden. Die Appliance wählt den passendsten Server. Während eines Ausfalls eines Servers wird automatisch ein anderer Server genutzt.

Sowohl IP-Adressen als auch DNS-Namen werden unterstützt.

Die NTP-Einstellungen können wie folgt konfiguriert werden:

  1. Setup wählen und Enter drücken.

  2. Timesync wählen und Enter drücken.

  3. Time synchronisation wählen und Enter drücken.

    → Die Zeitsynchronisation ist aktiviert.

  4. Gewünschten Zeitserver wählen und Enter drücken (siehe Abb. 7.45).

    _images/gos_menu_timesync.png

    Abb. 7.45 Konfigurieren der NTP-Einstellungen

  5. Zeitserver in das Eingabefeld eingeben und Enter drücken.

    → Eine Nachricht informiert den Benutzer darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  6. Enter drücken, um die Nachricht zu schließen.

7.2.9 Das Tastaturlayout wählen

Das Tastaturlayout der Appliance kann wie folgt verändert werden:

  1. Setup wählen und Enter drücken.

  2. Keyboard wählen und Enter drücken.

    → Alle verfügbaren Tastaturlayouts werden angezeigt. Das aktuelle Layout hat die Anmerkung (selected) (siehe Abb. 7.46).

    _images/gos_menu_keyboard.png

    Abb. 7.46 Wählen des Tastaturlayouts

  3. Gewünschtes Tastaturlayout wählen und Enter drücken.

    → Eine Nachricht fordert den Benutzer auf, die Änderung zu bestätigen.

  4. Yes wählen und Enter drücken.

    → Eine Nachricht informiert den Benutzer darüber, dass das Layout geändert wurde.

7.2.10 Automatische E-Mails konfigurieren

Falls Berichte nach der Fertigstellung eines Scans automatisch per E-Mail gesendet werden sollen, muss ein Mailserver für die Appliance konfiguriert werden. Dieser Server wird Mailhub oder Smart Host genannt. Die Appliance selbst besitzt keinen Mailserver.

Bemerkung

Die Appliance speichert die E-Mails für den Fall einer fehlgeschlagenen Zustellung nicht. Es gibt keinen zweiten Zustellversuch.

Möglicher Spamschutz auf dem Mailserver, wie beispielsweise graue Listen, müssen für die Appliance deaktiviert werden.

Die Authentifizierung mit Benutzernamen und Passwort wird nicht von der Appliance unterstützt. Die Authentifizierung muss IP-basiert geschehen.

7.2.10.1 Den Mailserver konfigurieren

Bemerkung

Es muss sichergestellt werden, dass der Mailserver korrekt und sicher eingerichtet ist, um einen Missbrauch zu Spam-Zwecken zu verhindern.

Der Mailserver kann wie folgt konfiguriert werden:

  1. Setup wählen und Enter drücken.

  2. Mail wählen und Enter drücken.

  3. Mail wählen und Enter drücken.

  4. URL des Mailhubs in das Eingabefeld eingeben (siehe Abb. 7.47).

    _images/gos_menu_mailserver.png

    Abb. 7.47 Konfigurieren des Mailhubs

  5. OK wählen und Enter drücken.

    → Eine Nachricht informiert den Benutzer darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  6. Enter drücken, um die Nachricht zu schließen.

    Bemerkung

    Falls gewünscht, kann ein Port, der für den Mailhub genutzt wird, konfiguriert werden.

  7. Mailhub Port wählen und Enter drücken.

  8. Port in das Eingabefeld eingeben und Enter drücken.

    → Eine Nachricht informiert den Benutzer darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  9. Enter drücken, um die Nachricht zu schließen.

7.2.10.2 SMTP-Authentifizierung für den Mailserver konfigurieren

Optional kann wie folgt eine SMTP-Authentifizierung für den genutzten Mailserver konfiguriert werden:

  1. Setup wählen und Enter drücken.

  2. Mail wählen und Enter drücken.

  3. SMTP Authentication Requirements wählen und Enter drücken, um die SMTP-Authentifizierung zu aktivieren (siehe Abb. 7.48).

    _images/gos_menu_mail_smtp.png

    Abb. 7.48 Konfigurieren der SMTP-Authentifizierung

  4. SMTP Username wählen und Enter drücken.

  5. Benutzernamen des Accounts, der für die Authentifizierung genutzt wird, in das Eingabefeld eingeben und Enter drücken.

    → Eine Nachricht informiert den Benutzer darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  6. Enter drücken, um die Nachricht zu schließen.

  7. Password wählen und Enter drücken.

  8. Passwort des Accounts, der für die Authentifizierung genutzt wird, zweimal eingeben und Tab drücken.

  9. Enter drücken.

7.2.10.3 Die maximale Größe enthaltener oder angehängter Berichte festlegen

Die maximale Größe (in Bytes) von enthaltenen oder angehängten Berichten (siehe Kapitel 10.12) kann wie folgt begrenzt werden:

  1. Setup wählen und Enter drücken.

  2. Mail wählen und Enter drücken.

  3. Max attachment oder Max include wählen und Enter drücken.

    _images/gos_menu_emailsize.png

    Abb. 7.49 Festlegen der maximalen Größe enthaltener oder angehängter Berichte

  4. Maximale Größe (in Bytes) in das Eingabefeld eingeben (siehe Abb. 7.49).

  5. OK wählen und Enter drücken.

    → Eine Nachricht informiert den Benutzer darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  6. Enter drücken, um die Nachricht zu schließen.

7.2.11 Die Sammlung von Logs konfigurieren

Der GSM unterstützt die Konfiguration eines zentralen Loggingservers für die Sammlung von Logs. Es können entweder nur die sicherheitsrelevanten Logs oder alle Systemlogs an einen Remote-Loggingserver gesendet werden. Die sicherheitsrelevanten Logs beinhalten:

  • Authentifizierung der Benutzer
  • Autorisierung der Benutzer

Der GSM nutzt das Syslog-Protokoll. Die zentrale Sammlung von Logs ermöglicht die zentrale Analyse, Verwaltung und Überwachung von Logs. Zusätzlich werden die Logs immer lokal gespeichert.

Ein Loggingserver kann für jede Art von Logs (sicherheitsrelevante Logs oder alle Systemlogs) konfiguriert werden.

Als Transportebene können UDP (Standard), TLS und TCP genutzt werden. TCP stellt die Zustellung der Logs selbst im Falle eines Paketverlusts sicher. Falls ein Paketverlust während einer Übertragung mit UDP auftritt, sind die Logs verloren. TLS ermöglicht die optionale Authentifizierung des Senders via TLS. Dieser Vorgang ist nicht RFC-5425-konform.

7.2.11.1 Den Loggingserver konfigurieren

Der Loggingserver kann wie folgt eingerichtet werden:

  1. Setup wählen und Enter drücken.

  2. Remote Syslog wählen und Enter drücken.

  3. Security Syslog wählen und Enter drücken, um sicherheitsrelevante Logs zu aktivieren (siehe Abb. 7.50).

    oder

  1. Full Syslog wählen und Enter drücken, um alle Systemlogs zu aktivieren (siehe Abb. 7.50).

    Bemerkung

    Beide Logs können aktiviert sein.

    _images/gos_menu_loggingserver.png

    Abb. 7.50 Konfiguration der Logs

  2. Security Remote wählen und Enter drücken, um die URL des Loggingservers für sicherheitsrelevante Logs einzustellen.

    oder

  1. Full Remote wählen und Enter drücken, um die URL des Loggingservers für alle Systemlogs einzustellen.

  2. URL des Loggingservers in das Eingabefeld eingeben (siehe Abb. 7.51).

    Bemerkung

    Falls kein Port festgelegt wird, wird der Standardport 514 genutzt.

    Falls das Protokoll nicht angegeben wird, wird UDP genutzt.

    → Eine Nachricht informiert den Benutzer darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

    _images/gos_menu_secremote.png

    Abb. 7.51 Konfigurieren des Loggingservers

  3. Enter drücken, um die Nachricht zu schließen.

7.2.11.2 HTTPS-Zertifikate für das Logging verwalten

Die HTTPS-Zertifikate für das Logging können wir folgt verwaltet werden:

  1. Setup wählen und Enter drücken.

  2. Remote Syslog wählen und Enter drücken.

  3. Certificates wählen und Enter drücken.

  4. Generate wählen und Enter drücken, um ein Zertifikat zu generieren.

    → Eine Nachricht informiert den Benutzer darüber, dass das aktuelle Zertifikat und der aktuelle private Schlüssel überschrieben werden.

  5. Yes wählen und Enter drücken, um die Nachricht zu bestätigen.

  6. Einstellungen für das Zertifikat in die Eingabefelder eingeben (siehe Abb. 7.52).

    _images/gos_menu_logcert.png

    Abb. 7.52 Konfigurieren des Zertifikats

  7. Tab drücken und anschließend Enter drücken.

    → Wenn der Vorgang abgeschlossen ist, informiert eine Nachricht den Benutzer darüber, dass das Zertifikat heruntergeladen werden kann.

  8. Enter drücken, um die Nachricht zu schließen.

  9. Certificates wählen und Enter drücken.

  10. Download wählen und Enter drücken.

  11. Webbrowser öffnen und angezeigte URL eingeben.

  12. Datei herunterladen.

  13. Im GOS-Administrationsmenü Enter drücken.

    → Wenn das Zertifikat vom GSM erhalten wurde, zeigt das GOS-Administrationsmenü den Fingerprint des Zertifikats zur Verifizierung an.

  14. Fingerprint prüfen und Enter drücken, um das Zertifikat zu bestätigen.

    → Um das neue Zertifikat zu aktivieren, ist ein Neustart des GSMs nötig (siehe Kapitel 7.3.9.1).

Das Zertifikat und die zugehörigen Fingerprints können wie folgt angezeigt werden:

  1. Setup wählen und Enter drücken.

  2. Remote Syslog wählen und Enter drücken.

  3. Certificates wählen und Enter drücken.

  4. Show wählen und Enter drücken, um das Zertifikat anzuzeigen.

    Fingerprint wählen und Enter drücken, um die Fingerprints anzuzeigen.

    → Die folgenden Fingerprints des aktuell aktiven Zertifikats werden angezeigt:

    • SHA1
    • SHA256

7.2.12 Die Wartungszeit festlegen

Während der Wartung findet die tägliche Feedsynchronisation statt. Jede Zeit während des Tags, abgesehen von 10:00 bis 13:00 UTC, kann gewählt werden. Während dieser Zeitspanne aktualisiert Greenbone Networks selbst den Feed und deaktiviert die Synchronisierungsdienste.

Die standardmäßige Wartungszeit ist eine zufällige Zeit zwischen 3:00 und 5:00 UTC.

Die Wartungszeit kann wie folgt festgelegt werden:

  1. Setup wählen und Enter drücken.

  2. Time wählen und Enter drücken.

  3. Gewünschte Wartungszeit in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.53).

    Bemerkung

    Vor dem Eingeben muss die Zeit zu UTC umgewandelt werden.

    _images/gos_menu_mainttime.png

    Abb. 7.53 Konfigurieren der Wartungszeit

    → Eine Nachricht informiert den Benutzer darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  4. Enter drücken, um die Nachricht zu schließen.

7.3 Maintenance-Menü

7.3.1 Einen Selbstcheck durchführen

Die Selbstcheck-Option prüft das Setup der Appliance. Sie zeigt falsche und fehlende Konfigurationsdetails an, die möglicherweise die korrekte Funktionsweise der Appliance beeinträchtigen. Die folgenden Elemente werden geprüft:

  • Netzwerkverbindung
  • DNS-Auflösung
  • Erreichbarkeit des Feeds
  • Verfügbare Updates
  • Benutzerkonfiguration

Der Selbstcheck wird wie folgt durchgeführt:

  1. Maintenance wählen und Enter drücken.

  2. Selfcheck wählen und Enter drücken.

    → Der Selbstcheck wird durchgeführt und jedes gefundene Problem wird auf der Ergebnisseite angezeigt (siehe Abb. 7.54).

    _images/gos_menu_selfcheck.png

    Abb. 7.54 Durchführen eines Selbstchecks

7.3.2 Ein Backup durchführen und wiederherstellen

Geplante lokale und Remote-Backups werden im Setup-Menu konfiguriert (siehe Kapitel 7.2.4).

Backups können auch manuell durchgeführt werden. Abhängig vom im Kapitel 7.2.4 konfigurierten Speicherort, wird das manuell durchgeführte Backup lokal oder remote gespeichert. Diese Backups können für die Auslagerung auf einen USB-Stick übertragen werden.

Das Backup beinhaltet die Nutzerdaten (z. B. Aufgaben, Berichte, Ergebnisse) und Systemeinstellungen, d. h. die GOS-Konfiguration.

7.3.2.1 Ein Backup manuell durchführen

Ein Backup kann wie folgt manuell durchgeführt werden:

  1. Maintenance wählen und Enter drücken.

  2. Backup wählen und Enter drücken.

  3. Incremental Backup wählen und Enter drücken (siehe Abb. 7.55).

    → Eine Meldung informiert den Nutzer darüber, dass das Backup im Hintergrund gestartet wurde.

    Tipp

    Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

    _images/gos_menu_backupmanual.png

    Abb. 7.55 Manuelles Auslösen eines Backups

7.3.2.2 Ein Backup manuell wiederherstellen

Bemerkung

Ausschließlich Backups, die mit der momentan genutzten GOS-Version oder der Vorgängerversion erstellt wurden, können wiederhergestellt werden. Für GOS 20.08 können nur Backups aus GOS 6 oder GOS 20.08 importiert werden. Falls ein älteres Backup importiert werden soll, z. B. aus GOS 4 oder GOS 5, muss eine Appliance mit der passenden GOS-Version genutzt werden.

Backups aus GOS-Versionen, die neuer sind als die momentan genutzte GOS-Version, werden ebenfalls nicht unterstützt. Falls ein neueres Backup importiert werden soll, muss eine Appliance mit der passenden GOS-Version genutzt werden.

Außerdem können nur Backups, die mit demselben GSM-Modell (siehe Kapitel 3) erstellt wurden, wiederhergestellt werden.

Zusätzlich wird geprüft, ob die GSF-Subscription-Schlüssel des Backups und des GSMs, auf dem das Backup wiederhergestellt werden soll, identisch sind. Falls die Schlüssel nicht übereinstimmen, wird eine Warnung angezeigt und der Nutzer muss bestätigen, dass der Schlüssel auf dem GSM überschrieben werden soll.

Falls Fragen auftreten, kann der Greenbone Networks Support (support@greenbone.net) per E-Mail kontaktiert werden.

Ein Backup kann wie folgt wiederhergestellt werden:

  1. Maintenance wählen und Enter drücken.

  2. Backup wählen und Enter drücken.

  3. List wählen und Enter drücken.

  4. Gewünschtes Backup wählen und Enter drücken.

  5. Yes wählen und Enter drücken, falls sowohl Nutzerdaten als auch Systemeinstellungen hochgeladen werden sollen.

    oder

  1. No wählen und Enter drücken, falls nur Nutzerdaten hochgeladen werden sollen.

    Bemerkung

    Die Systemeinstellungen enthalten alle GOS-Konfigurationen, z. B. Netzwerkeinstellungen. Die Daten enthalten alle Informationen zum Schwachstellenscanning und -management.

    → Eine Warnung informiert den Benutzer darüber, dass alle lokalen Einstellungen verloren gehen, falls das Backup wiederhergestellt wird (siehe Abb. 7.56).

    _images/gos_menu_backup_usb_3.png

    Abb. 7.56 Wiederherstellen eines Backups

  2. Yes wählen und Enter drücken, um die Nachricht zu bestätigen.

    → Eine Nachricht informiert den Nutzer darüber, dass die Wiederherstellung im Hintergrund gestartet wurde.

    Tipp

    Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

7.3.2.3 Ein Backup mithilfe eines USB-Sticks durchführen

Bachkups können wie folgt auf einen USB-Stick übertragen werden:

  1. USB-Stick mit dem GSM verbinden.

    Bemerkung

    Es muss ein FAT-formatierter USB-Stick genutzt werden. Falls Probleme auftreten, sollte ein anderer USB-Stick oder ein anderer USB-Port am GSM getestet werden.

  2. Maintenance wählen und Enter drücken.

  3. Backup wählen und Enter drücken.

  4. USB Backup wählen und Enter drücken.

  5. Backup wählen und Enter drücken (siehe Abb. 7.57).

    _images/gos_menu_backup_usb_1.png

    Abb. 7.57 Durchführen eines Backups mithilfe eines USB-Sticks

    → Eine Nachricht fordert den Benutzer auf, das Backup zu bestätigen.

  6. Yes wählen und Enter drücken.

    → Eine Meldung informiert den Nutzer darüber, dass das Backup im Hintergrund gestartet wurde.

    Tipp

    Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

7.3.2.4 Ein Backup mithilfe eines USB-Sticks wiederherstellen

Bemerkung

Ausschließlich Backups, die mit der momentan genutzten GOS-Version oder der Vorgängerversion erstellt wurden, können wiederhergestellt werden. Für GOS 20.08 können nur Backups aus GOS 6 oder GOS 20.08 importiert werden. Falls ein älteres Backup importiert werden soll, z. B. aus GOS 4 oder GOS 5, muss eine Appliance mit der passenden GOS-Version genutzt werden.

Backups aus GOS-Versionen, die neuer sind als die momentan genutzte GOS-Version, werden ebenfalls nicht unterstützt. Falls ein neueres Backup importiert werden soll, muss eine Appliance mit der passenden GOS-Version genutzt werden.

Außerdem können nur Backups, die mit demselben GSM-Modell (siehe Kapitel 3) erstellt wurden, wiederhergestellt werden.

Zusätzlich wird geprüft, ob die GSF-Subscription-Schlüssel des Backups und des GSMs, auf dem das Backup wiederhergestellt werden soll, identisch sind. Falls die Schlüssel nicht übereinstimmen, wird eine Warnung angezeigt und der Nutzer muss bestätigen, dass der Schlüssel auf dem GSM überschrieben werden soll.

Falls Fragen auftreten, kann der Greenbone Networks Support (support@greenbone.net) per E-Mail kontaktiert werden.

Backups können wie folgt von einem USB-Stick wiederhergestellt werden:

  1. USB-Stick mit dem GSM verbinden.

    Bemerkung

    Es muss ein FAT-formatierter USB-Stick genutzt werden. Falls Probleme auftreten, sollte ein anderer USB-Stick oder ein anderer USB-Port am GSM getestet werden.

  2. Maintenance wählen und Enter drücken.

  3. Backup wählen und Enter drücken.

  4. USB Backup wählen und Enter drücken.

  5. Restore wählen und Enter drücken (siehe Abb. 7.57).

  6. Yes wählen und Enter drücken, falls sowohl Nutzerdaten als auch Systemeinstellungen hochgeladen werden sollen.

    oder

  1. No wählen und Enter drücken, falls nur Nutzerdaten hochgeladen werden sollen.

    Bemerkung

    Die Systemeinstellungen enthalten alle GOS-Konfigurationen, z. B. Netzwerkeinstellungen. Die Daten enthalten alle Informationen zum Schwachstellenscanning und -management.

    → Eine Warnung informiert den Benutzer darüber, dass alle lokalen Einstellungen verloren gehen, falls das Backup wiederhergestellt wird (siehe Abb. 7.58).

    _images/gos_menu_backup_usb_3.png

    Abb. 7.58 Wiederherstellen eines Backups

  2. Yes wählen und Enter drücken, um die Nachricht zu bestätigen.

    → Eine Nachricht informiert den Nutzer darüber, dass die Wiederherstellung im Hintergrund gestartet wurde.

    Tipp

    Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

7.3.3 Daten und Einstellungen mithilfe von Beaming auf einen anderen GSM kopieren

Der aktuelle Zustand eines GSM kann auf einen anderen GSM kopiert werden. Dies beinhaltet die Nutzerdaten (z. B. Aufgaben, Berichte, Ergebnisse) und Systemeinstellungen, d. h. die GOS-Konfiguration.

Auf dem empfangenden GSM kann gewählt werden, ob nur die Nutzerdaten oder sowohl Nutzerdaten als auch Systemeinstellungen importiert werden sollen.

Bemerkung

Beaming ist nur zu einem GSM des gleichen oder eines höheren GSM-Modells zulässig.

Das Beaming auf einen GSM TRIAL wird nicht unterstützt.

7.3.3.1 Beaming direkt von einem anderen GSM aus durchführen

Das Beaming-Image kann wie folgt erstellt und direkt kopiert werden:

Bemerkung

  • GSM A = sendender GSM
  • GSM B = empfangender GSM
  1. Im GOS-Administrationsmenü von GSM A Maintenance wählen und Enter drücken.

  2. Beaming wählen und Enter drücken.

  3. Download wählen und Enter drücken (siehe Abb. 7.59).

    _images/gos_menu_beaming_1.png

    Abb. 7.59 Herunterladen des Beaming-Images

    → Eine Nachricht informiert den Nutzer darüber, dass die Erstellung des Beaming-Images im Hintergrund gestartet wurde.

    Wenn die Erstellung abgeschlossen ist, informiert eine Nachricht den Benutzer darüber, dass ein zu notierendes Passwort angezeigt wird.

  4. Enter drücken.

  5. Passwort notieren. Es wird in Schritt 13 benötigt.

  6. q drücken, um den Editor zu verlassen.

    Wichtig

    Nachricht, die die URL anzeigt, nicht schließen.

  7. Im GOS-Administrationsmenü von GSM B Maintenance wählen und Enter drücken.

  8. Beaming wählen und Enter drücken.

  9. Upload from GSM A wählen und Enter drücken.

  10. URL, die im GOS-Administrationsmenü von GSM A angezeigt wird, in das Eingabefeld eingeben und Enter drücken.

    _images/gos_menu_beaming_2.png

    Abb. 7.60 Wählen der Daten und Einstellungen für den Upload

  11. Yes wählen und Enter drücken, falls sowohl Nutzerdaten als auch Systemeinstellungen hochgeladen werden sollen.

    oder

  1. No wählen und Enter drücken, falls nur Nutzerdaten hochgeladen werden sollen.

    → Eine Warnung fordert den Benutzer auf, den Vorgang zu bestätigen.

  2. Yes wählen und Enter drücken.

  3. Passwort aus Schritt 5 in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.61).

    _images/gos_menu_beaming_3.png

    Abb. 7.61 Eingeben des Passworts für das Beaming-Image

    → Eine Nachricht informiert den Nutzer darüber, dass der Upload des Beaming-Images im Hintergrund gestartet wurde.

    Wenn der Upload abgeschlossen ist, wird eine Nachricht angezeigt.

  4. Enter drücken.

7.3.3.2 Beaming über ein Remote-Dateisystem durchführen

Das Beaming-Image kann wie folgt erstellt, heruntergeladen, gespeichert und später über ein Remote-Dateisystem importiert werden:

Bemerkung

  • GSM A = sendender GSM
  • GSM B = empfangender GSM
  1. Im GOS-Administrationsmenü von GSM A Maintenance wählen und Enter drücken.

  2. Beaming wählen und Enter drücken.

  3. Download wählen und Enter drücken (siehe Abb. 7.62).

    _images/gos_menu_beaming_1.png

    Abb. 7.62 Herunterladen des Beaming-Images

    → Eine Nachricht informiert den Nutzer darüber, dass die Erstellung des Beaming-Images im Hintergrund gestartet wurde.

    Wenn die Erstellung abgeschlossen ist, informiert eine Nachricht den Benutzer darüber, dass ein zu notierendes Passwort angezeigt wird.

  4. Enter drücken.

  5. Passwort notieren. Es wird in Schritt 16 benötigt.

  6. q drücken, um den Editor zu verlassen.

  7. Webbrowser öffnen und angezeigte URL eingeben.

  8. GSMB-Datei herunterladen.

  9. Im GOS-Administrationsmenü von GSM B Maintenance wählen und Enter drücken.

  10. Beaming wählen und Enter drücken.

  11. Upload via remote file system wählen und Enter drücken.

  12. Webbrowser öffnen und angezeigte URL eingeben.

  13. Auf Browse… klicken, die GSMB-Datei wählen und auf Upload klicken.

    _images/gos_menu_beaming_2.png

    Abb. 7.63 Wählen der Daten und Einstellungen für den Upload

  14. Yes wählen und Enter drücken, falls sowohl Nutzerdaten als auch Systemeinstellungen hochgeladen werden sollen.

    oder

  1. No wählen und Enter drücken, falls nur Nutzerdaten hochgeladen werden sollen.

    → Eine Warnung fordert den Benutzer auf, den Vorgang zu bestätigen.

  2. Yes wählen und Enter drücken.

  3. Passwort aus Schritt 5 in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.64).

    _images/gos_menu_beaming_3.png

    Abb. 7.64 Eingeben des Passworts für das Beaming-Image

    → Eine Nachricht informiert den Nutzer darüber, dass der Upload des Beaming-Images im Hintergrund gestartet wurde.

    Wenn der Upload abgeschlossen ist, wird eine Nachricht angezeigt.

  4. Enter drücken.

7.3.4 Ein GOS-Upgrade durchführen

Während des täglichen Feed-Updates lädt die Appliance auch neue GOS-Upgrades herunter, falls diese verfügbar sind. Obwohl die Upgrades automatisch heruntergeladen werden, werden sie nicht automatisch installiert.

Bemerkung

Da die Upgrades möglicherweise aktuelle Scanaufgaben unterbrechen, müssen sie sorgsam geplant werden.

Upgrades können wie folgt manuell installiert werden:

  1. Maintenance wählen und Enter drücken.

  2. Upgrade wählen und Enter drücken.

  3. Upgrade wählen und Enter drücken, um ein Upgrade zu installieren.

    oder

  1. Switch Release wählen und Enter drücken, um zu einem neuen Softwarerelease zu wechseln.

    → Eine Meldung informiert den Nutzer darüber, dass das Upgrade im Hintergrund gestartet wurde.

    Tipp

    Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

    Bemerkung

    Falls beim Nutzen der Web-Oberfläche nach einem GOS-Upgrade Fehler auftreten, muss der Browsercache oder der Seitencache geleert werden (siehe Kapitel 6.4).

    Manchmal ist auch ein Reboot der Appliance nötig (siehe Kapitel 7.3.9.1). Der Selbstcheck zeigt eine entsprechende Mitteilung, wenn dies der Fall ist (siehe Kapitel 7.3.1).

Bemerkung

Standardmäßig startet ein erfolgreiches GOS-Upgrade auf dem Master auch ein GOS-Upgrade auf verbundenen Sensoren. Dennoch kann ein Upgrade manuell auf den Sensoren installiert werden (siehe Kapitel 7.3.5).

7.3.5 Ein GOS-Upgrade auf Sensoren durchführen

Ein GOS-Upgrade kann wie folgt auf einem Sensor installiert werden:

  1. Maintenance wählen und Enter drücken.

  2. Upgrade wählen und Enter drücken.

  3. Sensors wählen und Enter drücken.

  4. Gewünschten Sensor wählen und Leertaste drücken.

    → Der Sensor wird mit * markiert. Es können mehrere Sensoren zur gleichen Zeit gewählt werden.

    Sensoren, die nicht für ein Upgrade bereit sind, sind entsprechend gekennzeichnet.

  5. Enter drücken.

    → Eine Meldung informiert den Nutzer darüber, dass das Upgrade im Hintergrund gestartet wurde.

    Tipp

    Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

7.3.6 Ein Feed-Update durchführen

Standardmäßig versucht die Appliance täglich neue Feeds und GOS-Upgrades herunterzuladen.

Die Feedsynchronisation kann wie folgt manuell ausgelöst werden:

  1. Maintenance wählen und Enter drücken.

  2. Feed wählen und Enter drücken.

  3. Update wählen und Enter drücken (siehe Abb. 7.65).

    → Eine Meldung informiert den Nutzer darüber, dass das Feed-Update im Hintergrund gestartet wurde.

    Tipp

    Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

    _images/gos_menu_feedupdate.png

    Abb. 7.65 Manuelles Auslösen eines Feed-Updates

Bemerkung

Standardmäßig startet ein erfolgreiches Feed-Update auf dem Master auch ein Feed-Update auf verbundenen Sensoren. Dennoch kann ein Feed-Update manuell auf die Sensoren übertragen werden (siehe Kapitel 7.3.7).

7.3.7 Ein Feed-Update auf Sensoren durchführen

Ein Feed-Update kann wie folgt auf einen Sensor übertragen werden:

  1. Maintenance wählen und Enter drücken.

  2. Feed wählen und Enter drücken.

  3. Sensors wählen und Enter drücken.

  4. Gewünschten Sensor wählen und Enter drücken (siehe Abb. 7.66).

    → Eine Meldung informiert den Nutzer darüber, dass das Feed-Update im Hintergrund gestartet wurde.

    Tipp

    Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

    _images/gos_menu_updatesensor.png

    Abb. 7.66 Wählen des Sensors

7.3.8 Die Flash-Partition upgraden

Die Flash-Partition wird genutzt, um den GSM auf Werkseinstellungen zurückzusetzen. Um das Zurücksetzen zu erleichtern, sollte die Partition auf die neueste GOS-Version aktualisiert werden.

Bemerkung

Es muss sichergestellt werden, dass der GSM selbst eine Verbindung zum Greenbone Feed Server herstellen kann.

Es ist nicht möglich, die Flash-Partitionen von Sensoren über den Master zu aktualisieren.

Die Flash-Partition kann wie folgt aktualisiert werden:

  1. GSM auf die letzte GOS-Version upgraden (siehe Kapitel 7.3.4).

  2. Maintenance wählen und Enter drücken.

  3. Flash wählen und Enter drücken.

  4. Download wählen und Enter drücken (siehe Abb. 7.67).

    → Das neueste Flash-Image wird heruntergeladen.

    Tipp

    Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

  5. Wenn das Herunterladen beendet ist, Write wählen und Enter drücken (siehe Abb. 7.67) .

    → Das Image wird auf die Flash-Partition geschrieben. Der Vorgang kann bis zu 20 Minuten dauern.

    Tipp

    Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

    _images/gos_menu_flash.png

    Abb. 7.67 Aktualisieren der Flash-Partition

7.3.9 Die Appliance herunterfahren und neu starten

Wichtig

Der GSM sollte nicht mithilfe des Netzschalters ausgeschaltet werden.

Stattdessen sollte der GSM mithilfe des GOS-Administrationsmenüs heruntergefahren und neu gestartet werden. Dies stellt sicher, dass nötige Wartungsvorgänge während des Herunterfahrens oder des Neustarts durchgeführt werden.

7.3.9.1 Die Appliance neu starten

Die Appliance kann wie folgt neu gestartet werden:

  1. Maintenance wählen und Enter drücken.

  2. Power wählen und Enter drücken.

  3. Reboot wählen und Enter drücken.

    → Eine Meldung fordert den Benutzer auf, den Neustart zu bestätigen (siehe Abb. 7.68).

  4. Yes wählen und Enter drücken.

    → Die Appliance startet neu. Der Vorgang kann einige Minuten dauern.

    _images/gos_menu_reboot.png

    Abb. 7.68 Neustarten der Appliance

7.3.9.2 Die Appliance herunterfahren

Die Appliance kann wie folgt heruntergefahren werden:

  1. Maintenance wählen und Enter drücken.

  2. Power wählen und Enter drücken.

  3. Shutdown wählen und Enter drücken.

    → Eine Meldung fordert den Benutzer auf, das Herunterfahren zu bestätigen (siehe Abb. 7.69).

    _images/gos_menu_shutdown.png

    Abb. 7.69 Herunterfahren der Appliance

  4. Yes wählen und Enter drücken.

    → Die Appliance fährt herunter. Der Vorgang kann einige Minuten dauern.

7.4 Advanced-Menü

7.4.1 Die Log-Dateien des GSM anzeigen

Die Log-Dateien des GSMs können wie folgt angezeigt werden:

  1. Advanced wählen und Enter drücken.

  2. Logs wählen und Enter drücken.

  3. Gewünschte Logs wählen und Enter drücken (siehe Abb. 7.70).

    → Die Log-Dateien werden in einem Viewer angezeigt.

  4. q drücken, um den Viewer zu verlassen.

    _images/gos_menu_logs.png

    Abb. 7.70 Wählen der Log-Dateien

7.4.2 Fortgeschrittene, administrative Tätigkeiten durchführen

7.4.2.1 Den Superuser-Account verwalten

Wenn auf die Shell zugegriffen wird, wird dem unprivilegierten Benutzer admin eine Linux-Befehlszeile angezeigt (siehe Kapitel 7.4.2.3). Jeder Linux-Befehl kann ausgeführt werden.

Bemerkung

Der privilegierte Account root (Superuser) sollte nur in Abstimmung mit dem Greenbone Networks Support (support@greenbone.net) genutzt werden.

Falls Veränderungen ohne Abstimmung durchgeführt werden, erlischt der Anspruch auf Hilfeleistungen durch den Greenbone Networks Support.

Um Root-Rechte auf dem GSM zu erhalten, muss der Befehl su in der Shell eingegeben werden. Die Nutzung von su, um von admin zu root zu wechseln, ist standardmäßig deaktiviert.

Der Superuser muss wie folgt aktiviert und mit einem Passwort ausgestattet werden:

  1. Advanced wählen und Enter drücken.

  2. Support wählen und Enter drücken.

  3. Superuser wählen und Enter drücken.

  4. Superuser State wählen und Enter drücken (siehe Abb. 7.71).

    _images/gos_menu_superuser.png

    Abb. 7.71 Aktivieren des Superusers

    → Eine Meldung informiert den Benutzer darüber, dass Root-Rechte nur in Ausnahmefällen und in Abstimmung mit dem Greenbone Networks Support (support@greenbone.net) erlangt werden sollten.

  5. Yes wählen und Enter drücken.

    → Eine Nachricht informiert den Benutzer darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  6. Enter drücken, um die Nachricht zu schließen.

  7. Password wählen und Enter drücken (siehe Abb. 7.71).

  8. Passwort zweimal eingeben, OK wählen und Enter drücken (siehe Abb. 7.72).

    _images/gos_menu_superuser2.png

    Abb. 7.72 Festlegen des Passworts des Superusers

7.4.2.2 Ein Supportpaket generieren und herunterladen

Manchmal benötigt der Greenbone Networks Support zusätzliche Informationen, um Fehler zu beheben und Kunden zu unterstützen. Die erforderlichen Daten werden als (verschlüsseltes) Supportpaket gesammelt, das alle Konfigurationsdaten des GSMs enthält.

Das Paket kann mit dem öffentlichen GPG-Schlüssel des Greenbone Networks Supports verschlüsselt werden. Das Supportpaket wird auf der Appliance gespeichert.

Ein Supportpaket kann wie folgt erstellt werden:

  1. Advanced wählen und Enter drücken.

  2. Support wählen und Enter drücken.

  3. Support Package wählen und Enter drücken.

    → Eine Meldung fordert den Benutzer auf, die Generierung des Supportpakets zu bestätigen.

  4. Yes wählen und Enter drücken.

    → Eine Meldung fragt, ob das Supportpaket verschlüsselt werden soll (siehe Abb. 7.73).

    _images/gos_menu_packageencrypt.png

    Abb. 7.73 Herunterladen eines Supportpakets

  5. Yes wählen und Enter drücken, um das Supportpaket zu verschlüsseln.

    oder

  1. No wählen und Enter drücken, um das Supportpaket nicht zu verschlüsseln.

  2. Falls ein verschlüsseltes Supportpaket gewählt wurde, Webbrowser öffnen, angezeigte URL eingeben und GPG-Schlüssel herunterladen (verschlüsselter ZIP-Ordner).

    oder

    Bemerkung

    Falls das Supportpaket nicht verschlüsselt ist, muss das Herunterladen mit dem Secure Copy Protocol (SCP) durchgeführt werden. Dazu muss erst SSH aktiviert werden (siehe Kapitel 7.2.3.3).

  1. Falls ein unverschlüsseltes Supportpaket gewählt wurde, angezeigten Befehl mithilfe von SCP eingeben (siehe Abb. 7.74) und Supportpaket (ZIP-Ordner) herunterladen.

    Bemerkung

    Der „.“ am Ende kann durch einen Pfad ersetzt werden. Falls der „.“ beibehalten wird, wird der aktuelle Ordner genutzt.

    _images/gos_menu_packageunencrypt.png

    Abb. 7.74 Herunterladen eines unverschlüsselten Supportpakets

  2. ZIP-Ordner per E-Mail an den Greenbone Networks Support (support@greenbone.net) senden.

Auf Microsoft-Windows-Systemen kann das Supportpaket entweder mithilfe von pscp, einem in PuTTY enthaltenen Befehlszeilentool, oder mithilfe des grafischen Tools smarTTY, das SCP implementiert, heruntergeladen werden.

7.4.2.3 Auf die Shell zugreifen

Ein Zugriff auf die Shell wird nicht für administrative Tätigkeiten benötigt, kann aber vom Greenbone Networks Support für Diagnosen und Unterstützung angefordert werden.

Auf die Shell kann wie folgt zugegriffen werden:

  1. Advanced wählen und Enter drücken.

  2. Support wählen und Enter drücken.

  3. Shell wählen und Enter drücken.

    → Eine Warnung informiert den Benutzer darüber, dass die Shellebene nicht dokumentiert wird und nicht für administrative Einstellungen genutzt werden sollte (siehe Abb. 7.75).

    _images/gos_menu_shellwarning.png

    Abb. 7.75 Warnung beim Zugriff auf die Shell

  4. Continue wählen und Enter drücken.

    → Eine Linux-Shell wird unter Nutzung des unprivilegierten Benutzers admin geöffnet (siehe Abb. 7.76).

    _images/gos_menu_shell2.png

    Abb. 7.76 Zugriff auf die lokale Shell

    Bemerkung

    Für den Zugriff als root ist das Aktivieren des Superusers und das Festlegen eines Passworts nötig (siehe Kapitel 7.4.2.1). Anschließend ist mit dem Befehl su der Wechsel zu root möglich.

  5. exit eingeben oder Strg + D drücken, um die Shell zu verlassen.

7.4.3 Den GSF-Subscription-Schlüssel anzeigen

Der GSF-Subscription-Schlüssel (siehe Kapitel 7.2.5.1) kann wie folgt angezeigt werden:

  1. Advanced wählen und Enter drücken.

  2. Subscription wählen und Enter drücken (siehe Abb. 7.77).

    → Der Subscription-Schlüssel wird in einem Viewer angezeigt.

  3. q drücken, um den Viewer zu verlassen.

7.5 Informationen über die Appliance anzeigen

Informationen über den GSM können durch Wählen von About und Drücken von Enter angezeigt werden.

Die folgenden Informationen werden angezeigt:

  • GSM-Modell
  • GOS-Version
  • Feedversion
  • Name des GSF-Subscription-Schlüssels
  • IP-Adresse der Web-Oberfläche
  • Konfigurierte Sensoren
  • Aktuell laufende Systemoperationen
_images/gos_menu_about.png

Abb. 7.78 Anzeigen von Informationen über den GSM