16 Ein Master-Sensor-Setup nutzen

Bemerkung

Dieses Kapitel dokumentiert alle möglichen Menüoptionen.

Allerdings unterstützen nicht alle GSM-Modelle alle Menüoptionen. Um festzustellen, ob ein bestimmtes Feature für das genutzte GSM-Modell verfügbar ist, können die Tabellen in Kapitel 3 genutzt werden.

Aus Sicherheitsgründen ist es oft nicht möglich, bestimmte Netzwerksegmente direkt zu scannen. Zum Beispiel kann der direkte Zugang zum Internet untersagt sein. Um dieses Problem zu beheben, unterstützt der Greenbone Security Manager (GSM) die Einrichtung eines verteilten Scansystems: Zwei oder mehr GSMs in unterschiedlichen Netzwerksegmenten können sicher verbunden werden, um Schwachstellentests in den Netzwerksegmente durchzuführen, die andernfalls nicht erreichbar sind.

In diesem Fall steuert ein GSM einen oder mehr andere(n) GSMs fern. Ein steuernder GSM wird als „Master“ und ein kontrollierter GSM wird als „Sensor“ bezeichnet.

Master

  • Alle GSM-Modelle der Midrange-Klasse (physisch und virtuell) und Enterprise-Klasse können als Master genutzt werden (siehe Kapitel 3).

Sensor

  • Alle GSM-Modelle, abgesehen vom GSM ONE/MAVEN, können als Sensor genutzt werden.
  • Die GSM-Modelle GSM 35 und 25V können ausschließlich als Sensor genutzt werden und werden immer von einem Master gesteuert.
  • Alle Sensoren können direkt vom Master verwaltet werden. Dies schließt automatische oder manuelle Feed-Updates und Upgrades vom Greenbone Operating System (GOS) ein.
  • Ein Sensor benötigt keine andere Netzwerkverbindung außer zum Master und zu den Scanzielen.
  • Ein Sensor benötigt nach dem anfänglichen Setup keine weiteren administrativen Schritte.
  • Falls ein Sensor Scans ferngesteuert durchführen soll, muss er als Remote-Scanner konfiguriert werden.
    • Der Benutzer kann Scans für den Remote-Scanner individuell mithilfe der Web-Oberfläche des Masters, abhängig von Anforderungen und Berechtigungen, erstellen.
    • Der Remote-Scanner führt die Scans durch und leitet die Ergebnisse an den Master weiter, wo alle Schwachstelleninformationen verwaltet werden.
    • Die Verbindung zu einem Remote-Scanner wird mithilfe vom Greenbone Management Protocol (GMP) über SSH aufgebaut.

Die Verbindung zwischen Master und Sensor wird mithilfe des Secure-Shell-Protokolls (SSH) über Port 22/TCP aufgebaut.

Zum Unterscheiden zwischen den Begriffen „Sensor“ und „Remote-Scanner“:

  • Sensoren
    Diese Funktion erfordert das Einrichten einer Master-Sensor-Verknüpfung über die GOS-Administrationsmenüs von Master und Sensor. Die Funktion unterstützt dann die ferngesteuerte Feedsynchronisation und die Upgradeverwaltung des Sensors.
  • Remote-Scanner
    Diese Funktion erfordert die Aktivierung von GMP auf dem Sensor über das GOS-Administrationsmenü und das Einrichten des Remote-Scanners mithilfe der Web-Oberfläche des Masters. Die Funktion unterstützt dann die Ausführung von Scans über den Sensor.

16.1 Ein Master-Sensor-Setup konfigurieren

16.1.1 Einen Master mit einem Sensor verbinden

Ein Master kann wie folgt mit einem Sensor verknüpft werden:

  1. GOS-Administrationsmenü des Masters und des Sensors öffnen (siehe Kapitel 7.1.2.2).

  2. Im GOS-Administrationsmenü des Masters Setup wählen und Enter drücken.

  3. Master wählen und Enter drücken.

  4. Master Identifier wählen und Enter drücken.

  5. Download wählen und Enter drücken (siehe Abb. 16.1).

    _images/gos_menu_master_1.png

    Abb. 16.1 Konfiguration des Masters

  6. Webbrowser öffnen und angezeigte URL eingeben.

  7. PUB-Datei herunterladen.

    → Wenn der Schlüssel heruntergeladen wurde, zeigt das GOS-Administrationsmenü des Masters den Fingerprint des Schlüssels zur Verifizierung an.

    Wichtig

    Der Fingerprint darf nicht bestätigt werden, bevor der Schlüssel in den Sensor hochgeladen wurde.

  8. Im GOS-Administrationsmenü des Sensors Setup wählen und Enter drücken.

  9. Sensor wählen und Enter drücken.

  10. Configure Master wählen und Enter drücken (siehe Abb. 16.2).

    _images/gos_menu_sensor_1.png

    Abb. 16.2 Konfiguration des Sensors

  11. Upload wählen und Enter drücken.

  12. Webbrowser öffnen und angezeigte URL eingeben.

  13. Auf Browse… klicken, die zuvor heruntergeladene PUB-Datei wählen und auf Upload klicken.

    → Wenn der Schlüssel hochgeladen wurde, zeigt das GOS-Administrationsmenü des Sensors den Fingerprint des Schlüssels zur Verifizierung an.

  14. Fingerprint mit dem Fingerprint, der im GOS-Administrationsmenü des Masters angezeigt wird, vergleichen.

    Falls die Fingerprints übereinstimmen, Enter in beiden GOS-Administrationsmenüs drücken.

  15. Im GOS-Administrationsmenü des Sensors Save wählen und Enter drücken.

  16. Zweimal durchführen: Tab drücken und anschließend Enter drücken.

  17. Services wählen und Enter drücken.

  18. SSH wählen und Enter drücken.

  19. SSH State wählen und Enter drücken.

    → SSH ist auf dem Sensor aktiviert.

  20. Save wählen und Enter drücken.

    Bemerkung

    Bei den GSM-Modellen GSM 25V und GSM 35 wird der GMP-Dienst weder benötigt noch unterstützt. Falls eines dieser Modelle genutzt wird, mit Schritt 26 fortfahren.

  21. Tab drücken und anschließend Enter drücken.

  22. GMP wählen und Enter drücken.

  23. GMP-State wählen und Enter drücken.

    → Eine Nachricht informiert den Benutzer darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  24. Enter drücken, um die Nachricht zu schließen.

  25. Save wählen und Enter drücken.

  26. Im GOS-Administrationsmenü des Masters Setup wählen und Enter drücken.

  27. Master wählen und Enter drücken.

  28. Sensors wählen und Enter drücken.

  29. Add a new sensor wählen und Enter drücken.

  30. IP-Adresse oder Hostnamen des Sensors in das Eingabefeld eingeben und Enter drücken.

    → Zusätzliche Menüoptionen für die Sensorkonfiguration werden angezeigt (siehe Abb. 16.3, siehe Kapitel 16.2).

    _images/gos_menu_sensor_2.png

    Abb. 16.3 Menü für die Sensorkonfiguration

  31. Auto wählen und Enter drücken.

    → Der Master verbindet sich automatisch mit dem Sensor und ruft den Identifier ab.

    Der Fingerprint des Identifiers wird im GOS-Administrationsmenü des Masters angezeigt.

  32. Im GOS-Administrationsmenü des Sensors Setup wählen und Enter drücken.

  33. Sensor wählen und Enter drücken.

  34. Sensor Identifier wählen und Enter drücken.

  35. Fingerprint wählen und Enter drücken.

  36. Fingerprint mit dem Fingerprint, der im GOS-Administrationsmenü des Masters angezeigt wird, vergleichen.

    Falls die Fingerprints übereinstimmen, Enter im GOS-Administrationsmenüs des Masters drücken.

  37. Save wählen und Enter drücken.

  38. Test wählen und Enter drücken.

    → Die Konfiguration des Sensors wird getestet.

    Falls der Test fehlschlägt, wird eine Warnung mit Anweisungen angezeigt (siehe Abb. 16.4).

    _images/gos_menu_sensortest.png

    Abb. 16.4 Testen der Sensorkonfiguration

Bemerkung

Wenn sie erfolgreich konfiguriert wurden, können Sensoren direkt vom Master aus über das GOS-Administrationsmenü verwaltet werden (siehe Kapitel 7.3.5 und 7.3.7).

16.1.2 Einen Scan-Benutzer erstellen

Bemerkung

Das Erstellen eines Scan-Benutzers ist für die GSM-Modelle GSM 35 und GSM 25V nicht erforderlich.

Zusätzlich zum Verknüpfen des Masters und des Sensors, wird ein Scan-Benutzer auf dem Sensor benötigt, um diesen als Remote-Scanner zu nutzen (siehe Kapitel 16.4). Der Scan-Benutzer kann wie folgt erstellt werden:

  1. Im GOS-Administrationsmenü des Sensors Setup wählen und Enter drücken.
  2. User wählen und Enter drücken.
  3. Users wählen und Enter drücken.
  4. Admin User wählen und Enter drücken.
  5. Benutzernamen und Passwort des Scan-Benutzers festlegen und Tab drücken.
  6. Enter drücken.

16.1.3 Die Sensorart ändern

Alle GSM-Modelle, die als Sensoren genutzt werden können, können optional als OSP-Sensoren konfiguriert werden. Standardmäßig sind sie GMP-Sensoren.

Bemerkung

Die GSM-Modelle GSM 35 und GSM 25V bleiben ausschließlich OSP-Sensoren.

Die Sensorart kann wie folgt geändert werden:

  1. Im GOS-Administrationsmenü des Sensors Setup wählen und Enter drücken.

  2. Sensor wählen und Enter drücken.

  3. Protocol wählen und Enter drücken, um zwischen osp und gmp zu wechseln (siehe Abb. 16.5).

    _images/gos_menu_sensorprotocol.png

    Abb. 16.5 Ändern des Protokolltyps

  4. Save wählen und Enter drücken.

  5. Im GOS-Administrationsmenü des Masters den Sensor konfigurieren oder alle Sensorprotokolle aktualisieren (siehe Kapitel 16.2 – Update all sensor protocols).

Nachdem der Sensor in einen OSP-Sensor geändert wurde, müssen frühere GMP-Nutzer, die für Sensor-Scans genutzt wurden, wie folgt manuell gelöscht werden:

  1. Im GOS-Administrationsmenü des Sensors Setup wählen und Enter drücken.

  2. User wählen und Enter drücken.

  3. Users wählen und Enter drücken.

  4. Delete Account wählen und Enter drücken (siehe Abb. 16.6).

    _images/gos_menu_deleteGMPuser.png

    Abb. 16.6 Löschen des GMP-Nutzers

  5. Account wählen und Enter drücken.

16.2 Alle konfigurierten Sensoren verwalten

Alle auf einem Master konfigurierten Sensoren können wie folgt angezeigt werden:

  1. Setup wählen und Enter drücken.

  2. Master wählen und Enter drücken.

  3. Sensors wählen und Enter drücken.

    → Aktionen für alle konfigurierten Sensoren werden angezeigt (siehe Abb. 16.7).

    _images/gos_menu_configured_sensors.png

    Abb. 16.7 Verwalten aller konfigurierter Sensoren

Die folgenden Aktionen sind verfügbar:

Test all sensor connections
Die korrekte Konfiguration aller Sensoren testen. Falls der Test fehlschlägt, wird eine Warnung mit Anweisungen angezeigt.
Migrate all sensors to OSP

Alle GMP-Sensoren zu OSP-Sensoren ändern, sowohl auf dem Master als auch auf dem Sensor.

Bemerkung

Falls ein Sensor offline ist oder nicht über das Netzwerk erreicht werden kann, wird er nicht auf OSP umgestellt.

Das mit dem Sensor verknüpfte Scanner-Objekt auf der Web-Oberfläche wird automatisch zu Greenbone Sensor geändert. Scans können nach der Migration des Sensors auf OSP sofort gestartet werden. Es sind keine weiteren Schritte notwendig.

Update all sensor protocols
Alle Konfigurationen der Sensorprotokolle auf dem Master aktualisieren.
Edit/Delete the sensor …

Das Menü zum Konfigurieren eines bestimmten Sensors öffnen (siehe Abb. 16.3). Die folgenden Aktionen sind verfügbar:

  • Die Adresse des Sensors festlegen.
  • Den Remoteport des Sensors festlegen.
  • Den Proxy für den Sensor festlegen.
  • Den Identifier des Sensors festlegen.
  • Automatische Feed-Updates auf dem Sensor aktivieren/deaktivieren. Diese werden ausgeführt, falls auf dem Master ein Feed-Update durchgeführt wird.
  • Den Port und den Identifier automatisch festlegen.
  • Die korrekte Konfiguration des Sensors testen.
  • Den Sensor löschen.
Add a new sensor
Einen neuen Sensor konfigurieren (siehe Kapitel 16.1.1).

16.3 Sensoren in sicheren Netzwerken einsetzen

Bei einem Master-Sensor-Setup speichert der Master alle Schwachstelleninformationen und Anmeldedaten. Der Sensor speichert keine Informationen dauerhaft (abgesehen von NVTs).

Aus diesem Grund muss der Master in der höchsten Sicherheitszone mit Kommunikation nach außen (zu den Sensoren) platziert sein. Jegliche Kommunikation wird vom Master in der höheren Sicherheitszone aus zum Sensor in der niedrigeren Sicherheitszone veranlasst.

Bemerkung

Eine Firewall, die die unterschiedlichen Zonen trennt, muss nur die Verbindung zum Master zum Sensor erlauben. Zusätzliche Verbindungen in die höhere Sicherheitszone müssen nicht zugelassen werden.

Master und Sensor kommunizieren über das SSH-Protokoll. Der Port 22/TCP wird standardmäßig genutzt. Für Abwärtskompatibilität kann der Port 9390/TCP genutzt werden. Dieser kann wie folgt konfiguriert werden:

  1. Im GOS-Administrationsmenü des Sensors Setup wählen und Enter drücken.
  2. Sensor wählen und Enter drücken.
  3. Port 9390 wählen und Enter drücken.
  4. Save wählen und Enter drücken.

Auf Sensoren können Updates des Greenbone Security Feeds (GSF) und GOS-Upgrades entweder direkt vom Greenbone-Networks-Server oder mithilfe des Masters heruntergeladen werden. Im zweiten Fall kontaktiert nur der Master den Greenbone-Networks-Server und verteilt die zugehörigen Dateien an alle verbundenen Sensoren. Um zu verhindern, dass der Sensor den Greenbone-Networks-Server kontaktiert, kann die automatische Synchronisierung wie folgt deaktiviert werden:

  1. Im GOS-Administrationsmenü des Sensors Setup wählen und Enter drücken.
  2. Feed wählen und Enter drücken.
  3. Synchronisation wählen und Enter drücken.
  4. Save wählen und Enter drücken.

Tipp

Als zusätzlicher Schutz kann eine Regel für Source- und Destination-NAT auf einer Firewall mit Stateful-Packet-Inspection (SPI) genutzt werden, um die Notwendigkeit von Standardrouten auf dem GSM zu vermeiden.

16.4 Einen Sensor als Remote-Scanner konfigurieren

Bemerkung

Um einen Sensor als Remote-Scanner zu konfigurieren, müssen zuerst alle Schritte in Kapitel 16.1.1 erledigt werden.

Master können Sensoren als Remote-Scan-Maschinen (Scanner) zusätzlich zu den voreingestellten Scannern OpenVAS und CVE nutzen. Dazu muss der Sensor mithilfe der Web-Oberfläche des Masters als Remote-Scanner konfiguriert sein.

Bemerkung

Da die Kommunikation zwischen Master und Remote-Scanner auf GMP basiert, wird der Remote-Scanner als GMP-Scanner bezeichnet.

Ein neuer Remote-Scanner kann wie folgt konfiguriert werden:

  1. In die Web-Oberfläche des Masters einloggen.

  2. Konfiguration > Scanner in der Menüleiste wählen.

  3. Neuen Scanner durch Klicken auf new erstellen.

  4. Namen des Remote-Scanners in das Eingabefeld Name eingeben (siehe Abb. 16.8).

    _images/remote_scanner_new-de.png

    Abb. 16.8 Konfiguration des Remote-Scanners auf dem Master

  5. Scannerart in der Drop-down-Liste Typ wählen.

    Bemerkung

    Für die GSM-Modelle GSM 35 und GSM 25V muss Greenbone Sensor gewählt werden.

    Für alle anderen GSM-Modelle hängt die Wahl von der festgelegten Sensorart ab (siehe Kapitel 16.1.3).

    • Falls der Sensor ein GMP-Sensor ist, muss GMP Scanner gewählt werden.
    • Falls der Sensor ein OSP-Sensor ist, muss Greenbone Sensor gewählt werden.
  6. IP-Adresse oder Hostnamen des Sensors in das Eingabefeld Host eingeben.

  7. Auf new klicken, um neue Anmeldedaten zu erstellen.

  8. Namen der Anmeldedaten in das Eingabefeld Name eingeben.

  9. Benutzername + Passwort in der Drop-down-Liste Typ wählen.

  10. Accountinformationen des Scan-Benutzers (siehe Kapitel 16.1.2) in die Eingabefelder Benutzername und Passwort eingeben.

  11. Auf Speichern klicken, um die Anmeldedaten zu erstellen.

  12. Auf Speichern klicken, um den Remote-Scanner zu erstellen.

    → Der Scanner wird erstellt und auf der Seite Scanner angezeigt.

  13. In der Zeile des neu erstellen Scanners auf verify klicken, um den Scanner zu verifizieren.

    → Falls das Setup korrekt ist, wird der Scanner erfolgreich verifiziert.

Tipp

Scanner werden pro Benutzer erstellt. Sie können entweder für jeden Benutzer einzeln erstellt werden oder alternativ kann anderen Benutzern die Berechtigung für die Nutzung erteilt werden (siehe Kapitel 9.4).

16.5 Einen Remote-Scanner nutzen

Nachdem ein Sensor als Remote-Scanner konfiguriert wurde, können Scan-Aufgaben auf dem Master konfiguriert werden, sodass sie auf dem Sensor laufen (siehe Kapitel 10.2.2).

_images/remote_scanner_task-de.png

Abb. 16.9 Auswählen des Remote-Scanners für eine Aufgabe

Falls eine vorhandene Aufgabe in der Spalte Name auf der Seite Aufgaben als änderbar alterable_task markiert ist (siehe Kapitel 10.8), kann die Aufgabe wie folgt an einen Remote-Scanner gesendet werden:

  1. Scans > Aufgaben in der Menüleiste wählen.
  2. In der Zeile der Aufgabe auf edit klicken.
  3. Remote-Scanner in der Drop-down-Liste Scanner wählen (siehe Abb. 16.9).
  4. Auf Speichern klicken.
  5. Aufgabe durch Klicken auf start starten.