20 Häufig gestellte Fragen

20.1 Warum ist der Scanprozess so langsam?

Die Geschwindigkeit eines Scans hängt von vielen Faktoren ab.

  • Es wurden mehrere Portscanner gleichzeitig aktiviert.

    Falls eine individuelle Scan-Konfiguration genutzt wird, sollte nur ein einziger Portscanner in der VT-Familie Port scanners gewählt werden (siehe Kapitel 10.9.2). Der VT Ping Host kann trotzdem aktiviert sein.

  • Unbelegte IP-Adressen werden zeitintensiv gescannt.

    Im ersten Schritt wird festgestellt, ob für jede IP-Adresse ein aktives System vorhanden ist oder nicht. Falls nicht, wird die IP-Adresse nicht gescannt. Firewalls und andere Systeme können solch eine erfolgreiche Feststellung verhindern. Der VT Ping Host (1.3.6.1.4.1.25623.1.0.100315) in der VT-Familie Port scanners bietet eine Feineinstellung der Feststellung.

20.2 Warum wird ein Dienst/Produkt nicht gefunden?

  • Das Ziel wird nicht als online/erreichbar erkannt.

    Lösung(en):
    • Netzwerkeinrichtung/Routing zum Ziel korrigieren.
    • Die Kriterien/die Testkonfiguration, um das Ziel als erreichbar zu erkennen, aktualisieren (siehe Kapitel 10.2.1).
    • Alle Netzwerkgeräte (Firewall, IDS/IPS, WAF usw.) zwischen dem Scanner und dem Ziel sowie alle Sicherheitsmechanismen auf dem Ziel selbst überprüfen und entfernen. IP-Adresse des Scanners auf die Whitelist setzen.
  • Der Dienst/das Produkt läuft auf einem bestimmten Port, der nicht in der Portliste enthalten ist.

    Lösung(en):
    • Eine geeignete Portliste erstellen (siehe Kapitel 10.7). Dies ist besonders wichtig für UDP-Ports.
  • Es gibt einen Erkennungs-VT für einen Dienst/ein Produkt, aber der Dienst/das Produkt wird bei einem Scan nicht gefunden.

    Lösung(en):
    • Netzwerkeinrichtung/Routing zum Ziel korrigieren.
    • Die Kriterien/die Testkonfiguration, um das Ziel als erreichbar zu erkennen, aktualisieren (siehe Kapitel 10.2.1).
    • Alle Netzwerkgeräte (Firewall, IDS/IPS, WAF usw.) zwischen dem Scanner und dem Ziel sowie alle Sicherheitsmechanismen auf dem Ziel selbst überprüfen und entfernen. IP-Adresse des Scanners auf die Whitelist setzen.
    • Eine geeignete Portliste erstellen (siehe Kapitel 10.7). Dies ist besonders wichtig für UDP-Ports.
    • Wenn die oben genannten Lösungen nicht helfen, den Greenbone Networks Support (support@greenbone.net) kontaktieren und weitere Informationen über den Dienst/das Produkt (Produktname, konkret laufende Version usw.) bereitstellen.
  • Das Ziel ist nicht stabil/reagiert langsam während eines Scans.

    Lösung(en):
    • Gleichzeitig ausgeführte VTs reduzieren (siehe Kapitel 10.2.2).
    • Den Dienst/das Produkt auf eine neuere Version aktualisieren (z. B. um ausgelöste Bugs zu beheben).
    • Dem Ziel mehr Ressourcen (CPU, RAM usw.) zuweisen, um es bei Scans stabiler zu machen.

20.3 Warum wird eine Schwachstelle nicht gefunden?

  • Der betroffene Dienst/das betroffene Produkt wird überhaupt nicht erkannt.

    Lösung(en):
    • Siehe Kapitel 20.2.
  • Der Dienst/das Produkt wurde erkannt, aber die Erkennung einer Version war nicht möglich.

    Lösung(en):
    • Einen authentifizierten Scan durchführen (siehe Kapitel 10.3).
    • Wenn die oben genannten Lösungen nicht helfen, den Greenbone Networks Support (support@greenbone.net) kontaktieren und weitere Informationen über den Dienst/das Produkt (Produktname, konkret laufende Version usw.) bereitstellen.
  • Es gibt nur eine Versionsprüfung mit einer niedrigeren Qualität der Erkennung (QdE) und die Schwachstelle wird standardmäßig nicht angezeigt.

    Lösung(en):
    • QdE-Wert im Ergebnisfilter ändern (siehe Kapitel 11.2.1.3).
    • Einen authentifizierten Scan durchführen (siehe Kapitel 10.3).
  • Falls ein authentifizierter Scan durchgeführt wurde, ist der Login fehlgeschlagen.

    Lösung(en):
    • Korrektheit der Anmeldedaten prüfen.
    • Verifizieren, dass der Nutzer nicht geblockt ist.
    • Verifizieren, dass sich der Benutzer auf dem Ziel anmelden darf.
    • Wenn die oben genannten Lösungen nicht helfen, den Greenbone Networks Support (support@greenbone.net) kontaktieren und weitere Informationen über den Dienst/das Produkt (Produktname, konkret laufende Version usw.) bereitstellen.
  • Der Dienst/das Produkt selbst stürzte ab oder reagierte nicht mehr während des Scans.

    Lösung(en):
    • Gleichzeitig ausgeführte VTs reduzieren (siehe Kapitel 10.2.2).
    • Den Dienst/das Produkt auf eine neuere Version aktualisieren (z. B. um ausgelöste Bugs zu beheben).
    • Dem Ziel mehr Ressourcen (CPU, RAM usw.) zuweisen, um es bei Scans stabiler zu machen.
  • Die Schwachstelle wurde erst vor Kurzem entdeckt und es existiert noch kein VT dafür.

    Lösung(en):
    • Den Greenbone Networks Support (support@greenbone.net) kontaktieren und einen neuen VT anfragen oder anfragen, ob ein VT bereits geplant ist.
  • Die spezifische Erkennung ist veraltet.

    Lösung(en):

20.4 Warum ist es nicht möglich, Scan-Konfigurationen, Portlisten, Compliance-Richtlinien oder Berichtformate zu bearbeiten?

Scan-Konfigurationen, Portlisten, Compliance-Richtlinien und Berichtformate von Greenbone Networks (im Folgenden als „Objekte“ bezeichnet) werden über den Feed verteilt. Diese Objekte müssen einem Nutzer, dem Feed Import Owner, gehören. Die Objekte werden während eines Feed-Updates heruntergeladen und aktualisiert, falls ein Feed Import Owner festgelegt wurde.

Die Objekte können nicht bearbeitet werden. Dies ist beabsichtigt, damit sichergestellt ist, dass die Objekte wie von Greenbone Networks beabsichtigt funktionieren.

20.5 Warum ist es nicht möglich, Scan-Konfigurationen, Portlisten, Compliance-Richtlinien oder Berichtformate zu löschen?

Scan-Konfigurationen, Portlisten, Compliance-Richtlinien und Berichtformate von Greenbone Networks (im Folgenden als „Objekte“ bezeichnet) werden über den Feed verteilt. Diese Objekte müssen einem Nutzer, dem Feed Import Owner, gehören. Die Objekte werden während eines Feed-Updates heruntergeladen und aktualisiert, falls ein Feed Import Owner festgelegt wurde.

Nur der Feed Import Owner, ein Super-Administrator oder Nutzer, die entsprechende Berechtigungen erhalten haben, können Objekte löschen.

Wenn die Objekte gelöscht werden, werden sie während des nächsten Feed-Updates erneut heruntergeladen. Falls keine Objekte heruntergeladen werden sollen, darf kein Feed Import Owner festgelegt sein.

20.6 Warum erscheint ein VNC-Dialog auf dem gescannten Zielsystem?

Beim Prüfen des Ports 5900 oder beim Konfigurieren eines VNC-Ports, erscheint ein Fenster zum Erlauben der Verbindung auf dem gescannten System. Dies wurde für UltraVNC Version 1.0.2 beobachtet.

Lösung: Port 5900 oder andere konfigurierte VNC-Ports von der Zielspezifikation ausschließen. Alternativ könnte ein Upgrade auf eine neuere Version von UltraVNC hilfreich sein (UltraVNC 1.0.9.6.1 nutzt lediglich Sprechblasen zum Informieren von Benutzern).

20.7 Warum löst der Scan Alarme bei anderen Sicherheitstools aus?

Bei vielen Schwachstellenprüfungen wird das Verhalten eines echten Angreifers simuliert. Zwar findet kein tatsächlicher Angriff statt, aber einige Sicherheitstools könnten einen Alarm ausgeben.

Ein bekanntes Beispiel ist:

Symantec meldet einen Angriff bezüglich CVE-2009-3103, falls der VT Microsoft Windows SMB2 ‚_Smb2ValidateProviderCallback()‘ Remote Code Execution Vulnerability (1.3.6.1.4.1.25623.1.0.100283) ausgeführt wird. Dieser VT wird nur ausgeführt, falls der Radiobutton Nein für safe_checks in den Scanner-Vorgaben gewählt wird (siehe Abb. 20.1). Andernfalls kann das Zielsystem betroffen sein.

_images/faq-de.png

Abb. 20.1 Deaktivieren der Scanner-Vorgabe safe_checks

20.8 Wie kann ein Zurücksetzen auf Werkseinstellungen auf dem GSM durchgeführt werden?

Ein Zurücksetzen auf Werkseinstellungen kann durchgeführt werden, um Benutzerdaten sicher vom GSM zu entfernen.

Bemerkung

Der Greenbone Networks Support kann per E-Mail (support@greenbone.net) kontaktiert werden, um detaillierte Informationen zum Zurücksetzen auf Werkseinstellungen zu erhalten.

20.9 Warum funktionieren weder Feed-Update noch GOS-Upgrade nach einem Zurücksetzen auf Werkseinstellungen?

Das Zurücksetzen auf Werkseinstellungen löscht das gesamte System, einschließlich des Subscription-Schlüssels für den Greenbone Security Feed (GSF). Der GSF-Subscription-Schlüssel ist für Feed-Updates und GOS-Upgrades zwingend erforderlich.

  1. Den GSF-Subscription-Schlüssel reaktivieren:

    Ein Backup-Schlüssel wird mit jeder GSM-Appliance geliefert (siehe Kapitel 7.1.1). Dieser Schlüssel kann genutzt werden, um den GSM zu reaktivieren. Die Aktivierung ist im Setup-Guide des entsprechenden GSM-Modells beschrieben (siehe Kapitel 5).

  2. Das System auf die aktuelle Version aktualisieren:

    Abhängig von der GOS-Version muss der entsprechende Upgradevorgang durchgeführt werden.

20.10 Wie kann ein älteres Backup oder Beaming-Image wiederhergestellt werden?

Ausschließlich Backups und Beaming-Images, die mit der momentan genutzten GOS-Version oder der Vorgängerversion erstellt wurden, können wiederhergestellt werden. Für GOS 21.04 können nur Backups und Beaming-Images aus GOS 20.08 oder GOS 21.04 importiert werden. Falls ein älteres Backup importiert werden soll, z. B. aus GOS 5 oder GOS 6, muss eine Appliance mit der passenden GOS-Version genutzt werden.

Backups und Beaming-Images aus GOS-Versionen, die neuer sind als die momentan genutzte GOS-Version, werden ebenfalls nicht unterstützt. Falls ein neueres Backup oder Beaming-Image importiert werden soll, muss eine Appliance mit der passenden GOS-Version genutzt werden.

Falls Fragen auftreten, kann der Greenbone Networks Support (support@greenbone.net) per E-Mail kontaktiert werden.

20.11 Was kann getan werden, falls das GOS-Administrationsmenü nicht korrekt in PuTTY dargestellt wird?

Window > Translation im linken Panel wählen, um die Einstellungen in PuTTY zu prüfen. UTF-8 muss in der Drop-down-Liste Remote character set gewählt werden (siehe Abb. 20.2).

_images/faq2.png

Abb. 20.2 Auswahl des Remotezeichensatzes

20.12 Wie kann der GMP-Status ohne Anmeldedaten geprüft werden?

  1. Eine SSH-Verbindung zum GSM mithilfe der Kommandozeile unter Nutzung des GMP-Benutzers aufbauen:

    ssh gmp@<gsm>
    

    <gsm> durch die IP-Adresse oder den DNS-Namen der GSM-Appliance ersetzen.

    Bemerkung

    Es wird keine Eingabeaufforderung angezeigt, aber der Befehl kann trotzdem eingegeben werden.

  2. <get_version/> eingeben.

    → Falls GMP aktiviert ist, sollte die Ausgabe wie folgt aussehen: <get_version_response status="200" status_text="OK"><version>8.0</version></get_version_response>.