7 Das Greenbone Operating System verwalten

Bemerkung

Dieses Kapitel dokumentiert alle möglichen Menüoptionen.

Allerdings unterstützen nicht alle Appliance-Modelle alle Menüoptionen. Um festzustellen, ob ein bestimmtes Feature für das genutzte Appliance-Modell verfügbar ist, können die Tabellen in Kapitel 3 genutzt werden.

7.1 Allgemeine Informationen

7.1.1 Greenbone-Enterprise-Feed-Subskription-Schlüssel

Beim Kauf einer Greenbone Enterprise Appliance ist ein eindeutiger Subskription-Schlüssel für den Greenbone Enterprise Feed vorinstalliert, um der Appliance Zugriff auf den Greenbone Update Service, auch Greenbone Feed Service genannt, zu ermöglichen. Der Subskription-Schlüssel wird nur für Autorisierungszwecke genutzt, nicht für Abrechnungen oder Verschlüsselungen.

Der Subskription-Schlüssel ist für jede Appliance individuell und kann nicht auf mehr als einer Appliance installiert sein.

Falls der Subskription-Schlüssel gefährdet wird (z. B. indem er in die Hände Dritter gerät), entsteht dem rechtmäßigen Besitzer des Subskription-Schlüssels kein Schaden. Greenbone deaktiviert den gefährdeten Schlüssel, um eine weitere unberechtigte Nutzung zu vermeiden. Ein Ersatz-Subskription-Schlüssel kann ohne zusätzliche Kosten herausgegeben werden.

Ein Zurücksetzen auf Werkseinstellungen löscht den Subskription-Schlüssel von der Appliance und der Subskription-Schlüssel muss neu installiert werden. Falls ein Zurücksetzen geplant ist, sollte der Greenbone Enterprise Support kontaktiert werden, um eine Kopie des Subskription-Schlüssels zu erhalten.

7.1.2 Autorisierungskonzept

Die Appliance bietet zwei unterschiedliche Level für den Zugriff:

  • Web-Oberfläche – Anwendungsebene
    Die Anwendungsebene ist über die Web-Oberfläche oder das Greenbone Management Protocol (GMP) erreichbar.
  • GOS-Administrationsmenü – Systemebene
    Die Systemebene ist nur über die Konsole oder das Secure Shell Protocol (SSH) erreichbar.

7.1.2.1 Zugriff auf die Anwendungsebene

Die Anwendungsebene ermöglicht den Zugriff auf das Schwachstellenscanning und die Schwachstellenverwaltung und unterstützt die Administration von Benutzern, Gruppen und detaillierten Berechtigungen.

Der Zugriff auf die Anwendungsebene ist entweder über die Web-Oberfläche, auch Greenbone Security Assistant (GSA) genannt, oder mithilfe des Greenbone Management Protocols (GMP) möglich.

Bemerkung

Für die Appliance-Modelle Greenbone Enterprise 35 und Greenbone Enterprise 25V ist kein Zugriff auf die Anwendungsebene möglich. Diese Appliances müssen über eine Master-Appliance verwaltet werden.

Nach dem Ausliefern der Appliance durch Greenbone oder nach einem Zurücksetzen auf Werkseinstellungen ist kein Account für die Anwendungsebene auf der Appliance konfiguriert. Es ist notwendig, mindestens einen solchen Account mithilfe der Systemebene zu erstellen.

Bemerkung

Weitere Informationen über die Web-Oberfläche befinden sich in den Kapiteln 8 und 9.

Weitere Informationen über GMP befinden sich in Kapitel 15.

7.1.2.2 Zugriff auf die Systemebene

Die Systemebene ermöglicht den Zugriff auf die Administration des Greenbone Operating Systems (GOS). Nur ein einziger Systemadministrator wird unterstützt. Der Systemadministrator kann Systemdateien nicht direkt verändern, aber das System anweisen, Konfigurationen zu ändern.

GOS wird über eine menübasierte, grafische Oberfläche (GOS-Administrationsmenü) verwaltet. Der Systemadministrator muss nicht zwingend die Befehlszeile (Shell) für Konfigurations- oder Wartungsaufgaben nutzen. Zugriff auf die Shell ist nur für den Support und für die Problemlösung vorgesehen.

Für den Zugriff auf die Systemebene wird entweder ein Konsolenzugriff (seriell, Hypervisor oder Monitor/Tastatur) oder eine SSH-Verbindung benötigt. Um SSH zu nutzen, ist eine Netzwerkverbindung notwendig und der SSH-Dienst muss aktiviert sein (siehe Kapitel 7.2.4.4).

Nach dem Ausliefern der Appliance durch Greenbone oder nach einem Zurücksetzen auf Werkseinstellungen ist ein Standardaccount und -passwort für den Systemadministrator vorkonfiguriert. Während des ersten Setups sollte das Passwort des Systemadministrators geändert werden (siehe Kapitel 7.2.1.1).

7.1.2.2.1 Mithilfe der Konsole auf das GOS-Administrationsmenü zugreifen

Nachdem die Appliance eingeschaltet wurde, bootet sie. Dieser Prozess kann in der Konsole überwacht werden.

_images/boot_gos.png

Abb. 7.1 Eingabeaufforderung der Appliance

Nachdem der Boot-Vorgang abgeschlossen ist, wird eine Eingabeaufforderung angezeigt (siehe Abb. 7.1). Die Standarddaten für den Login sind:

  • Benutzer: admin

  • Passwort: admin

    Bemerkung

    Während des ersten Setups sollte dieses Passwort geändert werden (siehe Kapitel 7.2.1.1).

Nach dem Ausliefern der Appliance durch Greenbone oder nach einem Zurücksetzen auf Werkseinstellungen wird ein Setup-Wizard angezeigt, der bei der grundlegenden Konfiguration von GOS behilflich ist. Indem Yes gewählt und Enter gedrückt wird, können alle notwendigen Einstellungen konfiguriert werden. Indem No oder Cancel gewählt und Enter gedrückt wird, wird der Setup-Wizard geschlossen.

7.1.2.2.2 Mithilfe von SSH auf das GOS-Administrationsmenü zugreifen

Bemerkung

Nach dem Ausliefern der Appliance durch Greenbone oder nach einem Zurücksetzen auf Werkseinstellungen ist der SSH-Zugriff möglicherweise deaktiviert und muss erst über die Konsole aktiviert werden (siehe Kapitel 7.2.4.4). Eine Netzwerkverbindung wir ebenfalls für SSH benötigt (siehe Kapitel 7.2.2.4).

Um eine SSH-Verbindung auf Linux-, macOS- oder Unix-ähnlichen Systemen herzustellen, kann die Befehlszeile wie folgt genutzt werden:

$ ssh admin@<appliance>

<appliance> durch die IP-Adresse oder den Domainnamen der Appliance ersetzen.

Durch Anzeigen des Fingerprints kann der Host-Schlüssel wie folgt verifiziert werden:

  1. GOS-Administrationsmenü starten.

  2. Setup wählen und Enter drücken.

  3. Services wählen und Enter drücken.

  4. SSH wählen und Enter drücken.

  5. Fingerprint wählen und Enter drücken.

    → Der Fingerprint wird im GOS-Administrationsmenü angezeigt.

Um eine SSH-Verbindung auf Microsoft-Windows-Systemen herzustellen, können die Tools PuTTY oder smarTTY genutzt werden. Auf Microsoft Windows Server 2019, Microsoft Windows 10 Build 1809 oder neuer kann die OpenSSH-Client-Komponente installiert werden, um über die Befehlszeile auf SSH zuzugreifen.

7.1.3 Das GOS-Administrationsmenü nutzen

Das GOS-Administrationsmenü kann mithilfe einer Tastatur gesteuert werden. Die Pfeiltasten der Tastatur werden genutzt, um die aktuelle Menüauswahl zu ändern. Durch Drücken von Enter wird die momentane Menüauswahl bestätigt und fortgefahren. Durch Drücken von Leerzeichen wird zwischen Auswahlmöglichkeiten gewechselt. Das aktuelle Menü kann durch Drücken von Esc verlassen werden.

Änderungen an der Konfiguration, die im GOS-Administrationsmenü vorgenommen wurden, werden nicht unmittelbar aktiviert. Stattdessen wird die Menüoption Save unterhalb der anderen Optionen hinzugefügt (siehe Abb. 7.2). Die Änderungen treten in Kraft, indem Save gewählt und Enter gedrückt wird.

_images/gos_menu_changes.png

Abb. 7.2 Neue Menüoption zum Speichern ausstehender Änderungen

Falls ein Menü verlassen wird, ohne die ausstehenden Änderungen zu speichern, wird eine Warnung angezeigt (siehe Abb. 7.3). Die Änderungen können gespeichert werden, indem Yes gewählt und Enter gedrückt wird. Falls No gewählt wird, werden die Änderungen verworfen.

_images/gos_menu_discard.png

Abb. 7.3 Speichern ausstehender Änderungen

7.2 Setup-Menü

7.2.1 Benutzer verwalten

Das GOS-Administrationsmenü bietet die Möglichkeit, die Web-Benutzer zu verwalten. Web-Benutzer sind Benutzer der Web-Oberfläche der Appliance.

7.2.1.1 Das Passwort des Systemadministrators ändern

Das Passwort des Systemadministrators kann geändert werden. Dies ist insbesondere bei der ersten Basiskonfiguration wichtig. Die Werkseinstellung ist nicht für eine Produktionsumgebung geeignet. Das Passwort kann wie folgt geändert werden:

  1. Setup wählen und Enter drücken.

  2. User wählen und Enter drücken.

  3. Password wählen und Enter drücken (siehe Abb. 7.4).

    _images/gos_menu_adminpassword.png

    Abb. 7.4 Öffnen der Benutzerverwaltung

  4. Aktuelles Passwort eingeben und Enter drücken (siehe Abb. 7.5).

    _images/gos_menu_adminpassword2.png

    Abb. 7.5 Das Passwort des Systemadministrators ändern

  5. Neues Passwort eingeben und Enter drücken.

    Bemerkung

    Triviale Passwörter werden abgelehnt. Dies schließt auch das Standardpasswort admin ein.

  6. Neues Passwort wiederholen und Enter drücken.

    Bemerkung

    Die Änderung tritt sofort in Kraft und eine Bestätigung ist nicht notwendig. Es ist nicht möglich, die Änderung rückgängig zu machen.

7.2.1.2 Web-Benutzer verwalten

Bemerkung

Für die Appliance-Modelle Greenbone Enterprise 35 und Greenbone Enterprise 25V gibt es keine Web-Benutzer.

Für diese Appliance-Modelle ist dieses Kapitel nicht relevant.

Um die Appliance nutzen zu können, muss ein Web-Administrator eingerichtet werden. Dieser Benutzer wird von einigen Dokumenten und Anwendungen als Scanadministrator bezeichnet.

Das Einrichten des ersten Web-Administrators ist nur wie folgt mithilfe des GOS-Administrationsmenüs möglich:

  1. Setup wählen und Enter drücken.

  2. User wählen und Enter drücken.

  3. Users wählen und Enter drücken.

    → Mehrere neue Optionen werden angezeigt (siehe Abb. 7.6).

    _images/gos_menu_webusers.png

    Abb. 7.6 Verwalten der Web-Benutzer

  4. List Users wählen und Enter drücken, um eine Liste aller konfigurierten Web-Benutzer anzeigen zu lassen.

Bemerkung

Es kann mehr als ein Benutzer mit administrativen Rechten eingerichtet werden.

Um die vorhandenen Benutzer zu verändern oder um Benutzer mit weniger Berechtigungen hinzuzufügen, wird die Web-Oberfläche genutzt.

7.2.1.3 Einen Web-Administrator erstellen

Ein neuer Web-Administrator kann wie folgt erstellt werden:

  1. Setup wählen und Enter drücken.

  2. User wählen und Enter drücken.

  3. Users wählen und Enter drücken.

  4. Admin User wählen und Enter drücken.

  5. Benutzernamen und Passwort des Web-Administrators festlegen und Tab drücken (siehe Abb. 7.7).

  6. Enter drücken.

    → Der Web-Administrator wird erstellt und kann mithilfe der Web-Oberfläche bearbeitet werden.

    _images/gos_menu_newadmin.png

    Abb. 7.7 Erstellen eines neuen Web-Administrators

7.2.1.4 Einen Gastbenutzer aktivieren

Um es einem Gast zu ermöglichen, sich ohne Passwort einzuloggen, muss diese Funktion wie folgt aktiviert werden:

  1. Setup wählen und Enter drücken.

  2. User wählen und Enter drücken.

  3. Users wählen und Enter drücken.

  4. Guest User wählen und Enter drücken.

  5. Benutzernamen und Passwort eines vorhandenen Benutzers eingeben und Tab drücken.

  6. Enter drücken.

    → Der Gastbenutzer wird aktiviert und kann sich ohne Passwort in die Web-Oberfläche einloggen (siehe Abb. 7.8).

    _images/gos_menu_guestlogin-de.png

    Abb. 7.8 Einloggen als Gast ohne Nutzung eines Passworts

7.2.1.5 Einen Super-Administrator erstellen

Ein neuer Super-Administrator kann wie folgt erstellt werden:

  1. Setup wählen und Enter drücken.

  2. User wählen und Enter drücken.

  3. Users wählen und Enter drücken.

  4. Super Admin wählen und Enter drücken.

    → Eine Warnung fordert den Benutzer auf, den Vorgang zu bestätigen (siehe Abb. 7.9).

    _images/gos_menu_superadmin_warning.png

    Abb. 7.9 Warnung beim Erstellen eines neuen Super-Administrators

  5. Yes wählen und Enter drücken.

  6. Benutzernamen und Passwort des Super-Administrators festlegen und Tab drücken.

  7. Enter drücken.

    → Der Super-Administrator wird erstellt und kann mithilfe der Web-Oberfläche bearbeitet werden.

    Bemerkung

    Der Super-Administrator kann nur durch den Super-Administrator selbst bearbeitet werden.

7.2.1.6 Einen Benutzeraccount löschen

Bemerkung

Super-Administratoren können nur wie hier beschrieben gelöscht werden. Das Löschen eines Super-Administrators über die Web-Oberfläche ist nicht möglich.

Ein Web-Benutzer kann wie folgt gelöscht werden:

  1. Setup wählen und Enter drücken.

  2. User wählen und Enter drücken.

  3. Users wählen und Enter drücken.

  4. Delete Account wählen und Enter drücken.

  5. Web-Benutzer, der gelöscht werden soll, wählen und Enter drücken.

    → Eine Nachricht fragt, ob ein Nachfolger gewählt werden soll.

  6. Falls ein Nachfolger gewählt werden soll, Yes wählen und Enter drücken.

  7. Web-Benutzer, der der Nachfolger sein soll, wählen und Enter drücken.

    Bemerkung

    Der Web-Benutzer wird sofort gelöscht.

    Bemerkung

    Der Benutzer, der Feed Import Owner ist, kann nicht gelöscht werden. Zuerst muss ein anderer Feed Import Owner festgelegt oder die Einstellung auf (Unset) geändert werden (siehe Kapitel 7.2.1.9.1).

  8. Durch Drücken von Enter zum vorherigen Menü zurückkehren.

7.2.1.7 Das Benutzerpasswort ändern

Das Passwort eines Web-Benutzers kann wie folgt geändert werden:

  1. Setup wählen und Enter drücken.

  2. User wählen und Enter drücken.

  3. Users wählen und Enter drücken.

  4. Change Password wählen und Enter drücken.

  5. Web-Benutzer, dessen Passwort geändert werden soll, wählen und Enter drücken.

  6. Neues Passwort zweimal eingeben und Tab drücken (siehe Abb. 7.10).

    _images/gos_menu_changepassword.png

    Abb. 7.10 Ändern des Benutzerpassworts

  7. Enter drücken.

7.2.1.8 Die Passwortrichtlinie ändern

Die Anforderungen an Passwörter können wie folgt geändert werden:

  1. Setup wählen und Enter drücken.

  2. User wählen und Enter drücken.

  3. Users wählen und Enter drücken.

  4. Password Policy wählen und Enter drücken.

  5. Length wählen und Enter drücken, um die minimale Länge, die ein Passwort haben muss, festzulegen.

    Bemerkung

    Die Mindestlänge muss mindestens 10 Zeichen betragen.

    Username wählen und Enter drücken, um festzulegen, ob Benutzername und Passwort gleich sein dürfen.

    Complex wählen und Enter drücken, um festzulegen, ob ein Passwort mindestens einen Buchstaben, eine Zahl und ein Symbol enthalten muss.

    _images/gos_menu_passwordpolicy.png

    Abb. 7.11 Ändern der Passwortrichtlinie

7.2.1.9 Die Einstellungen für Datenobjekte konfigurieren

Scan-Konfigurationen, Compliance-Richtlinien, Berichtformate und Portlisten von Greenbone (im Folgenden als „Objekte“ bezeichnet) werden über den Feed verteilt. Diese Objekte müssen einem Nutzer, dem Feed Import Owner, gehören.

Die Objekte werden während eines Feed-Updates heruntergeladen und aktualisiert, falls ein Feed Import Owner festgelegt wurde.

Nur der Feed Import Owner, ein Super-Administrator oder Nutzer, die entsprechende Berechtigungen erhalten haben, können Objekte löschen. Wenn die Objekte gelöscht werden, werden sie während des nächsten Feed-Updates erneut heruntergeladen.

Bemerkung

Falls die Objekte im Papierkorb verbleiben, gelten sie noch nicht als gelöscht und werden beim nächsten Feed-Update nicht neu heruntergeladen.

Falls keine Objekte heruntergeladen werden sollen, darf kein Feed Import Owner festgelegt sein.

Der Feed Import Owner, ein Super-Administrator (Standardrolle) und ein Administrator (Standardrolle), welcher aktuell Berechtigungen für die Objekte hat, können anderen Nutzern auch zusätzliche Berechtigungen für die Objekte erteilen (siehe Kapitel 9.4.1.1 oder 9.4.1.2). Normalerweise gilt dies nur für die Standardrollen. Benutzerdefinierten Rollen müssen erst manuell Berechtigungen erteilt werden.

7.2.1.9.1 Den Feed Import Owner ändern

Der Feed Import Owner wird während des ersten Setups der Appliance festgelegt (siehe Kapitel 6 und 5). Jedoch kann der Feed Import Owner auch zu einem späteren Zeitpunkt geändert werden.

Bemerkung

Falls der Feed Import Owner geändert wird, sind die Objekte beim nächsten Import aus dem Feed im Besitz des neuen Feed Import Owners, genauso wie die zugehörigen Berechtigungen für die konfigurierten Rollen. Der vorherige Feed Import Owner ist bis dahin weiterhin Besitzer der Objekte.

Falls der vorherige Feed Import Owner die Objekte entfernt, werden sie während des Feed-Updates importiert und gehen in den Besitz des neuen Feed Import Owners über.

Der Feed Import Owner kann wie folgt geändert werden:

  1. Setup wählen und Enter drücken.

  2. User wählen und Enter drücken.

  3. Users wählen und Enter drücken.

  4. Distributed Data wählen und Enter drücken (siehe Abb. 7.12).

    _images/gos_menu_distr_objects_1.png

    Abb. 7.12 Konfigurieren der Einstellungen für die Datenobjekte

  5. Import Owner wählen und Enter drücken.

  6. Nutzer, der Feed Import Owner sein soll, wählen und Leertaste drücken.

  7. Enter drücken.

Bemerkung

Der Nutzer, der Feed Import Owner ist, kann nicht gelöscht werden (siehe Kapitel 7.2.1.6). Ein anderer Feed Import Owner muss festgelegt oder die Einstellung muss auf (Unset) geändert werden.

7.2.1.9.2 Die Zugriffsrollen festlegen

Standardmäßig haben die Rollen User, Admin und Super Admin Lesezugriff auf die Objekte, d. h. sie können sie auf der Web-Oberfläche sehen und nutzen.

Jedoch können die Rollen, die Lesezugriff auf die Objekte haben sollen, wie folgt ausgewählt werden:

  1. Setup wählen und Enter drücken.

  2. User wählen und Enter drücken.

  3. Users wählen und Enter drücken.

  4. Distributed Data wählen und Enter drücken.

  5. Access Roles wählen und Enter drücken.

  6. Rollen wählen, die in der Lage sein sollen, die Datenobjekte zu sehen und zu nutzen und Leertaste drücken (siehe Abb. 7.13).

    _images/gos_menu_distr_objects_2.png

    Abb. 7.13 Wählen der Rollen, die Datenobjekte nutzen können

  7. Enter drücken.

7.2.2 Die Netzwerkeinstellungen konfigurieren

7.2.2.1 Den Netzwerkmodus auf gnm aktualisieren

Nach dem Upgrade von GOS 20.08 auf GOS 21.04 (siehe Kapitel 6) wird eine Meldung angezeigt, die anbietet, auf den neuen Netzwerkmodus gnm (Greenbone Networking Mode) zu wechseln.

Falls der Netzwerkmodus nicht direkt nach dem Upgrade auf GOS 21.04 aktualisiert wird, kann er wie folgt geändert werden:

  1. Setup wählen und Enter drücken.

  2. Network wählen und Enter drücken.

  3. Switch Networking Mode wählen und Enter drücken.

    → Eine Nachricht fordert den Benutzer auf, die Änderung zu bestätigen.

  4. Enter drücken.

    → Eine Nachricht informiert darüber, dass der Netzwerkmodus aktualisiert wurde.

  5. Enter drücken, um die Nachricht zu schließen.

    Bemerkung

    Nachdem der Netzwerkmodus aktualisiert wurde, ist die Menüoption Switch Networking Mode nicht mehr verfügbar.

7.2.2.2 Allgemeine Informationen über Namensräume

Bei einigen Appliance-Modellen (Greenbone Enterprise 5400/6500 und Greenbone Enterprise 400/450/600/650) sind die Netzwerkschnittstellen in unterschiedlichen Namensräumen organisiert:

  • Namensraum: Management
    Dieser Namensraum enthält alle Schnittstellen, die für Managementtätigkeiten benötigt werden.
  • Namensraum: Scan1
    Dieser Namensraum enthält alle Schnittstellen, die für Scanzwecke benötigt werden.

Standardmäßig befinden sich alle Schnittstellen im Management-Namensraum. Dies ermöglicht sowohl Management- als auch Scanverkehr über alle Schnittstellen. Sobald mindestens eine Schnittstelle im Scan-Namensraum ist, tritt die Namensraumtrennung in Kraft.

Nur Schnittstellen im Management-Namensraum können Managementverkehr verarbeiten. Dies beinhaltet den Zugriff auf das GOS-Administrationsmenü, die Web-Oberfläche und den Greenbone Feed Server sowie das Konfigurieren der Master-Sensor-Kommunikation.

Schnittstellen im Scan-Namensraum verarbeiten nur Scanverkehr.

Die Namensräume werden getrennt, um nur die Schnittstellen aus dem Scan-Namensraum mit Netzwerken zu verbinden, die vom Internet aus erreichbar sind. Auf diese Weise können Angriffe aus dem Internet die Management-Schnittstellen der Appliance nicht erreichen.

Tipp

Die Trennung der Namensräume wird empfohlen.

7.2.2.3 Eine Schnittstelle in einen anderen Namensraum verschieben

Schnittstellen, die in einen anderen Namensraum verschoben werden sollen, können wie folgt gewählt werden:

  1. Setup wählen und Enter drücken.

  2. Network wählen und Enter drücken.

  3. Configure Namespaces wählen und Enter drücken.

  4. Enter drücken.

    Bemerkung

    Schnittstellen im Scan-Namensraum sind mit * gekennzeichnet (siehe Abb. 7.14).

    Schnittstellen im Management-Namensraum sind entsprechend gekennzeichnet.

    _images/gos_menu_switchingnamespace.png

    Abb. 7.14 Verschieben von Schnittstellen in einen anderen Namensraum

  5. Schnittstelle, die verschoben werden soll, wählen und Leertaste drücken.

    Bemerkung

    Es dürfen nicht alle Schnittstellen in den Scan-Namensraum verschoben werden, da sonst die Appliance nicht mehr erreichbar ist.

  6. Enter drücken.

7.2.2.4 Netzwerkschnittstellen konfigurieren

Bemerkung

Mindestens eine Netzwerkschnittstelle muss konfiguriert sein, damit über das Netzwerk auf die Appliance zugegriffen werden kann. Normalerweise wird der erste Netzwerkadapter eth0 dafür genutzt. Der Administrator muss diese Netzwerkschnittstelle konfigurieren und die Appliance mit dem Netzwerk verbinden.

Auf allen virtuellen Appliances ist die erste Netzwerkschnittstelle über DHCP mit IPv4 vorkonfiguriert.

Netzwerkschnittstellen können wie folgt konfiguriert werden:

  1. Setup wählen und Enter drücken.

  2. Network wählen und Enter drücken.

  3. Namensraum, in dem sich die gewünschte Schnittstelle befindet, wählen und Enter drücken.

  4. Interfaces wählen und Enter drücken.

  5. Gewünschte Schnittstelle wählen und Enter drücken.

    Bemerkung

    Falls es in diesem Namensraum nur eine Schnittstelle gibt, wird die Konfiguration dieser Schnittstelle direkt geöffnet.

    → Die Schnittstelle kann konfiguriert werden (siehe Abb. 7.15).

    _images/gos_menu_configureinterface_1.png

    Abb. 7.15 Konfigurieren der Netzwerkschnittstelle

7.2.2.4.1 Eine statische IP-Adresse festlegen
  1. Gewünschte Schnittstelle wählen (siehe Kapitel 7.2.2.4).

  2. Static IP (für IPv4 oder IPv6) wählen und Enter drücken.

  3. dhcp aus dem Eingabefeld löschen und mit korrekter IP-Adresse, einschließlich Präfixlänge, ersetzen (siehe Abb. 7.16).

    _images/gos_menu_staticip.png

    Abb. 7.16 Eingeben einer statischen IP-Adresse

  4. Enter drücken.

    → Eine Nachricht informiert darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  5. Enter drücken, um die Nachricht zu schließen.

Bemerkung

Die statische IP-Adresse kann deaktiviert werden, indem das Eingabefeld leer gelassen wird.

7.2.2.4.2 Eine Netzwerkschnittstelle so konfigurieren, dass DHCP genutzt wird

Eine Netzwerkschnittstelle kann wie folgt konfiguriert werden, sodass DHCP genutzt wird:

  1. Gewünschte Schnittstelle wählen (siehe Kapitel 7.2.2.4).
  2. DHCP (für IPv4 oder IPv6) wählen und Enter drücken.
7.2.2.4.3 Die Maximum Transmission Unit (MTU) konfigurieren

Bemerkung

Die Konfiguration der MTU ist nur möglich, falls eine statische IP-Adresse konfiguriert ist.

  1. Gewünschte Schnittstelle wählen (siehe Kapitel 7.2.2.4).

  2. MTU (für IPv4 oder IPv6) wählen und Enter drücken.

  3. MTU in das Eingabefeld eingeben.

  4. Enter drücken.

    → Eine Nachricht informiert darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  5. Enter drücken, um die Nachricht zu schließen.

Bemerkung

Falls das Eingabefeld leer gelassen wird, wird der Standardwert eingestellt.

7.2.2.4.4 Das Router-Advertisement für IPv6 nutzen

Falls die Konfiguration von IP-Adressen und eines globalen Gateways für IPv6 automatisch via SLAAC (Stateless Address Autoconfiguration) ablaufen sollen, kann das Router-Advertisement wie folgt aktiviert werden:

  1. Gewünschte Schnittstelle wählen (siehe Kapitel 7.2.2.4).
  2. Router-advertisement wählen und Enter drücken.
7.2.2.4.5 VLANs konfigurieren

Bemerkung

Das Einrichten von VLANs auf virtuellen Appliances ist aktuell nicht möglich. Falls der Hypervisor virtuelle Switches unterstützt, können diese für VLANs genutzt werden.

Eine neue VLAN-Subschnittstellen kann wie folgt erstellt werden:

  1. Gewünschte Schnittstelle wählen (siehe Kapitel 7.2.2.4).

  2. Configure the VLAN interfaces on this interface wählen und Enter drücken.

  3. Configure a new VLAN interface wählen und Enter drücken.

  4. VLAN ID in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.17).

    → Eine Nachricht informiert darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

    _images/gos_menu_vlan_1.png

    Abb. 7.17 Erstellen einer neuen VLAN-Subschnittstelle

  5. Enter drücken, um die Nachricht zu schließen.

    → Die neue Schnittstellen kann mithilfe von IPv4 und IPv6 konfiguriert werden (siehe Abb. 7.18).

Eine erstellte Subschnittstelle kann wie folgt konfiguriert werden:

  1. Gewünschte Schnittstelle wählen (siehe Kapitel 7.2.2.4).

  2. Configure the VLAN interfaces on this interface wählen und Enter drücken.

  3. Configure the VLAN interface … für die gewünschte Subschnittstelle wählen.

  4. Subschnittstelle wie in Kapitel 7.2.2.4 beschrieben konfigurieren.

    _images/gos_menu_vlan_2.png

    Abb. 7.18 Konfigurieren der VLAN-Subschnittstelle

7.2.2.4.6 Die Routen für eine Schnittstelle konfigurieren

Eine neue Route für eine Schnittstelle kann wie folgt konfiguriert werden:

  1. Gewünschte Schnittstelle wählen (siehe Kapitel 7.2.2.4).

  2. Configure the Routes for this interface wählen und Enter drücken.

  3. Configure IPv4 Routes oder Configure IPv6 Routes wählen und Enter drücken (siehe Abb. 7.19).

    _images/gos_menu_routes.png

    Abb. 7.19 Konfigurieren der Routen für eine Schnittstelle

  4. Add a new route wählen und Enter drücken.

  5. Zielnetzwerk und next hop in die Eingabefelder eingeben, OK wählen und Enter drücken.

Alle erstellten Routen können wie folgt konfiguriert werden:

  1. Gewünschte Schnittstelle wählen (siehe Kapitel 7.2.2.4).
  2. Configure the Routes for this interface wählen und Enter drücken.
  3. Configure IPv4 Routes oder Configure IPv6 Routes wählen und Enter drücken.
  4. Gewünschte Route wählen und Enter drücken.
  5. Route bearbeiten, OK wählen und Enter drücken.

7.2.2.5 Den DNS-Server konfigurieren

Um den Feed und Updates zu erhalten, benötigt die Appliance einen erreichbaren und funktionierenden DNS-Server (Domain Name System) für die Namensauflösung. Diese Einstellung wird nicht benötigt, falls die Appliance einen Proxy zum Herunterladen des Feeds und der Updates verwendet.

Falls DHCP für die Konfiguration der Netzwerkschnittstellen genutzt wird, werden die vom DHCP-Protokoll bereitgestellten DNS-Server genutzt.

Die Appliance unterstützt bis zu drei DNS-Server. Mindestens ein DNS-Server wird benötigt. Zusätzliche Server werden nur bei einem Ausfall des ersten Servers genutzt.

Der DNS-Server kann wie folgt konfiguriert werden:

  1. Setup wählen und Enter drücken.

  2. Network wählen und Enter drücken.

  3. Namespace: Management wählen und Enter drücken.

  4. DNS wählen und Enter drücken.

  5. Gewünschten DNS-Server wählen und Enter drücken.

  6. IP-Adresse, die als DNS-Server genutzt wird, in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.20).

    _images/gos_menu_dns.png

    Abb. 7.20 Konfiguration des DNS-Servers

    → Eine Nachricht informiert darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  7. Enter drücken, um die Nachricht zu schließen.

Bemerkung

Ob der DNS-Server erreicht wird und funktioniert, kann ermittelt werden, indem ein Selbstcheck durchgeführt wird (siehe Kapitel 7.3.1).

7.2.2.6 Das globale Gateway konfigurieren

Das globale Gateway wird möglicherweise automatisch mithilfe von DHCP oder vom Router-Advertisements erhalten. Das globale Gateway wird oft auch das Standard-Gateway genannt.

Bemerkung

Falls die Appliance so konfiguriert ist, dass sie ausschließlich statische IP-Adressen nutzt und der Zugriff auf andere Netze gewünscht ist, muss das globale Gateway manuell konfiguriert werden. Für IPv4 und IPv6 sind separate Optionen verfügbar.

Falls DHCP für das Zuweisen von IP-Adressen genutzt wird, wird das globale Gateway über DHCP bestimmt, sofern es nicht ausdrücklich festgelegt wurde.

Falls SLAAC (Stateless Address Autoconfiguration) bei IPv6 verwendet werden soll, muss das Router Advertisement aktiviert werden (siehe Kapitel 7.2.2.4.4).

Das globale Gateway kann wie folgt konfiguriert werden:

  1. Setup wählen und Enter drücken.

  2. Network wählen und Enter drücken.

    Bemerkung

    Wenn die Appliance über Namensräume verfügt (siehe Kapitel 7.2.2.2), muss zuerst der gewünschte Namensraum gewählt werden.

    Wenn die Appliance keine Namensräume hat, mit Schritt 4 fortfahren.

  3. Namensraum, für den das globale Gateway konfiguriert werden soll, wählen und Enter drücken.

  4. Global Gateway für IPv4 oder Global Gateway (IPv6) für IPv6 wählen und Enter drücken.

  5. Gewünschte Schnittstellen wählen und Enter drücken (siehe Abb. 7.21).

    _images/gos_menu_globalgateway.png

    Abb. 7.21 Konfigurieren des globalen Gateways

  6. IP-Adresse, die als globales Gateway genutzt wird, in das Eingabefeld eingeben und Enter drücken.

    → Eine Nachricht informiert darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  7. Enter drücken, um die Nachricht zu schließen.

7.2.2.7 Den Hostnamen und den Domainnamen festlegen

Obwohl die Appliance keinen speziellen Hostnamen benötigt, ist der Hostname ein wichtiges Element beim Erstellen von Zertifikaten und Senden von E-Mails.

Der Hostname wird zum Konfigurieren des kurzen Hostnamens und der Domainname für das Domainsuffix verwendet. Die Werkseinstellungen sind:

  • Hostname: gsm
  • Domainname: gbuser.net

Der Hostname und der Domainname können wie folgt konfiguriert werden:

  1. Setup wählen und Enter drücken.

  2. Network wählen und Enter drücken.

  3. Namespace: Management wählen und Enter drücken.

  4. Hostname oder Domainname wählen und Enter drücken.

  5. Hostnamen oder Domainnamen in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.22).

    _images/gos_menu_hostname.png

    Abb. 7.22 Festlegen des Hostnamens/Domainnamens

    → Eine Nachricht informiert darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  6. Enter drücken, um die Nachricht zu schließen.

7.2.2.8 Den Managementzugriff beschränken

Die IP-Adresse, auf welcher die Managementschnittstelle verfügbar ist, kann festgelegt werden.

Jeder administrative Zugriff (SSH, HTTPS, GMP) wird auf die entsprechende Schnittstelle beschränkt und ist nicht auf anderen Schnittstellen verfügbar.

Bemerkung

Diese Funktionalität überschneidet sich mit der Namensraumtrennung (siehe Kapitel 7.2.2). Das Trennen der Namensräume wird empfohlen.

Bemerkung

Falls keine IP-Adresse festgelegt wird, ist die Managementschnittstelle auf allen IP-Adressen im Management-Namensraum verfügbar.

Die IP-Adresse für die Managementschnittstelle kann wie folgt festgelegt werden:

  1. Setup wählen und Enter drücken.
  2. Network wählen und Enter drücken.
  3. Namespace: Management wählen und Enter drücken.
  4. Management IP (v4) oder Management IP (v6) wählen und Enter drücken.
  1. IP-Adresse für die Managementschnittstelle in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.23).

    Bemerkung

    Die IP-Adresse muss die IP-Adresse einer der Schnittstellen im Management-Namensraum sein. Falls eine andere IP-Adresse festgelegt wird, ist die Managementschnittstelle nicht verfügbar.

    Es kann entweder die IP-Adresse oder der Name der Schnittstelle (z. B. eth0) eingegeben werden.

    _images/gos_menu_restrictmanagement.png

    Abb. 7.23 Beschränken des Managementzugriffs

7.2.2.9 Die MAC- und die IP-Adressen und die Netzwerkrouten anzeigen

Die genutzten MAC-Adressen, die aktuell konfigurierten IP-Adressen und die Netzwerkrouten der Appliance können in einer einfachen Übersicht angezeigt werden.

Bemerkung

Dies unterstützt nicht die Konfiguration von MAC-Adressen.

Die MAC- und die IP-Adressen der Schnittstellen und die Netzwerkrouten können wie folgt angezeigt werden:

  1. Setup wählen und Enter drücken.

  2. Network wählen und Enter drücken.

  3. Namensraum, für den die IP-Adressen, MAC-Adressen oder Netzwerkrouten angezeigt werden sollen, wählen und Enter drücken.

  4. MAC, IP oder Routes wählen und Enter drücken.

    → Die MAC-/IP-Adressen oder Netzwerkrouten des gewählten Namensraums werden angezeigt (siehe Abb. 7.24).

    _images/gos_menu_mac.png

    Abb. 7.24 Anzeigen der MAC-/IP-Adressen oder Netzwerkrouten

7.2.3 Eine Virtual-Private-Network-Verbindung (VPN-Verbindung) konfigurieren

OpenVPN ist in GOS integriert. Um Scans über einen VPN-Tunnel durchzuführen, muss eine VPN-Verbindung aufgebaut werden.

Bemerkung

Das Scannen durch einen VPN-Tunnel ist nur für die Appliance-Modelle Greenbone Enterprise DECA/TERA/PETA/EXA verfügbar.

Die VPN-Funktion ermöglicht es, Ziele, die über den VPN-Tunnel erreichbar sind, zu scannen, hat aber keine Auswirkungen auf andere Ziele, Netzwerkeinstellungen oder Master-Sensor-Verbindungen.

Der VPN-Tunnel wird immer von Seiten der Appliance initiiert.

Für die Authentifizierung der Appliance im VPN wird eine PKCS#12-Datei mit den folgenden Anforderungen benötigt:

  • Die PKCS#12-Datei muss die erforderlichen Dateien für das Zertifikat und den privaten Schlüssel enthalten.
  • Die PKCS#12-Datei kann eine Datei für die Zertifizierungsstelle (CA) enthalten. Falls sie keine enthält, muss die CA-Datei separat importiert werden.
  • Die PKCS#12-Datei kann passwortgeschützt sein oder nicht.
  • Passwortgeschützte private Schlüsseldateien innerhalb der PKCS#12-Datei werden nicht unterstützt.

7.2.3.1 Eine VPN-Verbindung einrichten

Bemerkung

Es kann immer nur eine VPN-Verbindung zur gleichen Zeit eingerichtet werden.

Eine neue VPN-Verbindung kann wie folgt eingerichtet werden:

  1. Setup wählen und Enter drücken.

  2. VPN wählen und Enter drücken.

  3. Add a new VPN wählen und Enter drücken (siehe Abb. 7.25).

    _images/gos_menu_vpn.png

    Abb. 7.25 Eine VPN-Verbindung hinzufügen

  4. IP-Adresse des VPNs in das Eingabefeld eingeben und Enter drücken.

  5. Webbrowser öffnen und angezeigte URL eingeben.

  6. Auf Browse… klicken, die PKCS#12-Datei wählen und auf Upload klicken.

  7. Falls ein Exportpasswort zum Schutz des PKCS#12-Containers verwendet wurde, Passwort eingeben und Enter drücken.

    → Eine Nachricht informiert darüber, dass die PKCS#12-Datei erfolgreich extrahiert wurde.

  8. Enter drücken.

    Bemerkung

    Falls die PKCS#12-Datei keine CA-Datei enthält, muss die CA-Datei separat importiert werden.

    Falls die PKCS#12-Datei bereits eine CA-Datei enthält, kann zwar auch eine CA-Datei separat importiert werden, dies überschreibt jedoch die CA-Datei aus der PKCS#12-Datei.

  9. Certificate Authority wählen und Enter drücken.

  10. Webbrowser öffnen und angezeigte URL eingeben.

  11. Auf Browse… klicken, die CA-Datei wählen und auf Upload klicken.

    → Eine Nachricht informiert darüber, dass die CA-Datei erfolgreich importiert wurde.

  12. Enter drücken.

    → Die VPN-Verbindung wird aufgebaut und die über das VPN erreichbaren Ziele können gescannt werden (siehe Kapitel 10.2).

7.2.3.2 Eine VPN-Verbindung bearbeiten oder löschen

Die VPN-Verbindung kann wie folgt bearbeitet werden:

  1. Setup wählen und Enter drücken.

  2. VPN wählen und Enter drücken.

    _images/gos_menu_vpn_2.png

    Abb. 7.26 Bearbeiten oder Löschen einer VPN-Verbindung

Die folgenden Aktionen sind verfügbar:

Remote Address
Die IP-Adresse des VPN festlegen.
Port
Den Port festlegen, der von OpenVPN verwendet wird. Standardmäßig ist der Port 1194.
Cipher algorithm
Den Cipher-Algorithmus wählen. Standardmäßig wird die Voreinstellung von OpenVPN verwendet.
Digest algorithm
Den Digest-Algorithmus wählen. Standardmäßig wird die Voreinstellung von OpenVPN verwendet.
PKCS#12
Die PKCS#12-Datei ersetzen.
Routes

Eine Route für die VPN-Verbindung hinzufügen. Ziel-IP-Adresse, Netzmaske und Ziel-Gateway müssen definiert werden.

Bemerkung

Es kann nur eine Route für die VPN-Verbindung eingerichtet werden.

Delete
Die VPN-Verbindung löschen.

7.2.4 Dienste konfigurieren

Um remote auf die Appliance zuzugreifen, sind viele Schnittstellen verfügbar:

  • HTTPS, siehe Kapitel 7.2.4.1
  • Greenbone Management Protocol (GMP), siehe Kapitel 15
  • Open Scanner Protocol (OSP), siehe Kapitel 7.2.4.3
  • SSH, siehe Kapitel 7.2.4.4
  • SNMP, siehe Kapitel 7.2.4.5

7.2.4.1 HTTPS konfigurieren

Die Web-Oberfläche ist die übliche Option für das Erstellen, Ausführen und Analysieren von Schwachstellenscans. Sie ist standardmäßig aktiviert und kann nicht deaktiviert werden.

7.2.4.1.1 Das Timeout der Web-Oberfläche konfigurieren

Der Wert für das Timeout der Web-Oberfläche kann wie folgt festgelegt werden:

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. HTTPS wählen und Enter drücken.

  4. Timeout wählen und Enter drücken.

  5. Gewünschten Wert für das Timeout in das Eingabefeld eingeben und Enter drücken.

    Bemerkung

    Der Wert kann zwischen 1 und 1440 Minuten (1 Tag) liegen. Der Standard ist 15 Minuten.

    _images/gos_menu_httpstimeout.png

    Abb. 7.27 Festlegen des Timeouts

    → Eine Nachricht informiert darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  6. Enter drücken, um die Nachricht zu schließen.

7.2.4.1.2 Die Protokolle konfigurieren

Die Protokolle für die HTTPS-Verbindung der Web-Oberfläche können wie folgt konfiguriert werden:

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. HTTPS wählen und Enter drücken.

  4. Protocols wählen und Enter drücken.

  5. Gewünschte Protokollversion wählen und Leertaste drücken (siehe Abb. 7.28).

    Bemerkung

    Standardmäßig sind beide Versionen ausgewählt.

    Falls TLSv1.2 ausgewählt ist (entweder allein oder in Kombination mit Version 1.3), können die Ciphers für die HTTPS-Verbindung konfiguriert werden (siehe Kapitel 7.2.4.1.3).

    Falls nur TLSv1.3 ausgewählt ist, wird der Standardwert für -ciphersuites val von OpenSSL für die Cipher-Suites verwendet. In diesem Fall ist der Menüpunkt zum Konfigurieren der Ciphers (siehe Kapitel 7.2.4.1.3) nicht verfügbar.

    _images/gos_menu_httpsprotocols.png

    Abb. 7.28 Konfigurieren der Protokolle für die HTTPS-Verbindung

  6. OK wählen und Enter drücken.

7.2.4.1.3 Die Ciphers konfigurieren

Falls die TLS-Version 1.2 für die HTTPS-Verbindung der Web-Oberfläche verwendet wird (entweder allein oder in Kombination mit Version 1.3, siehe Kapitel 7.2.4.1.2), können die HTTPS-Ciphers konfiguriert werden. Die aktuelle Einstellung erlaubt nur sichere Ciphers, die mindestens 128 Bit Schlüssellänge verwenden, wobei die von SSLv3 und TLSv1.0 verwendeten Cipher-Suites explizit nicht zugelassen werden. Es ist zu beachten, dass für TLSv1.1 keine Ciphers existieren.

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. HTTPS wählen und Enter drücken.

  4. Ciphers wählen und Enter drücken.

  5. Gewünschten Wert in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.29).

    Bemerkung

    Die Zeichenkette, die zur Definition der Ciphers verwendet wird, wird von OpenSSL validiert und muss der Syntax einer OpenSSL-Cipherliste entsprechen.

    Weitere Informationen zur Syntax sind hier zu finden.

    _images/gos_menu_httpsciphers.png

    Abb. 7.29 Konfigurieren der Ciphers

    → Eine Nachricht informiert darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  6. Enter drücken, um die Nachricht zu schließen.

7.2.4.1.4 Die Diffie-Hellman-Parameter (DH-Parameter) konfigurieren

DH-Parameter werden vom Webserver für den Aufbau von SSL-Verbindungen genutzt. Neue DH-Parameter können wie folgt generiert werden:

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. HTTPS wählen und Enter drücken.

  4. DH Parameters wählen und Enter drücken.

  5. Gewünschte Schlüsselgröße wählen und Leertaste drücken.

  6. Enter drücken.

    → Eine Nachricht informiert darüber, dass die Generierung im Hintergrund gestartet wurde.

    Tipp

    Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

7.2.4.1.5 HTTP STS konfigurieren

Wenn Webbrowser nur über HTTPS – statt über HTTP – auf die Web-Oberfläche zugreifen sollen, kann HTTP Strict Transport Security (HSTS) aktiviert werden. Zusätzlich zur Aktivierung von HSTS ist ein von einer Zertifizierungsstelle signiertes HTTPS-Zertifikat erforderlich, damit HSTS funktioniert (siehe Kapitel 7.2.4.1.7.2).

HSTS kann wie folgt aktiviert werden:

  1. Setup wählen und Enter drücken.
  2. Services wählen und Enter drücken.
  3. HTTPS wählen und Enter drücken.
  4. HTTP STS wählen und Enter drücken, um HTTP STS zu aktivieren oder zu deaktivieren.

Wenn HTTP STS aktiviert ist, kann das maximal zulässige Alter für den HTTP-STS-Header wie folgt festgelegt werden:

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. HTTPS wählen und Enter drücken.

  4. HTTP STS max age wählen und Enter drücken.

  5. Maximales Alter in Sekunden in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.30).

    _images/gos_menu_hsts_max_age.png

    Abb. 7.30 Festlegen des maximal zulässigen Alters für den HTTP-STS-Header

    → Eine Nachricht informiert darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  6. Enter drücken, um die Nachricht zu schließen.

7.2.4.1.6 OCSP stapling konfigurieren

OCSP (Online Certificate Status Protocol) stapling wird zur Überprüfung des Gültigkeitsstatus von digitalen X.509-Zertifikaten verwendet. Es ermöglicht der zertifizierten Partei, die Zertifikatsvalidierung durchzuführen, indem sie eine von der Zertifizierungsstelle signierte OCSP-Antwort mit Zeitstempel an den ursprünglichen TLS-Handshake anhängt („stapling“).

OCSP stapling kann wie folgt aktiviert werden:

  1. Setup wählen und Enter drücken.
  2. Services wählen und Enter drücken.
  3. HTTPS wählen und Enter drücken.
  4. OCSP Stapling wählen und Enter drücken, um OCSP stapling zu aktivieren oder zu deaktivieren.
7.2.4.1.7 Zertifikate verwalten

Die Appliance nutzt grundsätzlich zwei Arten von Zertifikaten:

  • Selbstsignierte Zertifikate
  • Zertifikat einer externen Zertifizierungsstelle

Alle modernen Betriebssysteme unterstützen das Erstellen und Verwalten eigener Zertifizierungsstellen. Unter Microsoft Windows Server unterstützen die Active-Directory-Zertifikatdienste die Erstellung einer root-Zertifizierungsstelle. Für Linux-Systeme sind mehrere Optionen verfügbar. Eine Option ist im IPSec-Howto beschrieben.

Beim Erstellen und Austauschen von Zertifikaten muss beachtet werden, dass der Administrator vor dem Erstellen des Zertifikats verifiziert, wie später auf die Systeme zugegriffen wird. Die IP-Adresse oder der DNS-Name wird gespeichert, wenn das Zertifikat erstellt wird.

Das aktuelle Zertifikat kann wie folgt angezeigt werden:

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. HTTPS wählen und Enter drücken.

  4. Certificate wählen und Enter drücken.

  5. Show wählen und Enter drücken.

    → Das Zertifikat wird angezeigt.

7.2.4.1.7.1 Selbstsignierte Zertifikate

Die Nutzung selbstsignierter Zertifikate ist der einfachste Weg. Es stellt trotzdem die niedrigste Sicherheit und mehr Arbeit für den Benutzer dar:

  • Die Vertrauenswürdigkeit eines selbstsignierten Zertifikats kann nur manuell durch den Benutzer geprüft werden, indem das Zertifikat importiert und sein Fingerprint untersucht wird.
  • Selbstsignierte Zertifikate können nicht widerrufen werden. Sobald sie durch den Benutzer akzeptiert wurden, werden sie dauerhaft im Browser gespeichert. Wenn ein Angreifer Zugriff auf den entsprechenden privaten Schlüssel erhält, kann er einfache Man-in-the-Middle-Angriffe auf die Verbindungen, die durch das Zertifikat geschützt werden, durchführen.

Um ein schnelles Setup zu ermöglichen, unterstützt die Appliance selbstsignierte Zertifikate. Für die meisten Appliance-Modelle sind solche Zertifikate standardmäßig nicht installiert und müssen vom Administrator erstellt werden. Die Greenbone Enterprise ONE enthält bereits ein vorinstalliertes Zertifikat.

Selbstsignierte Zertifikaten können einfach wie folgt erstellt werden:

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. HTTPS wählen und Enter drücken.

  4. Certificate wählen und Enter drücken.

  5. Generate wählen und Enter drücken.

    → Eine Nachricht informiert darüber, dass das aktuelle Zertifikat und der aktuelle private Schlüssel überschrieben werden.

  6. Yes wählen und Enter drücken, um die Nachricht zu bestätigen.

  7. Einstellungen für das Zertifikat eingeben (siehe Abb. 7.31), OK wählen und Enter drücken.

    Bemerkung

    Es ist zulässig, ein Zertifikat ohne einen Common Name zu erstellen. Allerdings sollte ein Zertifikat nicht ohne (einen) Subject Alternative Name(s) erstellt werden.

    Falls ein Common Name verwendet wird, sollte dieser mit einem der SANs identisch sein.

    _images/gos_menu_httpscertificate.png

    Abb. 7.31 Bereitstellen der Einstellungen für das Zertifikat

    → Wenn der Vorgang abgeschlossen ist, informiert eine Nachricht darüber, dass das Zertifikat heruntergeladen werden kann.

  8. Enter drücken, um die Nachricht zu schließen.

  9. Download wählen und Enter drücken.

  10. Webbrowser öffnen und angezeigte URL eingeben.

  11. PEM-Datei herunterladen.

  12. Im GOS-Administrationsmenü Enter drücken.

    → Wenn das Zertifikat von der Appliance erhalten wurde, zeigt das GOS-Administrationsmenü den Fingerprint des Zertifikats zur Verifizierung an.

  13. Fingerprint prüfen und Enter drücken, um das Zertifikat zu bestätigen.

7.2.4.1.7.2 Zertifikat einer externen Zertifizierungsstelle

Das Nutzen eines Zertifikats, das von einer Zertifizierungsstelle ausgegeben wurde, hat mehrere Vorteile:

  • Alle Clients, die der Zertifizierungsstelle vertrauen, können das Zertifikat direkt verifizieren und eine sichere Verbindung herstellen. Im Browser wird keine Warnung angezeigt.
  • Das Zertifikat kann einfach von der Zertifizierungsstelle widerrufen werden. Falls Clients die Möglichkeit haben, den Zertifikatsstatus zu prüfen, können sie ein Zertifikat ablehnen, welches noch in seinem Gültigkeitszeitraum ist, aber widerrufen wurde.
  • Insbesondere, wenn mehrere Systeme in einer Organisation SSL-/TLS-geschützte Informationen liefern, vereinfacht die Nutzung einer organisatorischen Zertifizierungsstelle die Verwaltung erheblich. Alle Clients müssen einfach der organisatorischen Zertifizierungsstelle vertrauen, um alle von der Zertifizierungsstelle ausgestellten Zertifikate zu akzeptieren.

Zum Importieren eines von einer externen Zertifizierungsstelle ausgestellten Zertifikats gibt es zwei Möglichkeiten:

  • Zertifikatsanforderung (engl. Certificate Signing Request, CSR) auf der Appliance generieren, diese mithilfe einer externen Zertifizierungsstelle signieren und Zertifikat importieren.
  • Zertifikatsanforderung und Zertifikat extern generieren und beides mithilfe einer PKCS#12-Datei importieren.

Bemerkung

Die Web-Oberfläche der Appliance kann nicht verwendet werden, solange auf die Bearbeitung der CSR durch die CA gewartet wird. Erst nachdem das signierte Zertifikat importiert wurde, ist die Web-Oberfläche wieder zugänglich.

Das Erstellen einer neuen Zertifikatsanforderung und das Importieren des Zertifikats kann wie folgt durchgeführt werden:

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. HTTPS wählen und Enter drücken.

  4. Certificate wählen und Enter drücken.

  5. CSR wählen und Enter drücken.

    → Eine Nachricht informiert darüber, dass das aktuelle Zertifikat und der aktuelle private Schlüssel überschrieben werden.

  6. Yes wählen und Enter drücken, um die Nachricht zu bestätigen.

  7. Einstellungen für das Zertifikat eingeben (siehe Abb. 7.32), OK wählen und Enter drücken.

    Bemerkung

    Es ist zulässig, ein Zertifikat ohne einen Common Name zu erstellen. Allerdings sollte ein Zertifikat nicht ohne (einen) Subject Alternative Name(s) erstellt werden.

    Falls ein Common Name verwendet wird, sollte dieser mit einem der SANs identisch sein.

    _images/gos_menu_csr.png

    Abb. 7.32 Bereitstellen der Einstellungen für das Zertifikat

  8. Webbrowser öffnen und angezeigte URL eingeben.

  9. PEM-Datei herunterladen.

    → Das GOS-Administrationsmenü zeigt eine Nachricht, um zu verifizieren, dass die Zertifikatsanforderung nicht gefälscht wurde.

  10. Enter drücken, um die Information zu verifizieren.

  11. Wenn das Zertifikat signiert wurde, Certificate wählen und Enter drücken.

  12. Webbrowser öffnen und angezeigte URL eingeben.

  13. Auf Browse… klicken, das signierte Zertifikat wählen und auf Upload klicken.

    → Wenn das Zertifikat von der Appliance erhalten wurde, zeigt das GOS-Administrationsmenü den Fingerprint des Zertifikats zur Verifizierung an.

  14. Fingerprint prüfen und Enter drücken, um das Zertifikat zu bestätigen.

Falls bereits ein privater Schlüssel und ein signiertes Zertifikat, die für die Appliance genutzt werden sollen, verfügbar sind, können diese importiert werden. Der private Schlüssel und das Zertifikat müssen als PKCS#12-Datei formatiert sein. Die Datei kann mit einem Exportpasswort geschützt werden.

Die PKCS#12-Datei kann wie folgt importiert werden:

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. HTTPS wählen und Enter drücken.

  4. Certificate wählen und Enter drücken.

  5. PKCS#12 wählen und Enter drücken.

    → Eine Nachricht informiert darüber, dass das aktuelle Zertifikat und der aktuelle private Schlüssel überschrieben werden.

  6. Yes wählen und Enter drücken, um die Nachricht zu bestätigen.

  7. Webbrowser öffnen und angezeigte URL eingeben.

  8. Auf Browse… klicken, die PKCS#12-Datei wählen und auf Upload klicken.

    Bemerkung

    Falls ein Exportpasswort zum Schützen der PKCS#12-Datei genutzt wird, muss das Passwort eingegeben werden.

    → Wenn das Zertifikat von der Appliance erhalten wurde, zeigt das GOS-Administrationsmenü den Fingerprint des Zertifikats zur Verifizierung an.

  9. Fingerprint prüfen und Enter drücken, um das Zertifikat zu bestätigen.

7.2.4.1.8 Fingerprints anzeigen

Die Fingerprints des genutzten Zertifikats können wie folgt geprüft und angezeigt werden:

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. HTTPS wählen und Enter drücken.

  4. Fingerprints wählen und Enter drücken.

    → Die folgenden Fingerprints des aktuell aktiven Zertifikats werden angezeigt:

    • SHA1
    • SHA256
    • BB
    _images/gos_menu_httpsfingerprints.png

    Abb. 7.33 Anzeigen der Fingerprints

7.2.4.2 Das Greenbone Management Protocol (GMP) konfigurieren

Das Greenbone Management Protocol (GMP) ermöglicht die Kommunikation mit anderen Produkten von Greenbone (z. B. einer zusätzlichen Appliance). Es wird für die Master-Sensor-Kommunikation benötigt (siehe Kapitel 16).

Es kann auch für die Kommunikation interner Software mit der Appliance genutzt werden.

GMP kann wie folgt mithilfe des GOS-Administrationsmenüs aktiviert werden:

Bemerkung

Der SSH-Dienst muss aktiviert sein, bevor GMP aktiviert werden kann (siehe Kapitel 7.2.4.4).

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. GMP wählen und Enter drücken.

  4. Enter drücken, um GMP zu aktivieren oder zu deaktivieren (siehe Abb. 7.34).

    → Eine Nachricht informiert darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  5. Enter drücken, um die Nachricht zu schließen.

_images/gos_menu_gmp.png

Abb. 7.34 Aktivieren von GMP

7.2.4.3 Das Open Scanner Protocol (OSP) konfigurieren

Das Open Scanner Protocol (OSP) kann wie folgt mithilfe des GOS-Administrationsmenüs aktiviert werden:

Bemerkung

Der SSH-Dienst muss aktiviert sein, bevor OSP aktiviert werden kann (siehe Kapitel 7.2.4.4).

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. OSP wählen und Enter drücken.

  4. Enter drücken, um OSP zu aktivieren oder zu deaktivieren.

    → Eine Nachricht informiert darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  5. Enter drücken, um die Nachricht zu schließen.

7.2.4.4 SSH konfigurieren

SSH ermöglicht den sicheren Remote-Zugriff auf das GOS-Administrationsmenü und die Kommandozeile der Appliance über ein ungesichertes Netzwerk. Zusätzlich wird SSH für die Master-Sensor-Kommunikation benötigt (siehe Kapitel 16).

Standardmäßig ist SSH auf einer Appliance deaktiviert und muss erst aktiviert werden, z. B. durch das Nutzen der seriellen Konsole.

Für die Verbindung mit der Appliance ist außerdem ein SSH-Client erforderlich. Bei der Verbindung zur Appliance mit einem SSH-Client werden die folgenden Methoden für den Schlüsselaustausch unterstützt: ecdh-sha2-nistp256, ecdh-sha2-nistp384, ecdh-sha2-nistp521, curve25519-sha256, curve25519-sha256@libssh.org.

Bemerkung

Bei der Verbindung von einer Appliance zu einem anderen System hängen die unterstützten Methoden sowohl vom anderen System als auch von der Appliance ab. Es gibt viele mögliche Kombinationen, die hier aufgrund des Umfangs nicht dokumentiert werden.

7.2.4.4.1 Den SSH-Zustand aktivieren

Der in der Appliance eingebettete SSH-Server kann wie folgt mithilfe des GOS-Administrationsmenüs aktiviert werden:

  1. Setup wählen und Enter drücken.
  2. Services wählen und Enter drücken.
  3. SSH wählen und Enter drücken.
  4. SSH State wählen und Enter drücken, um SSH zu aktivieren.
7.2.4.4.2 Einen Loginschutz aktivieren und verwalten

Ein Loginschutz kann aktiviert werden. Falls eine bestimmte Anzahl aufeinanderfolgender Loginversuche fehlschlägt, wird der Benutzer gesperrt.

Bemerkung

Ein Selbst-Scan, d. h. ein Scan, bei dem die Appliance Teil des Scan-Ziels ist, kann den Loginschutz auslösen.

Bemerkung

Das Einloggen mithilfe eines SSH-Administratorschlüssels wird nicht vom Loginschutz gesperrt, falls solch ein Schlüssel eingerichtet ist (siehe Kapitel 7.2.4.4.3).

Der Loginschutz kann wie folgt aktiviert und verwaltet werden:

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. SSH wählen und Enter drücken.

  4. Login Protection wählen und Enter drücken.

  5. Login Protection wählen und Enter drücken (siehe Abb. 7.35).

    _images/gos_menu_sshprotect.png

    Abb. 7.35 Einrichten eines Loginschutzes

    → Eine Nachricht informiert darüber, dass der Loginschutz zu einem gesperrten SSH-Zugang führen kann.

  6. Continue wählen und Enter drücken, um den Loginschutz zu aktivieren.

  7. Login Attempts wählen und Enter drücken.

  8. Gewünschten Wert eingeben und Enter drücken.

    → Eine Nachricht informiert darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  9. Enter drücken, um die Nachricht zu schließen.

Falls das System nach zu vielen fehlgeschlagenen Loginversuchen gesperrt ist, muss es mithilfe des Konsolenzugriffs (seriell, Hypervisor oder Monitor/Tastatur) wie folgt entsperrt werden:

  1. Setup wählen und Enter drücken.

  2. User wählen und Enter drücken.

  3. Unlock SSH wählen und Enter drücken.

    → Die Loginversuche werden zurückgesetzt.

  4. Enter drücken, um die Nachricht zu schließen.

7.2.4.4.3 Einen SSH-Administratorschlüssel hinzufügen

Öffentliche SSH-Schlüssel können hochgeladen werden, um eine schlüsselbasierte Authentifizierung der Administratoren zu ermöglichen.

Bemerkung

SSH-Schlüssel können mit OpenSSH mithilfe des Befehls ssh-keygen auf Linux oder puttygen.exe beim Nutzen von PuTTY auf Microsoft Windows generiert werden. Die Formate Ed25519 oder RSA werden unterstützt. Alle SSH-Schlüssel müssen RFC 4716 entsprechen.

Ein SSH-Administratorschlüssel kann wie folgt hochgeladen werden:

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. SSH wählen und Enter drücken.

  4. Admin Key wählen und Enter drücken.

  5. Webbrowser öffnen und angezeigte URL eingeben (siehe Abb. 7.36).

    _images/gos_menu_sshadminkey.png

    Abb. 7.36 Hochladen eines öffentlichen SSH-Schlüssels

  6. Auf Browse… klicken, den öffentlichen SSH-Schlüssel wählen und auf Upload klicken.

    → Wenn das Hochladen abgeschlossen ist, informiert eine Nachricht darüber, dass der Login über SSH möglich ist.

7.2.4.4.4 Fingerprints anzeigen

Die Appliance stellt unterschiedliche Host-Schlüssel für seine eigene Authentifizierung bereit. Der Client entscheidet, welcher öffentliche Schlüssel genutzt wird. Im GOS-Administrationsmenü können die Fingerprints des öffentlichen Schlüssels, der vom SSH-Server der Appliance genutzt wird, wie folgt angezeigt werden:

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. SSH wählen und Enter drücken.

  4. Fingerprint wählen und Enter drücken.

    → Die SHA256-Fingerprints der folgenden Schlüssel werden angezeigt:

    • ED25519
    • RSA

7.2.4.5 SNMP konfigurieren

SNMP-Lesezugriff der Appliance ist über SNMPv3 möglich. Die SNMP-Unterstützung kann genutzt werden, um Traps mithilfe von Benachrichtigungen zu senden und die Parameter der Appliance zu überwachen.

Die unterstützten Parameter werden in einer Management-Information-Base-Datei (MIB-Datei) bestimmt. Die aktuelle MIB-Datei ist im Greenbone Tech-Doc-Portal verfügbar.

Die Appliance unterstützt SNMPv3 für Leserechte und SNMPv1 für Traps.

SNMPv3 kann wie folgt konfiguriert werden:

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. SNMP wählen und Enter drücken.

  4. SNMP wählen und Enter drücken, um SNMP zu aktivieren.

    → Mehrere neue Optionen werden angezeigt (siehe Abb. 7.37).

    _images/gos_menu_snmp.png

    Abb. 7.37 Konfigurieren von SNMPv3

  5. Location wählen und Enter drücken.

  6. Ort des SNMP-Diensts in das Eingabefeld eingeben und Enter drücken.

  7. Contact wählen und Enter drücken.

  8. Kontakt des SNMP-Diensts in das Eingabefeld eingeben und Enter drücken.

  9. Username wählen und Enter drücken.

  10. SNMP-Benutzername in das Eingabefeld eingeben und Enter drücken.

    Bemerkung

    Beim Konfigurieren der Passphrasen für die Authentifizierung und die Verschlüsselung muss beachtet werden, dass die Appliance entsprechend SHA-1 und AES128 nutzt.

  11. Authentication wählen und Enter drücken.

  12. SNMP-Authentifizierungspassphrase in das Eingabefeld eingeben und Enter drücken.

  13. Privacy wählen und Enter drücken.

  14. Passphrase für die Verschlüsselung des SNMP-Benutzers eingeben und Enter drücken.

    Bemerkung

    Nachdem ein Benutzer konfiguriert wurde, kann die ID der Maschine der Appliance angezeigt werden, indem Engine ID gewählt und Enter gedrückt wird.

  15. Lesezugriff des SNMP-Diensts unter Linux/Unix mit snmpwalk prüfen:

$ snmpwalk -v 3 -l authPriv -u user -a sha -A password -x aes -X key 192.168.222.115
iso .3.6.1.2.1.1.1.0 = STRING: "Greenbone Security Manager"
iso .3.6.1.2.1.1.5.0 = STRING: "gsm"
...

Die folgenden Informationen können gesammelt werden:

  • Betriebszeit
  • Netzwerkschnittstellen
  • Speicher
  • Festplatte
  • Last
  • CPU

7.2.4.6 Einen Port für den temporären HTTP-Server konfigurieren

Standardmäßig wird der Port für HTTP-Uploads und -Downloads zufällig gewählt.

Ein permanenter Port kann wie folgt konfiguriert werden:

  1. Setup wählen und Enter drücken.

  2. Services wählen und Enter drücken.

  3. Temporary HTTP wählen und Enter drücken.

  4. Port wählen und Enter drücken.

  5. Port in das Eingabefeld eingeben und Enter drücken.

    → Eine Nachricht informiert darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  6. Enter drücken, um die Nachricht zu schließen.

7.2.5 Regelmäßige Backups konfigurieren

Die Appliance unterstützt automatische, tägliche Backups. Die Backups werden lokal oder remote unter Verwendung des folgenden Schemas gespeichert:

  • Tägliche Backups der letzten 7 Tage
  • Wöchentliche Backups der letzten 5 Wochen
  • Monatliche Backups des letzten Jahrs

Backups, die älter als ein Jahr sind, werden automatisch gelöscht. Im Werkszustand sind Backups deaktiviert.

7.2.5.1 Periodische Backups aktivieren

Periodische Backups können wie folgt aktiviert werden:

  1. Setup wählen und Enter drücken.

  2. Backup wählen und Enter drücken.

  3. Periodic Backup wählen und Enter drücken (siehe Abb. 7.38).

    → Periodische Backups sind aktiviert.

    _images/gos_menu_backup_1.png

    Abb. 7.38 Konfigurieren periodischer Backups

7.2.5.2 Einen Remote-Backupserver einrichten

Standardmäßig werden Backups lokal gespeichert. Um sie auf einem Remoteserver zu speichern, muss der Server entsprechend eingerichtet werden. Die Appliance nutzt das Secure File Transfer Protocol (SFTP), das von SSH unterstützt wird, um Backups zu übertragen.

Der Remoteserver kann wie folgt eingerichtet werden:

  1. Setup wählen und Enter drücken.

  2. Backup wählen und Enter drücken.

  3. Backup Location wählen und Enter drücken.

    → Mehrere neue Optionen für den Ort des Backups werden angezeigt (siehe Abb. 7.39).

    _images/gos_menu_backup_2.png

    Abb. 7.39 Einrichten des Remoteservers

  4. Server wählen und Enter drücken.

  5. Adresse des Remoteservers im folgenden Format eingeben:

    username@hostname[:port]/directory

    Bemerkung

    Der optionale Port kann weggelassen werden, falls der Server Port 22 nutzt.

  6. OK wählen und Enter drücken.

    → Eine Nachricht informiert darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  7. Enter drücken, um die Nachricht zu schließen.

    Bemerkung

    Die Appliance nutzt einen öffentlichen SSH-Hostschlüssel, um den Remoteserver vor dem Einloggen zu identifizieren.

    Der Remoteserver muss nach dem öffentlichen SSH-Hostschlüssel durchsucht werden. Auf Linux oder den meisten Unix-artigen Systemen kann er unter /etc/ssh/ssh_host_*_key.pub gefunden werden.

    Der öffentliche SSH-Hostschlüssel muss im OpenSSH Public Key Format vorliegen. Die erwartete Struktur ist <algorithm> <key> <comment>. Der Abschnitt <key> muss Base64-kodiert sein. Der Abschnitt <comment> ist optional. Beispiel: ssh-rsa AAAAB3NzaC1y…P3pCquVb

  8. Server key wählen und Enter drücken.

  9. Webbrowser öffnen und angezeigte URL eingeben (siehe Abb. 7.40).

    _images/gos_menu_backupserverkey.png

    Abb. 7.40 Einrichten des Serverschlüssels

  10. Auf Browse… klicken, den öffentlichen SSH-Schlüssel wählen und auf Upload klicken.

    Bemerkung

    Die Appliance nutzt einen öffentlichen SSH-Schlüssel, um sich in den Remoteserver einzuloggen. Um den Loginvorgang zu ermöglichen, muss die Appliance mit der authorized_keys-Datei auf dem Remoteserver aktiviert sein.

  11. User key wählen und Enter drücken, um den öffentlichen Schlüssel herunterzuladen.

  12. Webbrowser öffnen und angezeigte URL eingeben.

  13. PUB-Datei herunterladen.

    Bemerkung

    Falls mehrere Appliances ihre Backups auf denselben Remoteserver hochladen, müssen die Dateien unterscheidbar sein. Dafür muss eine eindeutige Backupbezeichnung definiert werden. Falls diese Bezeichnung nicht festgelegt ist, wird der Hostname genutzt. Falls der Hostname verändert wurde und einzigartig ist, sind die Backupdateien auch unterscheidbar.

  14. Client wählen und Enter drücken.

  15. Bezeichnung eingeben und Enter drücken.

    Bemerkung

    Da das Setup des Remotebackups mit den Schlüsseln fehleranfällig ist, ist eine Prüfroutine verfügbar. Diese testet das erfolgreiche Einloggen in das Remotesystem.

  16. Test wählen und Enter drücken.

    → Der Login in das Remotesystem wird getestet.

7.2.6 Besondere Upgrade-Einstellungen konfigurieren

7.2.6.1 Einen Upgrade-Schlüssel hinzufügen

Das Hochladen eines Upgrade-Schlüssels ist für den normalen Appliance-Betrieb nicht erforderlich und sollte nur auf Anweisung von Greenbone durchgeführt werden. Greenbone stellt in einem solchen Fall den Upgrade-Schlüssel zur Verfügung.

Bemerkung

Der Schlüssel wird automatisch entfernt, wenn GOS erfolgreich aktualisiert wurde.

Der Schlüssel kann über den Editor wie folgt hinzugefügt werden:

  1. Setup wählen und Enter drücken.

  2. Upgrade wählen und Enter drücken.

  3. New Upgrade Key (Editor) wählen und Enter drücken (siehe Abb. 7.41).

    _images/gos_menu_upgrade_key.png

    Abb. 7.41 Hochladen eines Upgrade-Schlüssels

    → Der Editor wird geöffnet.

  4. Inhalt des Upgrade-Schlüssels eingeben.

    Bemerkung

    Es ist wichtig, den Inhalt des Schlüssels und nicht den Namen des Schlüssels (z. B. GBFeedSigningKeyUntil2024.gpg.asc) einzugeben.

    Der Inhalt des Schlüssels kann mit einem beliebigen Texteditor oder unter Linux mit dem Programm less angezeigt werden. Wenn der Inhalt mit einem Texteditor geöffnet wird, muss darauf geachtet werden, dass nichts verändert wird.

  5. Strg + X drücken.

  6. Y drücken, um die Änderungen zu speichern.

  7. Enter drücken.

    → Eine Nachricht informiert darüber, dass der Upgrade-Schlüssel erfolgreich hochgeladen wurde.

    Beide Menüpunkte zum Hochladen eines Schlüssels werden vorübergehend ausgeblendet. Stattdessen wird der Menüpunkt Delete Upgrade Key angezeigt (siehe Kapitel 7.2.6.2).

  8. Enter drücken, um die Nachricht zu schließen.

Der Schlüssel kann über HTTP wie folgt hinzugefügt werden:

  1. Setup wählen und Enter drücken.

  2. Upgrade wählen und Enter drücken.

  3. New Upgrade Key (HTTP) wählen und Enter drücken (siehe Abb. 7.41).

  4. Webbrowser öffnen und angezeigte URL eingeben.

  5. Auf Browse… klicken, den Upgrade-Schlüssel wählen und auf Upload klicken.

    → Eine Nachricht informiert darüber, dass der Upgrade-Schlüssel erfolgreich hochgeladen wurde.

    Beide Menüpunkte zum Hochladen eines Schlüssels werden vorübergehend ausgeblendet. Stattdessen wird der Menüpunkt Delete Upgrade Key angezeigt (siehe Kapitel 7.2.6.2).

  6. Enter drücken, um die Nachricht zu schließen.

7.2.6.2 Einen Upgrade-Schlüssel löschen

Ein Upgrade-Schlüssel kann wie folgt gelöscht werden:

  1. Setup wählen und Enter drücken.

  2. Upgrade wählen und Enter drücken.

  3. Delete Upgrade Key wählen und Enter drücken.

    → Eine Nachricht informiert darüber, dass der Upgrade-Schlüssel entfernt wurde.

  4. Enter drücken, um die Nachricht zu schließen.

7.2.6.3 Den automatischen Neustart konfigurieren

Die Appliance kann nach einem erfolgreichen GOS-Upgrade automatisch neu gestartet werden. Ein Neustart wird jedoch nur durchgeführt, wenn er erforderlich ist, z. B. wenn der Linux-Kernel von GOS aktualisiert wird.

Der automatische Neustart ist standardmäßig deaktiviert. In diesem Fall wird nach einem GOS-Upgrade, das einen Neustart erfordert, eine Selbstcheck-Warnung angezeigt, die dazu auffordert, manuell neu zu starten.

Bemerkung

Diese Einstellung gilt nur für die Appliance, auf dem sie konfiguriert ist. Sie gilt nicht für alle Sensoren, die mit der Appliance verbunden sind. Wenn Sensoren automatisch neu starten sollen, muss jeder Sensor für sich konfiguriert werden.

  1. Setup wählen und Enter drücken.

  2. Upgrade wählen und Enter drücken.

  3. Automatic Reboot wählen und Enter drücken.

    → Eine Warnung informiert darüber, dass die Appliance nach einem GOS-Upgrade sofort neu gestartet wird (siehe Abb. 7.42).

    Bemerkung

    Alle Scans, die zu diesem Zeitpunkt laufen, werden beendet. Dies kann zum Verlust von ungesicherten Daten führen.

    _images/gos_menu_auto_reboot.png

    Abb. 7.42 Aktivieren des automatischen Neustarts

  4. Continue wählen und Enter drücken.

  5. Save wählen und Enter drücken.

7.2.7 Die Feedsynchronisation konfigurieren

Der Greenbone Enterprise Feed stellt Updates für die Schwachstellentests (VTs), die SCAP-Daten (CVE und CPE) und die Advisories des CERT-Bunds und des DFN-CERTs bereit. Zusätzlich bietet der Feed GOS-Upgrades.

Um den Greenbone Enterprise Feed nutzen zu können, wird ein Subskription-Schlüssel benötigt (siehe Kapitel 7.1.1). Der Schlüssel ermöglicht es der Appliance, den von Greenbone bereitgestellten Greenbone Enterprise Feed herunterzuladen.

Falls kein gültiger Subskription-Schlüssel auf der Appliance gespeichert ist, nutzt die Appliance nur den öffentlichen Greenbone Community Feed und nicht den Greenbone Enterprise Feed.

7.2.7.1 Einen Greenbone-Enterprise-Feed-Subskription-Schlüssel hinzufügen

Bemerkung

Es ist nicht notwendig, einen Greenbone-Enterprise-Feed-Subskription-Schlüssel auf einer neu gelieferten Appliance hinzuzufügen, da bereits ein Schlüssel vorinstalliert ist.

Ob bereits ein Subskription-Schlüssel auf der Appliance vorhanden ist, kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

Ein neuer Subskription-Schlüssel kann auf der Appliance gespeichert werden, indem er entweder mithilfe von HTTP hochgeladen oder mithilfe eines Editors eingefügt wird.

Für mehr Informationen über den Subskription-Schlüssel siehe Kapitel 7.1.1.

Bemerkung

Ein neuer Schlüssel überschreibt jeden Schlüssel, der bereits auf der Appliance gespeichert ist.

Wenn der Subskription-Schlüssel überschrieben wird, wird der Status des Feeds auf der Appliance auf „No feed present“ zurückgesetzt. Nach dem Hinzufügen des neuen Subskription-Schlüssels muss ein Feed-Update durchgeführt werden.

Der Schlüssel kann über HTTP wie folgt hinzugefügt werden:

  1. Setup wählen und Enter drücken.

  2. Feed wählen und Enter drücken.

  3. Key(HTTP) wählen und Enter drücken.

    → Eine Nachricht informiert darüber, dass der aktuelle Subskription-Schlüssel überschrieben wird (siehe Abb. 7.43).

    _images/gos_menu_gsfkeynew.png

    Abb. 7.43 Überschreiben des aktuellen Subskription-Schlüssels

  4. Yes wählen und Enter drücken.

  5. Webbrowser öffnen und angezeigte URL eingeben.

  6. Auf Browse… klicken, den Subskription-Schlüssel wählen und auf Upload klicken.

    → Eine Nachricht informiert darüber, dass der Subskription-Schlüssel erfolgreich hochgeladen wurde.

  7. Enter drücken, um die Nachricht zu schließen.

Der Schlüssel kann über den Editor wie folgt hinzugefügt werden:

  1. Setup wählen und Enter drücken.

  2. Feed wählen und Enter drücken.

  3. Key(Editor) wählen und Enter drücken.

    → Eine Nachricht informiert darüber, dass der aktuelle Subskription-Schlüssel überschrieben wird (siehe Abb. 7.43).

  4. Yes wählen und Enter drücken.

    → Der Editor wird geöffnet.

  5. Inhalt des Subskription-Schlüssels eingeben.

    Bemerkung

    Es ist wichtig, den Inhalt des Schlüssels und nicht den Namen des Schlüssels (z. B. gsf2022122017) einzugeben.

    Der Inhalt des Schlüssels kann mit einem beliebigen Texteditor oder unter Linux mit dem Programm less angezeigt werden. Wenn der Inhalt mit einem Texteditor geöffnet wird, muss darauf geachtet werden, dass nichts verändert wird.

  6. Strg + X drücken.

  7. Y drücken, um die Änderungen zu speichern.

  8. Enter drücken.

    → Eine Nachricht informiert darüber, dass der Subskription-Schlüssel erfolgreich hochgeladen wurde.

  9. Enter drücken, um die Nachricht zu schließen.

7.2.7.2 Die Synchronisation aktivieren oder deaktivieren

Die automatische Synchronisation des Greenbone Enterprise Feeds kann deaktiviert werden, falls die Appliance keinen Zugriff auf das Internet hat und nicht versuchen soll, den Dienst von Greenbone über das Internet zu erreichen. Die Synchronisation kann wieder aktiviert werden.

Die Synchronisation kann wie folgt aktiviert oder deaktiviert weden:

  1. Setup wählen und Enter drücken.

  2. Feed wählen und Enter drücken.

  3. Synchronisation wählen und Enter drücken.

    → Die Synchronisation ist aktiviert.

  4. Die Synchronisation kann deaktiviert werden, indem erneut Synchronisation gewählt und Enter gedrückt wird.

Bemerkung

Die Zeit der automatischen Feedsynchronisation kann eingestellt werden, indem die Wartungszeit geändert wird (siehe Kapitel 7.2.13).

7.2.7.3 Den Synchronisationsport konfigurieren

Der Greenbone Enterprise Feed wird von Greenbone auf zwei unterschiedlichen Ports bereitgestellt:

  • 24/tcp
  • 443/tcp

Während Port 24/tcp der Standardport ist, erlauben viele Firewallsetups keinen Verkehr über diesen Port im Internet. Deshalb ist die Änderung des Ports zu Port 443/tcp möglich. Dieser Port ist meistens erlaubt.

Der Port kann wie folgt konfiguriert werden:

  1. Setup wählen und Enter drücken.

  2. Feed wählen und Enter drücken.

  3. Greenbone Server wählen und Enter drücken.

  4. Sync port wählen und Enter drücken.

  5. Gewünschten Port wählen und Enter drücken (siehe Abb. 7.44).

    _images/gos_menu_feedsyncport.png

    Abb. 7.44 Konfigurieren des Synchronisationsports

Bemerkung

Der Port 443/tcp wird normalerweise von HTTPS-Verkehr genutzt. Obwohl die Appliance diesen Port nutzt, ist der tatsächliche Verkehr nicht HTTPS, sondern SSH. Die Appliance nutzt rsync, eingebettet in SSH, um den Feed zu erhalten. Firewalls, die tiefgehende Untersuchung und Application-Awareness unterstützen, könnten trotzdem den Verkehr zurückweisen, falls diese Funktionen aktiviert sind.

7.2.7.4 Den Synchronisationsproxy einstellen

Falls die Sicherheitsrichtlinie keinen direkten Zugriff auf das Internet erlaubt, kann die Appliance jeden HTTPS-Proxydienst nutzen. Dieser Proxy darf den SSL/TLS-Verkehr nicht untersuchen, aber die CONNECT-Methode unterstützen. Der Datenverkehr, der durch den Proxy läuft, ist nicht HTTPS, sondern SSH, gekapselt in http-proxy.

Der Proxy kann wie folgt eingerichtet werden:

  1. Setup wählen und Enter drücken.

  2. Feed wählen und Enter drücken.

  3. Greenbone Server wählen und Enter drücken.

  4. Sync proxy wählen und Enter drücken.

  5. URL des Proxys in das Eingabefeld eingeben (siehe Abb. 7.45).

    Bemerkung

    Die URL muss die Form http://proxy:port haben.

    _images/gos_menu_feedsyncproxy.png

    Abb. 7.45 Einstellen des Synchronisationsproxys

7.2.7.5 Den Greenbone-Enterprise-Feed-Subskription-Schlüssel löschen

Der Subskription-Schlüssel kann entfernt werden. Dies ist hilfreich, falls eine Appliance das Ende der Lebensdauer erreicht hat und nicht mehr genutzt werden soll. Das Entfernen stellt sicher, dass keine Lizenzen auf der Appliance verbleiben. Ohne den Subskription-Schlüssel erhält die Appliance nur den Greenbone Community Feed.

Es wird eine Warnung angezeigt, wenn diese Option gewählt wird.

Das Entfernen kann wie folgt durchgeführt werden:

  1. Setup wählen und Enter drücken.

  2. Feed wählen und Enter drücken.

  3. Cleanup wählen und Enter drücken.

    → Eine Nachricht informiert darüber, dass die Synchronisation mit dem Greenbone Enterprise Feed nach dem Entfernen nicht länger möglich ist (siehe Abb. 7.46).

    _images/gos_menu_cleanup.png

    Abb. 7.46 Entfernen des Subskription-Schlüssels

  4. Yes wählen und Enter drücken.

    → Eine Nachricht informiert darüber, dass der Subskription-Schlüssel entfernt wurde.

  5. Enter drücken, um die Nachricht zu schließen.

7.2.8 Die Appliance als Airgap-Master/-Sensor konfigurieren

Die Airgap-Funktion ermöglicht es einer Appliance, die nicht direkt mit dem Internet verbunden ist, Feed-Updates und GOS-Upgrades zu erhalten.

Zwei Appliances werden benötigt:

  • Airgap-Sensor: in einerem sicheren Bereich platziert und nicht mit dem Internet verbunden
  • Airgap-Master: mit dem Internet verbunden

Zwei Optionen sind für die Airgap-Funktion verfügbar:

  • Airgap-USB-Stick von Greenbone
  • Airgap-FTP-Server

Die folgenden Appliance-Modelle können für USB-Airgap konfiguriert werden:

  • Greenbone Enterprise 400 und höher als Airgap-USB-Master
  • Greenbone Enterprise 400 und höher als Airgap-USB-Sensor

Die folgenden Appliance-Modelle können für FTP-Airgap konfiguriert werden:

  • Greenbone Enterprise 400 und höher als Airgap-FTP-Master
  • Greenbone Enterprise 150 und höher als Airgap-FTP-Sensor
  • Greenbone Enterprise CENO und höher als Airgap-FTP-Sensor

7.2.8.1 Den Airgap-USB-Stick nutzen

Die Updates und Upgrades werden von einer Appliance, die mit dem Internet verbunden ist, geladen und auf einen USB-Stick kopiert. Der USB-Stick kann dann genutzt werden, um die zweite Appliance zu aktualisieren.

Bemerkung

Der USB-Stick muss ein besonderer Airgap-USB-Stick sein, der von Greenbone zur Verfügung gestellt wird. Um einen entsprechenden Airgap-USB-Stick anzufordern, kann der Greenbone Enterprise Support unter Angabe der Kundennummer kontaktiert werden.

Tipp

Der USB-Stick kann vorher durch ein Sicherheitsgateway auf Schadsoftware geprüft werden.

Die Datenübertragung mithilfe des Airgap-USB-Sticks wird wie folgt durchgeführt:

  1. Im GOS-Administrationsmenü des Airgap-Masters Setup wählen und Enter drücken.

  2. Feed wählen und Enter drücken.

  3. Airgap Master wählen und Enter drücken.

  4. USB Master wählen und Enter drücken (siehe Abb. 7.47).

    _images/gos_menu_airgapmaster_usb.png

    Abb. 7.47 Konfigurieren des Airgap-USB-Masters

  5. Save wählen und Enter drücken.

    Bemerkung

    Das Konfigurieren einer Appliance als einen Airgap-USB-Master deaktiviert die Möglichkeit, die Appliance als einen Airgap-USB-Sensor zu konfigurieren.

  6. Airgap-USB-Stick mit dem Airgap-Master verbinden.

    → Die Datenübertragung startet automatisch.

  7. Wenn die Datenübertragung abgeschlossen ist, Airgap-USB-Stick mit dem Airgap-Sensor verbinden.

    → Die Datenübertragung startet automatisch.

7.2.8.2 Den Airgap-FTP-Server nutzen

Die Updates und Upgrades können über einen FTP-Server, der als Datendiode wirkt, bereitgestellt werden. Eine Datendiode ist ein einseitiges Sicherheitsgateway, das den Datenfluss nur in eine Richtung erlaubt.

Ein FTP-Airgap-Update wird vorgenommen, wenn ein manuelles Feed-Update (siehe Kapitel 7.3.6) oder ein automatisches Feed-Update zur Wartungszeit durchgeführt wird.

Bemerkung

Es muss sichergestellt werden, dass der Airgap-Master genügend Zeit hat, um den Airgap-FTP-Feed auf den FTP-Server hochzuladen. Bei langsameren Verbindungen kann es ratsam sein, die Wartungszeit des Airgap-Sensors mindestens drei Stunden hinter die des Airgap-Masters zu legen (siehe Kapitel 7.2.9).

Die Konfiguration eines Airgap-FTP-Setups wird wie folgt durchgeführt:

  1. Im GOS-Administrationsmenü des Airgap-Masters Setup wählen und Enter drücken.

  2. Feed wählen und Enter drücken.

  3. Airgap Master wählen und Enter drücken.

  4. FTP Master wählen und Enter drücken.

    → Mehrere neue Menüoptionen für die Konfiguration des FTP-Servers werden angezeigt (siehe Abb. 7.48).

    _images/gos_menu_airgapmaster_ftp.png

    Abb. 7.48 Konfigurieren des FTP-Servers für den Airgap-Master

  5. FTP Master Location wählen und Enter drücken.

  6. Pfad des FTP-Servers in das Eingabefeld eingeben und Enter drücken.

    • Das erforderliche Importformat ist ftp://1.2.3.4 oder ftp://path.to.ftpserver.
    • Optional kann ein Port konfiguriert werden, z.B. ftp://1.2.3.4:21.
    • Wenn kein Port konfiguriert ist, wird der Standard-FTP-Port 21 verwendet. Wenn ein anderer Port als 21 verwendet werden soll, muss dieser explizit konfiguriert werden.
  7. FTP Master User wählen und Enter drücken.

  8. Benutzer, der für das Einloggen in den FTP-Server genutzt wird, in das Eingabefeld eingeben und Enter drücken.

  9. FTP Master Password wählen und Enter drücken.

  10. Passwort, das für das Einloggen in den FTP-Server genutzt wird, in das Eingabefeld eingeben und Enter drücken.

  11. FTP Master Test wählen und Enter drücken.

    → Es wird geprüft, ob ein Login mit den eingegebenen Informationen funktioniert.

  12. Save wählen und Enter drücken.

  13. Im GOS-Administrationsmenü des Airgap-Sensors Setup wählen und Enter drücken.

  14. Feed wählen und Enter drücken.

  15. Airgap Sensor wählen und Enter drücken.

  16. Schritte 5 bis 23 im GOS-Administrationsmenü des Airgap-Sensors mit den gleichen Eingaben wie für den Airgap-Master durchführen.

    Bemerkung

    Die Namen der Menüoptionen unterscheiden sich leicht im Vergleich zum GOS-Administrationsmenü des Airgap-Master (siehe Abb. 7.49).

    → Die Datenübertragung startet beim nächsten Feed-Update.

    _images/gos_menu_airgapsensor_ftp.png

    Abb. 7.49 Konfigurieren des FTP-Servers für den Airgap-Sensor

7.2.9 Die Zeitsynchronisation konfigurieren

Um die Appliance mit zentralen Zeitservern zu synchronisieren, unterstützt die Appliance das Network Time Protocol (NTP). Bis zu vier unterschiedliche NTP-Server können konfiguriert werden. Die Appliance wählt den passendsten Server. Während eines Ausfalls eines Servers wird automatisch ein anderer Server genutzt.

Sowohl IP-Adressen als auch DNS-Namen werden unterstützt.

Bemerkung

Zeitzonen- und Sommerzeitsynchronisation werden von NTP nicht unterstützt. Die Zeitzone der Appliance ist immer UTC±00:00.

Die NTP-Einstellungen können wie folgt konfiguriert werden:

  1. Setup wählen und Enter drücken.

  2. Timesync wählen und Enter drücken.

  3. Time synchronisation wählen und Enter drücken.

    → Die Zeitsynchronisation ist aktiviert.

  4. Gewünschten Zeitserver wählen und Enter drücken (siehe Abb. 7.50).

    _images/gos_menu_timesync.png

    Abb. 7.50 Konfigurieren der NTP-Einstellungen

  5. Zeitserver in das Eingabefeld eingeben und Enter drücken.

    → Eine Nachricht informiert darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  6. Enter drücken, um die Nachricht zu schließen.

7.2.10 Das Tastaturlayout wählen

Das Tastaturlayout der Appliance kann wie folgt verändert werden:

  1. Setup wählen und Enter drücken.

  2. Keyboard wählen und Enter drücken.

    → Alle verfügbaren Tastaturlayouts werden angezeigt. Das aktuelle Layout hat die Anmerkung (selected) (siehe Abb. 7.51).

    _images/gos_menu_keyboard.png

    Abb. 7.51 Wählen des Tastaturlayouts

  3. Gewünschtes Tastaturlayout wählen und Enter drücken.

    → Eine Nachricht fordert den Benutzer auf, die Änderung zu bestätigen.

  4. Yes wählen und Enter drücken.

    → Eine Nachricht informiert darüber, dass das Layout geändert wurde.

7.2.11 Die E-Mail-Einstellungen konfigurieren

Wenn Berichte über Schwachstellenscans oder Compliance-Audits per E-Mail zugestellt werden sollen, muss die Appliance zunächst mit einem Server verbunden werden, der als Mailhub fungiert. Ein solcher Server wird auch als „Mail-Relay“, „Relay-Host“ oder „Smarthost“ bezeichnet. Standardmäßig stellt die Appliance E-Mails nicht direkt ins Internet zu, sondern nur indirekt über den Mailhub, über den sie dann an die E-Mail-Server der Empfänger weitergeleitet werden müssen. Der Mailhub muss das Simple Mail Transfer Protocol (SMTP) unterstützen.

Die Appliance speichert keine E-Mails, wenn die Zustellung fehlschlägt, und es wird kein zweiter Zustellversuch unternommen.

Bemerkung

Die Appliance implementiert den Mail Transfer Agent Postfix. Der Mailhub muss möglicherweise korrekt eingerichtet werden, um mit der Appliance zusammenzuarbeiten. Informationen über spezielle Konfigurationen für diesen Fall finden sich in der Mailhub-Dokumentation.

Jeglicher Spamschutz auf dem Mailhub, wie z. B. graue Listen, muss für die Appliance deaktiviert werden.

7.2.11.1 Den Mailhub konfigurieren

Der Mailhub kann wie folgt konfiguriert werden:

  1. Setup wählen und Enter drücken.

  2. Mail wählen und Enter drücken.

  3. Mail wählen und Enter drücken.

  4. URL des Mailhubs in das Eingabefeld eingeben (siehe Abb. 7.52).

    _images/gos_menu_mailserver.png

    Abb. 7.52 Konfigurieren des Mailhubs

  5. OK wählen und Enter drücken.

    → Eine Nachricht informiert darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  6. Enter drücken, um die Nachricht zu schließen.

    Bemerkung

    Ein Port, der für den Mailhub verwendet wird, kann bei Bedarf konfiguriert werden. Eine manuelle Konfiguration ist jedoch nicht erforderlich.

    Wenn kein Port konfiguriert ist, werden automatisch die Standard-Ports für SMTP(S) verwendet.

  7. Mailhub Port wählen und Enter drücken.

  8. Port in das Eingabefeld eingeben und Enter drücken.

    → Eine Nachricht informiert darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  9. Enter drücken, um die Nachricht zu schließen.

7.2.11.2 SMTP-Authentifizierung für den Mailhub konfigurieren

Bemerkung

Die Appliance unterstützt nur die Authentifizierung über die SMTP-Auth-Erweiterung.

Optional kann die SMTP-Authentifizierung für den verwendeten Mailhub wie folgt konfiguriert werden:

  1. Setup wählen und Enter drücken.

  2. Mail wählen und Enter drücken.

  3. SMTP Authentication Requirements wählen und Enter drücken, um die SMTP-Authentifizierung zu aktivieren (siehe Abb. 7.53).

    _images/gos_menu_mail_smtp.png

    Abb. 7.53 Konfigurieren der SMTP-Authentifizierung

  4. SMTP Username wählen und Enter drücken.

  5. Benutzernamen des Accounts, der für die Authentifizierung genutzt wird, in das Eingabefeld eingeben und Enter drücken.

    → Eine Nachricht informiert darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  6. Enter drücken, um die Nachricht zu schließen.

  7. Password wählen und Enter drücken.

  8. Passwort des Accounts, der für die Authentifizierung genutzt wird, zweimal eingeben und Tab drücken.

    Bemerkung

    Passwörter dürfen höchstens 128 Zeichen lang sein.

  9. Enter drücken.

7.2.11.3 Die maximale Größe enthaltener oder angehängter Berichte festlegen

Die maximale Größe (in Bytes) von enthaltenen oder angehängten Berichten (siehe Kapitel 10.12) kann wie folgt begrenzt werden:

  1. Setup wählen und Enter drücken.

  2. Mail wählen und Enter drücken.

  3. Max attachment oder Max include wählen und Enter drücken.

    _images/gos_menu_emailsize.png

    Abb. 7.54 Festlegen der maximalen Größe enthaltener oder angehängter Berichte

  4. Maximale Größe (in Bytes) in das Eingabefeld eingeben (siehe Abb. 7.54).

  5. OK wählen und Enter drücken.

    → Eine Nachricht informiert darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  6. Enter drücken, um die Nachricht zu schließen.

7.2.12 Die Sammlung von Logs konfigurieren

Die Appliance unterstützt die Konfiguration eines zentralen Loggingservers für die Sammlung von Logs. Es können entweder nur die sicherheitsrelevanten Logs oder alle Systemlogs an einen Remote-Loggingserver gesendet werden.

Die sicherheitsrelevanten Logs enthalten nur Meldungen von den Facilities zur Sicherheits- und Authentifizierungsprotokollierung:

  • auth
  • authpriv
  • security

Zusätzlich enthalten die vollständigen Logs die folgenden Facilities:

  • cron
  • daemon
  • ftp
  • kern
  • lp
  • lpr
  • ntp
  • mail
  • news
  • syslog
  • user
  • uucp
  • console
  • solaris-cron
  • local0local7

Die Appliance nutzt das Syslog-Protokoll. Die zentrale Sammlung von Logs ermöglicht die zentrale Analyse, Verwaltung und Überwachung von Logs. Zusätzlich werden die Logs immer lokal gespeichert.

Ein Loggingserver kann für jede Art von Logs (sicherheitsrelevante Logs oder alle Systemlogs) konfiguriert werden.

Für den Transfer können UDP (Standard), TLS und TCP genutzt werden. TCP stellt die Zustellung der Logs selbst im Falle eines Paketverlusts sicher. Falls ein Paketverlust während einer Übertragung mit UDP auftritt, sind die Logs verloren. TLS ermöglicht die optionale Authentifizierung des Senders via TLS. Dieser Vorgang ist nicht RFC-5425-konform.

Bemerkung

Die Zeitzone der Appliance (UTC±00:00) wird für die Zeitstempel der Protokolle verwendet, sofern dies nicht auf dem Syslog-Server angepasst wurde.

7.2.12.1 Den Loggingserver konfigurieren

Der Loggingserver kann wie folgt eingerichtet werden:

  1. Setup wählen und Enter drücken.
  2. Remote Syslog wählen und Enter drücken.
  1. Security Syslog wählen und Enter drücken, um sicherheitsrelevante Logs zu aktivieren (siehe Abb. 7.55).

    oder

  1. Full Syslog wählen und Enter drücken, um alle Systemlogs zu aktivieren (siehe Abb. 7.55).

    Bemerkung

    Beide Logs können aktiviert sein.

    _images/gos_menu_loggingserver.png

    Abb. 7.55 Konfiguration der Logs

  2. Security Remote wählen und Enter drücken, um die URL des Loggingservers für sicherheitsrelevante Logs einzustellen.

    oder

  1. Full Remote wählen und Enter drücken, um die URL des Loggingservers für alle Systemlogs einzustellen.

  2. URL des Loggingservers in das Eingabefeld eingeben (siehe Abb. 7.56).

    Bemerkung

    Falls kein Port festgelegt wird, wird der Standardport 514 genutzt.

    Falls das Protokoll nicht angegeben wird, wird UDP genutzt.

    → Eine Nachricht informiert darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

    _images/gos_menu_secremote.png

    Abb. 7.56 Konfigurieren des Loggingservers

  3. Enter drücken, um die Nachricht zu schließen.

7.2.12.2 HTTPS-Zertifikate für das Logging verwalten

Die HTTPS-Zertifikate für das Logging können wie folgt verwaltet werden:

  1. Setup wählen und Enter drücken.

  2. Remote Syslog wählen und Enter drücken.

  3. Certificates wählen und Enter drücken.

  4. Generate wählen und Enter drücken, um ein Zertifikat zu generieren.

    → Eine Nachricht informiert darüber, dass das aktuelle Zertifikat und der aktuelle private Schlüssel überschrieben werden.

  5. Yes wählen und Enter drücken, um die Nachricht zu bestätigen.

  6. Einstellungen für das Zertifikat eingeben (siehe Abb. 7.57), OK wählen und Enter drücken.

    Bemerkung

    Es ist zulässig, ein Zertifikat ohne einen Common Name zu erstellen. Allerdings sollte ein Zertifikat nicht ohne (einen) Subject Alternative Name(s) erstellt werden.

    Falls ein Common Name verwendet wird, sollte dieser mit einem der SANs identisch sein.

    _images/gos_menu_logcert.png

    Abb. 7.57 Bereitstellen der Einstellungen für das Zertifikat

    → Wenn der Vorgang abgeschlossen ist, informiert eine Nachricht darüber, dass das Zertifikat heruntergeladen werden kann.

  7. Enter drücken, um die Nachricht zu schließen.

  8. Certificates wählen und Enter drücken.

  9. Download wählen und Enter drücken.

  10. Webbrowser öffnen und angezeigte URL eingeben.

  11. Datei herunterladen.

  1. Im GOS-Administrationsmenü Enter drücken.

    → Wenn das Zertifikat von der Appliance erhalten wurde, zeigt das GOS-Administrationsmenü den Fingerprint des Zertifikats zur Verifizierung an.

  2. Fingerprint prüfen und Enter drücken, um das Zertifikat zu bestätigen.

Das Zertifikat und die zugehörigen Fingerprints können wie folgt angezeigt werden:

  1. Setup wählen und Enter drücken.

  2. Remote Syslog wählen und Enter drücken.

  3. Certificates wählen und Enter drücken.

  4. Show wählen und Enter drücken, um das Zertifikat anzuzeigen.

    Fingerprint wählen und Enter drücken, um die Fingerprints anzuzeigen.

    → Die folgenden Fingerprints des aktuell aktiven Zertifikats werden angezeigt:

    • SHA1
    • SHA256

7.2.13 Die Wartungszeit festlegen

Während der Wartung findet die tägliche Feedsynchronisation statt. Jede Zeit während des Tags, abgesehen von 10:00 bis 13:00 UTC, kann gewählt werden. Während dieser Zeitspanne aktualisiert Greenbone selbst den Feed und deaktiviert die Synchronisierungsdienste.

Die standardmäßige Wartungszeit ist eine zufällige Zeit zwischen 3:00 und 5:00 UTC±00:00.

Die Wartungszeit kann wie folgt festgelegt werden:

  1. Setup wählen und Enter drücken.

  2. Time wählen und Enter drücken.

  3. Gewünschte Wartungszeit in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.58).

    Bemerkung

    Vor dem Eingeben muss die Zeit zu UTC umgewandelt werden.

    _images/gos_menu_mainttime.png

    Abb. 7.58 Konfigurieren der Wartungszeit

    → Eine Nachricht informiert darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  4. Enter drücken, um die Nachricht zu schließen.

7.3 Maintenance-Menü

7.3.1 Einen Selbstcheck durchführen

Die Selbstcheck-Option prüft das Setup der Appliance. Sie zeigt falsche und fehlende Konfigurationsdetails an, die möglicherweise die korrekte Funktionsweise der Appliance beeinträchtigen. Die folgenden Elemente werden geprüft:

  • Netzwerkverbindung
  • DNS-Auflösung
  • Erreichbarkeit des Feeds
  • Verfügbare Updates
  • Benutzerkonfiguration

Der Selbstcheck wird wie folgt durchgeführt:

  1. Maintenance wählen und Enter drücken.

  2. Selfcheck wählen und Enter drücken.

    → Der Selbstcheck wird durchgeführt. Anschließend wird das Ergebnis angezeigt.

  3. Enter drücken (siehe Abb. 7.59).

    _images/gos_menu_selfcheck.png

    Abb. 7.59 Durchführen eines Selbstchecks

7.3.2 Ein Backup durchführen und wiederherstellen

Geplante lokale und Remote-Backups werden im Setup-Menu konfiguriert (siehe Kapitel 7.2.5).

Backups können auch manuell durchgeführt werden. Abhängig vom im Kapitel 7.2.5 konfigurierten Speicherort, wird das manuell durchgeführte Backup lokal oder remote gespeichert. Diese Backups können für die Auslagerung auf einen USB-Stick übertragen werden.

Das Backup beinhaltet die Nutzerdaten (z. B. Aufgaben, Berichte, Ergebnisse) und Systemeinstellungen, d. h. die GOS-Konfiguration.

7.3.2.1 Ein Backup manuell durchführen

Ein Backup kann wie folgt manuell durchgeführt werden:

  1. Maintenance wählen und Enter drücken.

  2. Backup wählen und Enter drücken.

  3. Incremental Backup wählen und Enter drücken (siehe Abb. 7.60).

    → Eine Meldung informiert darüber, dass das Backup im Hintergrund gestartet wurde.

    Tipp

    Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

    _images/gos_menu_backupmanual.png

    Abb. 7.60 Manuelles Auslösen eines Backups

7.3.2.2 Ein Backup manuell wiederherstellen

Bemerkung

Ausschließlich Backups, die mit der momentan genutzten GOS-Version oder der Vorgängerversion erstellt wurden, können wiederhergestellt werden. Für GOS 21.04 können nur Backups aus GOS 20.08 oder GOS 21.04 importiert werden. Falls ein älteres Backup importiert werden soll, z. B. aus GOS 5 oder GOS 6, muss eine Appliance mit der passenden GOS-Version genutzt werden.

Backups, die mit GOS-Versionen erstellt wurden, die neuer sind als die aktuell verwendete GOS-Version, werden ebenfalls nicht unterstützt. Wenn ein neueres Backup importiert werden soll, muss eine Appliance mit einer passenden GOS-Version verwendet werden.

Es können nur Backups wiederhergestellt werden, die mit dem gleichen Appliance-Modell (siehe Kapitel 3) erstellt wurden.

Zusätzlich wird geprüft, ob die Subskription-Schlüssel des Backups und der Appliance, auf der das Backup wiederhergestellt werden soll, identisch sind. Falls die Schlüssel nicht übereinstimmen, wird eine Warnung angezeigt und der Nutzer muss bestätigen, dass der Schlüssel auf der Appliance überschrieben werden soll.

Falls Fragen auftreten, kann der Greenbone Enterprise Support kontaktiert werden.

Ein Backup kann wie folgt wiederhergestellt werden:

  1. Maintenance wählen und Enter drücken.

  2. Backup wählen und Enter drücken.

  3. List wählen und Enter drücken.

  4. Gewünschtes Backup wählen und Enter drücken.

  5. Yes wählen und Enter drücken, falls sowohl Nutzerdaten als auch Systemeinstellungen hochgeladen werden sollen.

    oder

  1. No wählen und Enter drücken, falls nur Nutzerdaten hochgeladen werden sollen.

    Bemerkung

    Die Systemeinstellungen enthalten alle GOS-Konfigurationen, z. B. Netzwerkeinstellungen. Die Daten enthalten alle Informationen zum Schwachstellenscanning und -management.

    → Eine Warnung informiert darüber, dass alle lokalen Einstellungen verloren gehen, falls das Backup wiederhergestellt wird (siehe Abb. 7.61).

    _images/gos_menu_backup_usb_3.png

    Abb. 7.61 Wiederherstellen eines Backups

  2. Yes wählen und Enter drücken, um die Nachricht zu bestätigen.

    → Eine Nachricht informiert darüber, dass die Wiederherstellung im Hintergrund gestartet wurde.

    Tipp

    Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

7.3.2.3 Ein Backup mithilfe eines USB-Sticks durchführen

Backups können wie folgt auf einen USB-Stick übertragen werden:

  1. USB-Stick mit der Appliance verbinden.

    Bemerkung

    Es muss ein FAT-formatierter USB-Stick genutzt werden. Falls Probleme auftreten, sollte ein anderer USB-Stick oder ein anderer USB-Port an der Appliance getestet werden.

  2. Maintenance wählen und Enter drücken.

  3. Backup wählen und Enter drücken.

  4. USB Backup wählen und Enter drücken.

  5. Backup wählen und Enter drücken (siehe Abb. 7.62).

    _images/gos_menu_backup_usb_1.png

    Abb. 7.62 Durchführen eines Backups mithilfe eines USB-Sticks

    → Eine Nachricht fordert den Benutzer auf, das Backup zu bestätigen.

  6. Yes wählen und Enter drücken.

    → Eine Meldung informiert darüber, dass das Backup im Hintergrund gestartet wurde.

    Tipp

    Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

7.3.2.4 Ein Backup mithilfe eines USB-Sticks wiederherstellen

Bemerkung

Ausschließlich Backups, die mit der momentan genutzten GOS-Version oder der Vorgängerversion erstellt wurden, können wiederhergestellt werden. Für GOS 21.04 können nur Backups aus GOS 20.08 oder GOS 21.04 importiert werden. Falls ein älteres Backup importiert werden soll, z. B. aus GOS 5 oder GOS 6, muss eine Appliance mit der passenden GOS-Version genutzt werden.

Backups, die mit GOS-Versionen erstellt wurden, die neuer sind als die aktuell verwendete GOS-Version, werden ebenfalls nicht unterstützt. Wenn ein neueres Backup importiert werden soll, muss eine Appliance mit einer passenden GOS-Version verwendet werden.

Es können nur Backups wiederhergestellt werden, die mit dem gleichen Appliance-Modell (siehe Kapitel 3) erstellt wurden.

Zusätzlich wird geprüft, ob die Subskription-Schlüssel des Backups und der Appliance, auf der das Backup wiederhergestellt werden soll, identisch sind. Falls die Schlüssel nicht übereinstimmen, wird eine Warnung angezeigt und der Nutzer muss bestätigen, dass der Schlüssel auf der Appliance überschrieben werden soll.

Falls Fragen auftreten, kann der Greenbone Enterprise Support kontaktiert werden.

Backups können wie folgt von einem USB-Stick wiederhergestellt werden:

  1. USB-Stick mit der Appliance verbinden.

    Bemerkung

    Es muss ein FAT-formatierter USB-Stick genutzt werden. Falls Probleme auftreten, sollte ein anderer USB-Stick oder ein anderer USB-Port an der Appliance getestet werden.

  2. Maintenance wählen und Enter drücken.

  3. Backup wählen und Enter drücken.

  4. USB Backup wählen und Enter drücken.

  5. Restore wählen und Enter drücken (siehe Abb. 7.62).

  6. Yes wählen und Enter drücken, falls sowohl Nutzerdaten als auch Systemeinstellungen hochgeladen werden sollen.

    oder

  1. No wählen und Enter drücken, falls nur Nutzerdaten hochgeladen werden sollen.

    Bemerkung

    Die Systemeinstellungen enthalten alle GOS-Konfigurationen, z. B. Netzwerkeinstellungen. Die Daten enthalten alle Informationen zum Schwachstellenscanning und -management.

    → Eine Warnung informiert darüber, dass alle lokalen Einstellungen verloren gehen, falls das Backup wiederhergestellt wird (siehe Abb. 7.63).

    _images/gos_menu_backup_usb_3.png

    Abb. 7.63 Wiederherstellen eines Backups

  2. Yes wählen und Enter drücken, um die Nachricht zu bestätigen.

    → Eine Nachricht informiert darüber, dass die Wiederherstellung im Hintergrund gestartet wurde.

    Tipp

    Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

7.3.3 Daten und Einstellungen mithilfe von Beaming auf eine andere Appliance kopieren

Der aktuelle Zustand einer Appliance kann auf eine andere Appliance kopiert werden. Dies beinhaltet die Nutzerdaten (z. B. Aufgaben, Berichte, Ergebnisse) und Systemeinstellungen, d. h. die GOS-Konfiguration.

Auf der empfangenden Appliance kann gewählt werden, ob nur die Nutzerdaten oder sowohl Nutzerdaten als auch Systemeinstellungen importiert werden sollen.

Bemerkung

Ausschließlich Beaming-Images, die mit der momentan genutzten GOS-Version oder der Vorgängerversion erstellt wurden, können wiederhergestellt werden. Für GOS 21.04 können nur Beaming-Images aus GOS 20.08 oder GOS 21.04 importiert werden.

Es ist nur möglich, ein Beaming-Image auf eine Appliance zu importieren, wenn die Release-Informationen, d.h. die Liste der verfügbaren GOS-Upgrades, auf der entsprechenden Appliance aktuell sind. Um dies sicherzustellen, sollte ein aktueller Greenbone Enterprise Feed heruntergeladen werden.

Beaming-Images, die mit GOS-Versionen erstellt wurden, die neuer sind als die aktuell verwendete GOS-Version, werden ebenfalls nicht unterstützt. Wenn ein neueres Beaming-Image importiert werden soll, muss eine Appliance mit einer passenden GOS-Version genutzt werden.

Das Beaming ist nur auf eine Appliance der gleichen oder einer höheren Klasse erlaubt (siehe Kapitel 3). Das Beaming auf eine Greenbone Enterprise TRIAL wird nicht unterstützt.

Es wird geprüft, ob die Subskription-Schlüssel des Beaming-Images und der Appliance, auf der das Beaming-Image wiederhergestellt werden soll, identisch sind. Falls die Schlüssel nicht übereinstimmen, wird eine Warnung angezeigt und der Benutzer muss bestätigen, dass der Schlüssel auf der Appliance überschrieben werden soll. Wenn jedoch ein Beaming-Image ohne Subskription-Schlüssel wiederhergestellt wird, bleibt der Schlüssel auf der Appliance erhalten.

Falls Fragen auftreten, kann der Greenbone Enterprise Support kontaktiert werden.

7.3.3.1 Beaming direkt von einer anderen Appliance aus durchführen

Das Beaming-Image kann wie folgt erstellt und direkt kopiert werden:

Bemerkung

  • Appliance A = sendende Appliance
  • Appliance B = empfangende Appliance
  1. Im GOS-Administrationsmenü von Appliance A Maintenance wählen und Enter drücken.

  2. Beaming wählen und Enter drücken.

  3. Download wählen und Enter drücken (siehe Abb. 7.64).

    _images/gos_menu_beaming_1.png

    Abb. 7.64 Herunterladen des Beaming-Images

    → Eine Nachricht informiert darüber, dass die Erstellung des Beaming-Images im Hintergrund gestartet wurde.

    Wenn die Erstellung abgeschlossen ist, informiert eine Nachricht darüber, dass ein zu notierendes Passwort angezeigt wird.

  4. Enter drücken.

  5. Passwort notieren. Es wird in Schritt 13 benötigt.

  6. q drücken, um den Editor zu verlassen.

    Wichtig

    Nachricht, die die URL anzeigt, nicht schließen.

  7. Im GOS-Administrationsmenü von Appliance B Maintenance wählen und Enter drücken.

  8. Beaming wählen und Enter drücken.

  9. Upload from GSM A wählen und Enter drücken.

  10. URL, die im GOS-Administrationsmenü von Appliance A angezeigt wird, in das Eingabefeld eingeben und Enter drücken.

    _images/gos_menu_beaming_2.png

    Abb. 7.65 Wählen der Daten und Einstellungen für den Upload

  11. Yes wählen und Enter drücken, falls sowohl Nutzerdaten als auch Systemeinstellungen hochgeladen werden sollen.

    oder

  1. No wählen und Enter drücken, falls nur Nutzerdaten hochgeladen werden sollen.

    → Eine Warnung fordert den Benutzer auf, den Vorgang zu bestätigen.

  2. Yes wählen und Enter drücken.

  3. Passwort aus Schritt 5 in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.66).

    _images/gos_menu_beaming_3.png

    Abb. 7.66 Eingeben des Passworts für das Beaming-Image

    → Eine Nachricht informiert darüber, dass der Upload des Beaming-Images im Hintergrund gestartet wurde.

    Wenn der Upload abgeschlossen ist, wird eine Nachricht angezeigt.

  4. Enter drücken.

7.3.3.2 Beaming über ein Remote-Dateisystem durchführen

Das Beaming-Image kann wie folgt erstellt, heruntergeladen, gespeichert und später über ein Remote-Dateisystem importiert werden:

Bemerkung

  • Appliance A = sendende Appliance
  • Appliance B = empfangende Appliance
  1. Im GOS-Administrationsmenü von Appliance A Maintenance wählen und Enter drücken.

  2. Beaming wählen und Enter drücken.

  3. Download wählen und Enter drücken (siehe Abb. 7.67).

    _images/gos_menu_beaming_1.png

    Abb. 7.67 Herunterladen des Beaming-Images

    → Eine Nachricht informiert darüber, dass die Erstellung des Beaming-Images im Hintergrund gestartet wurde.

    Wenn die Erstellung abgeschlossen ist, informiert eine Nachricht darüber, dass ein zu notierendes Passwort angezeigt wird.

  4. Enter drücken.

  5. Passwort notieren. Es wird in Schritt 16 benötigt.

  6. q drücken, um den Editor zu verlassen.

  7. Webbrowser öffnen und angezeigte URL eingeben.

  8. GSMB-Datei herunterladen.

  9. Im GOS-Administrationsmenü von Appliance B Maintenance wählen und Enter drücken.

  10. Beaming wählen und Enter drücken.

  11. Upload via remote file system wählen und Enter drücken.

  12. Webbrowser öffnen und angezeigte URL eingeben.

  13. Auf Browse… klicken, die GSMB-Datei wählen und auf Upload klicken.

    _images/gos_menu_beaming_2.png

    Abb. 7.68 Wählen der Daten und Einstellungen für den Upload

  14. Yes wählen und Enter drücken, falls sowohl Nutzerdaten als auch Systemeinstellungen hochgeladen werden sollen.

    oder

  1. No wählen und Enter drücken, falls nur Nutzerdaten hochgeladen werden sollen.

    → Eine Warnung fordert den Benutzer auf, den Vorgang zu bestätigen.

  2. Yes wählen und Enter drücken.

  3. Passwort aus Schritt 5 in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.69).

    _images/gos_menu_beaming_3.png

    Abb. 7.69 Eingeben des Passworts für das Beaming-Image

    → Eine Nachricht informiert darüber, dass der Upload des Beaming-Images im Hintergrund gestartet wurde.

    Wenn der Upload abgeschlossen ist, wird eine Nachricht angezeigt.

  4. Enter drücken.

7.3.4 Ein GOS-Upgrade durchführen

Während des täglichen Feed-Updates zur Wartungszeit (siehe Kapitel 7.2.13) lädt die Appliance auch neue GOS-Upgrades herunter, falls diese verfügbar sind. Obwohl die Upgrades automatisch heruntergeladen werden, werden sie nicht automatisch installiert.

Bemerkung

Da die Upgrades möglicherweise aktuelle Scanaufgaben unterbrechen, müssen sie sorgsam geplant werden.

Upgrades können wie folgt manuell installiert werden:

  1. Maintenance wählen und Enter drücken.

  2. Upgrade wählen und Enter drücken.

  3. Upgrade wählen und Enter drücken, um ein Upgrade zu installieren.

    oder

  1. Switch Release wählen und Enter drücken, um zu einem neuen Softwarerelease zu wechseln.

    → Eine Meldung informiert darüber, dass das Upgrade im Hintergrund gestartet wurde.

    Tipp

    Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

    Bemerkung

    Treten nach einem GOS-Upgrade Fehler bei der Benutzung der Web-Oberfläche auf, muss der Browser- oder Seitencache geleert werden(siehe Kapitel 6.4).

    Es ist möglich, dass ein GOS-Upgrade die über das GOS-Administrationsmenü verfügbaren Funktionen verändert. Diese geänderten Funktionen sind erst nach einem erneuten Laden des GOS-Administrationsmenüs verfügbar. Es wird daher empfohlen, sich nach dem GOS-Upgrade vom GOS-Administrationsmenü abzumelden und wieder neu anzumelden.

    Manchmal ist auch ein Reboot der Appliance nötig (siehe Kapitel 7.3.9.1). Der Selbstcheck zeigt eine entsprechende Mitteilung, wenn dies der Fall ist (siehe Kapitel 7.3.1).

Bemerkung

Standardmäßig startet ein erfolgreiches GOS-Upgrade auf dem Master auch ein GOS-Upgrade auf verbundenen Sensoren. Dennoch kann ein Upgrade manuell auf den Sensoren installiert werden (siehe Kapitel 7.3.5).

7.3.5 Ein GOS-Upgrade auf Sensoren durchführen

Ein GOS-Upgrade kann wie folgt auf einem Sensor installiert werden:

  1. Maintenance wählen und Enter drücken.

  2. Upgrade wählen und Enter drücken.

  3. Sensors wählen und Enter drücken.

  4. Gewünschten Sensor wählen und Leertaste drücken.

    → Der Sensor wird mit * markiert. Es können mehrere Sensoren zur gleichen Zeit gewählt werden.

    Sensoren, die nicht für ein Upgrade bereit sind, sind entsprechend gekennzeichnet.

  5. Enter drücken.

    → Eine Meldung informiert darüber, dass das Upgrade im Hintergrund gestartet wurde.

    Tipp

    Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

7.3.6 Ein Feed-Update durchführen

Standardmäßig versucht die Appliance täglich zu ihrer Wartungszeit (siehe Kapitel 7.2.13) neue Feeds und GOS-Upgrades herunterzuladen.

Außerdem kann ein Feed-Update wie folgt manuell ausgelöst werden:

  1. Maintenance wählen und Enter drücken.

  2. Feed wählen und Enter drücken.

  3. Update wählen und Enter drücken (siehe Abb. 7.70).

    → Eine Meldung informiert darüber, dass das Feed-Update im Hintergrund gestartet wurde.

    Tipp

    Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

    _images/gos_menu_feedupdate.png

    Abb. 7.70 Manuelles Auslösen eines Feed-Updates

Bemerkung

Standardmäßig startet ein erfolgreiches Feed-Update auf dem Master auch ein Feed-Update auf verbundenen Sensoren. Dennoch kann ein Feed-Update manuell auf die Sensoren übertragen werden (siehe Kapitel 7.3.7).

7.3.7 Ein Feed-Update auf Sensoren durchführen

Ein Feed-Update kann wie folgt auf einen Sensor übertragen werden:

  1. Maintenance wählen und Enter drücken.

  2. Feed wählen und Enter drücken.

  3. Sensors wählen und Enter drücken.

  4. Gewünschten Sensor wählen und Enter drücken (siehe Abb. 7.71).

    → Eine Meldung informiert darüber, dass das Feed-Update im Hintergrund gestartet wurde.

    Tipp

    Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

    _images/gos_menu_updatesensor.png

    Abb. 7.71 Wählen des Sensors

7.3.8 Die Flash-Partition upgraden

Die Flash-Partition wird genutzt, um die Appliance auf Werkseinstellungen zurückzusetzen. Um das Zurücksetzen zu erleichtern, sollte die Partition auf die neueste GOS-Version aktualisiert werden.

Bemerkung

Es muss sichergestellt werden, dass die Appliance selbst eine Verbindung zum Greenbone Feed Server herstellen kann.

Es ist nicht möglich, die Flash-Partitionen von Sensoren über den Master zu aktualisieren.

Die Flash-Partition kann wie folgt aktualisiert werden:

  1. Appliance auf die letzte GOS-Version upgraden (siehe Kapitel 7.3.4).

  2. Maintenance wählen und Enter drücken.

  3. Flash wählen und Enter drücken.

  4. Download wählen und Enter drücken (siehe Abb. 7.72).

    → Das neueste Flash-Image wird heruntergeladen.

    Tipp

    Der Download-Status kann in den Live-Logs (Advanced > Logs > Live, siehe Kapitel 7.4.1) überwacht werden.

  5. Wenn das Herunterladen beendet ist, Write wählen und Enter drücken (siehe Abb. 7.72) .

    → Das Image wird auf die Flash-Partition geschrieben. Der Vorgang kann bis zu 20 Minuten dauern.

    Tipp

    Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

    _images/gos_menu_flash.png

    Abb. 7.72 Aktualisieren der Flash-Partition

7.3.9 Die Appliance herunterfahren und neu starten

Wichtig

Die Appliance sollte nicht mithilfe des Netzschalters ausgeschaltet werden.

Stattdessen sollte die Appliance mithilfe des GOS-Administrationsmenüs heruntergefahren und neu gestartet werden. Dies stellt sicher, dass nötige Wartungsvorgänge während des Herunterfahrens oder des Neustarts durchgeführt werden.

7.3.9.1 Die Appliance neu starten

Die Appliance kann wie folgt neu gestartet werden:

  1. Maintenance wählen und Enter drücken.

  2. Power wählen und Enter drücken.

  3. Reboot wählen und Enter drücken.

    → Eine Meldung fordert den Benutzer auf, den Neustart zu bestätigen (siehe Abb. 7.73).

  4. Yes wählen und Enter drücken.

    → Die Appliance startet neu. Der Vorgang kann einige Minuten dauern.

    _images/gos_menu_reboot.png

    Abb. 7.73 Neustarten der Appliance

7.3.9.2 Die Appliance herunterfahren

Die Appliance kann wie folgt heruntergefahren werden:

  1. Maintenance wählen und Enter drücken.

  2. Power wählen und Enter drücken.

  3. Shutdown wählen und Enter drücken.

    → Eine Meldung fordert den Benutzer auf, das Herunterfahren zu bestätigen (siehe Abb. 7.74).

    _images/gos_menu_shutdown.png

    Abb. 7.74 Herunterfahren der Appliance

  4. Yes wählen und Enter drücken.

    → Die Appliance fährt herunter. Der Vorgang kann einige Minuten dauern.

7.4 Advanced-Menü

7.4.1 Die Log-Dateien der Appliance anzeigen

Die Log-Dateien der Appliance können wie folgt angezeigt werden:

  1. Advanced wählen und Enter drücken.

  2. Logs wählen und Enter drücken.

  3. Gewünschte Logs wählen und Enter drücken (siehe Abb. 7.75).

    → Die Log-Dateien werden in einem Viewer angezeigt.

  4. q oder Strg + C drücken, um den Viewer zu verlassen.

    _images/gos_menu_logs.png

    Abb. 7.75 Wählen der Log-Dateien

7.4.2 Fortgeschrittene, administrative Tätigkeiten durchführen

7.4.2.1 Den Superuser-Account verwalten

Wenn auf die Shell zugegriffen wird, wird dem unprivilegierten Benutzer admin eine Linux-Befehlszeile angezeigt (siehe Kapitel 7.4.2.3). Jeder Linux-Befehl kann ausgeführt werden.

Bemerkung

Der privilegierte Account root (Superuser) sollte nur in Abstimmung mit dem Greenbone Enterprise Support genutzt werden.

Falls Veränderungen ohne Abstimmung durchgeführt werden, erlischt der Anspruch auf Hilfeleistungen durch den Greenbone Enterprise Support.

Um Root-Rechte auf der Appliance zu erhalten, muss der Befehl su - in der Shell eingegeben werden. Die Nutzung von su -, um von admin zu root zu wechseln, ist standardmäßig deaktiviert.

Der Superuser muss wie folgt aktiviert und mit einem Passwort ausgestattet werden:

  1. Advanced wählen und Enter drücken.

  2. Support wählen und Enter drücken.

  3. Superuser wählen und Enter drücken.

  4. Superuser State wählen und Enter drücken (siehe Abb. 7.76).

    _images/gos_menu_superuser.png

    Abb. 7.76 Aktivieren des Superusers

    → Eine Meldung informiert darüber, dass Root-Rechte nur in Ausnahmefällen und in Abstimmung mit dem Greenbone Enterprise Support erlangt werden sollten.

  5. Yes wählen und Enter drücken.

    → Eine Nachricht informiert darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  6. Enter drücken, um die Nachricht zu schließen.

  7. Password wählen und Enter drücken.

  8. Passwort zweimal eingeben, OK wählen und Enter drücken (siehe Abb. 7.77).

    _images/gos_menu_superuser2.png

    Abb. 7.77 Festlegen des Passworts des Superusers

7.4.2.2 Ein Supportpaket generieren und herunterladen

Manchmal benötigt der Greenbone Enterprise Support zusätzliche Informationen, um Fehler zu beheben und die Kundschaft zu unterstützen. Die erforderlichen Daten werden als (verschlüsseltes) Supportpaket gesammelt, das alle Konfigurationsdaten der Appliance enthält.

Das Paket kann mit dem öffentlichen GPG-Schlüssel des Greenbone Enterprise Supports verschlüsselt werden. Das Supportpaket wird auf der Appliance gespeichert.

Ein Supportpaket kann wie folgt erstellt werden:

  1. Advanced wählen und Enter drücken.

  2. Support wählen und Enter drücken.

  3. Support Package wählen und Enter drücken.

    → Eine Meldung fordert den Benutzer auf, die Generierung des Supportpakets zu bestätigen.

  4. Yes wählen und Enter drücken.

    → Eine Meldung fragt, ob das Supportpaket verschlüsselt werden soll (siehe Abb. 7.78).

    _images/gos_menu_packageencrypt.png

    Abb. 7.78 Herunterladen eines Supportpakets

  5. Yes wählen und Enter drücken, um das Supportpaket zu verschlüsseln.

    oder

  1. No wählen und Enter drücken, um das Supportpaket nicht zu verschlüsseln.
  1. Falls ein verschlüsseltes Supportpaket gewählt wurde, Webbrowser öffnen, angezeigte URL eingeben und GPG-Schlüssel herunterladen (verschlüsselter ZIP-Ordner).

    oder

    Bemerkung

    Falls das Supportpaket nicht verschlüsselt ist, muss das Herunterladen mit dem Secure Copy Protocol (SCP) durchgeführt werden. Dazu muss erst SSH aktiviert werden (siehe Kapitel 7.2.4.4).

  1. Falls ein unverschlüsseltes Supportpaket gewählt wurde, angezeigten Befehl mithilfe von SCP eingeben (siehe Abb. 7.79) und Supportpaket (ZIP-Ordner) herunterladen.

    Bemerkung

    Der „.“ am Ende kann durch einen Pfad ersetzt werden. Falls der „.“ beibehalten wird, wird der aktuelle Ordner genutzt.

    _images/gos_menu_packageunencrypt.png

    Abb. 7.79 Herunterladen eines unverschlüsselten Supportpakets

  2. ZIP-Ordner an den Greenbone Enterprise Support senden.

Auf Microsoft-Windows-Systemen kann das Supportpaket entweder mithilfe von pscp, einem in PuTTY enthaltenen Befehlszeilentool, oder mithilfe des grafischen Tools smarTTY, das SCP implementiert, heruntergeladen werden.

7.4.2.3 Auf die Shell zugreifen

Ein Zugriff auf die Shell wird nicht für administrative Tätigkeiten benötigt, kann aber vom Greenbone Enterprise Support für Diagnosen und Unterstützung angefordert werden.

Auf die Shell kann wie folgt zugegriffen werden:

  1. Advanced wählen und Enter drücken.

  2. Support wählen und Enter drücken.

  3. Shell wählen und Enter drücken.

    → Eine Warnung informiert darüber, dass die Shellebene nicht dokumentiert wird und nicht für administrative Einstellungen genutzt werden sollte (siehe Abb. 7.80).

    _images/gos_menu_shellwarning.png

    Abb. 7.80 Warnung beim Zugriff auf die Shell

  4. Continue wählen und Enter drücken.

    → Eine Linux-Shell wird unter Nutzung des unprivilegierten Benutzers admin geöffnet (siehe Abb. 7.81).

    _images/gos_menu_shell2.png

    Abb. 7.81 Zugriff auf die lokale Shell

    Bemerkung

    Für den Zugriff als root ist das Aktivieren des Superusers und das Festlegen eines Passworts nötig (siehe Kapitel 7.4.2.1). Anschließend ist mit dem Befehl su - der Wechsel zu root möglich.

  5. exit eingeben oder Strg + D drücken, um die Shell zu verlassen.

7.4.3 Den Greenbone-Enterprise-Feed-Subskription-Schlüssel anzeigen

Der Subskription-Schlüssel (siehe Kapitel 7.2.7.1) kann wie folgt angezeigt werden:

  1. Advanced wählen und Enter drücken.

  2. Subscription wählen und Enter drücken (siehe Abb. 7.82).

    → Der Subskription-Schlüssel wird in einem Viewer angezeigt.

  3. q drücken, um den Viewer zu verlassen.

7.5 Informationen über die Appliance anzeigen

Informationen über die Appliance können durch Wählen von About und Drücken von Enter angezeigt werden.

Die folgenden Informationen werden angezeigt:

  • Appliance-Modell
  • GOS-Version
  • Feedversion
  • Name des Subskription-Schlüssels
  • IP-Adresse der Web-Oberfläche
  • Konfigurierte Sensoren
  • Aktuell laufende Systemoperationen
_images/gos_menu_about.png

Abb. 7.83 Informationen über die Appliance anzeigen