10 Ein System scannen

Bemerkung

Dieses Kapitel dokumentiert alle möglichen Menüoptionen.

Allerdings unterstützen nicht alle GSM-Modelle alle Menüoptionen. Um festzustellen, ob ein bestimmtes Feature für das genutzte GSM-Modell verfügbar ist, können die Tabellen in Kapitel 3 genutzt werden.

10.1 Den Aufgaben-Wizard für einen ersten Scan nutzen

Der Aufgaben-Wizard kann einen Basisscan mit minimalem Input vom Benutzer konfigurieren und starten.

10.1.1 Den Aufgaben-Wizard nutzen

Eine neue Aufgabe kann wie folgt mit dem Aufgaben-Wizard konfiguriert werden:

  1. Scans > Aufgaben in der Menüleiste wählen.

  2. Wizard durch Bewegen der Maus über wizard und Klicken auf Aufgaben-Wizard starten.

  3. IP-Adresse oder Hostnamen des Zielsystems in das Eingabefeld eingeben (siehe Abb. 10.1).

    _images/task_wizard-de.png

    Abb. 10.1 Den Aufgaben-Wizard konfigurieren

    Bemerkung

    Beim Nutzen eines DNS-Namens muss der GSM in der Lage sein, diesen Namen aufzuschlüsseln.

  4. Auf Scan starten klicken.

    → Der Aufgaben-Wizard führt die folgenden Schritte automatisch aus:

    1. Erstellen eines neuen Scanziels auf dem GSM.
    2. Erstellen einer neuen Scanaufgabe auf dem GSM.
    3. Unmittelbares Starten der Scanaufgabe.
    4. Darstellen der Seite Aufgaben.

Nachdem die Aufgabe gestartet wurde, kann der Fortschritt überwacht werden (siehe Abb. 10.2).

_images/task_wizard_run-de.png

Abb. 10.2 Seite Aufgaben mit Fortschritt der Aufgabe

Für den Status einer Aufgabe siehe Kapitel 10.8.

Tipp

Sobald eine Aufgabe gestartet wurde, kann der Bericht der Aufgabe durch Klicken auf den Balken in der Spalte Status dargestellt werden. Für das Lesen, Verwalten und Herunterladen von Berichten siehe Kapitel 11.

Sobald sich der Status zu Abgeschlossen ändert, ist der gesamte Bericht verfügbar. Zu jeder Zeit können Zwischenergebnisse angesehen werden (siehe Kapitel 11.2.1).

Bemerkung

Die Fertigstellung des Scans kann einige Zeit in Anspruch nehmen. Die Seite aktualisiert automatisch, falls neue Daten verfügbar sind.

10.1.2 Den erweiterten Aufgaben-Wizard nutzen

Neben dem einfachen Aufgaben-Wizard stellt der GSM auch einen erweiterten Aufgaben-Wizard mit mehr Konfigurationsmöglichkeiten bereit.

Eine neue Aufgabe kann wie folgt mit dem erweiterten Aufgaben-Wizard konfiguriert werden:

  1. Scans > Aufgaben in der Menüleiste wählen.

  2. Wizard durch Bewegen der Maus über wizard und Klicken auf Erweiterter Aufgaben-Wizard starten.

  3. Aufgabe festlegen (siehe Abb. 10.3).

    Tipp

    Für die Informationen, die in die Eingabefelder eingegeben werden müssen, siehe Kapitel 10.2.1 und 10.2.2.

    Falls eine E-Mail-Adresse in das Eingabefeld E-Mail-Bericht an eingegeben wird, wird eine Benachrichtigung erstellt, die eine E-Mail versendet, sobald die Aufgabe abgeschlossen ist (siehe Kapitel 10.12).

    _images/adv_task_wizard-de.png

    Abb. 10.3 Konfigurieren des erweiterten Aufgaben-Wizards

  4. Auf Erstellen klicken.

    → Der erweiterte Aufgaben-Wizard führt die folgenden Schritte automatisch aus:

    1. Unmittelbares Starten der Scanaufgabe.
    2. Darstellen der Seite Aufgaben.

Für den Status einer Aufgabe siehe Kapitel 10.8.

Tipp

Sobald eine Aufgabe gestartet wurde, kann der Bericht der Aufgabe durch Klicken auf den Balken in der Spalte Status dargestellt werden. Für das Lesen, Verwalten und Herunterladen von Berichten siehe Kapitel 11.

Sobald sich der Status zu Abgeschlossen ändert, ist der gesamte Bericht verfügbar. Zu jeder Zeit können Zwischenergebnisse angesehen werden (siehe Kapitel 11.2.1).

Bemerkung

Die Fertigstellung des Scans kann einige Zeit in Anspruch nehmen. Die Seite aktualisiert automatisch, falls neue Daten verfügbar sind.

10.1.3 Den Wizard zum Verändern einer Aufgabe nutzen

Ein weiterer Wizard kann eine vorhandene Aufgabe verändern:

  1. Scans > Aufgaben in der Menüleiste wählen.

  2. Wizard durch Bewegen der Maus über wizard und Klicken auf Aufgabe-Bearbeiten-Wizard starten.

  3. Aufgabe, die verändert werden soll, in der Drop-down-Liste Aufgabe wählen (siehe Abb. 10.4).

    _images/modify_task_wizard-de.png

    Abb. 10.4 Verändern einer Aufgabe mithilfe des Wizards

  4. Zeitplan für die Aufgabe durch Wählen des Radiobuttons Zeitplan erstellen erstellen (siehe Kapitel 10.10).

    Das Datum des ersten Scans kann duch Klicken auf calendar gewählt und die Zeit kann mithilfe der Eingabefelder festgelegt werden.

  5. E-Mail-Adresse, an die ein Bericht gesendet werden soll, in das Eingabefeld E-Mail-Bericht an eingeben.

  6. Auf Aufgabe bearbeiten klicken.

10.2 Einen einfachen Scan manuell konfigurieren

Im Allgemeinen kann der GSM zwei unterschiedliche Vorgehensweisen nutzen, um ein Ziel zu scannen:

  • Einfacher Scan
  • Authentifizierter Scan mithilfe lokaler Sicherheitskontrollen

gb_video

Die Schritte zum manuellen Konfigurieren eines einfachen Scans, die in den folgenden Kapiteln beschrieben werden, werden kurz in einem Video basierend auf GOS 5.0 erklärt.


Die folgenden Schritte müssen ausgeführt werden, um einen einfachen Scan zu konfigurieren:

  • Erstellen eines Ziels (siehe Kapitel 10.2.1)
  • Erstellen einer Aufgabe (siehe Kapitel 10.2.2)
  • Ausführen der Aufgabe (siehe Kapitel 10.2.3)

10.2.1 Ein Ziel erstellen

Der erste Schritt ist es, ein Scanziel wie folgt zu erstellen:

  1. Konfiguration > Ziele in der Menüleiste wählen.

  2. Neues Ziel durch Klicken auf new erstellen.

  3. Ziel definieren (siehe Abb. 10.5).

    _images/target_new-de.png

    Abb. 10.5 Erstellen eines neuen Ziels

  4. Auf Speichern klicken.

Die folgenden Informationen können eingegeben werden:

Name
Der Name kann frei gewählt werden. Falls möglich, sollte ein aussagekräftiger Name gewählt werden. Möglichkeiten sind Mailserver, ClientNetwork, Webserverfarm, DMZ oder eine nähere Beschreibung des Systems.
Kommentar
Der optionale Kommentar erlaubt es, Hintergrundinformationen festzulegen. Diese erleichtern später das Verständnis des konfigurierten Ziel.
Hosts

Manuelle Eingabe der Hosts, die gescannt werden sollen, getrennt durch Kommas oder Importieren einer Hostliste.

Bemerkung

Die IP-Adresse oder der Hostname wird benötigt. In beiden Fällen ist es nötig, dass sich der GSM mit dem System verbinden kann. Falls der Hostname verwendet wird, muss der GSM in der Lage sein, den Namen aufzuschlüsseln.

Die maximal konfigurierbare Anzahl von IP-Adressen beträgt bei den meisten GSM-Appliances 4096. Für den GSM 6500 beträgt die maximal konfigurierbare Anzahl von IP-Adressen 16777216.

Für die manuelle Eingabe sind die folgenden Optionen möglich:

  • Einzelne IP-Adresse, z. B. 192.168.15.5
  • Hostname, z. B. mail.example.com
  • IPv4-Adressbereich in langem Format, z. B. 192.168.15.5-192.168.15.27
  • IPv4-Adressbereich in kurzem Format, z. B. 192.168.55.5-27
  • IPv4-Adressbereich in CIDR-Schreibweise, z. B. 192.168.15.0/24 (maximale Subnetzmaske ist standardmäßig /20, wenn keine anderen IP-Adressen Teil der Konfiguration sind)
  • Einzelne IPv6-Adresse, z. B. fe80::222:64ff:fe76:4cea
  • IPv6-Adressbereich in langem Format, z. B. ::12:fe5:fb50-::12:fe6:100
  • IPv6-Adressbereich in kurzem Format, z. B. ::13:fe5:fb50-fb80
  • IPv6-Adressbereich in CIDR-Schreibweise, z. B. fe80::222:64ff:fe76:4cea/120 (maximale Subnetzmaske ist standardmäßig /116, wenn keine anderen IP-Adressen Teil der Konfiguration sind)

Standardmäßig ist die Subnetzmaske in der CIDR-Schreibweise auf ein Maximum von 20 für IPv4 und 116 für IPv6 beschränkt. Der Grund dafür ist, dass die maximale Anzahl von IP-Adressen pro Ziel bei den meisten Appliances 4096 beträgt. Ist die maximale Anzahl der IP-Adressen höher, z.B. bei der GSM 6500, können entsprechend größere Subnetzmasken konfiguriert werden.

Mehrere Optionen können gemischt werden. Falls eine Datei importiert wird, muss dieselbe Syntax genutzt werden. Einträge können durch Kommas oder durch Zeilenumbrüche getrennt werden. Falls mehrere Systeme gescannt werden müssen, ist es einfacher eine Datei mit den Hosts zu nutzen, statt alle Hosts manuell einzugeben. Die Datei sollte mit UTF-8 codiert sein.

Alternativ kann das System aus der Host-Assetdatenbank importiert werden.

Bemerkung

Das Importieren eines Hosts aus der Assetdatenbank ist nur möglich, falls das Ziel von der Seite Hosts aus erstellt wurde (siehe Kapitel 13.1.3).

Hosts ausschließen

Manuelle Eingabe der Hosts, die vom Scan ausgeschlossen werden sollen, getrennt durch Kommas oder Importieren einer Hostliste.

Es gelten die gleichen Vorgaben wie für Hosts.

Erlaube das gleichzeitige Scannen über verschiedene IPs

Einige Geräte, insbesondere IoT-Geräte, können abstürzen, wenn sie über mehrere Verbindungen, die vom selben Host kommen, gleichzeitig gescannt werden. Dies kann z. B. passieren, wenn das Gerät über IPv4 und IPv6 verbunden ist.

Durch Wählen des Radiobuttons Nein wird das gleichzeitige Scannen über mehrere Adressen verhindert.

Portliste

Portliste, die für den Scan genutzt wird (siehe Kapitel 10.7).

Bemerkung

Eine Portliste kann durch Klicken auf new neben der Drop-down-Liste erstellt werden.

Erreichbarkeitstest

Diese Option legt die Methode fest, mit der geprüft wird, ob ein Ziel erreichbar ist. Die Möglichkeiten sind:

  • Scan Config Default (die Erreichbarkeitstestmethode ICMP Ping wird standardmäßig verwendet)
  • ICMP Ping
  • TCP-ACK Service Ping
  • TCP-SYN Service Ping
  • ICMP & TCP-ACK Service Ping
  • ICMP & ARP Ping
  • TCP-ACK Service & ARP Ping
  • ICMP, TCP-ACK Service & ARP Ping
  • Consider Alive

Manchmal gibt es Probleme mit diesem Test. In einigen Umgebungen antworten Router- und Firewallsysteme auf einen TCP-Serviceping mit einem TCP-RST, obwohl der Host in Wirklichkeit nicht erreichbar ist (siehe Kapitel 10.13).

Es gibt Netzwerkkomponenten, die Proxy-ARP unterstützen und auf einen ARP-Ping antworten. Deshalb benötigt dieser Test oft lokale Anpassungen an die Umgebung.

SSH-Anmeldedaten

Auswahl eines Benutzers, der sich in das Zielsystem einloggen kann, falls dieses ein Linux- oder Unix-System ist. Dies ermöglicht einen authentifizierten Scan mit lokalen Sicherheitskontrollen (siehe Kapitel 10.3.2 und 10.3).

  • Berechtigungen erweitern

    Es ist auch möglich, Anmeldedaten für erweiterte Berechtigungen zu speichern, z. B. root. Dazu müssen zunächst SSH-Anmeldedaten ausgewählt werden. Dann wird eine neue Drop-down-Liste zur Auswahl der erweiterten Anmeldedaten angezeigt.

    Bemerkung

    Um die neue Funktion für erweiterte SSH-Anmeldedaten zu sehen, muss der Cache des Browsers, der für die Web-Oberfläche genutzt wird, möglicherweise geleert werden. Das Leeren des Browsercaches kann in den Einstellungen des genutzten Browsers vorgenommen werden.

    Alternativ kann der Seitencache geleert werden, indem Strg und F5 gedrückt wird.

    Bemerkung

    Das Feature ist noch experimentell. Je nach Zielsystem und dessen Konfiguration ist das Feature möglicherweise nicht zuverlässig.

    Greenbone Networks arbeitet weiterhin an der Verbesserung des Features.

    Mehr Informationen über Root-Rechte für Scans befinden sich in Kapitel 10.3.5.

    Die erweiterten Berechtigungen des Nutzenden müssen vorher auf dem Zielsystem konfiguriert werden. Der GSM führt nur den Befehl su - <Benutzername> aus, der keine Kontrolle über die Nutzungsrechte hat.

    Wenn erweiterte SSH-Anmeldedaten konfiguriert sind, werden die Standard-SSH-Anmeldedaten nur für die Anmeldung auf dem Zielsystem verwendet. Die erweiterten Anmeldedaten werden für den Scan verwendet.

    Wenn erweiterte SSH-Anmeldedaten konfiguriert sind, werden diese immer verwendet, auch wenn die Scan-Konfiguration keine relevanten Schwachstellentests enthält.

    Standard- und erweiterte SSH-Anmeldedaten dürfen nicht identisch sein.

    Bemerkung

    Die Verwendung von erweiterten SSH-Anmeldedaten kann zu einer erhöhten Last auf dem GSM sowie zu einer erhöhten Anzahl von SSH-Verbindungen vom GSM zum Zielsystem führen. Dies muss ggf. bei Firewalls, Intrusion-Detection- und Logging-Systemen berücksichtigt werden.

    Darüber hinaus kann die Dauer von Scans mit erweiterten SSH-Anmeldedaten aufgrund der oben erwähnten Systemlast wesentlich länger sein als bei Scans ohne erweiterte Anmeldedaten.

SMB-Anmeldedaten
Auswahl eines Benutzers, der sich in das Zielsystem einloggen kann, falls dieses ein Microsoft-Windows-System ist. Dies ermöglicht einen authentifizierten Scan mit lokalen Sicherheitskontrollen (siehe Kapitel 10.3.2 und 10.3).
ESXi-Anmeldedaten
Auswahl eines Benutzers, der sich in das Zielsystem einloggen kann, falls dieses ein VMware-ESXi-System ist. Dies ermöglicht einen authentifizierten Scan mit lokalen Sicherheitskontrollen (siehe Kapitel 10.3.2 und 10.3).
SNMP-Anmeldedaten

Auswahl eines Benutzers, der sich in das Zielsystem einloggen kann, falls dieses ein SNMP-Aware-System ist. Dies ermöglicht einen authentifizierten Scan mit lokalen Sicherheitskontrollen (siehe Kapitel 10.3.2 und 10.3).

Bemerkung

Alle Anmeldedaten können durch Klicken auf new neben den Anmeldedaten erstellt werden.

Nur Invers-Lookup
Nur IP-Adressen scannen, die sich in einen DNS-Namen auflösen können.
Invers-Lookup-Vereinheitlichung

Falls sich mehrere IP-Adressen zum gleichen DNS-Namen auflösen, wird der DNS-Name nur einmal gescannt.

Bemerkung

Für die Invers-Lookup-Vereinheitlichung werden alle Zieladressen vor dem Scan geprüft, um die Anzahl tatsächlich gescannter Adressen zu reduzieren. Für große Ziele und für Netzwerke, in denen Invers-Lookups Verzögerungen verursachen, führt dies zu einer langen Phase, in der die Aufgabe bei 1 % Fortschritt steht.

Diese Option wird nicht für große Netzwerke oder Netzwerke, in denen Invers-Lookups Verzögerungen verursachen, empfohlen.

10.2.2 Eine Aufgabe erstellen

Der zweite Schritt ist das Erstellen einer Aufgabe.

Der GSM steuert die Ausführung von Scans mithilfe von Aufgaben. Diese Aufgaben können regelmäßig wiederholt oder zu bestimmten Zeiten ausgeführt werden (siehe Kapitel 10.10).

Eine Aufgabe kann wie folgt erstellt werden:

  1. Scans > Aufgaben in der Menüleiste wählen.

  2. Neue Aufgabe durch Bewegen der Maus über new und Klicken auf Neue Aufgabe erstellen.

  3. Aufgabe definieren (siehe Abb. 10.6).

    _images/task_new-de.png

    Abb. 10.6 Erstellen einer neuen Aufgabe

  4. Auf Speichern klicken.

    → Die Aufgabe wird erstellt und auf der Seite Aufgaben angezeigt.

Die folgenden Informationen können eingegeben werden:

Name
Der Name kann frei gewählt werden. Falls möglich, sollte ein aussagekräftiger Name gewählt werden. Möglichkeiten sind Mailserver, ClientNetwork, Webserverfarm, DMZ oder eine nähere Beschreibung des Systems.
Kommentar
Der optionale Kommentar erlaubt es, Hintergrundinformationen festzuhalten. Diese erleichtern später das Verständnis der konfigurierten Aufgabe.
Scan-Ziele

Zuvor konfiguriertes Ziel aus der Drop-down-Liste wählen (siehe Kapitel 10.2.1).

Alternativ kann das Ziel durch Klicken auf new neben der Drop-down-Liste erstellt werden.

Benachrichtigungen

Zuvor konfigurierte Benachrichtigung aus der Drop-down-Liste wählen (siehe Kapitel 10.12). Statusänderungen der Aufgabe können über E-Mail, System-Logger, HTTP oder einen Konnektor mitgeteilt werden.

Alternativ kann die Benachrichtigung durch Klicken auf new neben der Drop-down-Liste erstellt werden.

Zeitplan

Zuvor konfigurierten Zeitplan aus der Drop-down-Liste wählen (siehe Kapitel 10.10). Die Aufgabe kann einmalig oder wiederholt zu einer festgelegten Zeit, z. B. jeden Montagmorgen um 6:00, ausgeführt werden.

Alternativ kann ein Zeitplan durch Klicken auf new neben der Drop-down-Liste erstellt werden.

Ergebnisse zu Assets hinzufügen
Das Auswählen dieser Option macht die Systeme automatisch für die Assetverwaltung des GSMs verfügbar (siehe Kapitel 13). Diese Auswahl kann später geändert werden.
Übersteuerungen anwenden
Übersteuerungen können direkt angewendet werden, wenn die Ergebnisse zur Assetdatenbank hinzugefügt werden (siehe Kapitel 11.8).
Min QdE
Hier kann die minimale Qualität der Erkennung für das Hinzufügen der Ergebnisse zur Assetdatenbank festgelegt werden (siehe Kapitel 11.2.6).
Änderbare Aufgabe
Verändern der Aufgabe erlauben, auch wenn bereits Berichte erstellt wurden. Die Übereinstimmung zwischen den Berichten kann nicht garantiert werden, falls Aufgaben verändert werden.
Berichte automatisch löschen
Diese Option löscht alte Berichte automatisch. Die maximale Anzahl an gespeicherten Berichten kann konfiguriert werden. Falls das Maximum überschritten wird, wird der älteste Bericht automatisch gelöscht. Die Werkseinstellung ist Berichte nicht automatisch löschen.
Scanner
Standardmäßig werden nur die integrierten OpenVAS- und CVE-Scanner unterstützt (siehe Kapitel 10.11). Sensoren können als zusätzliche Scanmaschinen genutzt werden, müssen jedoch erst konfiguriert werden (siehe Kapitel 16).

Bemerkung

Die folgenden Optionen sind nur für den OpenVAS-Scanner relevant. Der CVE-Scanner unterstützt keine dieser Optionen.

Scan-Konfiguration
Der GSM besitzt sieben vorkonfigurierte Richtlinien für den OpenVAS-Scanner (siehe Kapitel 10.9).
Netzwerk-Quell-Interface

Hier kann der Name eines Quell-Interfaces eingegeben werden, um den Scan mit dem Interface zu verknüpfen. Nur Nutzer, die Zugriff auf dieses Interface haben, sind berechtigt, den Scan zu nutzen und auszuführen.

Bemerkung

Die eingegebene Schnittstelle muss eine konfigurierte Schnittstelle auf dem GSM sein, sonst schlägt die Aufgabe fehl.

Diese Einstellung hat keinen Einfluss auf das tatsächliche Routing des Scans. Das Routing kann nur durch Konfigurieren der Netzwerkeinstellungen beeinflusst werden (siehe Kapitel 7.2.2).

Reihenfolge der Ziel-Hosts

Wählen, in welcher Reihenfolge die angegebenen Zielhosts bei Schwachstellentests verarbeitet werden. Verfügbare Optionen sind:

  • Sequenziell
  • Zufällig
  • Rückwärts

Um die Abschätzung des Scanfortschritts zu verbessern, wird die Einstellung Zufällig empfohlen (siehe Kapitel 17.2.3).

Diese Einstellung hat keinen Einfluss auf den Erreichbarkeitstest, bei dem aktive Hosts in einem Zielnetzwerk identifiziert werden. Der Erreichbarkeitstest ist immer zufällig.

Maximal gleichzeitig ausgeführte NVTs pro Host/Maximal gleichzeitig gescannte Hosts
Auswahl der Geschwindigkeit des Scans auf einem Host. Die Standardwerte sind bewusst gewählt. Falls mehrere VTs gleichzeitig auf einem System laufen oder mehrere Systeme zur gleichen Zeit gescannt werden, könnte der Scan negative Auswirkungen auf die Leistung der gescannten Systeme, des Netzwerks oder des GSMs selbst haben. Die Werte „maxhosts“ und „maxchecks“ können optimiert werden.
Tag
Zuvor konfigurierten Tag aus der Drop-down-Liste wählen (siehe Kapitel 8.5), um ihn mit der Aufgabe zu verbinden.

10.2.3 Die Aufgabe starten

In der Zeile der neu erstellen Aufgabe auf start klicken.

Bemerkung

Für Aufgaben mit Zeitplan wird schedule angezeigt. Die Aufgabe startet zu der Zeit, die im Zeitplan festgelegt wurde (siehe Kapitel 10.10).

→ Der Scan wird ausgeführt. Für den Status einer Aufgabe siehe Kapitel 10.8.

Bemerkung

Scans werden nur gestartet, wenn genug Systemressourcen verfügbar sind. Die wichtigste Ressource ist Random-Access Memory (RAM). Falls zu viele Scans zur gleichen Zeit gestartet und ausgeführt werden und nicht genug RAM verfügbar ist, werden Scans beim Klicken auf start zu einer Warteschlange hinzugefügt.

Wenn der benötigte RAM wieder verfügbar ist, werden Scans von der Warteschlange gemäß dem Prinzip „first in, first out“ gestartet.

Mehr Informationen befinden sich in Kapitel 17.3.

Sobald eine Aufgabe gestartet wurde, kann der Bericht der Aufgabe durch Klicken auf den Balken in der Spalte Status dargestellt werden. Für das Lesen, Verwalten und Herunterladen von Berichten siehe Kapitel 11.

Sobald sich der Status zu Abgeschlossen ändert, ist der gesamte Bericht verfügbar. Zu jeder Zeit können Zwischenergebnisse angesehen werden (siehe Kapitel 11.2.1).

Bemerkung

Die Fertigstellung des Scans kann einige Zeit in Anspruch nehmen. Die Seite aktualisiert automatisch, falls neue Daten verfügbar sind.

10.3 Einen authentifizierten Scan mit lokalen Sicherheitskontrollen konfigurieren

Ein authentifizierter Scan kann mehr Details über Schwachstellen auf dem gescannten System bereitstellen. Während eines authentifizierten Scans wird das Ziel sowohl von außen über das Netzwerk als auch von innen mithilfe eines gültigen Benutzerlogins gescannt.

Während eines authentifizierten Scans loggt sich der GSM in das Zielsystem ein, um lokale Sicherheitskontrollen durchzuführen. Der Scan benötigt die vorherige Erstellung von Anmeldedaten. Diese Anmeldedaten werden für die Authentifizierung auf unterschiedlichen Diensten auf dem Zielsystem genutzt. Unter manchen Umständen können die Ergebnisse durch die Berechtigungen des Benutzers eingeschränkt werden.

Die VTs in der entsprechenden VT-Familie (lokale Sicherheitskontrollen) werden nur ausgeführt, falls sich der GSM in das Zielsystem einloggen konnte. Die VTs der lokalen Sicherheitskontrollen im resultierenden Scan sind minimalinvasiv.

Der GSM bestimmt nur die Risikostufe, aber nimmt keine Änderungen am Zielsystem vor. Trotzdem wird der Login des GSM wahrscheinlich in den Protokollen des Zielsystems vermerkt.

Der GSM kann unterschiedliche Anmeldedaten, basierend auf den Eigenschaften des Ziels, nutzen. Die wichtigsten sind:

  • SMB
    Auf Microsoft-Windows-Systemen kann der GSM das Patchlevel und lokal installierte Software wie Adobe Acrobat Reader oder die Java-Suite prüfen.
  • SSH
    Dieser Zugang wird für das Prüfen des Patchlevels von Unix- und Linuxsystemen genutzt.
  • ESXi
    Dieser Zugang wird für das lokale Prüfen von VMware-ESXi-Servern genutzt.
  • SNMP
    Netzwerkkomponenten wie Router und Switches können mithilfe von SNMP geprüft werden.

10.3.1 Vorteile und Nachteile authentifizierter Scans

Der Umfang und Erfolg der Prüfroutinen für authentifizierte Scans hängen stark von den Berechtigungen des genutzten Benutzeraccounts ab.

Auf Linux-Systemen ist ein unprivilegierter Benutzer ausreichend und kann auf die meisten relevanten Informationen zugreifen, während ein unprivilegierter Benutzer auf Microsoft-Windows-Systemen sehr eingeschränkt ist und ein administrativer Benutzer mehr Ergebnisse liefert. Ein unprivilegierter Benutzer hat keinen Zugriff auf die Microsoft-Windows-Registrierungsdatenbank („Registry“) und den Microsoft-Windows-Systemorder \windows, welcher Informationen zu Updates und Patchlevels enthält.

Lokale Sicherheitskontrollen sind die schonendste Methode, um nach Schwachstellendetails zu suchen. Während Remote-Sicherheitsheitskontrollen ebenfalls versuchen, möglichst nicht-invasiv zu sein, verursachen sie einige Auswirkungen.

Einfach gesagt ähnelt ein authentifizierter Scan einem Whitebox-Ansatz. Der GSM hat Zugriff auf frühere Informationen und kann von innen auf das Ziel zugreifen. Insbesondere sind die Registrierung, Softwareversionen und Patchlevels zugänglich.

Ein Remotescan ähnelt einem Blackbox-Ansatz. Der GSM nutzt die gleichen Techniken und Protokolle wie ein potentieller Angreifer, um von außen auf das Ziel zuzugreifen. Die einzigen verfügbaren Informationen werden vom GSM selbst gesammelt. Während einer Prüfung kann der GSM Fehlfunktionen auslösen, um Informationen über die genutzte Software zu erhalten, z. B. kann der Scanner eine fehlerhafte Anfrage an einen Dienst senden, um eine Antwort auszulösen, die weitere Informationen über das eingesetzte Produkt enthält.

Während eines Remotescans mit der Scan-Konfiguration Full and fast sind alle Remoteprüfungen sicher. Die genutzten VTs haben möglicherweise einige invasive Komponenten, aber keiner der genutzten VTs versucht, einen Defekt oder eine Fehlfunktion auf dem Ziel auszulösen (siehe Beispiel unten). Dies wird durch die Scanner-Vorgabe safe_checks=yes in der Scan-Konfiguration sichergestellt (siehe Kapitel 10.9.4). Alle VTs mit sehr invasiven Komponenten oder solche, die einen Denial of Service (DoS) auslösen, werden automatisch von der Prüfung ausgeschlossen.

Beispiel für einen invasiven VT

Ein Beispiel für einen invasiven, aber sicheren VT ist der Heartbleed-VT. Er wird sogar ausgeführt, wenn safe_checks aktiviert ist, da der VT keine negativen Auswirkungen auf das Ziel hat.

Der VT ist trotzdem invasiv, da er die Speicherlecks des Ziels prüft. Falls das Ziel angreifbar ist, wird tatsächlicher Speicher des Ziels geleaked. Der GSM bewertet die geleakten Informationen nicht. Die Informationen werden umgehend gelöscht.

10.3.2 Anmeldedaten nutzen

Anmeldedaten für lokale Sicherheitsprüfungen werden benötigt, um VTs das Einloggen in ein Zielsystem zu ermöglichen, z. B. um das Vorhandensein aller Sicherheitspatches des Herstellers lokal zu prüfen.

10.3.2.1 Anmeldedaten erstellen

Neue Anmeldedaten können wie folgt erstellt werden:

  1. Konfiguration > Anmeldedaten in der Menüleiste wählen.

  2. Neue Anmeldedaten durch Klicken auf new erstellen.

  3. Anmeldedaten definieren (siehe Abb. 10.7).

    _images/credential_new-de.png

    Abb. 10.7 Erstellen neuer Anmeldedaten

  4. Auf Speichern klicken.

Die folgenden Details der Anmeldedaten können festgelegt werden:

Name

Festlegung des Namens. Der Name kann frei gewählt werden.

Bemerkung

Für den Namen sind nur die folgenden Zeichen zulässig:

  • Alle englischen alphanumerischen Zeichen
  • - (Bindestrich)
  • _ (Unterstrich)
  • \ (Backslash)
  • . (Punkt)
  • @ (At-Zeichen)

Dies schließt auch die deutschen Umlaute aus, die wie folgt ersetzt werden müssen:

  • „ß“ → „ss“
  • „ä“ → „a“
  • „ö“ → „o“
  • „ü“ → „u“
Kommentar
Ein optionaler Kommentar kann zusätzliche Informationen enthalten.
Typ

Festlegung des Typs der Anmeldedaten. Die folgenden Typen sind möglich:

  • Benutzername + Passwort
  • Benutzername + SSH-Schlüssel
  • Benutzerzertifikat
  • SNMP
  • S/MIME-Zertifikat
  • PGP-Verschlüsselungsschlüssel
  • Nur Passwort
Unsichere Verwendung zulassen
Wahl, ob der GSM die Anmeldedaten für unverschlüsselte oder andersweitig unsichere Authentifizierungsmethoden nutzen kann.

Abhängig vom gewählten Typen werden weitere Optionen angezeigt:

Benutzername + Passwort
  • Auto-generieren

    Wahl, ob der GSM ein zufällig Passwort erstellt.

    Bemerkung

    Falls der Radiobutton Ja gewählt wird, ist es nicht möglich, im Eingabefeld Passwort ein Passwort festzulegen.

  • Benutzername

    Festlegung des Loginnamens, der vom GSM genutzt wird, um sich auf dem gescannten Zielsystem zu authentifizieren.

  • Passwort

    Festlegung des Passworts, das vom GSM genutzt wird, um sich auf dem gescannten Zielsystem zu authentifizieren.

Benutzername + SSH-Schlüssel
  • Auto-generieren

    Wahl, ob der GSM ein zufällig Passwort erstellt.

    Bemerkung

    Falls der Radiobutton Ja gewählt wird, ist es nicht möglich, im Eingabefeld Passwort ein Passwort festzulegen.

  • Benutzername

    Festlegung des Loginnamens, der vom GSM genutzt wird, um sich auf dem gescannten Zielsystem zu authentifizieren.

  • Passphrase

    Festlegung der Passphrase des privaten SSH-Schlüssels.

  • Privater Schlüssel

    Hochladen des privaten SSH-Schlüssels.

Benutzerzertifikat
  • Passphrase
    Festlegung der Passphrase des privaten SSH-Schlüssels.
  • Zertifikat
    Hochladen der Zertifikatdatei.
  • Privater Schlüssel
    Hochladen des zugehörigen privaten Schlüssels.
SNMP

SNMPv3 erfordert einen Benutzernamen, ein Authentifizierungs-Passwort und ein Privacy-Passwort, während alle älteren SNMP-Versionen (SNMPv1 und SNMPv2) nur eine SNMP-Community benötigen.

Bemerkung

Aufgrund der Einzigartigkeit der SNMP-Anmeldedaten ist es derzeit nicht möglich, entweder den SNMPv1/v2- oder den SNMPv3-Modus zu konfigurieren.

Das bedeutet, dass der GSM immer versuchen wird, sich mit allen SNMP-Protokollversionen einzuloggen. Es ist möglich, sowohl das Ergebnis SNMP Login Successful For Authenticated Checks als auch das Ergebnis SNMP Login Failed For Authenticated Checks für einen Scan zu sehen, z. B. wenn die SNMPv3-Logininformationen in den Anmeldedaten korrekt sind, aber die SNMPv1/2-Informationen falsch sind.

  • SNMP-Community
    Festlegung der Community für SNMPv1 oder SNMPv2c.
  • Benutzername
    Festlegung des Benutzernamens für SNMPv3.
  • Passwort
    Festlegung des Passworts für SNMPv3.
  • Privacy-Passwort
    Festlegung des Passworts für die Verschlüsselung für SNMPv3.
  • Auth-Algorithmus
    Wahl des Authentifizierungsalgorithmus (MD5 oder SHA1)
  • Privacy-Algorithmus
    Wahl des Verschlüsselungsalgorithmus (AES, DES oder keiner).
S/MIME-Zertifikat
  • S/MIME-Zertifikat
    Hochladen der Zertifikatdatei.
PGP-Verschlüsselungsschlüssel
  • Öffentlicher PGP-Schlüssel
    Hochladen der Schlüsseldatei.
Nur Passwort
  • Passwort
    Festlegung des Passworts, das vom GSM genutzt wird, um sich auf dem gescannten Zielsystem zu authentifizieren.

Bemerkung

Die Anmeldedaten müssen mit mindestens einem Ziel verknüpft sein. Dies erlaubt es der Scanmaschine, die Anmeldedaten anzuwenden.

10.3.2.2 Anmeldedaten verwalten

Listenseite

Alle vorhandenen Anmeldedaten können angezeigt werden, indem Konfiguration > Anmeldedaten in der Menüleiste gewählt wird.

Für alle Anmeldedaten werden die folgenden Informationen angezeigt:

Name
Name der Anmeldedaten.
Typ
Gewählter Anmeldedatentyp.
Unsichere Verwendung zulassen
Hinweis, ob der GSM die Anmeldedaten für unverschlüsselte oder andersweitig unsichere Authentifizierungsmethoden nutzen kann.
Login
Benutzername für die Anmeldedaten, falls ein Anmeldedatentyp gewählt wurde, der einen Benutzernamen benötigt.

Für alle Anmeldedaten sind die folgenden Aktionen verfügbar:

  • trashcan Die Anmeldedaten in den Papierkorb verschieben. Nur Anmeldedaten, die aktuell nicht genutzt werden, können in den Papierkorb verschoben werden.
  • edit Die Anmeldedaten bearbeiten.
  • clone Die Anmeldedaten klonen.
  • export Die Anmeldedaten als XML-Datei exportieren.

Abhängig vom gewählten Anmeldedatentyp (siehe Kapitel 10.3.2.1) sind mehr Aktionen verfügbar:

  • download_exe Ein EXE-Paket für Microsoft Windows herunterladen. Diese Aktion ist verfügbar, falls Benutzername + Passwort gewählt wurde.
  • download_rpm Ein RPM-Paket für Red Hat Enterprise Linux und dessen Derivate herunterladen. Diese Aktion ist verfügbar, falls Benutzername + SSH-Schlüssel gewählt wurde.
  • download_deb Ein Debian-Paket für Debian GNU/Linux und dessen Derivate herunterladen. Diese Aktion ist verfügbar, falls Benutzername + SSH-Schlüssel gewählt wurde.
  • download_key Einen öffentlichen Schlüssel herunterladen. Diese Aktion ist verfügbar, falls Benutzername + SSH-Schlüssel oder Benutzerzertifikat gewählt wurde.

Diese Installationspakete vereinfachen die Installation und das Erstellen von Accounts für authentifizierte Scans. Sie erstellen den Benutzer und die wichtigsten Berechtigungen für den authentifizierten Scan und setzen diese während der Deinstallation wieder zurück.

Bemerkung

Falls die automatische Generierung eines Passworts aktiviert ist (siehe Kapitel 10.3.2.1), müssen die Pakete genutzt werden. Andernfalls ist die Nutzung optional.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Anmeldedaten können mehrere Anmeldedaten zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Anmeldedaten in den Papierkorb verschoben oder exportiert werden.

Detailseite

Durch Klicken auf den Namen von Anmeldedaten werden Details der Anmeldedaten angezeigt. Durch Klicken auf details wird die Detailseite der Anmeldedaten geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über die Anmeldedaten.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).
Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Anmeldedaten anzeigen.
  • new Neue Anmeldedaten erstellen (siehe Kapitel 10.3.2.1).
  • clone Die Anmeldedaten klonen.
  • edit Die Anmeldedaten bearbeiten.
  • trashcan Die Anmeldedaten in den Papierkorb verschieben. Nur Anmeldedaten, die aktuell nicht genutzt werden, können in den Papierkorb verschoben werden.
  • export Die Anmeldedaten als XML-Datei exportieren.

Abhängig vom gewählten Anmeldedatentyp (siehe Kapitel 10.3.2.1) sind mehr Aktionen verfügbar:

  • download_exe Ein EXE-Paket für Microsoft Windows herunterladen. Diese Aktion ist verfügbar, falls Benutzername + Passwort gewählt wurde.
  • download_rpm Ein RPM-Paket für Red Hat Enterprise Linux und dessen Derivate herunterladen. Diese Aktion ist verfügbar, falls Benutzername + SSH-Schlüssel gewählt wurde.
  • download_deb Ein Debian-Paket für Debian GNU/Linux und dessen Derivate herunterladen. Diese Aktion ist verfügbar, falls Benutzername + SSH-Schlüssel gewählt wurde.
  • download_key Einen öffentlichen Schlüssel herunterladen. Diese Aktion ist verfügbar, falls Benutzername + SSH-Schlüssel oder Benutzerzertifikat gewählt wurde.

10.3.3 Anforderungen auf Zielsystemen mit Microsoft Windows

10.3.3.1 Allgemeine Hinweise zur Konfiguration

  • Der Dienst der Remote-Registrierung muss gestartet werden, um auf die Registrierung zuzugreifen.

    Dies wird erreicht, indem das automatischte Starten des Diensts eingestellt wird. Falls ein automatischer Start nicht gewünscht wird, kann ein manueller Start konfiguriert werden. In diesem Fall wird der Dienst, während das System vom GSM gescannt wird, gestartet und anschließend wieder deaktiviert. Um dieses Verhalten sicherzustellen, muss der folgende Punkt über LocalAccountTokenFilterPolicy beachetet werden.

  • Es ist notwendig, dass für alle gescannten Systeme der Datei- und Druckerzugriff aktiviert ist. Falls Microsoft Windows XP genutzt wird, muss die Einstellung Use Simple File Sharing deaktiviert sein.

  • Für einzelne Systeme, die nicht mit einer Domäne verbunden sind, muss der folgende Registrierungsschlüssel festgelegt werden:

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
    DWORD: LocalAccountTokenFilterPolicy = 1
    
  • Auf Systemen mit Domänen-Controller muss der genutzte Benutzeraccount Mitglied der Gruppe Domain Administrators sein, um die bestmöglichen Ergebnisse zu erhalten. Aufgrund des Berechtigungskonzepts ist es nicht möglich, alle Schwachstellen zu erkennen, wenn der Local Administrator oder der von der Domain zugewiesene Administrator genutzt wird. Alternativ können die Anweisungen in Kapitel 10.3.3.2 befolgt werden.

    → Sollte ein Local Administrator gewählt werden – was ausdrücklich nicht empfohlen wird – ist es auch notwendig, den folgenden Registrierungsschlüssel festzulegen:

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
    DWORD: LocalAccountTokenFilterPolicy = 1
    
  • Generiertes Installationspaket für Anmeldedaten: Das Installationsprogramm stellt den Remote-Registrierungsdienst auf automatisches Starten ein. Falls das Installationsprogramm auf einem Domänen-Controller ausgeführt wird, wird der Benutzeraccount der Gruppe BUILTIN/Administratoren (SID S-1-5-32-544) zugeordnet.

  • Auf der Microsoft-Windows-Firewall muss eine Ausnahmeregel für den GSM erstellt werden. Zusätzlich muss auf XP-Systemen der Dienst File and Printer Sharing auf enabled eingestellt sein.

  • Generiertes Installationspaket für Anmeldedaten: Während der Installation bietet das Installationsprogramm einen Dialog, um die IP-Adresse des GSM einzugeben. Wenn die Eingabe bestätigt wird, wird eine Regel für die Firewall konfiguriert. Der Dienst File and Printer Sharing wird in den Regeln der Firewall aktiviert.

  • Powershell-Ausführungsberechtigungen auf einem Zielsystem können für das Konto erforderlich sein, das in einem authentifizierten Scan verwendet wird. Bei Richtlinien- und Schwachstellentests können gelegentlich Powershell-Befehle ausgeführt werden, um die Genauigkeit der Ergebnisse zu erhöhen, wofür Berechtigungen für die Dauer eines Scans erforderlich sind.

  • Für Compliance-Audits, die auf Windows-Betriebssysteme ausgerichtet sind, wird empfohlen, die Einstellung Maximal gleichzeitig ausgeführte NVTs pro Host/Maximal gleichzeitig gescannte Hosts auf 1 zu setzen, um die Genauigkeit der Ergebnisse zu erhöhen (siehe Kapitel 12.2.1.1).

  • Für einen voll funktionsfähigen Zugriff auf Windows Management Instrumentation (WMI), der z. B. für die Dateisuche oder Richtlinien-Scans verwendet wird, sind die folgenden Einstellungen erforderlich:

    • WMI-Zugriff in den Einstellungen der Windows Firewall oder einer möglichen Firewall-Lösung eines Drittanbieters zulassen.
    • Verifizieren, dass der Benutzer oder die Gruppe des Scan-Benutzers für den Remote-Zugriff auf WMI zugelassen ist.

10.3.3.2 Einen Domänenaccount für authentifiziert Scans konfigurieren

Für authentifizierte Scans von Microsoft-Windows-Zielsystemen wird die Nutzung eines Domänenaccounts mit einer Domänenrichtlinie, die lokale Administratorprivilegien erteilt, empfohlen. Dies hat mehrere Vorteile:

  • Eine Domänenrichtlinie muss nur einmal erstellt werden und kann dann für unterschiedliche Benutzer angewendet oder widerrufen werden.
  • Das lokale Bearbeiten der Registrierung von Microsoft Windows ist nicht länger nötig. Die Benutzerverwaltung ist somit zentralisiert, was auf lange Sicht Zeit spart und mögliche Konfigurationsfehler reduziert.
  • Aus Sicht der Schwachstellenbewertung ermöglicht nur ein Domänenaccount die Erkennung domänenzugehöriger Scanergebnisse. Diese Ergebnisse fehlen, falls ein ein lokaler Benutzeraccount genutzt wird.
  • Es gibt auch einige Sicherheitsvorteile beim Nutzen eines Domänenaccounts mit einer Domänenrichtlinie, die von Greenbone Networks emfohlen wird: Der zugehörige Benutzer kann sich möglicherweise nicht lokal oder über die Remotedesktopverbindung einloggen, was etwaige Angriffsvektoren begrenzt. Zusätzlich werden die Anmeldedaten via Kerberos geschützt, während bei einem Passwort eines lokalen Benutzers ein höheres Risiko des Ausnutzens besteht.

Um einen Domänenaccounts für hostbasierte Remote-Audits auf einem Microsoft-Windows-Ziel zu nutzen, muss die folgende Konfiguration unter Windows XP Professional, Windows Vista, Windows Server 2003, Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows 7, Windows 8, Windows 8.1 oder Windows 10 geschehen. Das System muss auch Teil der Domäne sein.

Eine Sicherheitsgruppe erstellen

  1. In einen Domänen-Controller einloggen und Active Directory Users and Computers öffnen.
  2. Aktion > Neu > Gruppe in der Menüleiste wählen.
  3. Greenbone Local Scan in das Eingabefeld Name eingeben.
  4. Global für Gruppenbereich und Sicherheit für Gruppentyp wählen.
  5. Account, der unter Microsoft Windows für die lokalen authentifizierten Scans vom GSM genutzt wird, zur Gruppe hinzufügen.
  6. Auf OK klicken.

Eine Gruppenrichtlinie (engl. Group Policy Object, GPO) erstellen

  1. Im linken Panel die Konsole Gruppenrichtlinienverwaltung öffnen.

  2. Auf Gruppenrichtlinienobjekte rechtsklicken und Neu wählen.

  3. Greenbone Local SecRights in das Eingabefeld Name eingeben (siehe Abb. 10.8).

    _images/win_group_policy-de.png

    Abb. 10.8 Erstellen einer neuen Microsoft-Windows-Gruppenrichtlinie für Scans durch Greenbone Networks

  4. Auf OK klicken.

Konfigurieren der Richtlinie

  1. Auf die Richtlinie Greenbone Local SecRights klicken und Bearbeiten… wählen.

  2. Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen im linken Panel wählen.

  3. Auf Eingeschränkte Gruppen klicken und Gruppe hinzufügen wählen.

  4. Auf Durchsuchen… klicken und Greenbone Local Scan in das Eingabefeld eingeben (siehe Abb. 10.9).

    _images/win_group_policy_check-de.png

    Abb. 10.9 Prüfen der Microsoft-Windows-Gruppennamen

  5. Auf Namen überprüfen klicken.

  6. Zweimal auf OK klicken, um die offenen Fenster zu schließen.

  7. Bei Diese Gruppe ist Mitglied von auf Hinzufügen… klicken.

  1. Administrators in das Eingabefeld Gruppe eingeben (siehe Abb. 10.10) und zweimal auf OK klicken, um die offenen Fenster zu schließen.

    Bemerkung

    Auf nicht-englischsprachigen Systemen den entsprechenden Namen der lokalen Administratorengruppe eingeben.

    _images/win_group_policy_member2-de.png

    Abb. 10.10 Hinzufügen einer Gruppenmitgliedschaft

Konfigurieren der Richtlinie, sodass der Gruppe Greenbone Local Scan das lokale Einloggen in das System verweigert wird

  1. Auf die Richtlinie Greenbone Local SecRights klicken und Bearbeiten… wählen.

  2. Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten im linken Panel wählen.

  3. Im rechten Panel auf Lokal anmelden verweigern doppelklicken.

  4. Checkbox Diese Richtlinieneinstellungen definieren aktivieren und auf Benutzer oder Gruppe hinzufügen klicken.

  5. Auf Durchsuchen… klicken und Greenbone Local Scan in das Eingabefeld eingeben (siehe Abb. 10.11).

  6. Auf Namen überprüfen klicken.

    _images/win_group_policy_deny-de.png

    Abb. 10.11 Bearbeiten der Richtlinie

  7. Dreimal auf OK klicken, um die offenen Fenster zu schließen.

Konfigurieren der Richtlinie, sodass der Gruppe Greenbone Local Scan das remote Einloggen in das System verweigert wird

  1. Auf die Richtlinie Greenbone Local SecRights klicken und Bearbeiten… wählen.

  2. Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten im linken Panel wählen.

  3. Im rechten Panel auf Anmelden über Remotedesktopdienst verweigern doppelklicken.

  4. Checkbox Diese Richtlinieneinstellungen definieren aktivieren und auf Benutzer oder Gruppe hinzufügen klicken.

  5. Auf Durchsuchen… klicken und Greenbone Local Scan in das Eingabefeld eingeben (siehe Abb. 10.12).

  6. Auf Namen überprüfen klicken.

    _images/win_group_policy_deny2-de.png

    Abb. 10.12 Bearbeiten der Richtlinie

  7. Dreimal auf OK klicken, um die offenen Fenster zu schließen.

Konfigurieren der Richtlinie, sodass die Gruppe Greenbone Local Scan auf der Registrierung nur Leserechte hat

Wichtig

Diese Einstellung ist auch nach Entfernen der Gruppenrichtlinie vorhanden („tattooing GPO“).

Dies ändert grundlegende Privilegien, welche nicht einfach durch Entfernen der Gruppenrichtlinie rückgängig gemacht werden können.

Es muss geprüft werden, ob die Einstellungen mit der Umgebung kompatibel sind.

Bemerkung

Die folgenden Schritte sind optional.

  1. Im linken Panel auf Registrierung klicken und Schlüssel hinzufügen… wählen.

  2. USERS wählen und auf OK klicken (siehe Abb. 10.13).

    _images/win_group_policy_reg-de.png

    Abb. 10.13 Wählen des Registrierungsschlüssels

  3. Auf Erweitert und Hinzufügen klicken.

  4. Greenbone Local Scan in das Eingabefeld eingeben und auf OK klicken (siehe Abb. 10.14).

    _images/win_group_policy_reg2-de.png

    Abb. 10.14 Wählen der Gruppe Greenbone Local Scan

  5. Dieses Objekt und untergeordnete Objekte in der Drop-down-Liste Übernehmen für wählen.

  6. Alle Checkboxen für Zulassen deaktivieren und Checkboxen Wert festlegen, Unterschlüssel erstellen, Link erstellen, Löschen, Berechtigungen ändern und Besitz übernehmen für Verweigern aktivieren (siehe Abb. 10.15).

    _images/win_group_policy_reg3-de.png

    Abb. 10.15 Verweigern der Bearbeitung der Registrierung

  7. Zweimal auf OK klicken und Warnung durch Klicken auf Ja bestätigen.

  8. Auf OK klicken.

  9. Radiobuttons Diesen Schlüssel konfigurieren und Vererbbare Berechtigungen an alle Unterschlüssel verteilen wählen und auf OK klicken (siehe Abb. 10.16).

    _images/win_group_policy_reg4-de.png

    Abb. 10.16 Rekursivmachen der Berechtigungen

  10. Schritte 2 bis 9 für MACHINE und CLASSES_ROOT wiederholen.

Die Gruppenrichtlinie verbinden

  1. Im rechten Panel auf die Domäne rechtsklicken und Vorhandenes Gruppenrichtlinienobjekt verknüpfen wählen.

  2. Greenbone Local SecRights im Abschnitt Gruppenrichtlinienobjekte wählen und auf OK klicken (siehe Abb. 10.17).

    _images/win_group_policy_link-de.png

    Abb. 10.17 Verbinden der Richtlinie

10.3.3.3 Einschränkungen

Da Schreibrechte auf der Registrierung und dem Systemlaufwerk entfernt wurden, funktionieren die beiden folgenden Tests nicht mehr:

  • Leave information on scanned Windows hosts OID 1.3.6.1.4.1.25623.1.0.96171

    Falls gewünscht, erstellt dieser Test Informationen über den Start und das Ende eines Scans unter HKLM\Software\VulScanInfo. Da HKLM die Schreibrechte verweigert werden, ist dies nicht länger möglich. Falls der Test ausgeführt werden soll, muss das Gruppenrichtlinienobjekt entsprechend angepasst werden.

  • Windows file Checksums OID 1.3.6.1.4.1.25623.1.0.96180

    Falls gewünscht, speichert dieser Test das Tool ReHash unter C:\Windows\system32 (auf 32-Bit-Systemen) oder C:\Windows\SysWOW64 (auf 64-Bit-Systemen). Da die Schreibrechte verweigert werden, ist dies nicht länger möglich. Falls der Test ausgeführt werden soll, muss das Tool separat gespeichert werden oder das Gruppenrichtlinienobjekt entsprechend angepasst werden.

    Mehr Informationen können in Kapitel 12.4.3 gefunden werden.

10.3.3.4 Scannen ohne Domänenadministrator und lokale Administratorberechtigungen

Es ist möglich, eine Gruppenrichtlinie zu erstellen, in der der Benutzer keine lokalen Administratorberechtigungen hat. Allerdings ist der Aufwand, die entsprechenden Leserechte zu jedem Zweig und Ordner der Registrierung hinzuzufügen, sehr hoch. Leider ist das Vererben von Berechtigungen für viele Ordner und Zweige deaktiviert. Außerdem können diese Änderungen zwar durch die Gruppenrichtlinie festgelegt werden, aber nicht wieder entfernt werden („tattooing GPO“). Bestimmte Berechtigungen könnten überschrieben werden, sodass zusätzliche Probleme auftreten.

Das Erstellen einer Gruppenrichtlinie, in der der Benutzer keinerlei Administratorberechtigungen hat, ist aus technischer und administrativer Sicht nicht sinnvoll.

10.3.4 Anforderungen auf Zielsystemen mit ESXi

Bemerkung

Wenn eine vCenter Server Appliance (VCSA) zur Steuerung von ESXi-Hosts verwendet wird und User auf der VCSA erstellt werden, sind sie nur auf der VCSA und nicht auf den ESXi-Hosts bekannt.

Scan-User müssen auf jedem ESXi-Host, der gescannt wird, erstellt werden.

Standardmäßig sind lokale ESXi-User auf Rollen ohne Schreibrechte beschränkt. Es muss entweder ein administrativer Account oder eine Read-only-Rolle mit Berechtigung für globale Einstellungen genutzt werden.

Eine Read-only-Rolle mit Berechtigung für globale Einstellungen kann wie folgt eingerichtet werden:

  1. Web-Oberfläche der VMware-ESXi-Instanz öffnen und einloggen.

  2. Host > Verwalten in der Spalte Navigator links wählen.

  3. Register Sicherheit und Benutzer wählen.

  4. Rollen im linken Menüpanel wählen (siehe Abb. 10.18).

    _images/vsphere1-de.png

    Abb. 10.18 Anzeigen der Rollen

  5. Auf Rolle hinzufügen klicken.

  6. Namen für die Rolle in das Eingabefeld Rollenname eingeben.

  7. Checkbox System aktivieren.

  8. Auf Global klicken und Checkbox Settings aktivieren (siehe Abb. 10.19).

    _images/vsphere2-de.png

    Abb. 10.19 Erstellen einer Rolle

  9. Auf Hinzufügen klicken.

  10. Auf Host in der Spalte Navigator links rechtsklicken und Berechtigungen wählen.

  11. Scan-Useraccount, der vom GSM genutzt wird, wählen.

  12. Auf Rolle zuweisen klicken.

  13. Zuvor erstellte Rolle in der Drop-down-Liste wählen (siehe Abb. 10.20).

    _images/vsphere3-de.png

    Abb. 10.20 Zuweisen der Rolle an den Scan-Benutzer

  14. Auf Rolle zuweisen klicken.

  15. Auf Schließen klicken.

10.3.5 Anforderungen auf Zielsystemen mit Linux/Unix

  • Für authentifizierte Scans auf Linux- oder Unix-Systemen ist normalerweise der reguläre Benutzerzugang ausreichend. Der Login wird mithilfe von SSH vorgenommen. Die Authentifizierung wird entweder mit Passwörtern oder einem auf dem GSM gespeicherten privaten SSH-Schlüssel durchgeführt.

  • Generiertes Installationspaket für Anmeldedaten: Das Installationspaket für Linux-Distributionen basierend auf Debian ist eine DEB-Datei, das Installationspaket für Linux-Distributionen basierend auf RedHat ist eine RPM-Datei. Beide Installationspakete erstellen einen neuen Benutzer ohne besondere Berechtigungen. Ein öffentlicher SSH-Schlüssel, der auf dem GSM erstellt wird, wird im Home-Verzeichnis des Benutzers gespeichert. Für Benutzer anderer Linux-Distributionen oder Unix-Derivaten, wird der öffentliche Schlüssel zum Herunterladen angeboten. Das Erstellen eines Benutzers und Speichern des öffentlichen Schlüssels mit den korrekten Dateiberechtigungen liegt in der Verantwortung des Benutzers.

  • In beiden Fällen muss sichergestellt werden, dass die Authentifizierung mithilfe des öffentlichen Schlüssels nicht durch den SSH-Daemon verhindert wird. Die Zeile PubkeyAuthentication no darf nicht vorhanden sein.

  • Vorhandene SSH-Schlüsselpaare können auch genutzt werden. SSH-Schlüsselpaare können mithilfe des Befehls ssh-keygen auf Linux oder puttygen.exe beim Nutzen von PuTTY auf Microsoft Windows generiert werden. Um ein vorhandenes SSH-Schlüsselpaar nutzen zu können, muss der private Schlüssel beim Erstellen der Anmeldedaten hinterlegt werden. Der private SSH-Schlüssel muss im PEM- oder OpenSSH-Format vorliegen. Die Schlüsselarten Ed25519, ECDSA, RSA und DSA werden unterstützt.

  • Für Scans, die das Prüfen von Richtlinien beinhalten, sind möglicherweise root-Berechtigungen oder die Mitgliedschaft in bestimmten Gruppe (oft wheel) nötig. Aus Sicherheitsgründen sind einige Konfigurationsdateien nur von Super-Benutzern oder Mitgliedern bestimmter Gruppen lesbar.

  • Je mehr Berechtigungen ein Nutzer hat, desto mehr Ergebnisse und Einstellungen können auf einem System erkannt werden. In einigen Fällen ist möglicherweise ein Root-Zugang nötig.

  • Die folgenden Befehle werden während eines authentifizierten Scans mit einem Root-Account ausgeführt.

    Wichtig

    • Diese Liste ist nicht statisch. Neue oder geänderte VTs könnten jederzeit neue Befehle hinzufügen.
    • Abhängig von der gefundenen Software könnten zusätzliche Befehle ausgeführt werden.
    • Die ausgeführten Befehle hängen von der Linux-Distribution und der gewählten Scan-Konfiguration ab.
    • bash
    • cat
    • date
    • dpkg
    • egrep
    • find
    • grep
    • host
    • id
    • ip
    • lastlog
    • locate
    • ls
    • md5sum
    • mlocate
    • netstat
    • perl
    • ps
    • rpm
    • sh
    • sha1sum
    • slocate
    • uname
    • uptime
    • whereis
    • which
  • Die Installation des Pakets locate (alternativ mlocate), um den Befehl locate/mlocate auf dem Zielsystem verfügbar zu machen, wird empfohlen. Die Nutzung dieses Befehls reduziert Aufrufe des Befehls find, der für die Suche nach Dateien genutzt wird, und verbessert somit die Scanleistung und verringert die Ressourcennutzung auf dem Zielsystem.

    Damit die Befehle funktionieren, müssen möglicherweise die entsprechenden Datenbank-Berechtigungen und regelmäßige Datenbank-Updates, z. B. mithilfe eines Cronjobs, konfiguriert werden.

10.3.6 Anforderungen auf Zielsystemen mit Cisco OS

Der GSM kann auch Netzwerkkomponenten wie Router und Switches auf Schwachstellen prüfen. Während die üblichen Netzwerkdienste über das Netzwerk gefunden und geprüft werden, können einige Schwachstellen nur durch einen authentifizierten Scan entdeckt werden. Für einen authentifizierten Scan kann der GSM entweder SNMP oder SSH nutzen.

10.3.6.1 SNMP

Der GSM kann das Protokoll SNMP nutzen, um auf die Cisco-Netzwerkkomponenten zuzugreifen. Der GSM unterstützt SNMPv1, v2c und v3. SNMP nutzt den Port 161/udp. Die standardmäßige Portliste enthält keine UDP-Ports. Deshalb wird dieser Port während eines Schwachstellentests mit der Scan-Konfiguration Full and fast ignoriert und keine SNMP-Prüfung durchgeführt. Um Netzwerkkomponenten zu scannen, sollte die Portliste bearbeitet werden, sodass mindestens die folgenden Ports enthalten sind:

  • 22/tcp SSH
  • 80/tcp 8080/tcp HTTP
  • 443/tcp 8443/tcp HTTPS
  • 2000/tcp SCCP
  • 2443/tcp SCCPS
  • 5060/tcp 5060/udp SIP
  • 5061/tcp 5061/udp SIPS
  • 67/udp DHCP-Server
  • 69/udp TFTP
  • 123/udp NTP
  • 161/udp SNMP
  • 162/udp SNMP-Traps
  • 500/udp IKE
  • 514/udp Syslog
  • 546/udp DHCPv6
  • 6161/udp 6162/udp Unified CM

Der Administrator kann besondere Portlisten erstellen, die nur für solche Netzwerkkomponenten genutzt werden.

Der GSM benötigt zu sehr wenigen Objekten des SNMP-Baums Zugriff. Für einen weniger privilegierten Zugriff sollte eine SNMP-Sicht genutzt werden, um die Sichtbarkeit des SNMP-Baums für den GSM einzuschränken. Die folgenden zwei Beispiele erklären, wie solch eine Sicht mithilfe eines Community-Strings oder eines SNMPv3-Benutzers eingestellt wird.

Um den SNMP-Community-String zu nutzen, werden die folgenden Befehle auf dem Ziel benötigt:

# configure terminal

Mithilfe einer Zugriffsliste kann die Nutzung der Community beschränkt werden. Die IP-Adresse des GSMs ist in diesem Beispiel 192.168.222.74:

(config) # access-list 99 permit 192.168.222.74

Die Sicht gsm sollte nur den Zugriff auf die Systembeschreibung erlauben:

(config) # snmp-server view gsm system included
(config) # snmp-server view gsm system.9 excluded

Der letzte Befehl verbindet die Community gsm-community mit der Sicht gsm und der Zugriffsliste 99:

(config) # snmp-server community gsm-community view gsm RO 99

Falls ein SNMPv3-Benutzer mit Verschlüsselung genutzt wird, werden die folgenden Konfigurationszeilen auf dem Ziel benötigt:

# configure terminal
(config) # access-list 99 permit 192.168.222.74
(config) # snmp-server view gsm system included
(config) # snmp-server view gsm system.9 excluded

SNMPv3 benötigt zuerst das Einrichten einer Gruppe. Hier wird die Gruppe gsmgroup mit der Sicht gsm und der Zugriffsliste 99 verbunden:

(config) # snmp-server group gsmgroup v3 priv read gsm access 99

Nun kann der Benutzer mit dem Passwort gsm-password und dem Verschlüsselungsschlüssel gsm-encrypt erstellt werden. Die Authentifizierung wird durch MD5 und die Verschlüsselung durch AE128 durchgeführt:

(config) # snmp-server user gsm-user gsm-group v3 auth md5 gsm-password priv
aes 128 gsm-encrypt

Um entweder die Community oder den SNMPv3-Benutzer im GSM zu konfigurieren, als Administrator Konfiguration > Anmeldedaten in der Menüleiste wählen (siehe Kapitel 10.3.2).

10.3.6.2 SSH

Der authentifizierte Scan kann auch über SSH ausgeführt werden. Falls SSH genutzt wird, wird die Nutzung besonderer unprivilegierter Benutzer empfohlen. Der GSM benötigt aktuell nur den Befehl show version, um die aktuelle Version der Firmware des Geräts zu erhalten.

Um einen weniger privilegierten Benutzer einzurichten, der nur diesen Befehl ausführen darf, sind verschiedene Ansätze möglich. Das folgende Beispiel nutzt die rollenbasierte Zugriffskontrollenfunktionalität.

Bemerkung

Bevor eines der folgenden Beispiele genutzt wird, muss sichergestellt werden, dass alle Nebeneffekte der Konfiguration verstanden werden. Falls sie ohne Verifizierung genutzt wird, beschränkt das System möglicherweise weitere Logins über SSH oder die Konsole.

Um die rollenbasierte Zugriffskontrolle zu nutzen, müssen AAA und Views aktiviert werden:

> enable
# configure terminal
(config)# aaa new-model
(config)# exit
> enable view
# configure terminal

Die folgenden Befehle erstellen eine eingeschränkte Sicht, die nur den Befehl show version beinhaltet. Das gelieferte Passwort view-pw ist nicht kritisch:

(config)# parser view gsm-view
(config-view)# secret 0 view-pw
(config-view)# commands exec include show version
(config-view)# exit

Nun wird der Benutzer gsm-user mit dem Passwort gsm-pw erstellt und mit der Sicht gsm-view verknüpft:

(config)# username gsm-user view gsm-view password 0 gsm-pw
(config)# aaa authorization console
(config)# aaa authorization exec default local

Falls SSH noch nicht aktiviert ist, erledigt dies der folgende Befehl. Der entsprechende Hostname und die entsprechende Domäne müssen genutzt werden:

(config)# hostname switch
(config)# ip domain-name greenbone.net
(config)# crypto key generate rsa general-keys modulus 2048

Schließlich SSH-Logins mithilfe der folgenden Befehle aktivieren:

(config)# line vty 0 4
(config-line)# transport input ssh
(config-line)# Crtl-Z

Die Anmeldedaten des Benutzers müssen auf dem GSM eingegebene werden. Konfiguration > Anmeldedaten in der Menüleiste wählen und den entsprechenden Benutzer erstellen (siehe Kapitel 10.3.2).

Anmeldedaten mit dem Ziel verbinden, damit sie als SSH-Anmeldedaten genutzt werden können.

10.3.7 Anforderungen auf Zielsystemen mit Huawei VRP

Der GSM kann auch Netzwerkkomponenten wie Router und Switches auf Schwachstellen prüfen. Während die üblichen Netzwerkdienste über das Netzwerk gefunden und geprüft werden, können einige Schwachstellen nur durch einen authentifizierten Scan entdeckt werden. Für einen authentifizierten Scan kann der GSM entweder SNMP oder SSH nutzen.

Bemerkung

Die Befehle in diesem Kapitel dienen als Beispiel und sollten auf den meisten Huawei-Routern funktionieren.

Abhängig von der Softwareversion oder von der Hardware, könnten einige Befehle abweichen (z. B. die Reihenfolge der Parameter oder Werte), nicht nötig sein oder nicht verfügbar sein.

Weitere Informationen befinden sich in der zugehörigen Dokumentation für das entsprechende Gerät und die entsprechende Software-Version.

10.3.7.1 SNMP

Der GSM kann das Protokoll SNMP nutzen, um auf die Huawei-Netzwerkkomponenten zuzugreifen. Der GSM unterstützt SNMPv1, v2c und v3. SNMP nutzt den Port 161/udp. Die standardmäßige Portliste enthält keine UDP-Ports. Deshalb wird dieser Port während eines Schwachstellentests mit der Scan-Konfiguration Full and fast ignoriert und keine SNMP-Prüfung durchgeführt. Um Netzwerkkomponenten zu scannen, sollte die Portliste bearbeitet werden, sodass mindestens die folgenden Ports enthalten sind:

  • 22/tcp SSH
  • 80/tcp 8080/tcp HTTP
  • 443/tcp 8443/tcp HTTPS
  • 2000/tcp SCCP
  • 2443/tcp SCCPS
  • 5060/tcp 5060/udp SIP
  • 5061/tcp 5061/udp SIPS
  • 67/udp DHCP-Server
  • 69/udp TFTP
  • 123/udp NTP
  • 161/udp SNMP
  • 162/udp SNMP-Traps
  • 500/udp IKE
  • 514/udp Syslog
  • 546/udp DHCPv6

Der Administrator kann besondere Portlisten erstellen, die nur für solche Netzwerkkomponenten genutzt werden.

Der GSM benötigt zu sehr wenigen Objekten des SNMP-Baums Zugriff. Für einen weniger privilegierten Zugriff sollte eine SNMP-Sicht genutzt werden, um die Sichtbarkeit des SNMP-Baums für den GSM einzuschränken. Die folgenden zwei Beispiele erklären, wie solch eine Sicht mithilfe eines Community-Strings oder eines SNMPv3-Benutzers eingestellt wird.

Um den SNMP-Community-String zu nutzen, werden die folgenden Befehle auf dem Ziel benötigt:

<HUAWEI>system-view

Mithilfe einer Zugriffsliste kann die Nutzung der Community beschränkt werden. Die IP-Adresse des GSMs ist in diesem Beispiel 192.168.222.74:

[~HUAWEI]acl 2000
[~HUAWEI-acl4-basic-2000]rule permit source 192.168.222.74 32
[*HUAWEI-acl4-basic-2000]commit
[~HUAWEI-acl4-basic-2000]quit

Version 2c von SNMPv erlauben:

[~HUAWEI]snmp-agent sys-info version v3 v2c
[*HUAWEI]commit

Die Sicht gsm sollte nur den Zugriff auf die Systembeschreibung erlauben:

[~HUAWEI]snmp-agent mib-view included gsm system
[*HUAWEI]snmp-agent mib-view excluded gsm system.9
[*HUAWEI]commit

Der letzte Befehl verbindet die Community gsm-community mit der Sicht gsm und der Zugriffsliste 2000:

[~HUAWEI]snmp-agent community read gsm-community mib-view gsm acl 2000
[*HUAWEI]commit

Falls ein SNMPv3-Benutzer mit Verschlüsselung genutzt wird, werden die folgenden Konfigurationszeilen auf dem Ziel benötigt:

<HUAWEI>system-view
[~HUAWEI]acl 2000
[~HUAWEI-acl4-basic-2000]rule permit source 192.168.222.74 32
[*HUAWEI-acl4-basic-2000]quit
[*HUAWEI]snmp-agent sys-info version v3
[*HUAWEI]snmp-agent mib-view included gsm system
[*HUAWEI]snmp-agent mib-view excluded gsm system.9
[*HUAWEI]commit

SNMPv3 benötigt zuerst das Einrichten einer Gruppe. Hier wird die Gruppe gsmgroup mit der Sicht gsm und der Zugriffsliste 2000 verbunden:

[~HUAWEI]snmp-agent group v3 gsmgroup privacy read-view gsm acl 2000
[*HUAWEI]commit

Nun kann der Benutzer mit dem Passwort gsm-password und dem Verschlüsselungsschlüssel gsm-encrypt erstellt werden. Die Authentifizierung wird durch MD5 und die Verschlüsselung durch AE128 durchgeführt. Dies wird in drei Schritten durchgeführt:

Passwort gsm-password konfigurieren:

[~HUAWEI]snmp-agent usm-user v3 gsm-user authentication-mode md5
Please configure the authentication password (8-255)
[*HUAWEI]commit

Verschlüsselungsschlüssel gsm-encrypt konfigurieren:

[~HUAWEI]snmp-agent usm-user v3 gsm-user privacy-mode aes128
Please configure the privacy password (8-255)
[*HUAWEI]commit

Nutzer zur Gruppe hinzufügen:

[*HUAWEI]snmp-agent usm-user v3 gsm-user group gsmgroup
[*HUAWEI]commit

Um entweder die Community oder den SNMPv3-Benutzer im GSM zu konfigurieren, als Administrator Konfiguration > Anmeldedaten in der Menüleiste wählen (siehe Kapitel 10.3.2).

10.3.7.2 SSH

Der authentifizierte Scan kann auch über SSH durchgeführt werden. Falls SSH genutzt wird, wird die Verwendung eines speziellen unprivilegierten Benutzers empfohlen. Der GSM benötigt derzeit nur die Befehle display device, display version und display patch-information, um die aktuelle Firmware-Version des Geräts abzufragen.

Bemerkung

Falls ein Compliance-Scan ausgeführt wird, könnten die folgenden zusätzlichen Befehle genutzt werden:

  • display arp speed-limit
  • display arp-miss speed-limit source-ip
  • display current-configuration
  • display current-configuration configuration bgp
  • display current-configuration configuration pim
  • display current-configuration configuration user-interface
  • display current-configuration configuration vpn-instance
  • display current-configuration interface
  • display current-configuration | include multicast
  • display current-configuration | include ntp
  • display current-configuration | include snmp
  • display current-configuration | include ssh
  • display ftp-server
  • display isis peer
  • display mpls ldp session verbose
  • display mpls rsvp-te interface
  • display ospf peer brief
  • display ospfv3 peer
  • display snmp-agent sys-info version
  • display ssh server status
  • display telnet server
  • display telnet server status
  • display vrrp

Um einen weniger privilegierten Benutzer einzurichten, der nur diesen Befehl ausführen darf, sind verschiedene Ansätze möglich. Das folgende Beispiel nutzt die rollenbasierte Zugriffskontrollenfunktionalität.

Bemerkung

Bevor eines der folgenden Beispiele genutzt wird, muss sichergestellt werden, dass alle Nebeneffekte der Konfiguration verstanden werden. Falls sie ohne Verifizierung genutzt wird, beschränkt das System möglicherweise weitere Logins über SSH oder die Konsole.

Die folgenden Befehle erstellen eine eingeschränkte Sicht, die nur die Befehle display device, display version und display patch-information beinhaltet. Das gelieferte Passwort Hello-secret123 ist nicht kritisch.

<HUAWEI> system-view
[~HUAWEI]aaa
[~HUAWEI-aaa]local-user gsm-user password cipher Hello-secret123
[*HUAWEI-aaa]local-user gsm-user level 0
[*HUAWEI-aaa]local-user gsm-user service-type ssh
[*HUAWEI-aaa]commit
[~HUAWEI-aaa]quit
[~HUAWEI]ssh user gsm-user authentication-type password
[*HUAWEI]ssh user gsm-user service-type stelnet
[*HUAWEI]commit

Die folgenden Befehle fügen nur die Befehle display version, display patch-information und display device zu „level 0“ hinzu, sodass gsm-user beschränkt ist:

[~HUAWEI] command-privilege level 0 view global display device
[*HUAWEI] command-privilege level 0 view global display version
[*HUAWEI] command-privilege level 0 view global display patch-information
[*HUAWEI]commit

Falls SSH noch nicht aktiviert ist, erledigt dies der folgende Befehl:

[~HUAWEI] rsa local-key-pair create
[*HUAWEI]commit

SSH-Logins mithilfe der folgenden Befehle aktivieren:

[~HUAWEI] user-interface vty 0 4
[*HUAWEI-ui-vty0-4] authentication-mode aaa
[*HUAWEI-ui-vty0-4] protocol inbound ssh
[*HUAWEI-ui-vty0-4] quit
[*HUAWEI]commit

Den STelnet-Server aktivieren:

[~HUAWEI] stelnet server enable
[*HUAWEI] ssh authentication-type default password
[*HUAWEI]commit

Mithilfe einer Zugriffsliste kann die Nutzung des SSH-Logins beschränkt werden. Die IP-Adresse des GSMs ist in diesem Beispiel 192.168.222.74.

Bemerkung

Dies könnte jegliche SSH-Anmeldungen von anderen IP-Adressen einschränken und das Gerät über das Netzwerk unzugänglich machen.

[~HUAWEI]acl 2000
[*HUAWEI-acl4-basic-2000] rule permit source 192.168.222.74 32
[*HUAWEI-acl4-basic-2000] quit
[*HUAWEI] HUAWEI acl 2000
[*HUAWEI] commit

In Abhängigkeit von den Sicherheitseinstellungen muss das Passwort für gsm-view beim ersten Login geändert werden. Dies sollte durch einmaliges Einloggen via SSH geprüft werden.

Die Anmeldedaten des Benutzers müssen auf dem GSM eingegebene werden. Konfiguration > Anmeldedaten in der Menüleiste wählen und den entsprechenden Benutzer erstellen (siehe Kapitel 10.3.2).

Anmeldedaten mit dem Ziel verbinden, damit sie als SSH-Anmeldedaten genutzt werden können.

10.3.8 Anforderungen auf Zielsystemen mit EulerOS

  • Für authentifizierte Scans auf EulerOS ist normalerweise der reguläre Benutzerzugang ausreichend. Der Login wird mithilfe von SSH vorgenommen. Die Authentifizierung wird entweder mit Passwörtern oder einem auf dem GSM gespeicherten privaten SSH-Schlüssel durchgeführt.

  • Generiertes Installationspaket für Anmeldedaten: Das Installationspaket für EulerOS ist eine RPM-Datei. Das Installationspaket erstellt einen neuen Benutzer ohne besondere Berechtigungen. Ein öffentlicher SSH-Schlüssel, der auf dem GSM erstellt wird, wird im Home-Verzeichnis des Benutzers gespeichert. Für Benutzer anderer Linux-Distributionen oder Unix-Derivaten, wird der öffentliche Schlüssel zum Herunterladen angeboten. Das Erstellen eines Benutzers und Speichern des öffentlichen Schlüssels mit den korrekten Dateiberechtigungen liegt in der Verantwortung des Benutzers.

  • In beiden Fällen muss sichergestellt werden, dass die Authentifizierung mithilfe des öffentlichen Schlüssels nicht durch den SSH-Daemon verhindert wird. Die Zeile PubkeyAuthentication no darf nicht vorhanden sein.

  • Vorhandene SSH-Schlüsselpaare können auch genutzt werden. SSH-Schlüsselpaare können mithilfe des Befehls ssh-keygen auf EulerOS oder puttygen.exe beim Nutzen von PuTTY auf Microsoft Windows generiert werden. Um ein vorhandenes SSH-Schlüsselpaar nutzen zu können, muss der private Schlüssel beim Erstellen der Anmeldedaten hinterlegt werden. Der private SSH-Schlüssel muss im PEM- oder OpenSSH-Format vorliegen. Die Schlüsselarten Ed25519, ECDSA, RSA und DSA werden unterstützt.

  • Für Scans, die das Prüfen von Richtlinien beinhalten, sind möglicherweise root-Berechtigungen oder die Mitgliedschaft in bestimmten Gruppe (oft wheel) nötig. Aus Sicherheitsgründen sind einige Konfigurationsdateien nur von Super-Benutzern oder Mitgliedern bestimmter Gruppen lesbar.

  • Je mehr Berechtigungen ein Nutzer hat, desto mehr Ergebnisse und Einstellungen können auf einem System erkannt werden. In einigen Fällen ist möglicherweise ein Root-Zugang nötig.

  • Die folgenden Befehle werden während eines authentifizierten Scans mit einem Root-Account ausgeführt.

    Wichtig

    • Diese Liste ist nicht statisch. Neue oder geänderte VTs könnten jederzeit neue Befehle hinzufügen.
    • Abhängig von der gefundenen Software könnten zusätzliche Befehle ausgeführt werden.
    • bash
    • cat
    • date
    • dpkg
    • egrep
    • find
    • grep
    • host
    • id
    • ip
    • lastlog
    • locate
    • ls
    • md5sum
    • mlocate
    • netstat
    • perl
    • ps
    • rpm
    • sh
    • sha1sum
    • slocate
    • uname
    • uptime
    • whereis
    • which
  • Die Installation des Pakets locate (alternativ mlocate), um den Befehl locate/mlocate auf dem Zielsystem verfügbar zu machen, wird empfohlen. Die Nutzung dieses Befehls reduziert Aufrufe des Befehls find, der für die Suche nach Dateien genutzt wird, und verbessert somit die Scanleistung und verringert die Ressourcennutzung auf dem Zielsystem.

    Damit die Befehle funktionieren, müssen möglicherweise die entsprechenden Datenbank-Berechtigungen und regelmäßige Datenbank-Updates, z. B. mithilfe eines Cronjobs, konfiguriert werden.

10.3.9 Anforderungen auf Zielsystemen mit GaussDB

Bemerkung

Es muss sichergestellt werden, dass der Scan von einem Benutzer ausgeführt wird, der GaussDB-Ausführungsberechtigungen besitzt.

10.3.9.1 Anforderungen für den Systembenutzer root

Bemerkung

Im Allgemeinen wird nicht empfohlen, mit dem Benutzer root zu scannen.

Ein Root-Nutzer hat die folgenden Anforderungen für das Scannen auf einem Zielsystem mit GaussDB:

  • Auf dem GSM:
    • Anmeldedaten für den/die Zielhost(s), entweder als Passwort oder als SSH-Schlüssel
  • Auf dem Zielsystem:
    • Root-Benutzer ist in der Lage zsq/zengine auszuführen (z. B. LD_LIBRARY_PATH ist korrekt eingestellt und nicht auf Standard)
    • PermitRootLogin yes in sshd_config oder PermitRootLogin prohibit-password in sshd_config für auf SSH-Schlüssel basierenden Anmeldedaten

10.3.9.2 Anforderungen für einen Datenbankadministrator-Account (z. B. gaussdba)

Ein Datenbankadministrator hat die folgenden Anforderungen für das Scannen auf einem Zielsystem mit GaussDB:

  • Auf dem GSM:
    • Anmeldedaten für den/die Zielhost(s), entweder als Passwort oder als SSH-Schlüssel
  • Auf dem Zielsystem:
    • Benutzer gaussdba ist der Datenbankinstallationsbenutzer

10.3.9.3 Anforderungen für einen normalen Benutzer-Account

Ein normaler Benutzer hat die folgenden Anforderungen für das Scannen auf einem Zielsystem mit GaussDB:

  • Auf dem GSM:
    • Anmeldedaten für den/die Zielhost(s), entweder als Passwort oder als SSH-Schlüssel
  • Auf dem Zielsystem:
    • Benutzer ist in der Lage zsq/zengine auszuführen (z. B. LD_LIBRARY_PATH ist korrekt eingestellt und nicht auf Standard)

10.3.9.4 Anforderungen für einen normalen Datenbankbenutzer-Account (z. B. gauss)

Ein normaler Datenbankbenutzer hat die folgenden Anforderungen für das Scannen auf einem Zielsystem mit GaussDB:

  • Auf dem GSM:
    • Anmeldedaten mit dem Benutzernamen gauss und einem Passwort, konfiguriert in jeder genutzten Scan-Konfiguration
  • Auf dem Zielsystem:
    • Öffentlich zugänglicher Datenbankserver-Port

10.4 Einen Prognosescan konfigurieren

Nicht jede Schwachstelle rechtfertigt einen neuen Scan des Netzwerks oder einzelner Systeme. Falls der GSM durch frühere Scans bereits Informationen über Schwachstellen gesammelt hat, kann er eine Prognose darüber erstellen, welche Sicherheitsrisiken vorhanden sein könnten.

Das Nutzen des CVE-Scanners ermöglicht das Vorhersagen möglicher Sicherheitsrisiken, basierend auf aktuellen Informationen über bekannte Risiken aus den Sicherheitsinfos (siehe Kapitel 14), ohne dass ein neuer Scan nötig ist. Dies ist insbesondere für Umgebungen interessant, in denen die meisten Schwachstellen mithilfe des GSMs beseitigt wurden.

Falls Sicherheitsrisiken bekannt werden, kann ein tatsächlicher Scan ausgeführt werden, um die Prognose zu verifizieren.

Bemerkung

Die Assetdatenbank benötigt aktuelle Daten für den CVE-Scanner. Ein vollständiger Scan, z. B. mit der Scan-Konfiguration Full and fast, muss ausgeführt werden und die Ergebnisse müssen zu den Assets hinzugefügt werden.

Die Ergebnisse eines Prognosescans hängen von der Verfügbarkeit selbstberichteter Versionen ungeschützter Software ab, die während eines vollständigen Scans gefunden wurden. Die Nutzung eines authentifizierten Scans kann die Anzahl der durch den Prognosescan gefundenen Ergebnisse möglicherweise erhöhen.

Ein vollständiger Scan des Systems sollte regelmäßig erfolgen.

Ein Prognosescan kann wie folgt ausgeführt werden:

  1. Einen vollständigen Scan ausführen (siehe Kapitel 10.2).

    Bemerkung

    Eine „Full“-Scan-Konfiguration muss gewählt werden, z. B. Full and fast.

    Zusätzlich muss der Radiobutton Ja für Ergebnisse zu Assets hinzufügen gewählt werden.

  2. Scans > Aufgaben in der Menüleiste wählen.

  3. Neue Aufgabe durch Bewegen der Maus über new und Klicken auf Neue Aufgabe erstellen.

  4. Aufgabe definieren (siehe Kapitel 10.2.2).

  5. CVE in der Drop-down-Liste Scanner wählen.

  6. Auf Speichern klicken.

  7. In der Zeile der Aufgabe auf start klicken.

    → Der Scan wird ausgeführt. Für den Status einer Aufgabe siehe Kapitel 10.8.

    Tipp

    Sobald eine Aufgabe gestartet wurde, kann der Bericht der Aufgabe durch Klicken auf den Balken in der Spalte Status dargestellt werden. Für das Lesen, Verwalten und Herunterladen von Berichten siehe Kapitel 11.

    Sobald sich der Status zu Abgeschlossen ändert, ist der gesamte Bericht verfügbar. Zu jeder Zeit können Zwischenergebnisse angesehen werden (siehe Kapitel 11.2.1).

    Bemerkung

    Die Fertigstellung des Scans kann einige Zeit in Anspruch nehmen. Die Seite aktualisiert automatisch, falls neue Daten verfügbar sind.

  8. Wenn der Scan abgschlossen ist, Scans > Berichte in der Menüleiste wählen.

  9. Ergebnisse durch Klicken auf das Datum des Berichts anzeigen lassen.

    → Der Bericht zeigt jede gefundene CVE als Schwachstelle (siehe Abb. 10.21).

    _images/prognosis_scan_report-de.png

    Abb. 10.21 Ergebnisse eines Prognosescans

  10. Auf eine Schwachstelle und anschließend auf details klicken.

    → Die Detailseite der Schwachstelle wird geöffnet.

    Der VT, zu dem das Ergebnis zugeordnet ist, wird im Abschnitt Erkennungsmethode angezeigt (siehe Abb. 10.22). Durch Klicken auf den VT wird die Detailseite des zugehörigen VTs geöffnet.

    Tipp

    Für auf dieser Seite verfügbare Aktionen siehe Kapitel 11.2.1.

    _images/prognosis_scan_result-de.png

    Abb. 10.22 Details der gefundenen CVE

Bemerkung

Der CVE-Scanner zeigt möglicherweise Falsch-Positiv-Meldungen, da er nicht prüft, ob eine Schwachstelle wirklich vorhanden ist.

10.5 Container-Aufgaben nutzen

10.5.1 Eine Container-Aufgabe erstellen

Eine Container-Aufgabe kann zum Importieren und Bereitstellen von Berichten, die auf anderen GSMs erstellt wurden, genutzt werden.

Eine Container-Aufgabe kann wie folgt erstellt werden:

  1. Scans > Aufgaben in der Menüleiste wählen.

  2. Neue Container-Aufgabe durch Bewegen der Maus über new und Klicken auf Neue Container-Aufgabe erstellen.

  3. Namen der Container-Aufgabe in das Eingabefeld Name eingeben (siehe Abb. 10.23).

    _images/container_new-de.png

    Abb. 10.23 Erstellen einer Container-Aufgabe

  4. Auf Speichern klicken.

  5. In der Zeile der Container-Aufgabe auf import klicken, um einen Bericht zur Container-Aufgabe hinzuzufügen.

  6. Auf Browse… klicken und die XML-Datei des Berichts wählen (siehe Abb. 10.24).

    _images/container_import-de.png

    Abb. 10.24 Hinzufügen eines Berichts zu einer Container-Aufgabe

  7. Radiobutton Ja wählen, um den Bericht zu den Assets hinzuzufügen (siehe Kapitel 13).

  8. Auf Importieren klicken.

10.5.2 Container-Aufgaben verwalten

Listenseite

Alle vorhandenen Container-Aufgaben können angezeigt werden, indem Scans > Aufgaben in der Menüleiste gewählt wird.

Bemerkung

Container-Aufgaben sind durch status-container in der Spalte Status gekennzeichnet.

Für alle Container-Aufgaben sind die folgenden Aktionen verfügbar:

  • import Berichte in die Container-Aufgabe importieren.
  • trashcan Die Container-Aufgabe in den Papierkorb verschieben.
  • edit Die Container-Aufgabe bearbeiten.
  • clone Die Container-Aufgabe klonen.
  • export Die Container-Aufgabe als XML-Datei exportieren.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Aufgaben können mehrere Aufgaben zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Aufgaben in den Papierkorb verschoben oder exportiert werden.

Detailseite

Durch Klicken auf den Namen einer Container-Aufgabe werden Details der Container-Aufgabe angezeigt. Durch Klicken auf details wird die Detailseite der Container-Aufgabe geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über die Container-Aufgabe.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).
Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Container-Aufgaben anzeigen.
  • new Eine neue Aufgabe (siehe Kapitel 10.2.2) oder Container-Aufgabe (siehe Kapitel 10.5) erstellen.
  • clone Die Container-Aufgabe klonen.
  • edit Die Container-Aufgabe bearbeiten.
  • trashcan Die Container-Aufgabe in den Papierkorb verschieben.
  • export Die Container-Aufgabe als XML-Datei exportieren.
  • import Berichte in die Container-Aufgabe importieren.
  • report Den letzten Bericht der Container-Aufgabe oder alle Berichte der Container-Aufgabe anzeigen.
  • results Die Ergebnisse der Container-Aufgabe anzeigen.
  • note Die Notizen der Container-Aufgabe anzeigen.
  • results Die Übersteuerungen der Container-Aufgabe anzeigen.

10.6 Ziele verwalten

Listenseite

Alle vorhandenen Ziele können angezeigt werden, indem Konfiguration > Ziele in der Menüleiste gewählt wird.

Für alle Ziele werden die folgenden Informationen angezeigt:

Name
Name des Ziels.
Hosts
Hosts, die gescannt werden, falls das Ziel für einen Scan genutzt wird (siehe Kapitel 10.2.2).
IPs
Anzahl gescannter Hosts.
Portliste
Portliste, die genutzt wird, falls das Ziel für einen Scan genutzt wird (siehe Kapitel 10.2.2).
Anmeldedaten
Anmeldedaten, die für das Ziel konfiguriert wurden.

Für alle Ziele sind die folgenden Aktionen verfügbar:

  • trashcan Das Ziel in den Papierkorb verschieben. Nur Ziele, die aktuell nicht genutzt werden, können in den Papierkorb verschoben werden.
  • edit Das Ziel bearbeiten.
  • clone Das Ziel klonen.
  • export Das Ziel als XML-Datei exportieren.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Zielen können mehrere Ziele zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Ziele in den Papierkorb verschoben oder exportiert werden.

Detailseite

Durch Klicken auf den Namen eines Ziels werden Details des Ziels angezeigt. Durch Klicken auf details wird die Detailseite des Ziels geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über das Ziel.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).
Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Zielen anzeigen.
  • new Ein neues Ziel erstellen (siehe Kapitel 10.2.1).
  • clone Das Ziel klonen.
  • edit Das Ziel bearbeiten.
  • trashcan Das Ziel in den Papierkorb verschieben. Nur Ziele, die aktuell nicht genutzt werden, können in den Papierkorb verschoben werden.
  • export Das Ziel als XML-Datei exportieren.

10.7 Portlisten erstellen und verwalten

Falls Anwendungen auf unüblichen Ports laufen und mit dem GSM überwacht und geprüft werden sollen, sollten die standardmäßigen Portlisten angepasst werden. Falls nötig, kann eine individuelle Portliste, die die gewünschten Ports enthält, erstellt werden.

Alle Standardportlisten von Greenbone Networks sind Datenobjekte, die über den Feed verteilt werden. Sie werden mit jedem Feed-Update heruntergeladen und aktualisiert.

Falls keine Standardportlisten verfügbar sind, ist möglicherweise ein Feed-Update nötig oder der Feed Import Owner muss festgelegt werden (siehe Kapitel 7.2.1.9.1).

Standardportlisten können nicht bearbeitet werden. Außerdem können sie nur temporär vom Feed Import Owner oder von einem Super-Administrator gelöscht werden. Während des nächsten Feed-Updates werden sie wieder heruntergeladen.

Bemerkung

Um eine Standardportliste dauerhaft zu löschen, muss der Feed Import Owner sie löschen. Anschließend muss der Feed Import Owner auf (Unset) geändert werden (siehe Kapitel 7.2.1.9.1).

Zusätzlich zu den Standardportlisten können benutzerdefinierte Portlisten erstellt (siehe Kapitel 10.7.1) oder importiert (siehe Kapitel 10.7.2) werden.

10.7.1 Eine Portliste erstellen

Eine neue Portliste kann wie folgt erstellt werden:

  1. Konfiguration > Portlisten in der Menüleiste wählen.

  2. Neue Portliste durch Klicken auf new erstellen.

  3. Portliste definieren (siehe Abb. 10.25).

    _images/port_list_new-de.png

    Abb. 10.25 Erstellen einer neuen Portliste

  4. Auf Speichern klicken.

Die folgenden Details der Portliste können festgelegt werden:

Name
Festlegung des Namens. Der Name kann frei gewählt werden.
Kommentar
Ein optionaler Kommentar kann zusätzliche Informationen enthalten.
Portbereiche

Manuelle Eingabe des Portbereichs oder Importieren einer Liste von Portbereichen. Falls sie manuell eingegeben werden, werden die Portbereiche durch Kommas getrennt. Falls eine Datei importiert wird, können die Einträge durch Kommas oder durch Zeilenumbrüche getrennt werden. Die Datei sollte mit UTF-8 codiert sein.

Jeder Wert in der Liste kann ein einzelner Port (z. B. 7) oder ein Portbereich (z. B. 9-11) sein. Diese Optionen können gemischt werden (z. B. 5, 7, 9-11, 13).

Einem Eintrag in der Liste kann eine Protokollbezeichnung vorangestellt sein (T: für TCP, U: für UDP), z. B. T:1-3, U:7, 9-11 (TCP-Ports 1, 2 und 3, UDP-Ports 7, 9, 10 und 11). Falls keine Bezeichnung angegeben ist, wird TCP angenommen.

10.7.2 Eine Portliste importieren

Eine Portliste kann wie folgt importiert werden:

  1. Konfiguration > Portlisten in der Menüleiste wählen.

  2. Auf upload klicken.

  3. Auf Browse… klicken und die XML-Datei der Portliste wählen.

  4. Auf Importieren klicken.

    → Die importierte Portliste wird auf der Seite Portlisten angezeigt.

10.7.3 Portlisten verwalten

Listenseite

Alle vorhandenen Portlisten können angezeigt werden, indem Konfiguration > Portlisten in der Menüleiste gewählt wird.

Für alle Portlisten werden die folgenden Informationen angezeigt:

Name
Name der Portliste.
Summe
Gesamte Anzahl an Ports in der Portliste.
TCP
Anzahl an TCP-Ports in der Portliste.
UDP
Anzahl an UDP-Ports in der Portliste.

Für alle Portlisten sind die folgenden Aktionen verfügbar:

  • trashcan Die Portliste in den Papierkorb verschieben. Nur Portlisten, die aktuell nicht genutzt werden, können in den Papierkorb verschoben werden. Solange die Portliste nicht aus dem Papierkorb gelöscht wird, wird sie beim nächsten Feed-Update nicht neu heruntergeladen.
  • edit Die Portliste bearbeiten. Nur selbst erstellte Portlisten, die aktuell nicht genutzt werden, können bearbeitet werden.
  • clone Die Portliste klonen.
  • export Die Portliste als XML-Datei exportieren.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Portlisten können mehrere Portlisten zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Portlisten in den Papierkorb verschoben oder exportiert werden.

Detailseite

Durch Klicken auf den Namen einer Portliste werden Details der Portliste angezeigt. Durch Klicken auf details wird die Detailseite der Portliste geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über die Portliste.
Portbereiche
Alle Portbereiche in dieser Portliste. Der erste und letzte Port des Bereichs sowie die Protokollbezeichnung werden angezeigt.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).
Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Portlisten anzeigen.
  • new Eine neue Portliste erstellen (siehe Kapitel 10.7.1).
  • clone Die Portliste klonen.
  • edit Die Portliste bearbeiten. Nur selbst erstellte Portlisten, die aktuell nicht genutzt werden, können bearbeitet werden.
  • trashcan Die Portliste in den Papierkorb verschieben. Nur Portlisten, die aktuell nicht genutzt werden, können in den Papierkorb verschoben werden. Solange die Portliste nicht aus dem Papierkorb gelöscht wird, wird sie beim nächsten Feed-Update nicht neu heruntergeladen.
  • export Die Portliste als XML-Datei exportieren.

10.8 Aufgaben verwalten

Listenseite

Alle vorhandenen Aufgaben können angezeigt werden, indem Scans > Aufgaben in der Menüleiste gewählt wird.

_images/task_overview-de.png

Abb. 10.26 Seite Aufgaben mit allen vorhandenen Aufgaben

Für alle Aufgaben werden die folgenden Informationen angezeigt:

Name

Name der Aufgabe. Die folgenden Icons könnten angezeigt werden:

alterable_task Die Aufgabe ist als änderbar gekennzeichnet. Einige Einstellungen, die sonst gesperrt wären, sobald ein Bericht vorhanden ist, können bearbeitet werden.

sensor Die Aufgabe ist für die Durchführung auf einem Remote-Scanner konfiguriert (siehe Kapitel 16).

provide_view Die Aufgabe ist für einen oder mehrere andere Benutzer sichtbar.

view_other Die Aufgabe gehört einem anderen Benutzer.

Status

Aktueller Status der Aufgabe. Die folgenden Statusbalken sind möglich:

status-new-de Die Aufgabe wurde noch nicht ausgeführt, seitdem sie erstellt wurde.

status-requested-de Die Aufgabe wurde gerade gestartet. Der GSM bereitet den Scan vor.

status-run Die Aufgabe wird gerade ausgeführt. Die Prozentangabe basiert auf der Anzahl ausgeführter VTs auf den gewählten Hosts. Aus diesem Grund hängt der Wert nicht zwingend mit der bereits verstrichenen Zeit zusammen.

status-queued-de Der Scan wurde aus einem der folgenden Gründe zu einer Warteschlange hinzugefügt (gemäß dem Prinzip „first in, first out“):

  • Es werden bereits zu viele Scans ausgeführt und es ist kein Speicherplatz verfügbar, um den Scan zu starten. Der Scan wird gestartet, sobald die nötigen Ressourcen wieder verfügbar sind.
  • Der GSM führt ein Feed-Update durch und lädt momentan neue VTs.
  • Der GSM wurde gerade gestartet und lädt gerade die VTs.

Mehr Informationen befinden sich in Kapitel 17.3.

status-delete-de Die Aufgabe wurde gelöscht. Der tatsächliche Löschvorgang kann einige Zeit in Anspruch nehmen, da Berichte ebenfalls gelöscht werden müssen.

status-stopr-de Die Aufgabe wurde vor Kurzem aufgefordert, zu stoppen. Die Scanmaschine hat noch nicht auf die Anfrage reagiert.

status-stop-de Die Aufgabe wurde gestoppt. Der neueste Bericht ist möglicherweise noch nicht komplett. Andere Gründe für diesen Status können der Reboot des GSMs oder ein Stromausfall sein. Nach dem Neustart des Scanners wird die Aufgabe automatisch fortgesetzt.

status-resumereq-de Die Aufgabe wurde gerade fortgesetzt. Der GSM bereitet den Scan vor.

Beim Fortsetzen eines Scans werden alle nicht abgeschlossenen Hosts komplett aufs Neue gescannt. Die Daten der bereits vollständig gescannten Hosts bleiben erhalten.

status-error-de Ein Fehler ist aufgetreten und die Aufgabe wurde unterbrochen. Der neueste Bericht ist möglicherweise noch nicht komplett oder fehlt vollständig.

status-done-de Die Aufgabe wurde erfolgreich abgeschlossen.

status-container Die Aufgabe ist eine Container-Aufgabe.

status-upload-de Der Bericht wird gerade in die Container-Aufgabe hochgeladen.

Berichte
Anzahl der Berichte für die Aufgabe. Durch Klicken auf die Anzahl der Berichte wird die Seite Berichte geöffnet. Ein Filter ist angewendet, um nur die Berichte für die gewählte Aufgabe anzuzeigen.
Letzter Bericht
Datum und Zeit des neuesten Berichts. Durch Klicken auf die Angabe wird die Detailseite des neuesten Berichts geöffnet.
Schweregrad
Höchster Schweregrad, der durch den Scan gefunden wurde.
Trend
Änderung der Schwachstellen zwischen dem neuesten und dem zweitneuesten Bericht (siehe Kapitel 11.5).

Für alle Aufgaben sind die folgenden Aktionen verfügbar:

  • start Die Aufgabe starten. Nur Aufgaben, die aktuell nicht ausgeführt werden, können gestartet werden.
  • stop Die aktuell ausgeführte Aufgabe stoppen. Alle gefundenen Ergebnisse werden in der Datenbank gespeichert.
  • schedule Die Details des zugewiesenen Zeitplans anzeigen (nur für Aufgaben mit Zeitplan verfügbar, siehe Kapitel 10.10).
  • resume Die gestoppte Aufgabe fortsetzen. Alle nicht abgeschlossenen Hosts werden komplett aufs Neue gescannt. Die Daten der bereits vollständig gescannten Hosts bleiben erhalten.
  • trashcan Die Aufgabe in den Papierkorb verschieben.
  • edit Die Aufgabe bearbeiten.
  • clone Die Aufgabe klonen.
  • export Die Aufgabe als XML-Datei exportieren.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Aufgaben können mehrere Aufgaben zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Aufgaben in den Papierkorb verschoben oder exportiert werden.

Detailseite

Durch Klicken auf den Namen einer Aufgabe werden Details der Aufgabe angezeigt. Durch Klicken auf details wird die Detailseite der Aufgabe geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über die Aufgabe.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).
Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Aufgaben anzeigen.
  • new Eine neue Aufgabe (siehe Kapitel 10.2.2) oder Container-Aufgabe (siehe Kapitel 10.5) erstellen.
  • clone Die Aufgabe klonen.
  • edit Die Aufgabe bearbeiten.
  • trashcan Die Aufgabe in den Papierkorb verschieben.
  • export Die Aufgabe als XML-Datei exportieren.
  • start Die Aufgabe starten. Nur Aufgaben, die aktuell nicht ausgeführt werden, können gestartet werden.
  • stop Die aktuell ausgeführte Aufgabe stoppen. Alle gefundenen Ergebnisse werden in der Datenbank gespeichert.
  • resume Die gestoppte Aufgabe fortsetzen. Alle nicht abgeschlossenen Hosts werden komplett aufs Neue gescannt. Die Daten der bereits vollständig gescannten Hosts bleiben erhalten.
  • report Den letzten Bericht der Aufgabe oder alle Berichte der Aufgabe anzeigen.
  • results Die Ergebnisse der Aufgabe anzeigen.
  • note Die Notizen der Aufgabe anzeigen.
  • results Die Übersteuerungen der Aufgabe anzeigen.

10.8.1 Berechtigungen für eine Aufgabe erteilen

Auf der Detailseite einer Aufgabe können die Berechtigungen für die Aufgabe wie folgt verwaltet werden:

Bemerkung

Standardmäßig können normale Nutzer keine Berechtigungen für andere Nutzer erstellen, da sie keinen Zugriff auf die Nutzerdatenbank haben. Um in der Lage zu sein, Berechtigungen für andere Nutzer zu erstellen, benötigt ein Nutzer die globale und die spezifische get_users-Berechtigung (siehe Kapitel 9.4.3).

  1. Scans > Aufgaben in der Menüleiste wählen.
  2. Durch Klicken auf den Namen einer Aufgabe werden Details der Aufgabe angezeigt. Durch Klicken auf details wird die Detailseite der Aufgabe geöffnet.
  3. Auf den Register Berechtigungen klicken.
  4. Im Abschnitt Berechtigungen auf new klicken.
  5. Berechtigungsart in der Drop-down-Liste Gewähre wählen.
  6. Radiobutton Benutzer, Gruppe oder Rolle wählen und Benutzer/Gruppe/Rolle in der entsprechenden Drop-down-Liste wählen (siehe Abb. 10.27).
_images/task_permission-de.png

Abb. 10.27 Erstellen einer neuen Berechtigung

  1. Auf Speichern klicken.

    → Die Berechtigung wird auf der Detailseite der Aufgabe angezeigt (siehe Abb. 10.28).

    _images/task_permission_detailspage-de.png

    Abb. 10.28 Berechtigung auf der Detailseite der Aufgabe

Nach dem Einloggen kann der Benutzer die Aufgaben sehen und auf die entsprechenden Berichte zugreifen.

10.9 Scan-Konfigurationen konfigurieren und verwalten

Die GSM-Appliance bietet einige vordefinierte Scan-Konfigurationen. Diese können angepasst werden und neue Scan-Konfigurationen können erstellt werden.

10.9.1 Standard-Scan-Konfigurationen

Alle Standard-Scan-Konfigurationen von Greenbone Networks sind Datenobjekte, die über den Feed verteilt werden. Sie werden mit jedem Feed-Update heruntergeladen und aktualisiert.

Falls keine Standard-Scan-Konfigurationen verfügbar sind, ist möglicherweise ein Feed-Update nötig oder der Feed Import Owner muss festgelegt werden (siehe Kapitel 7.2.1.9.1).

Standard-Scan-Konfigurationen können nicht bearbeitet werden. Außerdem können sie nur temporär vom Feed Import Owner oder von einem Super-Administrator gelöscht werden. Während des nächsten Feed-Updates werden sie wieder heruntergeladen.

Bemerkung

Um eine Standard-Scan-Konfiguration dauerhaft zu löschen, muss der Feed Import Owner sie löschen. Anschließend muss der Feed Import Owner auf (Unset) geändert werden (siehe Kapitel 7.2.1.9.1).

Zusätzlich zu den Standard-Scan-Konfigurationen können benutzerdefinierte Scan-Konfigurationen erstellt (siehe Kapitel 10.9.2) oder importiert (siehe Kapitel 10.9.3) werden.

Die folgenden Scan-Konfigurationen sind standardmäßig verfügbar:

Empty

Diese Scan-Konfiguration ist ein leeres Template und enthält keine VTs. Sie kann geklont werden und damit als Vorlage für komplett individuell erstellte Scan-Konfigurationen dienen.

Die VT-Familien sind statisch, das heißt neue VTs der gewählten VT-Familien werden nicht automatisch hinzugefügt und berücksichtigt.

Base

Diese Scan-Konfiguration nutzt nur VTs, die Informationen über das Zielsystem sammeln. Dabei werden keine Schwachstellen erkannt. Sie kann geklont werden und damit als Vorlage für komplett individuell erstellte Scan-Konfigurationen dienen.

Es wird der Portscanner Ping Host genutzt, welcher erkennt, ob ein Host erreichbar ist. Außerdem werden Informationen über das Betriebssystem gesammelt.

Die VT-Familien sind statisch, das heißt neue VTs der gewählten VT-Familien werden nicht automatisch hinzugefügt und berücksichtigt.

Discovery

Diese Scan-Konfiguration nutzt nur VTs, die Informationen über das Zielsystem sammeln. Dabei werden keine Schwachstellen erkannt.

Zu den gesammelten Informationen gehören unter anderem Informationen über offene Ports, genutzte Hardware, Firewalls, genutzte Dienste, installierte Software und Zertifikate. Das System wird komplett inventarisiert.

Die VT-Familien sind dynamisch, das heißt neue VTs der gewählten VT-Familien werden automatisch hinzugefügt und berücksichtigt.

Host Discovery

Diese Scan-Konfiguration wird nur zum Erkennen der Zielsysteme genutzt. Dabei werden keine Schwachstellen erkannt.

Es wird der Portscanner Ping Host genutzt, welcher erkennt, ob ein Host erreichbar ist.

Die VT-Familien sind statisch, das heißt neue VTs der gewählten VT-Familien werden nicht automatisch hinzugefügt und berücksichtigt.

System Discovery

Diese Scan-Konfiguration wird nur zum Erkennen der Zielsysteme, der Betriebssysteme und der verwendeten Hardware genutzt. Dabei werden keine Schwachstellen erkannt.

Es wird der Portscanner Ping Host genutzt, welcher erkennt, ob ein Host erreichbar ist.

Die VT-Familien sind statisch, das heißt neue VTs der gewählten VT-Familien werden nicht automatisch hinzugefügt und berücksichtigt.

Full and fast

Für viele Umgebungen ist das für den Anfang die beste Option.

Diese Scan-Konfiguration basiert auf den Informationen, die in einem vorherigen Portscan gesammelt wurden und nutzt fast alle VTs. Nur VTs, die das Zielsystem nicht beschädigen, werden genutzt. VTs sind bestmöglich optimiert, um die potentielle Falsch-Positiv-Rate besonders niedrig zu halten. Die anderen „Full“-Konfigurationen bieten nur in selten Fällen einen Mehrwert bei höherem Aufwand.

Die VT-Familien sind dynamisch, das heißt neue VTs der gewählten VT-Familien werden automatisch hinzugefügt und berücksichtigt.

Full and fast ultimate

Diese Scan-Konfiguration erweitert die Scan-Konfiguration Full and fast mit VTs, die Dienst- oder Systemstörungen oder sogar Abstürze hervorrufen könnten.

Die VT-Familien sind dynamisch, das heißt neue VTs der gewählten VT-Familien werden automatisch hinzugefügt und berücksichtigt.

Full and very deep

Diese Scan-Konfiguration basiert auf der Scan-Konfiguration Full and fast, allerdings haben die Ergebnisse des Portscans oder der Anwendungs-/Diensterkennung keinen Einfluss auf die Auswahl der VTs. Deshalb werden VTs genutzt, die auf einen Timeout warten oder die nach Schwachstellen einer Anwendung/eines Diensts suchen, die vorher nicht entdeckt wurden. Ein Scan mit dieser Scan-Konfiguration ist sehr langsam.

Die VT-Familien sind dynamisch, das heißt neue VTs der gewählten VT-Familien werden automatisch hinzugefügt und berücksichtigt.

Full and very deep ultimate

Diese Scan-Konfiguration erweitert die Scan-Konfiguration Full and very deep mit gefährlichen VTs, die Dienst- und Systemstörungen hervorrufen können. Ein Scan mit dieser Scan-Konfiguration ist sehr langsam.

Die VT-Familien sind dynamisch, das heißt neue VTs der gewählten VT-Familien werden automatisch hinzugefügt und berücksichtigt.

10.9.2 Eine Scan-Konfiguration erstellen

Tipp

Greenbone Networks bietet unterschiedliche Scan-Konfigurationen auf seiner Website (siehe Kapitel 12).

Eine neue Scan-Konfiguration kann wie folgt erstellt werden:

  1. Konfiguration > Scan-Konfigurationen in der Menüleiste wählen.

  2. Neue Scan-Konfiguration durch Klicken auf new erstellen.

    Bemerkung

    Alternativ kann eine Scan-Konfiguration importiert werden (siehe Kapitel 10.9.3).

  3. Namen der Scan-Konfiguration in das Eingabefeld Name eingeben (siehe Abb. 10.29).

  4. Radiobutton der Basis, die genutzt werden soll, wählen.

    Es kann zwischen Base with a minimum set of NVTs, Empty, static and fast, Full and fast und einer bereits erstellten Scan-Konfiguration gewählt werden.

    _images/scan_config_new-de.png

    Abb. 10.29 Erstellen einer neuen Scan-Konfiguration

  5. Auf Speichern klicken.

    → Die Scan-Konfiguration wird erstellt und auf der Seite Scan-Konfigurationen angezeigt.

  6. In der Zeile der Scan-Konfiguration auf edit klicken.

  7. Im Abschnitt Familien von Network Vulnerability Tests bearbeiten den Radiobutton trend_more wählen, falls neue VT-Familien automatisch hinzugefügt und aktiviert werden sollen (siehe Abb. 10.30).

    _images/scan_config_edit-de.png

    Abb. 10.30 Bearbeiten der neuen Scan-Konfiguration

  8. Im Abschnitt Familien von Network Vulnerability Tests bearbeiten die Checkboxen Alle NVTs auswählen aktivieren, falls alle VTs einer Familie aktiviert werden sollen.

  9. Für eine VT-Familie auf edit klicken, um sie zu bearbeiten (siehe Abb. 10.31).

    Bemerkung

    Die folgenden VT-Familien können nicht bearbeitet werden:

    • CentOS Local Security Checks
    • Debian Local Security Checks
    • Fedora Local Security Checks
    • Huawei EulerOS Local Security Checks
    • Oracle Linux Local Security Checks
    • Red Hat Local Security Checks
    • SuSE Local Security Checks
    • Ubuntu Local Security Checks
    _images/scan_config_edit_family-de.png

    Abb. 10.31 Eine VT-Familie bearbeiten

  10. Die Checkboxen der VTs, die aktiviert werden sollen, in der Spalte Ausgewählt aktivieren.

  11. Für einen VT auf edit klicken, um ihn zu bearbeiten (siehe Abb. 10.32).

    Bemerkung

    Falls das Bearbeiten eines VT das Hochladen einer Textdatei beinhaltet, sollte die Datei mit UTF-8 codiert sein.

    _images/scan_config_edit_nvt-de.png

    Abb. 10.32 Bearbeiten eines VTs

  12. Auf Speichern klicken, um den VT zu speichern.

  13. Auf Speichern klicken, um die VT-Familie zu speichern.

  14. Optional: Scanner-Vorgaben bearbeiten (siehe Kapitel 10.9.4).

  15. Optional: VT-Vorgaben bearbeiten (siehe Kapitel 10.9.5).

  16. Auf Speichern klicken, um die Scan-Konfiguration zu speichern.

10.9.3 Eine Scan-Konfiguration importieren

Bemerkung

Es können nur Scan-Konfigurationen, die mit GOS 6 erstellt wurden, importiert werden. Das Importieren älterer Scan-Konfigurationen ist nicht möglich und führt zu einer Fehlermeldung.

Eine Scan-Konfiguration kann wie folgt importiert werden:

  1. Konfiguration > Scan-Konfigurationen in der Menüleiste wählen.

  2. Auf upload klicken.

  3. Auf Browse klicken und die XML-Datei der Scan-Konfiguration wählen.

  4. Auf Importieren klicken.

    Bemerkung

    Falls der Name der importierten Scan-Konfiguration bereits vorhanden ist, wird ein Zusatz an den Namen angehängt.

    → Die importierte Scan-Konfiguration wird auf der Seite Scan-Konfigurationen angezeigt.

  5. Schritte 6 bis 16 aus Kapitel 10.9.2 durchführen, um die Scan-Konfiguration zu bearbeiten.

10.9.4 Die Scanner-Vorgaben bearbeiten

Die Scanner-Vorgaben können wie folgt bearbeitet werden:

  1. Konfiguration > Scan-Konfigurationen in der Menüleiste wählen.

  2. In der Zeile der Scan-Konfiguration auf edit klicken.

  3. Im Abschnitt Scanner-Vorgaben bearbeiten auf fold klicken, um die Scanner-Vorgaben zu bearbeiten (siehe Abb. 10.33).

    _images/scan_config_edit_scannerpref-de.png

    Abb. 10.33 Bearbeiten der Scanner-Vorgaben

  4. Nach dem Bearbeiten der Scanner-Vorgaben auf Speichern klicken, um die Scan-Konfiguration zu speichern.

10.9.4.1 Beschreibung der Scanner-Vorgaben

Bemerkung

Das Dokumentieren aller Scanner-Vorgaben wäre für dieses Handbuch zu umfangreich. Nur die wichtigsten Vorgaben der Scanner werden abgedeckt.

Nicht dokumentierte Vorgaben könnten auch veraltet sein, obwohl sie noch sichtbar sind. Diese Vorgaben werden vom Scanner ignoriert und sollten nicht beachtet werden.

  • auto_enable_dependencies: Dies legt fest, ob VTs, die von anderen VTs benötigt werden, automatisch aktiviert werden.
  • cgi_path: Pfad, der von den VTs genutzt wird, um auf CGI-Skripte zuzugreifen.
  • checks_read_timeout: Timeout für die Netzwerksockets während eines Scans.
  • test_empty_vhost: Der Scanner scannt das Ziel auch unter Nutzung leerer vhost-Werte, zusätzlich zu den dem Ziel zugewiesenen vhost-Werten.
  • max_sysload: Maximale Last auf dem GSM. Wenn diese Last erreicht wird, werden keine weiteren VTs gestartet, bis die Last wieder unter den angegebenen Wert sinkt.
  • min_free_mem: Minimal verfügbarer Speicher (in MB), der auf dem GSM freigehalten werden sollte. Wenn dieses Limit erreicht wird, werden keine weiteren VTs gestartet, bis wieder ausreichend Speicher verfügbar ist.
  • non_simult_ports: Diese Ports werden nicht gleichzeitig von VTs geprüft.
  • optimize_test: VTs werden nur gestartet, falls bestimmte Voraussetzungen erfüllt werden (z. B. offene Ports oder erkannte Anwendungen).
  • plugins_timeout: Maximale Laufzeit eines VTs.
  • safe_checks: Einige VTs können Schaden am Hostsystem anrichten. Diese Einstellung deaktiviert die entsprechenden VTs.
  • scanner_plugins_timeout: Maximale Laufzeit (in Sekunden) für alle VTs der VT-Familie Port scanners. Falls ein VT länger läuft, wird er abgebrochen.
  • expand_vhosts: Die Hostliste des Ziels wird mit Werten erweitert, die durch Quellen wie Invers-Lookup-Anfragen und VT-Prüfungen für SSL/TLS-Zertifikate erhalten wurden.
  • time_between_request: Wartezeit (in Millisekunden) zwischen zwei Aktionen wie dem Öffnen eines TCP-Sockets, dem Senden einer Anfrage durch das offene TCP-Socket und dem Schließen des TCP-Sockets.
  • timeout_retry: Anzahl an neuen Versuchen, falls eine Socketverbindung einen Timeout hat.
  • unscanned_closed: Dies legt fest, ob TCP-Ports, die nicht gescannt wurden, wie geschlossene Ports behandelt werden sollen.
  • unscanned_closed_udp: Dies legt fest, ob UDP-Ports, die nicht gescannt wurden, wie geschlossene Ports behandelt werden sollen.

10.9.5 Die VT-Vorgaben bearbeiten

  1. Konfiguration > Scan-Konfigurationen in der Menüleiste wählen.
  2. In der Zeile der Scan-Konfiguration auf edit klicken.
  3. Im Abschnitt Vorgaben für Network Vulnerability Tests auf fold klicken, um die Vorgaben für jeden VT anzuzeigen.
  4. In der Zeile der VT-Vorgabe auf edit klicken.
  5. VT-Vorgabe bearbeiten.
  6. Auf Speichern klicken, um die VT-Vorgabe zu speichern.
  7. Auf Speichern klicken, um die Scan-Konfiguration zu speichern.

10.9.5.1 Beschreibung der VT-Vorgaben

Bemerkung

Das Dokumentieren aller VT-Vorgaben wäre für dieses Handbuch zu umfangreich. Nur die VT-Vorgaben der Portscanner Nmap und Ping Host werden abgedeckt.

10.9.5.1.1 Vorgaben des VT Ping Host

Bemerkung

Die meisten der Ping Host-Parameter werden in GOS 21.04 nicht mehr unterstützt, da sie mit dem neuen Boreas-Erreichbarkeitsscanner inkompatibel sind. Parameter, die hier nicht dokumentiert sind, werden nicht unterstützt und sind möglicherweise nicht funktionsfähig.

Der VT Ping Host in der VT-Familie Port scanners enthält den folgenden Konfigurationsparameter:

  • Report about reachable Hosts: Dies legt fest, ob ein Host, der von diesem VT gefunden wurde, gelistet werden soll.
10.9.5.1.2 Vorgaben des VT Nmap (NASL wrapper)

Die folgenden Optionen des VT Nmap (NASL wrapper) der VT-Familie Port scanners werden direkt in Optionen für die Ausführung des Nmap-Befehls übersetzt. Zusätzliche Informationen können in der Dokumentation für Nmap gefunden werden.

  • Do not randomize the order in which ports are scanned: Nmap scannt die Ports in aufsteigender Reihenfolge.
  • Do not scan targets not in the file: Siehe File containing grepable results.
  • Fragment IP packets: Nmap teilt die Pakete für die Angriffe. Dies erlaubt es, einfache Paketfilter zu umgehen.
  • Identify the remote OS: Nmap versucht, das Betriebssystem zu identifizieren.
  • RPC port scan: Nmap prüft das System auf Sun-RPC-Ports.
  • Run dangerous ports even if safe checks are set: UDP- und RPC-Scans können Probleme verursachen und sind normalerweise durch die Einstellung safe_checks deaktiviert. Mit dieser Einstellung können sie trotzdem aktiviert werden.
  • Service scan: Nmap versucht, Dienste zu identifizieren.
  • Use hidden option to identify the remote OS: Nmap führt die Identifikationen aggressiver durch.
  • Data length: Nmap fügt zufällige Daten bestimmter Länger zum Paket hinzu.
  • Host Timeout: Host-Timeout.
  • Initial RTT timeout: Ursprünglicher Timeout der Paketumlaufzeit. Nmap kann diesen Timeout, abhängig von der Ergebnissen, anpassen.
  • Max RTT timeout: Maximale Paketumlaufzeit.
  • Min RTT timeout: Minimale Paketumlaufzeit.
  • Max Retries: Maximale Anzahl an neuen Versuchen.
  • Maximum wait between probes: Dies steuert die Geschwindigkeit des Scans.
  • Minimum wait between probes: Dies steuert die Geschwindigkeit des Scans.
  • Ports scanned in parallel (max): Dies legt fest, wie viele Ports maximal gleichzeitig gescannt werden sollten.
  • Ports scanned in parallel (min): Dies legt fest, wie viele Ports minimal gleichzeitig gescannt werden sollten.
  • Source port: Dies ist der Quellport. Dies ist von Interesse, wenn durch eine Firewall gescannt wird, falls Verbindungen von einem bestimmten Port allgemein erlaubt sind.
  • File containing grepable results: Ermöglicht die Festlegung einer Datei, die Zeilen in der Form Host: IP address enthält. Falls die Option Do not scan targets not in the file zur gleichen Zeit aktiviert ist, werden nur Systeme, die in dieser Datei enthalten sind, gescannt.
  • TCP scanning technique: Tatsächliche Scantechnik.
  • Timing policy: Statt die Zeitwerte einzeln zu ändern, kann auch die Timing-Richtlinie verändert werden.

Die Timing-Richtlinie nutzt folgende Werte:

Paranoid Sneaky Polite Normal Aggressive Insane
initial_rtt_timeout 5 min 15 s 1 s 1 s 500 ms 250 ms
min_rtt_timeout 100 ms 100 ms 100 ms 100 ms 100 ms 50 ms
max_rtt_timeout 10 s 10 s 10 s 10 s 1250 ms 300 ms
max_parallelism seriell seriell seriell parallel parallel parallel
scan_delay 5 min 15 s 400 ms 0 s 0 s 0 s
max_scan_delay 1 s 1 s 1 s 1 s 10 ms 5 ms

10.9.6 Scan-Konfigurationen verwalten

Listenseite

Alle vorhandenen Scan-Konfigurationen können angezeigt werden, indem Konfiguration > Scan-Konfigurationen in der Menüleiste gewählt wird (siehe Abb. 10.34).

Für alle Scan-Konfigurationen werden die folgenden Informationen angezeigt:

Name
Name der Scan-Konfiguration.
Typ
Art der Scan-Konfiguration.
Familie – Summe
Anzahl der aktivierten VT-Familien für die Scan-Konfiguration.
Familie – Trend

Trend der VT-Familien

trend_more Nach einem Feed-Update werden neue VT-Familien automatisch hinzugefügt und aktiviert. Dies stellt sicher, dass neue VTs sofort und ohne durch den Administrator notwendige Handlungen verfügbar sind.

trend_nochange Nach einem Feed-Update werden neue VT-Familien nicht automatisch hinzugefügt.

NVTs – Summe
Anzahl der aktivierten VTs für die Scan-Konfiguration.
NVTs – Trend

Trend der VTs.

trend_more Nach einem Feed-Update werden neue VTs der aktivierten VT-Familien automatisch hinzugefügt und aktiviert. Dies stellt sicher, dass neue VTs sofort und ohne durch den Administrator notwendige Handlungen verfügbar sind.

trend_nochange Nach einem Feed-Update werden neue VTs nicht automatisch hinzugefügt.

Bemerkung

Greenbone Networks veröffentlich regelmäßig neue VTs. Neue VT-Familien können ebenfalls durch den Greenbone Security Feed hinzugefügt werden.

_images/scan_configs_all-de.png

Abb. 10.34 Seite Scan-Konfigurationen mit allen verfügbaren Scan-Konfigurationen

Für alle Scan-Konfigurationen sind die folgenden Aktionen verfügbar:

  • trashcan Die Scan-Konfiguration in den Papierkorb verschieben. Nur Scan-Konfigurationen, die aktuell nicht genutzt werden, können in den Papierkorb verschoben werden. Solange die Scan-Konfiguration nicht aus dem Papierkorb gelöscht wird, wird sie beim nächsten Feed-Update nicht neu heruntergeladen.
  • edit Die Scan-Konfiguration bearbeiten. Nur selbst erstellte Scan-Konfigurationen, die aktuell nicht genutzt werden, können bearbeitet werden.
  • clone Die Scan-Konfiguration klonen.
  • export Die Scan-Konfiguration als XML-Datei exportieren.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Scan-Konfigurationen können mehrere Scan-Konfigurationen zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Scan-Konfigurationen in den Papierkorb verschoben oder exportiert werden.

Detailseite

Durch Klicken auf den Namen einer Scan-Konfiguration werden Details der Scan-Konfiguration angezeigt. Durch Klicken auf details wird die Detailseite der Scan-Konfiguration geöffnet.

Die folgenden Register sind verfügbar:

Scanner-Vorgaben
Alle Scanner-Vorgaben für die Scan-Konfiguration mit aktuellen und Standardwerten (siehe Kapitel 10.9.4.1).
NVT-Familien
Alle VT-Familien für die Scan-Konfiguration mit der Anzahl aktivierter VTs und dem Trend.
NVT-Vorgaben
Alle VT-Vorgaben für die Scan-Konfiguration (siehe Kapitel 10.9.5.1).
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).
Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Scan-Konfigurationen anzeigen.
  • new Eine neue Scan-Konfiguration erstellen (siehe Kapitel 10.9.2).
  • clone Die Scan-Konfiguration klonen.
  • edit Die Scan-Konfiguration bearbeiten. Nur selbst erstellte Scan-Konfigurationen, die aktuell nicht genutzt werden, können bearbeitet werden.
  • trashcan Die Scan-Konfiguration in den Papierkorb verschieben. Nur Scan-Konfigurationen, die aktuell nicht genutzt werden, können in den Papierkorb verschoben werden. Solange die Scan-Konfiguration nicht aus dem Papierkorb gelöscht wird, wird sie beim nächsten Feed-Update nicht neu heruntergeladen.
  • export Die Scan-Konfiguration als XML-Datei exportieren.
  • upload Eine Scan-Konfiguration importieren (siehe Kapitel 10.9.3).

10.10 Einen geplanten Scan ausführen

Für ein durchgehendes Schwachstellenmanagement ist das manuelle Ausführen von Aufgaben umständlich. Der GSM unterstützt zur Automatisierung die Zeitplanung von Aufgaben und bezeichnet automatische Scans zu festgelegten Zeiten als Zeitpläne. Sie können einmalig oder wiederholt ausgeführt werden.

Der GSM stellt standardmäßig keine Zeitpläne bereit.

10.10.1 Einen Zeitplan erstellen

Ein neuer Zeitplan kann wie folgt erstellt werden:

  1. Konfiguration > Zeitpläne in der Menüleiste wählen.

  2. Neuen Zeitplan durch Klicken auf new erstellen.

  3. Zeitplan definieren (siehe Abb. 10.35).

  4. Auf Speichern klicken.

    → Der Zeitplan wird erstellt und kann beim Erstellen einer neuen Aufgabe gewählt werden (siehe Kapitel 10.2.2).

    _images/schedule_new-de.png

    Abb. 10.35 Erstellen eines neuen Zeitplans

Die folgenden Details des Zeitplans können festgelegt werden:

Name
Festlegung des Namens. Der Name kann frei gewählt werden.
Kommentar
Ein optionaler Kommentar kann zusätzliche Informationen enthalten.
Zeitzone

Festlegen der Zeitzone, auf die sich die Zeit bezieht. UTC ist standardmäßig eingestellt.

Bemerkung

Da der GSM intern in der Zeitzone UTC läuft, ist die gewählte Zeitzone sehr wichtig. Für Eastern Standard Time (EST) muss America/New York gewählt werden.

Erste Ausführung

Festlegen des Datums und der Uhrzeit für den Start des ersten Scans.

Durch Klicken auf calendar kann das Datum gewählt werden. Durch Klicken auf Now werden das aktuelle Datum und die aktuelle Zeit für den ersten Durchlauf festgelegt.

Endet am

Festlegen des Datums und der Uhrzeit für das Ende des ersten Scans.

Durch Klicken auf calendar kann das Datum gewählt werden. Durch Aktivieren der Checkbox Offenes Ende kann die Endzeit offen gelassen werden.

Laufzeit
Festlegen der maximalen Laufzeit, die eine Aufgabe für ihre Ausführung andauern kann. Die Dauer hängt von der angegebenen Start- und Endzeit ab. Falls eine Endzeit festgelegt wurde und diese Zeit abläuft, wird die Aufgabe abgebrochen und ausgesetzt, bis das nächste planmäßige Zeitfenster verfügbar ist. So kann sichergestellt werden, dass der Scan immer in einem bestimmten (Wartungs-)Zeitfenster ausgeführt wird.
Wiederholung
Festlegen der Wiederholrate der Aufgabe. Es kann zwischen Einmalig, Stündlich, Täglich, Wöchentlich, Monatlich, Jährlich, Werktage (Montag bis Freitag) oder Benutzerdefiniert… gewählt werden. Falls die Option Benutzerdefiniert… gewählt wird, können die Wiederholrate und die Tage, an denen die Aufgabe ausgeführt werden soll, gewählt werden.

10.10.2 Zeitpläne verwalten

Listenseite

Alle vorhandenen Zeitpläne können angezeigt werden, indem Konfiguration > Zeitpläne in der Menüleiste gewählt wird.

Für alle Zeitpläne werden die folgenden Informationen angezeigt:

Name
Name des Zeitplans.
Erste Ausführung
Startzeit der ersten Ausführung der Aufgabe.
Nächste Ausführung
Nächste Ausführung der Aufgabe gemäß des aktuellen Datums und der aktuellen Zeit.
Wiederholung
Wiederholrate der Aufgabe.
Laufzeit
Maximalen Laufzeit, die eine Aufgabe für ihre Ausführung andauern kann. Die Dauer hängt von der angegebenen Start- und Endzeit ab. Falls eine Endzeit festgelegt wurde und diese Zeit abläuft, wird die Aufgabe abgebrochen und ausgesetzt, bis das nächste planmäßige Zeitfenster verfügbar ist. So kann sichergestellt werden, dass der Scan immer in einem bestimmten (Wartungs-)Zeitfenster ausgeführt wird.

Für alle Zeitpläne sind die folgenden Aktionen verfügbar:

  • trashcan Den Zeitplan in den Papierkorb verschieben. Nur Zeitpläne, die aktuell nicht genutzt werden, können in den Papierkorb verschoben werden.
  • edit Den Zeitplan bearbeiten.
  • clone Den Zeitplan klonen.
  • export Den Zeitplan als XML-Datei exportieren.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Zeitplänen können mehrere Zeitpläne zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Zeitpläne in den Papierkorb verschoben oder exportiert werden.

Detailseite

Durch Klicken auf den Namen eines Zeitplans werden Details des Zeitplans angezeigt. Durch Klicken auf details wird die Detailseite des Zeitplans geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über den Zeitplan.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).
Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Zeitplänen anzeigen.
  • new Einen neuen Zeitplan erstellen (siehe Kapitel 10.10.1).
  • clone Den Zeitplan klonen.
  • edit Den Zeitplan bearbeiten.
  • delete Den Zeitplan in den Papierkorb verschieben. Nur Zeitpläne, die aktuell nicht genutzt werden, können in den Papierkorb verschoben werden.
  • export Den Zeitplan als XML-Datei exportieren.

10.11 Scanner erstellen und verwalten

Die GSM-Appliance bietet zwei voreingestellte Scanner. Diese können verwaltet werden und neue Scanner können erstellt werden.

Die folgenden Scanner sind bereits verfügbar:

  • OpenVAS Default
  • CVE: Der CVE-Scanner ermöglicht das Vorhersagen eventueller Sicherheitsrisiken, basierend auf aktuellen Informationen über bekannte Schwachstellen aus den Sicherheitsinfos (siehe Kapitel 14), ohne dass ein neuer Scan nötig ist (siehe Kapitel 10.4).

Bemerkung

Der gewünschte Scanner für eine Aufgabe kann beim Erstellen der Aufgabe gewählt werden (siehe Kapitel 10.2.2).

10.11.1 Einen Scanner erstellen

Bemerkung

Das Erstellen eines neuen Scanners ist nur in den folgenden Fällen möglich:

  • Erstellen eines neuen Remote-Scanners (siehe Kapitel 16.4)
  • Erstellen eines OSP-Scanners (siehe Kapitel 18.1)

10.11.2 Scanner verwalten

Listenseite

Alle vorhandenen Scanner können angezeigt werden, indem Konfiguration > Scanner in der Menüleiste gewählt wird (siehe Abb. 10.36).

Für alle Scanner sind die folgenden Aktionen verfügbar:

  • trashcan Den Scanner in den Papierkorb verschieben. Nur selbst erstellte Scanner können in den Papierkorb verschoben werden.
  • edit Den Scanner bearbeiten. Nur selbst erstellte Scanner können bearbeitet werden.
  • clone Den Scanner klonen. Nur selbst erstellte Scanner können geklont werden.
  • export Den Scanner als XML-Datei exportieren.
  • verify Verifizieren, dass der Scanner online ist und dass sich der Manager mithilfe der bereitgestellten Zertifikate und Anmeldedaten mit ihm verbinden kann.
  • download_key Das Zertifikat oder das Zertifikat der Zertifizierungsstelle herunterladen. Das Zertifikat oder das Zertifikat der Zertifizierungsstelle kann nur für selbst erstellte Scanner heruntergeladen werden.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Scannern können mehrere Scanner zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Scanner in den Papierkorb verschoben oder exportiert werden.

_images/scanner_listpage-de.png

Abb. 10.36 Seite Scanner mit allen vorhandenen Scannern

Detailseite

Durch Klicken auf den Namen eines Scanners werden Details des Scanners angezeigt. Durch Klicken auf details wird die Detailseite des Scanners geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über den Scanner.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).
Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Scannern anzeigen.
  • new Einen neuen Scanner erstellen (siehe Kapitel 10.11.1).
  • clone Den Scanner klonen. Nur selbst erstellte Scanner können geklont werden.
  • edit Den Scanner bearbeiten. Nur selbst erstellte Scanner können bearbeitet werden.
  • trashcan Den Scanner in den Papierkorb verschieben. Nur selbst erstellte Scanner können in den Papierkorb verschoben werden.
  • export Den Scanner als XML-Datei exportieren.
  • verify Verifizieren, dass der Scanner online ist und dass sich der Manager mithilfe der bereitgestellten Zertifikate mit ihm verbinden kann.

10.12 Benachrichtigungen nutzen

Benachrichtigungen sind im System verankert. Falls ein konfiguriertes Ereignis (z. B. eine Aufgabe ist abgeschlossen) geschieht, wird eine festgelegte Bedingung (z. B. es wurde eine Schwachstelle mit hohem Schweregrad gefunden) geprüft. Falls die Bedingung erfüllt wird, wird eine Aktion ausgeführt (z. B. eine E-Mail wird an eine bestimmte Adresse gesendet).

10.12.1 Eine Benachrichtigung erstellen

Eine neue Benachrichtigung kann wie folgt erstellt werden:

  1. Konfiguration > Benachrichtigungen in der Menüleiste wählen.

  2. Neue Benachrichtigung durch Klicken auf new erstellen.

  3. Benachrichtigung definieren (siehe Abb. 10.37).

  4. Auf Speichern klicken.

    _images/alert_new-de.png

    Abb. 10.37 Erstellen einer neuen Benachrichtigung

Die folgenden Details der Benachrichtigung können festgelegt werden:

Name
Festlegung des Namens. Der Name kann frei gewählt werden.
Kommentar
Ein optionaler Kommentar kann zusätzliche Informationen enthalten.
Ereignis
Festlegen des Ereignisses, für das die Benachrichtigung gesendet wird. Benachrichtigungen können gesendet werden, falls sich der Status einer Aufgabe ändert, Sicherheitsinfos (VTs, CVEs, CPEs, CERT-Bund-Advisories, DFN-CERT-Advisories, OVAL-Definitionen) hinzugefügt werden oder ein Ticket zugewiesen oder geändert wird (siehe Kapitel 11.6).
Bedingung

Festlegen der zusätzlichen Bedingungen, die erfüllt werden müssen.

Bemerkung

Die Optionen unterscheiden sich für Benachrichtigungen in Verbindung mit Aufgaben, Sicherheitsinfos und Tickets.

Die Benachrichtigung kann auftreten, wenn:

  • Immer
  • Falls ein bestimmter Schweregrad erreicht wird.
  • Falls der Schweregrad sich ändert, erhöht oder sinkt.
  • Falls der Powerfilter mindestens der angegebenen Anzahl von Ergebnissen mehr im Vergleich zum vorherigen Scan entspricht.
Berichtinhalt (nur für Benachrichtigungen in Verbindung mit Aufgaben)
Der Berichtinhalt kann mit einem zusätzlichen Filter beschränkt werden. Durch Klicken auf report kann der Inhalt des Berichts zusammengestellt und ein Powerfilter gewählt werden (siehe Kapitel 11.2.2). Der Filter muss zuvor erstellt werden (siehe Kapitel 8.4).
Details-URL (nur für Benachrichtigungen in Verbindung mit Sicherheitsinfos)
Festlegen der URL, von der die Sicherheitsinfos erhalten werden.
Delta-Bericht (nur für Benachrichtigungen in Verbindung mit Aufgaben)
Optional kann ein Delta-Bericht erstellt werden, entweder als Vergleich mit einem vorherigen Bericht oder mit einem Bericht mit einer bestimmten ID.
Methode

Wählen der Methode der Benachrichtigung. Nur eine Methode kann pro Benachrichtigung gewählt werden. Falls unterschiedliche Benachrichtigungen für das gleiche Ereignis ausgelöst werden soll, müssen mehrere Benachrichtigungen erstellt und mit dem gleichen Ereignis verknüpft werden.

Bemerkung

Einige Methoden können nicht für Benachrichtigungen in Verbindung mit Sicherheitsinfos oder Tickets genutzt werden.

Die folgenden Methoden sind möglich:

E-Mail

Der Bericht wird an eine angegebene E-Mail-Adresse gesendet.

Um diese Methode nutzen zu können, muss der verwendete Mailserver mithilfe des GOS-Administrationsmenüs konfiguriert sein (siehe Kapitel 7.2.11).

Die Einstellungen Empfängeradresse, Senderadresse und Inhalte müssen konfiguriert werden, damit die E-Mail-Benachrichtigung funktioniert. Die E-Mail-Verschlüsselung ist optional.

  • Empfängeradresse

    E-Mail-Adresse, an die die E-Mail gesendet wird.

  • Senderadresse

    E-Mail-Adresse, die als E-Mail-Absender genutzt wird.

  • Subjekt

    Für den Betreff können die folgenden Platzhalter genutzt werden:

    • $d: Datum der letzten Prüfung der Sicherheitsinfos oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
    • $e: Beschreibung des Ereignisses.
    • $n: Name der Aufgabe oder leer für Benachrichtigungen in Verbindung mit Sicherheitsinfos/Tickets.
    • $N: Name der Benachrichtigung.
    • $q: Art des Ereignisses für Sicherheitsinfos (Neu, Aktualisiert) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
    • $s: Art der Sicherheitsinfos (z. B. NVT, CERT-Bund-Advisory) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
    • $S: Siehe $s, aber pluralisiert (z. B. NVTs, CERT-Bund-Advisories) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
    • $T: Gesamtanzahl der Objekte in der Liste für Benachrichtigungen in Verbindung mit Sicherheitsinfos oder 0 für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
    • $u: Besitzer der Benachrichtigung oder aktuell eingeloggter Benutzer, falls die Benachrichtigung manuell ausgelöst wird.
    • $U: UUID der Benachrichtigung.
    • $$: Dollarzeichen ($).
  • E-Mail-Verschlüsselung

    Die E-Mail kann mithilfe eines konfigurierbaren S/MIME- oder PGP-Schlüssels verschlüsselt werden. Der Schlüssel kann in der Drop-down-Liste E-Mail-Verschlüsselung gewählt oder durch Klicken auf new erstellt werden. Die Zertifikatdatei muss die folgenden Bedingungen erfüllen:

    • PEM-kodiert (eine binäre DER-Datei kann nicht genutzt werden)
    • Nutzung des X.509-Formats
    • Ausgestellt für die E-Mail-Adresse des Empfängers (Empfängeradresse) und gültig (nicht abgelaufen)
    • Falls das Zertifikat ursprünglich in gebündeltem Format vorlag, das auch den privaten Schlüssel enthielt, muss nur das unverschlüsselte Zertifikat hochgeladen werden.

    Im Falle von S/MIME-Anmeldedaten muss die Zertifikatdatei zusätzlich die folgende Bedingung erfüllen:

    • Kombiniert alle Zertifikate der Kette (root-Zertifikate und alle zwischenliegende Zertifikate)
  • Inhalte

    Der Inhalt der E-Mail kann eine einfache Notiz, ein eingefügter oder ein angehängter Bericht sein.

    • Bericht einfügen
      Der Bericht kann direkt in die E-Mail eingefügt werden. Jedes Berichtformat, das einen Inhaltstyp beginnend mit text/ nutzt, kann gewählt werden, da E-Mails binären Inhalt nicht direkt unterstützen.
    • Bericht anhängen
      Der Bericht kann an die E-Mail angehängt werden. Jedes Berichtformat kann gewählt werden. Der Bericht wird in seinem korrekten MIME-Typ an die generierte E-Mail angehängt.

    Der Inhalt der E-Mail-Nachricht kann sowohl für den eingefügten als auch für den angehängten Bericht bearbeitet werden. Für die Nachricht können die folgenden Platzhalter genutzt werden:

    • $c: Beschreibung der Bedingung.
    • $d: Datum der letzten Prüfung der Sicherheitsinfos oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
    • $e: Beschreibung des Ereignisses.
    • $F: Name des Filters.
    • $f: Filterausdruck.
    • $H: Zusammenfassung der Hosts.
    • $i: Berichttext oder Liste von Sicherheitsinfo-Objekten (nur, falls der Bericht/die Liste eingefügt wird).
    • $n: Name der Aufgabe oder leer für Benachrichtigungen in Verbindung mit Sicherheitsinfos/Tickets.
    • $N: Name der Benachrichtigung.
    • $q: Art des Ereignisses für Sicherheitsinfos (Neu, Aktualisiert) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
    • $r: Name des Berichtformats.
    • $s: Art der Sicherheitsinfos (z. B. NVT, CERT-Bund-Advisory) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
    • $S: Siehe $s, aber pluralisiert (z. B. NVTs, CERT-Bund-Advisories) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
    • $t: Notiz, falls der Bericht gekürzt wurde.
    • $T: Gesamtanzahl der Objekte in der Liste für Benachrichtigungen in Verbindung mit Sicherheitsinfos oder 0 für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
    • $u: Besitzer der Benachrichtigung oder aktuell eingeloggter Benutzer, falls die Benachrichtigung manuell ausgelöst wird.
    • $U: UUID der Benachrichtigung.
    • $z: Die genutzte Zeitzone.
    • $$: Dollarzeichen ($).
HTTP-Get

Die URL wird als HTTP Get ausgegeben. Beispielsweise kann eine SMS-Textnachricht via HTTP-Get-Gateway gesendet oder ein Bug-Bericht in einem Problemtracker erstellt werden. Für die URL können die folgenden Platzhalter genutzt werden:

  • $n: Name der Aufgabe oder leer für Benachrichtigungen in Verbindung mit Sicherheitsinfos/Tickets.
  • $e: Beschreibung des Ereignisses.
  • $c: Beschreibung der Bedingung.
  • $$: Dollarzeichen ($).

Beispiel: https://example.com/$nhttps://example.com/Scan_Aufgabe_1

SCP

Der Bericht wird über das Secure Copy Protocol (SCP) unter Nutzung der angegebenen Anmeldedaten für die Authentifizierung auf das festgelegte Ziel kopiert.

Alle Einstellungen (Anmeldedaten, Host, Bekannte Hosts und Pfad) müssen konfiguriert werden, damit die SCP-Benachrichtigung funktioniert.

  • Anmeldedaten
    Benutzername und Passwort oder Benutzername und SSH-Schlüssel, welche gültige Logininformationen für das Zielsystem enthalten.
  • Host
    Der Hostname oder die IP-Adresse des Zielsystems. Pro SCP-Benachrichtigung wird nur ein Zielsystem unterstützt.
  • Bekannte Hosts
    Der öffentliche SSH-Schlüssel des Zielsystems im Format „Host Protokoll öffentlicher_Schlüssel“, z. B. localhost ssh-rsa AAAAB3NzaC1y...P3pCquVb. Der „Host“-Teil muss entsprechend mit dem Hostnamen oder der IP-Adresse übereinstimmen.
  • Pfad
    Der vollständige Pfad des Zielverzeichnisses und der Zieldatei, z. B. /home/user/Downloads/report.xml. Das Verkürzen des Pfads, z. B. durch Nutzen von ~ wird nicht unterstützt. Für den Dateinamen können die folgenden Platzhalter genutzt werden:
    • $$: Dollarzeichen ($).
    • $n: Name der Aufgabe.
  • Bericht
    Format des kopierten Berichts.
Sende an Host

Der Bericht wird via TCP an eine beliebige Host-Port-Kombination gesendet. Die IP-Adresse oder der Hostname ist zulässig.

Das Format des Berichts kann aus den installierten Berichtformaten gewählt werden.

SMB

Der Bericht wird über Server Message Block (SMB) unter Nutzung der angegebenen Anmeldedaten für die Authentifizierung auf das festgelegte Ziel kopiert.

Die Einstellungen Anmeldedaten, Freigabepfad und Dateipfad müssen konfiguriert werden, damit die SMB-Benachrichtigung funktioniert. Die Wahl eines Berichtformats ist optional.

  • Anmeldedaten
    Benutzername und Passwort, welche gültige Logininformationen für das Zielsystem enthalten.
  • Freigabepfad
    Der Freigabepfad enthält den Teil des UNC-Pfads, der den Host und den Freigabenamen enthält, z. B. „\host\share“. Der Freigabepfad muss auf dem Zielsystem angelegt werden, bevor die Benachrichtigung genutzt werden kann.
  • Dateipfad

    Ort des Berichts im Freigabeordner, der durch den Freigabepfad festgelegt wird.

    Bemerkung

    Falls der Dateipfad Unterordner enthält, die nicht existieren, werden die benötigten Unterordner erstellt.

    Die Dateiendung wird dem in der Drop-down-Liste Berichtformat gewählten Format entsprechend angehängt.

    Der Standardname für exportierte Berichte (siehe Kapitel 8.8) wird an den Dateipfad angehängt, falls dieser mit \ endet.

    Bemerkung

    Falls eine Aufgabe den Tag smb-alert:file_path mit einem Wert nutzt, wird der Wert als Dateipfad genutzt und nicht der Pfad, der mit der Benachrichtigung konfiguriert wurde (siehe Kapitel 8.5). Beispiel: smb-alert:file_path=alert_1 weist den Dateipfad alert_1 zu.

    Für den Dateipfad können die folgenden Platzhalter genutzt werden:

    • %C: Erstellungsdatum im Format YYYYMMDD. Wird zum aktuellen Datum geändert, falls kein Erstellungsdatum verfügbar ist.
    • %C: Erstellungszeit im Format HHMMSS. Wird zur aktuellen Zeit geändert, falls keine Erstellungszeit verfügbar ist.
    • %D: Aktuelles Datum im Format YYYYMMDD.
    • %F: Name des genutzten Berichtformats (XML für Listen und andere Typen als Berichte).
    • %M: Modifizierungsdatum im Format YYYYMMDD. Wird zum Erstellungsdatum oder zum aktuellen Datum geändert, falls kein Modifizierungsdatum verfügbar ist.
    • %m: Modifizierungszeit im Format HHMMSS. Wird zur Erstellungszeit oder zur aktuellen Zeit geändert, falls keine Modifizierungszeit verfügbar ist.
    • %N: Name des Objekts oder, im Falle von Berichten, der zugehörigen Aufgabe. Listen und Typen ohne Namen nutzen den Typen (siehe %T).
    • %T: Objekttyp, z. B. „task“, „port_list“. Pluralisiert für Listenseiten.
    • %t: Aktuelle Zeit im Format HHMMSS.
    • %U: Eindeutige ID des Objekts oder „list“ für Listen aus mehreren Objekten.
    • %u: Name des aktuell eingeloggten Benutzers.
    • %%: Prozentzeichen (%).
  • Berichtformat

    Format des kopierten Berichts. Falls kein Berichtformat festgelegt wird, wird standardmäßig XML genutzt.

SNMP

Ein SNMP-Trap wird an den angegebenen Agenten gesendet. Der festgelegte Community-String wird genutzt, um den SNMP-Trap zu authentifizieren. Der Agent ist der als Ziel gesetzte SNMP-Trap-Empfänger. Für die Nachricht können die folgenden Platzhalter genutzt werden:

  • $$: Dollarzeichen ($).
  • $d: Datum der letzten Prüfung der Sicherheitsinfos oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
  • $e: Beschreibung des Ereignisses.
  • $n: Name der Aufgabe oder leer für Benachrichtigungen in Verbindung mit Sicherheitsinfos/Tickets.
  • $q: Art des Ereignisses für Sicherheitsinfos (Neu, Aktualisiert) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
  • $s: Art der Sicherheitsinfos (z. B. NVT, CERT-Bund-Advisory) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
  • $S: Siehe $s, aber pluralisiert (z. B. NVTs, CERT-Bund-Advisories) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
  • $T: Gesamtanzahl der Objekte in der Liste für Benachrichtigungen in Verbindung mit Sicherheitsinfos oder 0 für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
Sourcefire-Schnittstelle
Die Daten können automatisch an das Cisco Firepower Management Center (früher als Sourcefire Defense Center bekannt) gesendet werden. Für mehr Informationen siehe Kapitel 18.4.
Aufgabe starten
Die Benachrichtigung kann eine zusätzliche Aufgabe starten. Die Aufgabe wird in der Drop-down-Liste Aufgabe starten gewählt.
System-Logger
Die Benachrichtigung wird an einen Syslog-Daemon gesendet. Der Syslog-Server wird mithilfe des GOS-Administrationsmenüs festgelegt (siehe Kapitel 7.2.12).
verinice.PRO-Konnektor
Die Daten können automatisch an eine verinice.PRO-Installation gesendet werden. Für mehr Informationen siehe Kapitel 18.2.
TippingPoint SMS

Eine HTTPS-API wird verwendet, um einen Bericht im CSV-Format in das TippingPoint Security Management System (SMS) hochzuladen.

  • Hostname / IP
    Der CSV-Bericht wird an https://$SMS_ADDRESS/vulnscanner/import gesendet, wobei $SMS_ADDRESS durch den Hostnamen/die IP-Adresse aus dem Eingabefeld ersetzt wird.
  • Anmeldedaten
    Benutzername und Passwort, welche gültige Logininformationen für das TippingPoint SMS enthalten.
  • SSL / TLS Certificate
    Ein CA-Zertifikat zur Überprüfung, ob es sich bei dem Host, mit dem sich die Benachrichtigung verbindet, um das TippingPoint SMS handelt.
  • Use workaround for default certificate
    Standardmäßig verwendet das Zertifikat Tippingpoint als Common Name (CN), der in den meisten Fällen nicht mit dem Hostnamen/der IP-Adresse des TippingPoint SMS übereinstimmt. Falls aktiviert, ändert der Workaround den CN vorübergehend und löst ihn innerhalb des internen Konnektorskripts in den tatsächlichen Hostnamen/die IP-Adresse auf.
Alemba vFire
In der Anwendung zur Dienstverwaltung vFire wird ein neues Ticket erstellt. Der Bericht kann in einem oder mehreren Formaten angehängt werden. Für mehr Informationen siehe Kapitel 18.5.

10.12.2 Eine Benachrichtigung einer Aufgabe zuweisen

Falls eine Benachrichtigung genutzt werden soll, muss die Benachrichtigung wie folgt für eine bestimmte Aufgabe festgelegt werden:

Bemerkung

Bereits definierte und genutzte Aufgaben können ebenfalls bearbeitet werden, da dies keinen Einfluss auf bereits erstellte Berichte hat.

  1. Scans > Aufgaben in der Menüleiste wählen.

  2. In der Zeile der Aufgabe auf edit klicken.

  3. Benachrichtigung in der Drop-down-Liste Benachrichtigungen wählen (siehe Abb. 10.38).

    Bemerkung

    Eine neue Benachrichtigung kann durch Klicken auf new erstellt werden.

    _images/alert_assign_task-de.png

    Abb. 10.38 Konfigurieren einer Aufgabe mit einer Benachrichtigung

  4. Auf Speichern klicken.

    → Anschließend wird die Aufgabe, die die Benachrichtigung nutzt, auf der Detailseite der Benachrichtigung angezeigt (siehe Abb. 10.39).

    _images/alert_task_using-de.png

    Abb. 10.39 Aufgabe, die eine bestimmte Benachrichtigung nutzt

10.12.3 Benachrichtigungen verwalten

Listenseite

Alle vorhandenen Benachrichtigungen können angezeigt werden, indem Konfiguration > Benachrichtigungen in der Menüleiste gewählt wird.

Für alle Benachrichtigungen werden die folgenden Informationen angezeigt:

Name
Name der Benachrichtigung.
Ereignis
Ereignis, für das die Benachrichtigung ausgelöst wird.
Bedingung
Bedingung, die erfüllt werden muss, um die Benachrichtigung auszulösen.
Methode
Gewählte Benachrichtigungsmethode mit zusätzlichen Informationen, z. B. an welche IP- oder E-Mail-Adresse die Benachrichtigung gesendet wird.
Filter (nur für Benachrichtigungen in Verbindung mit Aufgaben)
Filter, der auf den Inhalt des Berichts angewendet wird.
Aktiv
Hinweis, ob die Benachrichtigung aktiviert oder deaktiviert ist.

Für alle Benachrichtigungen sind die folgenden Aktionen verfügbar:

  • trashcan Die Benachrichtigung in den Papierkorb verschieben. Nur Benachrichtigungen, die aktuell nicht genutzt werden, können in den Papierkorb verschoben werden.
  • edit Die Benachrichtigung bearbeiten.
  • clone Die Benachrichtigung klonen.
  • export Die Benachrichtigung als XML-Datei exportieren.
  • start Die Benachrichtigung testen.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Benachrichtigungen können mehrere Benachrichtigungen zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Benachrichtigungen in den Papierkorb verschoben oder exportiert werden.

Detailseite

Durch Klicken auf den Namen einer Benachrichtigung werden Details der Benachrichtigung angezeigt. Durch Klicken auf details wird die Detailseite der Benachrichtigungen geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über die Benachrichtigung.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).
Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Benachrichtigungen anzeigen.
  • new Eine neue Benachrichtigungen erstellen (siehe Kapitel 10.12.1).
  • clone Die Benachrichtigung klonen.
  • edit Die Benachrichtigung bearbeiten.
  • trashcan Die Benachrichtigung in den Papierkorb verschieben. Nur Benachrichtigungen, die aktuell nicht genutzt werden, können in den Papierkorb verschoben werden.
  • export Die Benachrichtigung als XML-Datei exportieren.

10.13 Hindernisse beim Scannen

Es gibt eine Reihe typischer Probleme, welche während eines Scans mit den Standardwerte des GSMs auftreten können. Während die Standardwerte des GSMs für die meisten Umgebungen und Kunden passend sind, benötigen sie möglicherweise etwas Optimierung, abhängig von der tatsächlichen Umgebung und der Konfiguration der gescannten Hosts.

10.13.1 Hosts nicht gefunden

Während eines typischen Scans (entweder Discovery oder Full and fast) nutzt der GSM standardmäßig zuerst den Pingbefehl, um die Verfügbarkeit der konfigurierten Ziele zu prüfen. Falls ein Ziel nicht auf die Pinganfrage antwortet, wird es als tot angenommen und nicht vom Portscanner oder einem VT gescannt.

In den meisten LAN-Umgebungen stellt dies kein Problem dar, da alle Geräte auf eine Pinganfrage antworten. Allerdings unterdrücken (lokale) Firewalls oder andere Konfigurationen manchmal die Pingantwort. Falls dies passiert, wird das Ziel nicht gescannt und ist nicht in den Ergebnissen und im Bericht enthalten.

Um dieses Problem zu beseitigen, müssen sowohl die Konfiguration des Ziels als auch die Scan-Konfiguration die Einstellung des Erreichbarkeitstest unterstützen (siehe Alive Test).

Falls das Ziel nicht auf die Pinganfrage reagiert, könnte ein TCP-Ping getestet werden. Falls sich das Ziel in derselben Übertragungsdomäne befindet, könnte auch ein ARP-Ping genutzt werden.

10.13.2 Lang andauernde Scans

Wenn mithilfe des Pingbefehls erkannt wurde, dass das Ziel erreichbar ist, nutzt der GSM einen Portscanner, um das Ziel zu scannen. Standardmäßig wird eine TCP-Portliste mit ungefähr 5000 Ports genutzt. Falls das Ziel durch eine (lokale) Firewalls geschützt wird, die die meisten dieser Pakete weglässt, muss der Portscan auf das Timeout jedes einzelnen Ports warten. Falls die Hosts durch (lokale) Firewalls geschützt werden, müssen die Portlisten oder die Firewalls angepasst werden. Falls die Firewall die Anfrage nicht fallen lässt, aber sie ablehnt, muss der Portscanner nicht auf das Timeout warten. Dies gilt insbesonders für UDP-Ports, die im Scan enthalten sind.

10.13.3 VT nicht genutzt

Dies passiert besonders oft, falls UDP-basierte VTs wie die, die SNMP nutzen, verwendet werden. Falls die Standardkonfiguration Full and fast genutzt wird, werden die SNMP-VTs eingeschlossen. Falls das Ziel allerdings so konfiguriert ist, dass es die Standardportliste nutzt, werden die VTs nicht ausgeführt. Dies geschieht, da die Standardportliste keine UDP-Ports beinhaltet. Deshalb wird der Port 161/udp (SNMP) nicht gefunden und von späteren Scans ausgeschlossen. Der Discoveryscan und die empfohlene Scan-Konfiguration Full and fast optimieren den Scan basierend auf den gefundenen Diensten. Falls der UDP-Port nicht entdeckt wird, werden keine SNMP-VTs ausgeführt.

Es sollten nicht alle Ports in der Portliste standardmäßig aktiviert sein. Dies verlängert den Scan wesentlich. Die bewährte Methode ist es, die Portliste auf die Ports einzustellen, die in der Umgebung genutzt werden und von den Firewalls unterstützt werden.

10.13.4 vhosts scannen

Der Scanner ist in der Lage, alle Beziehungen zwischen Hostnamen und IP-Adressen zu finden, ohne dass zusätzliches Input durch den Benutzer nötig ist.

In Umgebungen mit virtuellen Hosts haben die Scanberichte weniger Ergebnisse, da Duplikate vermieden werden.

Zwei Scanner-Vorgaben steuern das Scannen von vhosts (siehe Kapitel 10.9.4):

test_empty_vhost
Falls diese Vorgabe aktiviert ist, scannt der Scanner Scanner das Ziel auch unter Nutzung leerer vhost-Werte, zusätzlich zu den dem Ziel zugewiesenen vhost-Werten.
expand_vhosts
Falls diese Vorgabe aktiviert ist, wird die Hostliste des Ziels wird mit Werten erweitert, die durch Quellen wie Invers-Lookup-Anfragen und VT-Prüfungen für SSL/TLS-Zertifikate erhalten wurden.