6 Die Greenbone Enterprise Appliance auf die neueste Version upgraden

GOS 20.08 unterstützt nahtlose Upgrades auf die neue Hauptversion GOS 21.04.

Alle Systemeinstellungen und Benutzerdaten werden beibehalten und automatisch in die neue Version migriert, es sei denn, eine Änderung des Standardverhaltens betrifft eine bestimmte Einstellung oder Daten. Eine Liste der Änderungen am Standardverhalten befindet sich in Kapitel 6.4.

6.1 Das Greenbone Operating System upgraden

Bemerkung

Vor dem Upgrade auf GOS 21.04 müssen einige Voraussetzungen in GOS 20.08 erfüllt sein:

Bemerkung

Für Greenbone Enterprise 5300/6400:

Je nachdem, wie alt diese Appliances sind, laufen sie möglicherweise mit dem SATA-Modus „IDE“. Falls dies der Fall ist, bootet GOS 21.04 möglicherweise nicht, bis der SATA-Modus aktualisiert wird.

Der SATA-Modus kann wie in Kapitel 6.4.4.2 beschrieben geändert werden.

Das Upgrade auf GOS 21.04 kann wie folgt durchgeführt werden:

  1. Maintenance wählen und Enter drücken.

  2. Upgrade wählen und Enter drücken.

  3. Switch Release wählen und Enter drücken.

    → Eine Warnung informiert darüber, dass die Appliance auf eine grundlegende neue Version aktualisiert wird (siehe Abb. 6.1).

    _images/gos_menu_upgrade_gos2104.png

    Abb. 6.1 Warnung beim Upgrade auf GOS 21.04

  4. Continue wählen und Enter drücken.

    → Eine Warnung informiert darüber, dass die Appliance während des Upgrades auf GOS 21.04 gesperrt ist (siehe Abb. 6.2).

    Bemerkung

    Während des Upgrades können keine Systemoperationen durchgeführt werden. Alle laufenden Systemoperationen müssen vor dem Upgrade beendet werden.

    _images/gos_menu_upgrade_gos5_3.png

    Abb. 6.2 Warnung, dass das System während des Upgrades gesperrt ist

  5. Yes wählen und Enter drücken.

    → Eine Meldung informiert den Nutzer darüber, dass das Upgrade gestartet wurde.

    Bemerkung

    Wenn das Upgrade beendet ist, informiert eine Meldung den Nutzer darüber, dass ein Reboot nötig ist, um alle Änderungen anzuwenden (siehe Abb. 6.3).

    _images/gos_menu_upgrade_gos5_4.png

    Abb. 6.3 Meldung nach dem erfolgreichen Upgrade

  6. Reboot wählen und Enter drücken.

    → Nachdem der Reboot abgeschlossen ist, wird geprüft, ob es offene Einrichtungsschritte gibt. Falls es offene Schritte gibt, wird gefragt, ob diese nun abgeschlossen werden sollen.

6.2 Die Flash-Partition auf die neueste GOS-Version upgraden

Die interne Flash-Partition der Appliance enthält ein Backup von GOS und wird im Falle eines Zurücksetzens auf Werkseinstellungen verwendet.

Es wird empfohlen, die GOS-Version auf der Flash-Partition zu aktualisieren (siehe Kapitel 7.3.8).

6.3 Web-Oberfläche nach einem Upgrade neu laden

Nach einem Upgrade von einer grundlegenden Version auf eine andere muss der Cache des Browsers, der für die Web-Oberfläche genutzt wird, geleert werden. Das Leeren des Browsercaches kann in den Einstellungen des genutzten Browsers vorgenommen werden.

Alternativ kann der Seitencache jeder Seite der Web-Oberfläche geleert werden, indem Strg und F5 gedrückt wird.

Bemerkung

Das Leeren des Seitencaches muss für jede einzelne Seite durchgeführt werden.

Das Leeren des Browsercaches ist global und für alle Seiten gültig.

6.4 Neue Features und Änderungen des Standardverhaltens

Die folgende Liste zeigt die wichtigsten Erweiterungen und Änderungen des Standardverhaltens von GOS 20.08 zu GOS 21.04.

Abhängig von den aktuell verwendeten Funktionen können sich diese Änderungen auf das aktuell eingesetzte Setup auswirken. Eine vollständige Liste der Änderungen befindet sich auf der Seite Roadmap & Lifecycle.

6.4.1 Berichte

Mit GOS 21.04 werden zwei neue Berichtformate eingeführt: Vulnerability Report PDF und Vulnerability Report HTML.

Die neuen Berichtformate sind modern und übersichtlich in Gestaltung und Aufbau. Sie enthalten Informationen über alle gefundenen Schwachstellen.

Bemerkung

Die neuen Berichtformate werden über den Greenbone Enterprise Feed verteilt.

Um die neueste Version der Berichtformate zu erhalten, kann ein Feed-Update vor oder nach dem Upgrade auf GOS 21.04 erforderlich sein (siehe Kapitel 7.3.6).

6.4.2 CVSS

Mit GOS 21.04 wird CVSS v3.0/v3.1 unterstützt. Der Umfang der CVSS v3.0/v3.1-Unterstützung hängt vom Greenbone Enterprise Feed ab.

VTs und CVEs können jedoch Daten von CVSS v2 und/oder CVSS v3.0/v3.1 enthalten. Wenn ein/e VT/CVE sowohl Daten von CVSS v2 als auch von CVSS v3.0/v3.1 enthält, werden immer die Daten von CVSS v3.0/v3.1 verwendet und angezeigt.

Die Seite CVSS-Rechner enthält jetzt sowohl einen Rechner für CVSS v2 als auch einen Rechner für CVSS v3.0/v3.1.

Der CVSS-Basisvektor, der in der Detailvorschau und auf der Detailseite eines VTs angezeigt wird, kann nun v2, v3.0 oder v3.1 sein.

Die Tabelle auf der Seite CVEs enthält jetzt die Einträge Name, Beschreibung, Veröffentlicht, CVSS-Basisvektor und Schweregrad. Der CVSS-Basisvektor kann v2, v3.0 oder v3.1 sein. Durch Klicken auf den CVSS-Basisvektor wird die Seite CVSS-Rechner geöffnet. Die Eingabefelder des entsprechenden Rechners sind bereits vorausgefüllt.

6.4.3 Boreas-Erreichbarkeitsscanner

Der Boreas-Erreichbarkeitsscanner ist ein Erreichbarkeitsscanner für Hosts, welcher aktive Hosts in einem Zielnetzwerk identifiziert. Er wurde mit GOS 20.08 eingeführt, war aber noch optional. Mit GOS 21.04 wird der Boreas-Erreichbarkeitsscanner zum Standard.

Im Vergleich zum Portscanner Nmap, der herkömmlicherweise genutzt wurde, ist der Boreas-Erreichbarkeitsscanner hinsichtlich der maximalen Anzahl an gleichzeitig ausgeführten Erreichbarkeitsstatus-Scans nicht beschränkt und somit schneller. Er ist insbesondere für große Netzwerkbereiche mit einer geringen Anzahl an aktiven Hosts geeignet.

Da der Boreas-Erreichbarkeitsscanner nun standardmäßig aktiviert ist, sind die Einstellungen des VTs Ping Host in der VT-Familie Port scanners nicht mehr gültig.

6.4.4 Hardware-Appliances

6.4.4.1 Neue Hardware-Modelle für Midrange-Klasse

Mit GOS 21.04 wird eine neue Generation von Midrange-Hardware-Appliances eingeführt.

Die neue Hardware verwendet nun Festplatten vom Typ SSD anstelle von HDDs, die 10-mal schneller und zudem leiser und leichter sind. Es ist auch mehr Festplattenspeicher verfügbar. Der RAM-Typ ist nun DDR4 statt DDR3, was den RAM durch eine höhere Taktrate (3200 MHz) deutlich schneller macht. Außerdem steht doppelt bis viermal so viel Arbeitsspeicher zur Verfügung. Zusätzlich wurde eine neue, schnellere CPU der neuesten Generation eingebaut.

Zusätzlich wurden die Ports der Appliances von 6 Ports GbE-Base-TX und 2 Ports 1 GbE SFP auf 8 Ports GbE-Base-TX und 2 Ports 10 GbE SFP+ geändert.

Die Produktnamen bleiben unverändert.

6.4.4.2 Vorbereitung zum Upgraden einer Greenbone Enterprise 5300/6400

Beim Upgraden einer Greenbone Enterprise 5300 oder Greenbone Enterprise 6400 auf GOS 21.04 kann eine zusätzliche Vorbereitung notwendig sein.

Je nachdem, wie alt diese Appliances sind, laufen sie möglicherweise mit dem SATA-Modus „IDE“. Falls dies der Fall ist, bootet GOS 21.04 möglicherweise nicht. Der SATA-Modus muss auf „AHCI“ umgestellt werden.

Der SATA-Modus kann im BIOS geändert werden. Um in das BIOS zu gelangen, muss während des Reboots oder des Anschaltens der Appliance wiederholt Delete gedrückt werden. Anschließend im Register Erweitert den Punkt SATA-Konfiguration wählen und den SATA-Modus auf AHCI-Modus ändern.

6.4.5 Virtuelle Appliances

Die offiziell unterstützten Hypervisoren für die virtuellen Appliances werden mit GOS 21.04 geändert.

Die Greenbone Enterprise EXA/PETA/TERA/DECA und 25V kann mit Microsoft Hyper-V, VMware vSphere Hypervisor (ESXi) und Huawei FusionCompute verwendet werden.

Die Greenbone Enterprise CENO kann mit Microsoft Hyper-V und VMware vSphere Hypervisor (ESXi) verwendet werden.

Die Greenbone Enterprise ONE kann mit Oracle VirtualBox, VMware Workstation Pro und VMware Workstation Player verwendet werden.

Zusätzlich unterstützt GOS 21.04 den ARM-Befehlssatz auf Huawei FusionCompute.

Greenbone unterstützt nur Hypervisor-Versionen, die von ihren Herstellern noch unterstützt werden (d. h. die noch nicht End of Life sind).

6.4.6 Scannen durch ein VPN

Mit GOS 21.04 ist OpenVPN in GOS integriert, um das Scannen über ein Virtual Private Network (VPN) zu ermöglichen. Diese Funktion ist nur auf virtuellen Appliances der Midrange-Klasse verfügbar. Die VPN-Funktion ermöglicht es, dass Ziele, die über den VPN-Tunnel erreichbar sind, gescannt werden, hat aber keine Auswirkungen auf andere Ziele, Netzwerkeinstellungen oder Master-Sensor-Verbindungen.

Die VPN-Verbindung wird über das GOS-Administrationsmenü mit Hilfe der IP-Adresse des VPN und einer PKCS#12-Datei, die die notwendigen Zertifizierungsstellen-, Zertifikats- und Private-Key-Dateien enthält, konfiguriert und aufgebaut.

6.4.7 HTTPS

Mit GOS 21.04 wird zusätzlich zum Greenbone Security Assistant Daemon (gsad) der Webserver nginx verwendet. nginx nutzt OpenSSL anstelle von GnuTLS zur Definition der verfügbaren Ciphers und Protokolle des Servers.

Die Nutzung der Weboberfläche ist nur mit den TLS-Versionen 1.2 oder 1.3 möglich. Für die Konfiguration der TLS-Version gibt es im GOS-Administrationsmenü ein neues Menü unter Setup > Services > HTTPS > Protocols. Dort ist die Auswahl von TLSv1.2, TLSv1.3 oder beiden gleichzeitig möglich. Standardmäßig sind beide Optionen ausgewählt. In diesem Fall wählt der Webbrowser die Version entsprechend seiner Konfiguration aus.

Das Menü unter Setup > Services > HTTPS > Ciphers wird nur noch angezeigt, wenn TLS-Version 1.2 ausgewählt ist (entweder allein oder in Kombination mit Version 1.3). Die Ciphers werden nun mit einer anderen Zeichenfolge konfiguriert und die TLS-Version kann nicht mehr über die Zeichenfolge konfiguriert werden.

Wenn nur TLS-Version 1.3 ausgewählt ist, können die Cipher-Suites nicht konfiguriert werden und stattdessen wird der Standardwert von OpenSSL verwendet.

Wenn in GOS 20.08 nicht-standardmäßige HTTPS-Ciphers konfiguriert wurden, können die Ciphers direkt nach dem Upgrade auf GOS 21.04 neu konfiguriert werden. In diesem Fall werden nacheinander die gleichen Dialoge wie unter Setup > Services > HTTPS > Protocols und Setup > Services > HTTPS > Ciphers angezeigt. Wenn im Dialog Protocols nur TLSv1.3 gewählt wird, wird der Dialog Ciphers nicht angezeigt.

Wenn die Ciphers nicht neu konfiguriert werden, werden die standardmäßigen Protokoll- und Cipher-Einstellungen von GOS 21.04 verwendet.

Außerdem wurden einige neue Menüs im GOS-Administrationsmenü hinzugefügt. Die Menüs unter Setup > Services > HTTPS > Certificate > Generate und Setup > Services > HTTPS > Certificate > CSR erlauben die Konfiguration eines Subject Alternative Name (SAN). Die Menüs unter Setup > Services > HTTPS > HTTP STS, Setup > Services > HTTPS > OCSP Stapling und Setup > Services > HTTPS > DH Parameters ermöglichen die Konfiguration von HTTP Strict Transport Security, OCSP Stapling und Diffie-Hellman-Parametern.

6.4.8 Sensoren

Mit GOS 21.04 wird das Greenbone Management Protocol (GMP) nicht mehr verwendet, um eine Sensor-Appliance über eine Master-Appliance zu steuern. Alle Sensoren verwenden nun das Open Scanner Protocol (OSP) als steuerndes Protokoll.

In GOS wird der Sensortyp GMP Sensor abgeschafft. Auf der Web-Oberfläche wird der Scannertyp GMP-Scanner entfernt. Der Sensortyp, der verwendet werden muss, ist Greenbone Sensor.

Dies führt dazu, dass die Sensoren leichtgewichtig werden und vermeidet, dass zusätzliche Anmeldedaten auf dem Sensor benötigt werden.

6.4.9 Netzwerk-Backend

Mit GOS 21.04 wird das Backend für die Netzwerkkonfiguration in GOS verbessert. Dies verhindert Verbindungsverluste in bestimmten Netzwerkkonfigurationen sowie Verbindungsprobleme mit SSH-Sitzungen.

Die Appliance muss nicht mehr neu gestartet werden, nachdem bestimmte Netzwerkeinstellungen geändert wurden.

Der Netzwerkmodus kann direkt nach dem Upgrade auf GOS 21.04 auf den neuen Modus gnm (GOS Network Manager) aktualisiert werden. Wenn der Netzwerkmodus nicht direkt nach dem Upgrade aktualisiert wird, kann er im neuen Menü unter Setup > Network > Switch Networking Mode geändert werden.

6.4.10 Web-Oberfläche

6.4.10.1 Automatische Falsch-Positiv-Meldungen

Mit GOS 21.04 wird die Funktion Auto-FP abgeschafft.

Alte Filter mit autofp= bleiben bei der Migration erhalten, haben aber keine Wirkung mehr.

6.4.10.2 Schweregradklassen-Schema

Mit GOS 21.04 wird die Auswahl der alternativen Schemata für Schwereklassen (BSI Schwachstellenampel und PCI-DSS) aus den Benutzereinstellungen entfernt. Es gibt jetzt nur noch das Schema NVD Vulnerabiltiy Severity Ratings, um Schwereklassen anhand des Schweregrads zu bestimmen.

Während der Migration fällt jede andere Auswahl als die Standardeinstellung auf die Standardeinstellung zurück.

6.4.10.3 Gleichzeitiges Scannen über mehrere IP-Adressen

Einige Geräte – insbesondere IoT-Geräte – können abstürzen, wenn sie über mehrere IP-Adressen gleichzeitig gescannt werden. Dies kann zum Beispiel passieren, wenn das Gerät über IPv4 und IPv6 verbunden ist.

Mit GOS 21.04 ist es möglich, das gleichzeitige Scannen über mehrere IP-Adressen zu vermeiden, indem beim Anlegen eines Ziels die neue Einstellung Erlaube das gleichzeitige Scannen über verschiedene IPs verwendet wird.

Die Voreinstellung dieser Einstellung ist Ja und spiegelt das Verhalten früherer GOS-Versionen wider.

6.4.10.4 Erweiterte SSH-Berechtigungen

Mit GOS 21.04 ist es möglich, bei der Erstellung eines Ziels Anmeldedaten für erweiterte Berechtigungen, z.B. root, zu speichern.

6.4.10.5 Berichtformate

Mit GOS 21.04 wurde die Einstellung Standard-Berichtformat aus den Benutzereinstellungen entfernt.

6.4.11 Greenbone Management Protocol (GMP)

Das Greenbone Management Protocol (GMP) wurde auf Version 21.04 aktualisiert und die Programmierschnittstelle wurde leicht angepasst. Die Nutzung mancher Kommandos wurde verändert und einige Kommandos, Elemente und Attribute wurden überholt. Das gesamte Referenzhandbuch und die Liste aller Veränderungen ist hier verfügbar.

6.4.12 SSH

Mit GOS 21.04 wurden die unterstützten Methoden für den Schlüsselaustausch für Verbindungen zur Appliance mit einem SSH-Client geändert. Es werden nur noch die folgenden Methoden unterstützt:

  • ecdh-sha2-nistp256
  • ecdh-sha2-nistp384
  • ecdh-sha2-nistp521
  • curve25519-sha256
  • curve25519-sha256@libssh.org