6 Von GOS 20.08 auf GOS 21.04 upgraden

Bemerkung

GOS 21.04 aktualisiert zahlreiche Komponenten des Schwachstellenscannings und -managements des Greenbone Security Managers (GSM) auf eine grundlegende neue Version.

Das Upgrade auf GOS 21.04 sollte nur durchgeführt werden, wenn die Versionshinweise gelesen wurden und ein Backup der aktuellen Daten, entweder mittels Backup-Funktion von GOS oder mittels VM-Snapshot auf dem Hypervisor, durchgeführt wurde. Weitere Neuigkeiten und Previews für GOS 21.04 finden sich auf https://community.greenbone.net/c/news.

Bevor das Upgrade auf GOS 21.04 durchgeführt werden kann, muss die neueste Version von GOS 20.08 auf dem GSM installiert sein und ein Reboot des GSMs ist notwendig.

Falls Fragen auftreten, kann der Greenbone Networks Support (support@greenbone.net) per E-Mail kontaktiert werden.

6.1 Den Greenbone Security Manager upgraden

Bemerkung

Vor dem Upgrade auf GOS 21.04 müssen einige Voraussetzungen in GOS 20.08 erfüllt sein:

  • Der Sensortyp aller konfigurierten Sensoren muss wie hier beschrieben mit dem Menüpunkt Migrate all sensors to OSP auf OSP umgestellt werden.
  • Ein Feed Import Owner muss wie hier beschrieben festgelegt werden.
  • Die Datenobjekte müssen installiert werden. Dazu ist ein Feed-Update nach dem Festlegen des Feed Import Owners erforderlich.

Bemerkung

Für GSM 5300/6400:

Je nachdem, wie alt diese Appliances sind, laufen sie möglicherweise mit dem SATA-Modus „IDE“. Falls dies der Fall ist, bootet GOS 21.04 möglicherweise nicht, bis der SATA-Modus aktualisiert wird.

Der SATA-Modus kann wie in Kapitel 6.4.4.2 beschrieben geändert werden.

Das Upgrade auf GOS 21.04 kann wie folgt durchgeführt werden:

  1. Maintenance wählen und Enter drücken.

  2. Upgrade wählen und Enter drücken.

  3. Switch Release wählen und Enter drücken.

    → Eine Warnung informiert den Nutzer darüber, dass der GSM auf eine grundlegende neue Version aktualisiert wird (siehe Abb. 6.1).

    _images/gos_menu_upgrade_gos2104.png

    Abb. 6.1 Warnung beim Upgrade auf GOS 21.04

  4. Continue wählen und Enter drücken.

    → Eine Warnung informiert den Nutzer darüber, dass der GSM während des Upgrades auf GOS 21.04 gesperrt ist (siehe Abb. 6.2).

    Bemerkung

    Während des Upgrades können keine Systemoperationen durchgeführt werden. Alle laufenden Systemoperationen müssen vor dem Upgrade beendet werden.

    _images/gos_menu_upgrade_gos5_3.png

    Abb. 6.2 Warnung, dass das System während des Upgrades gesperrt ist

  5. Yes wählen und Enter drücken.

    → Eine Meldung informiert den Nutzer darüber, dass das Upgrade gestartet wurde.

    Bemerkung

    Wenn das Upgrade beendet ist, informiert eine Meldung den Nutzer darüber, dass ein Reboot nötig ist, um alle Änderungen anzuwenden (siehe Abb. 6.3).

    _images/gos_menu_upgrade_gos5_4.png

    Abb. 6.3 Meldung nach dem erfolgreichen Upgrade

  6. Reboot wählen und Enter drücken.

    → Nachdem der Reboot abgeschlossen ist, wird geprüft, ob es offene Einrichtungsschritte gibt. Falls es offene Schritte gibt, wird gefragt, ob diese nun abgeschlossen werden sollen.

6.2 Die Flash-Partition auf die neuste GOS-Version upgraden

Die interne Flash-Partition des GSM enthält ein Backup von GOS und wird im Falle eines Zurücksetzens auf Werkseinstellungen verwendet.

Es wird empfohlen, die GOS-Version auf der Flash-Partition zu aktualisieren (siehe Kapitel 7.3.8).

6.3 Web-Oberfläche nach einem Upgrade neu laden

Nach einem Upgrade von einer grundlegenden Version auf eine andere muss der Cache des Browsers, der für die Web-Oberfläche genutzt wird, geleert werden. Das Leeren des Browsercaches kann in den Einstellungen des genutzten Browsers vorgenommen werden.

Alternativ kann der Seitencache jeder Seite der Web-Oberfläche geleert werden, indem Strg und F5 gedrückt wird.

Bemerkung

Das Leeren des Seitencaches muss für jede einzelne Seite durchgeführt werden.

Das Leeren des Browsercaches ist global und für alle Seiten gültig.

6.4 Neue Features und Änderungen des Standardverhaltens

Die folgende Liste zeigt die Änderungen des Standardverhaltens zwischen GOS 20.08 und GOS 21.04. Abhängig von den aktuell genutzten Features, betreffen diese Änderungen möglicherweise das genutzte Setup.

Bemerkung

Die Liste kann überprüft werden, um zu entscheiden, ob Änderungen des aktuell eingesetzten Setups nötig sind. Der Greenbone Networks Support (support@greenbone.net) unterstützt während dieses Prozesses.

6.4.1 Berichte

Mit GOS 21.04 werden zwei neue Berichtformate eingeführt: Vulnerability Report PDF und Vulnerability Report HTML.

Die neuen Berichtformate sind modern und übersichtlich in Gestaltung und Aufbau. Sie enthalten Informationen über alle gefundenen Schwachstellen.

Bemerkung

Die neuen Berichtformate werden über den Greenbone Security Feed (GSF) verteilt.

Um die neueste Version der Berichtformate zu erhalten, kann ein Feed-Update vor oder nach dem Upgrade auf GOS 21.04 erforderlich sein (siehe Kapitel 7.3.6).

6.4.2 CVSS

Mit GOS 21.04 wird CVSS v3.0/v3.1 unterstützt. Der Umfang der CVSS v3.0/v3.1-Unterstützung hängt vom Greenbone Security Feed ab.

VTs und CVEs können jedoch Daten von CVSS v2 und/oder CVSS v3.0/v3.1 enthalten. Wenn ein/e VT/CVE sowohl Daten von CVSS v2 als auch von CVSS v3.0/v3.1 enthält, werden immer die Daten von CVSS v3.0/v3.1 verwendet und angezeigt.

Die Seite CVSS-Rechner enthält jetzt sowohl einen Rechner für CVSS v2 als auch einen Rechner für CVSS v3.0/v3.1.

Der CVSS-Basisvektor, der in der Detailvorschau und auf der Detailseite eines VTs angezeigt wird, kann nun v2, v3.0 oder v3.1 sein.

Die Tabelle auf der Seite CVEs enthält jetzt die Einträge Name, Beschreibung, Veröffentlicht, CVSS-Basisvektor und Schweregrad. Der CVSS-Basisvektor kann v2, v3.0 oder v3.1 sein. Durch Klicken auf den CVSS-Basisvektor wird die Seite CVSS-Rechner geöffnet. Die Eingabefelder des entsprechenden Rechners sind bereits vorausgefüllt.

6.4.3 Boreas-Erreichbarkeitsscanner

Der Boreas-Erreichbarkeitsscanner ist ein Erreichbarkeitsscanner für Hosts, welcher aktive Hosts in einem Zielnetzwerk identifiziert. Er wurde mit GOS 20.08 eingeführt, war aber noch optional. Mit GOS 21.04 wird der Boreas-Erreichbarkeitsscanner zum Standard.

Im Vergleich zum Portscanner Nmap, der herkömmlicherweise genutzt wurde, ist der Boreas-Erreichbarkeitsscanner hinsichtlich der maximalen Anzahl an gleichzeitig ausgeführten Erreichbarkeitsstatus-Scans nicht beschränkt und somit schneller. Er ist insbesondere für große Netzwerkbereiche mit einer geringen Anzahl an aktiven Hosts geeignet.

Da der Boreas-Erreichbarkeitsscanner nun standardmäßig aktiviert ist, sind die Einstellungen des VTs Ping Host in der VT-Familie Port scanners nicht mehr gültig.

6.4.4 Hardware-Appliances

6.4.4.1 Neue Hardware-Modelle für Midrange-Klasse

Mit GOS 21.04 wird eine neue Generation von Midrange-Hardware-Appliances eingeführt.

Die neue Hardware verwendet nun Festplatten vom Typ SSD anstelle von HDDs, die 10-mal schneller und zudem leiser und leichter sind. Es ist auch mehr Festplattenspeicher verfügbar. Der RAM-Typ ist nun DDR4 statt DDR3, was den RAM durch eine höhere Taktrate (3200 MHz) deutlich schneller macht. Außerdem steht doppelt bis viermal so viel Arbeitsspeicher zur Verfügung. Zusätzlich wurde eine neue, schnellere CPU der neuesten Generation eingebaut.

Zusätzlich wurden die Ports der Appliances von 6 Ports GbE-Base-TX und 2 Ports 1 GbE SFP auf 8 Ports GbE-Base-TX und 2 Ports 10 GbE SFP+ geändert.

Die Produktnamen bleiben unverändert.

6.4.4.2 Vorbereitung zum Upgraden eines GSM 5300/6400

Beim Upgraden eines GSM 5300 oder GSM 6400 auf GOS 21.04 kann eine zusätzliche Vorbereitung notwendig sein.

Je nachdem, wie alt diese Appliances sind, laufen sie möglicherweise mit dem SATA-Modus „IDE“. Falls dies der Fall ist, bootet GOS 21.04 möglicherweise nicht. Der SATA-Modus muss auf „AHCI“ umgestellt werden.

Der SATA-Modus kann im BIOS geändert werden. Um in das BIOS zu gelangen, muss während des Reboots oder des Anschaltens des GSM wiederholt Delete gedrückt werden. Anschließend im Register Erweitert den Punkt SATA-Konfiguration wählen und den SATA-Modus auf AHCI-Modus ändern.

6.4.5 Virtuelle Appliances

Die offiziell unterstützten Hypervisoren für die virtuellen Appliances werden mit GOS 21.04 geändert.

Der GSM EXA/PETA/TERA/DECA und 25V kann mit Microsoft Hyper-V, VMware vSphere Hypervisor (ESXi) und Huawei FusionCompute verwendet werden.

Der GSM CENO kann mit Microsoft Hyper-V und VMware vSphere Hypervisor (ESXi) verwendet werden.

Der GSM ONE kann mit Oracle VirtualBox, VMware Workstation Pro und VMware Workstation Player verwendet werden.

Zusätzlich unterstützt GOS 21.04 den ARM-Befehlssatz auf Huawei FusionCompute.

6.4.6 Scannen durch ein VPN

Mit GOS 21.04 ist OpenVPN in GOS integriert, um das Scannen über ein Virtual Private Network (VPN) zu ermöglichen. Diese Funktion ist nur auf virtuellen Appliances der Midrange-Klasse verfügbar. Die VPN-Funktion ermöglicht es, dass Ziele, die über den VPN-Tunnel erreichbar sind, gescannt werden, hat aber keine Auswirkungen auf andere Ziele, Netzwerkeinstellungen oder Master-Sensor-Verbindungen.

Die VPN-Verbindung wird über das GOS-Administrationsmenü mit Hilfe der IP-Adresse des VPN und einer PKCS#12-Datei, die die notwendigen Zertifizierungsstellen-, Zertifikats- und Private-Key-Dateien enthält, konfiguriert und aufgebaut.

6.4.7 HTTPS

Mit GOS 21.04 wird zusätzlich zum Greenbone Security Assistant Daemon (gsad) der Webserver nginx verwendet. nginx nutzt OpenSSL anstelle von GnuTLS zur Definition der verfügbaren Ciphers und Protokolle des Servers.

Die Nutzung der Weboberfläche ist nur mit den TLS-Versionen 1.2 oder 1.3 möglich. Für die Konfiguration der TLS-Version gibt es im GOS-Administrationsmenü ein neues Menü unter Setup > Services > HTTPS > Protocols. Dort ist die Auswahl von TLSv1.2, TLSv1.3 oder beiden gleichzeitig möglich. Standardmäßig sind beide Optionen ausgewählt. In diesem Fall wählt der Webbrowser die Version entsprechend seiner Konfiguration aus.

Das Menü unter Setup > Services > HTTPS > Ciphers wird nur noch angezeigt, wenn TLS-Version 1.2 ausgewählt ist (entweder allein oder in Kombination mit Version 1.3). Die Ciphers werden nun mit einer anderen Zeichenfolge konfiguriert und die TLS-Version kann nicht mehr über die Zeichenfolge konfiguriert werden.

Wenn nur TLS-Version 1.3 ausgewählt ist, können die Cipher-Suites nicht konfiguriert werden und stattdessen wird der Standardwert von OpenSSL verwendet.

Wenn in GOS 20.08 nicht-standardmäßige HTTPS-Ciphers konfiguriert wurden, können die Ciphers direkt nach dem Upgrade auf GOS 21.04 neu konfiguriert werden. In diesem Fall werden nacheinander die gleichen Dialoge wie unter Setup > Services > HTTPS > Protocols und Setup > Services > HTTPS > Ciphers angezeigt. Wenn im Dialog Protocols nur TLSv1.3 gewählt wird, wird der Dialog Ciphers nicht angezeigt.

Wenn die Ciphers nicht neu konfiguriert werden, werden die standardmäßigen Protokoll- und Cipher-Einstellungen von GOS 21.04 verwendet.

Zusätzlich erlauben die Menüs unter Setup > Services > HTTPS > Certificate > Generate und Setup > Services > HTTPS > Certificate > CSR die Konfiguration eines Subject Alternative Name (SAN).

6.4.8 Sensoren

Mit GOS 21.04 wird das Greenbone Management Protocol (GMP) nicht mehr verwendet, um einen Sensor-GSM über einen Master-GSM zu steuern. Alle Sensoren verwenden nun das Open Scanner Protocol (OSP) als steuerndes Protokoll.

In GOS wird der Sensortyp GMP Sensor abgeschafft. Auf der Web-Oberfläche wird der Scannertyp GMP-Scanner entfernt. Der Sensortyp, der verwendet werden muss, ist Greenbone Sensor.

Dies führt dazu, dass die Sensoren leichtgewichtig werden und vermeidet, dass zusätzliche Anmeldedaten auf dem Sensor benötigt werden.

6.4.9 Netzwerk-Backend

Mit GOS 21.04 wird das Backend für die Netzwerkkonfiguration in GOS verbessert. Dies verhindert Verbindungsverluste in bestimmten Netzwerkkonfigurationen sowie Verbindungsprobleme mit SSH-Sitzungen.

Der GSM muss nicht mehr neu gestartet werden, nachdem bestimmte Netzwerkeinstellungen geändert wurden.

Der Netzwerkmodus kann direkt nach dem Upgrade auf GOS 21.04 auf den neuen Modus gnm (GOS Network Manager) aktualisiert werden. Wenn der Netzwerkmodus nicht direkt nach dem Upgrade aktualisiert wird, kann er im neuen Menü unter Setup > Network > Switch Networking Mode geändert werden.

6.4.10 Web-Oberfläche

6.4.10.1 Automatische Falsch-Positiv-Meldungen

Mit GOS 21.04 wird die Funktion Auto-FP abgeschafft.

Alte Filter mit autofp= bleiben bei der Migration erhalten, haben aber keine Wirkung mehr.

6.4.10.2 Schweregradklassen-Schema

Mit GOS 21.04 wird die Auswahl der alternativen Schemata für Schwereklassen (BSI Schwachstellenampel und PCI-DSS) aus den Benutzereinstellungen entfernt. Es gibt jetzt nur noch das Schema NVD Vulnerabiltiy Severity Ratings, um Schwereklassen anhand des Schweregrads zu bestimmen.

Während der Migration fällt jede andere Auswahl als die Standardeinstellung auf die Standardeinstellung zurück.

6.4.10.3 Gleichzeitiges Scannen über mehrere IP-Adressen

Einige Geräte – insbesondere IoT-Geräte – können abstürzen, wenn sie über mehrere IP-Adressen gleichzeitig gescannt werden. Dies kann zum Beispiel passieren, wenn das Gerät über IPv4 und IPv6 verbunden ist.

Mit GOS 21.04 ist es möglich, das gleichzeitige Scannen über mehrere IP-Adressen zu vermeiden, indem beim Anlegen eines Ziels die neue Einstellung Erlaube das gleichzeitige Scannen über verschiedene IPs verwendet wird.

Die Voreinstellung dieser Einstellung ist Ja und spiegelt das Verhalten früherer GOS-Versionen wider.

6.4.11 Greenbone Management Protocol (GMP)

Das Greenbone Management Protocol (GMP) wurde auf Version 21.04 aktualisiert und die Programmierschnittstelle wurde leicht angepasst. Die Nutzung mancher Kommandos wurde verändert und einige Kommandos, Elemente und Attribute wurden überholt. Das gesamte Referenzhandbuch und die Liste aller Veränderungen ist hier verfügbar.