7 Das Greenbone Operating System verwalten

Bemerkung

Dieses Kapitel dokumentiert alle möglichen Menüoptionen.

Allerdings unterstützen nicht alle Appliance-Modelle alle Menüoptionen. Um festzustellen, ob ein bestimmtes Feature für das genutzte Appliance-Modell verfügbar ist, können die Tabellen in Kapitel 3 genutzt werden.

7.1 Allgemeine Informationen

7.1.1 Greenbone-Enterprise-Feed-Subskription-Schlüssel

Beim Kauf einer Greenbone Enterprise Appliance wird ein eindeutiger Subskription-Schlüssel für den Greenbone Enterprise Feed vorinstalliert, um der Appliance Zugang zum Greenbone Feed Service zu gewähren. Der Subskription-Schlüssel wird nur für Autorisierungszwecke genutzt, nicht für Abrechnungen oder Verschlüsselungen.

Der Subskription-Schlüssel ist für jede Appliance individuell und kann nicht auf mehr als einer Appliance installiert sein.

Falls der Subskription-Schlüssel gefährdet wird (z. B. indem er in die Hände Dritter gerät), entsteht dem rechtmäßigen Besitzer des Subskription-Schlüssels kein Schaden. Greenbone wird den kompromittierten Schlüssel deaktivieren, um eine weitere unbefugte Nutzung zu verhindern. Ein Ersatzschlüssel kann kostenlos ausgestellt werden.

Bei einem Factory-Reset wird der Subskription-Schlüssel von der Appliance gelöscht und muss neu installiert werden. Falls ein Factory-Reset geplant ist, sollte der Greenbone Enterprise Support kontaktiert werden, um eine Kopie des Subskription-Schlüssels zu erhalten.

7.1.2 Autorisierungskonzept

Die Appliance bietet zwei unterschiedliche Level für den Zugriff:

• Anwendungsebene – über Web-Oberfläche oder GMP

  Die Anwendungsebene ist über die Web-Oberfläche oder die API des Greenbone Management Protocol (GMP) erreichbar.

• Systemebene – über das GOS-Administrationsmenü

  Die Systemebene ist nur über die Konsole oder das Secure Shell Protocol (SSH) erreichbar.

7.1.2.1 Zugriff auf die Anwendungsebene

Die Anwendungsebene ermöglicht den Zugriff auf Schwachstellenscanning und -verwaltung und unterstützt die Administration von Benutzern, Gruppen und Berechtigungen.

Der Zugriff auf die Anwendungsebene ist entweder über die Web-Oberfläche (siehe Kapitel 8 und 9) oder über die API des Greenbone Management Protocol (GMP) (siehe Kapitel 15) möglich.

Bemerkung

Bei der Auslieferung der Appliance durch Greenbone oder nach einem Factory-Reset ist standardmäßig kein Account für die Anwendungsebene konfiguriert. Es ist notwendig, mindestens einen solchen Account, einen sogenannten „Web-Administrator“, über das GOS-Administrationsmenü zu erstellen (siehe Kapitel 7.2.1.3).

Neben dem initialen Web-Administrator gibt es zwei Möglichkeiten, Web-Benutzer anzulegen:

Über die Web-Oberfläche

Über die Web-Oberfläche können Web-Benutzer mit unterschiedlichen Rollen und Berechtigungen angelegt werden. Diese Benutzer haben einen Besitzer, welcher der Benutzer ist, der sie angelegt hat. Sie können sowohl über die Web-Oberfläche als auch über das GOS-Administrationsmenü verwaltet werden.

Über das GOS-Administrationsmenü

Benutzer, die über das GOS-Administrationsmenü angelegt werden, haben immer die Rolle Admin. Diese Benutzer haben keinen Besitzer und sind sogenannte „globale Objekte“. Manchmal werden sie auch als „global web users“ bezeichnet. Sie können nur über das GOS-Administrationsmenü oder von einem Super-Administrator verwaltet werden.

Bemerkung

Für die Appliance-Modelle Greenbone Enterprise 35 und Greenbone Enterprise 25V ist kein Zugriff auf die Anwendungsebene möglich. Diese Appliances müssen über eine Master-Appliance verwaltet werden.

7.1.2.2 Zugriff auf die Systemebene

Die Systemebene ermöglicht den Zugriff auf die Administration des Greenbone Operating Systems (GOS). Nur ein einziger Systemadministrator wird unterstützt. Der Systemadministrator kann Systemdateien nicht direkt verändern, aber das System anweisen, Konfigurationen zu ändern.

GOS wird über eine menübasierte grafische Oberfläche (GOS-Administrationsmenü) verwaltet. Die Befehlszeile (Shell) muss nicht für Konfigurations- oder Wartungsaufgaben verwendet werden. Der Shell-Zugang ist nur für Support- und Fehlerbehebungszwecke vorgesehen.

Für den Zugriff auf die Systemebene wird entweder ein Konsolenzugriff (seriell, Hypervisor oder Monitor/Tastatur) oder eine SSH-Verbindung benötigt. Um SSH zu nutzen, ist eine Netzwerkverbindung notwendig und der SSH-Dienst muss aktiviert sein (siehe Kapitel 7.2.4.4).

Nach dem Ausliefern der Appliance durch Greenbone oder nach einem Factory-Reset ist ein Standardaccount und -passwort für den Systemadministrator vorkonfiguriert. Während des ersten Setups sollte das Passwort des Systemadministrators geändert werden (siehe Kapitel 7.2.1.1).

7.1.2.2.1 Mithilfe der Konsole auf das GOS-Administrationsmenü zugreifen

Nachdem die Appliance eingeschaltet wurde, bootet sie. Dieser Prozess kann in der Konsole überwacht werden.

Abb. 7.1 Eingabeaufforderung der Appliance

Nachdem der Boot-Vorgang abgeschlossen ist, wird die Eingabeaufforderung angezeigt (siehe Abb. 7.1). Die Standarddaten für den Login sind:

• Benutzer: admin

• Passwort: admin

  Bemerkung

  Während des ersten Setups sollte dieses Passwort geändert werden (siehe Kapitel 7.2.1.1).

Nach dem Ausliefern der Appliance durch Greenbone oder nach einem Factory-Reset wird ein Setup-Wizard angezeigt, der bei der grundlegenden Konfiguration von GOS behilflich ist.

• Durch Wählen von Yes und Drücken von Enter können alle notwendigen Einstellungen konfiguriert werden.

• Durch Wählen von No und Drücken von Enter wird der Setup-Wizard geschlossen. Unvollständige Schritte werden beim nächsten Einloggen wieder angezeigt.

• Durch Wählen von No und Drücken von Enter wird der Setup-Wizard geschlossen. Unvollständige Schritte werden beim nächsten Einloggen nicht wieder angezeigt.

7.1.2.2.2 Mithilfe von SSH auf das GOS-Administrationsmenü zugreifen

Bemerkung

Nach dem Ausliefern der Appliance durch Greenbone oder nach einem Factory-Reset ist der SSH-Zugriff möglicherweise deaktiviert und muss zuerst über die Konsole aktiviert werden (siehe Kapitel 7.2.4.4). Für SSH wird eine Netzwerkverbindung benötigt (siehe Kapitel 7.2.2.4).

Linux-, macOS- oder Unix-ähnliche Systeme

Um eine SSH-Verbindung auf Linux-, macOS- oder Unix-ähnlichen Systemen herzustellen, kann die Befehlszeile wie folgt genutzt werden:

$ ssh admin@<appliance>

<appliance> durch die IP-Adresse oder den Domainnamen der Appliance ersetzen.

Durch Anzeigen des Fingerprints kann der Host-Schlüssel wie folgt verifiziert werden:

1. In das GOS-Administrationsmenü einloggen.

2. Setup wählen und Enter drücken.

3. Services wählen und Enter drücken.

4. SSH wählen und Enter drücken.

5. Fingerprint wählen und Enter drücken.

   → Der Fingerprint wird angezeigt.

Microsoft Windows

Um eine SSH-Verbindung auf Microsoft-Windows-Systemen herzustellen, können die Tools PuTTY oder smarTTY genutzt werden. Auf Microsoft Windows Server 2019, Microsoft Windows 10 Build 1809 oder neuer kann die OpenSSH-Client-Komponente installiert werden, um über die Befehlszeile auf SSH zuzugreifen.

7.1.3 Das GOS-Administrationsmenü nutzen

Das GOS-Administrationsmenü kann mithilfe einer Tastatur gesteuert werden.

• Die Pfeiltasten der Tastatur werden für die Menüauswahl verwendet.

• Durch Drücken von Enter wird die aktuelle Menüauswahl bestätigt und fortgefahren.

• Durch Drücken von Space wird zwischen Auswahlmöglichkeiten gewechselt.

• Das aktuelle Menü kann durch Drücken von Esc verlassen werden.

• In den meisten Fällen werden Änderungen, die im GOS-Administrationsmenü vorgenommen werden, nicht sofort aktiviert. Stattdessen wird der Menüpunkt Save unterhalb der anderen Optionen eingefügt (siehe Abb. 7.2). Save wählen und Enter drücken, um die Änderungen zu speichern.

Abb. 7.2 Neue Menüoption zum Speichern ausstehender Änderungen

Falls ein Menü verlassen wird, ohne die ausstehenden Änderungen zu speichern, wird eine Warnung angezeigt (siehe Abb. 7.3).

Abb. 7.3 Speichern ausstehender Änderungen

7.2 Setup-Menü

7.2.1 Benutzer verwalten

7.2.1.1 Das Passwort des Systemadministrators ändern

Das Passwort des Systemadministrators kann geändert werden. Dies ist besonders bei der ersten grundlegenden Konfiguration wichtig. Die Standardeinstellung ist für eine Produktionsumgebung nicht geeignet.

Das Passwort kann wie folgt geändert werden:

1. Setup wählen und Enter drücken.

2. User wählen und Enter drücken.

3. Password wählen und Enter drücken (siehe Abb. 7.4).

   

   Abb. 7.4 Öffnen der Benutzerverwaltung

4. Aktuelles Passwort eingeben und Enter drücken (siehe Abb. 7.5).

   

   Abb. 7.5 Das Passwort des Systemadministrators ändern

5. Neues Passwort eingeben und Enter drücken.

   Bemerkung

   Triviale Passwörter einschließlich des Standardpassworts admin werden abgelehnt.

6. Neues Passwort wiederholen und Enter drücken.

   Bemerkung

   Die Änderung tritt sofort in Kraft und eine Bestätigung ist nicht notwendig. Es ist nicht möglich, die Änderung rückgängig zu machen.

7.2.1.2 Web-Benutzer verwalten

Das GOS-Administrationsmenü bietet die Möglichkeit, Web-Benutzer (= Benutzerkonten für die Web-Oberfläche der Appliance und die GMP-API) zu verwalten.

Bemerkung

Für die Appliance-Modelle Greenbone Enterprise 35 und Greenbone Enterprise 25V gibt es keine Web-Oberfläche.

Für diese Appliance-Modelle sind dieses Kapitel und seine Unterkapitel nicht relevant.

Bemerkung

Um die Web-Oberfläche der Appliance nutzen zu können, muss mindestens ein Web-Administrator (= Web-Benutzer mit der Rolle Admin) erstellt werden (siehe Kapitel 7.2.1.3).

Web-Administratoren, die über das GOS-Administrationsmenü erstellt wurden, haben keinen Besitzer und sind sogenannte „globale Objekte“. Manchmal werden sie auch als „global web users“ bezeichnet. Sie können nur über das GOS-Administrationsmenü oder von einem Superadministrator verwaltet werden.

Alle Web-Benutzer können wie folgt angezeigt werden:

1. Setup wählen und Enter drücken.

2. User wählen und Enter drücken.

3. Users wählen und Enter drücken.

4. List Users wählen und Enter drücken, um eine Liste aller konfigurierten Web-Benutzer anzeigen zu lassen (siehe Abb. 7.6).

Abb. 7.6 Verwalten der Web-Benutzer

7.2.1.3 Einen Web-Administrator erstellen

Um die Web-Oberfläche der Appliance nutzen zu können, muss mindestens ein Web-Administrator (= Web-Benutzer mit der Rolle Admin) erstellt werden.

Bemerkung

Das Anlegen des ersten Web-Administrators ist nur über das GOS-Administrationsmenüs möglich.

Ein neuer Web-Administrator kann wie folgt erstellt werden:

1. Setup wählen und Enter drücken.

2. User wählen und Enter drücken.

3. Users wählen und Enter drücken.

4. Admin User wählen und Enter drücken.

5. Benutzernamen für den Web-Administrator festlegen (siehe Abb. 7.7).

   Bemerkung

   Für den Benutzernamen sind nur die folgenden Zeichen zulässig:

   • Alle alphanumerischen Zeichen

   • - (Bindestrich)

   • _ (Unterstrich)

   • . (Punkt)

   

   Abb. 7.7 Erstellen eines neuen Web-Administrators

6. Passwort für den Web-Administrator zweimal eingeben.

   Bemerkung

   Das Passwort kann jede Art von Zeichen enthalten und darf maximal 30 Zeichen lang sein.

   Bei der Verwendung von Sonderzeichen ist zu beachten, dass diese auf allen verwendeten Tastaturen vorhanden sein müssen und von jeder Client-Software und allen Betriebssystemen korrekt unterstützt werden. Das Kopieren und Einfügen von Sonderzeichen für Passwörter kann je nach diesen externen Faktoren zu ungültigen Passwörtern führen.

7. OK wählen und Enter drücken.

   → Eine Meldung weist darauf hin, dass der Web-Administrator erstellt wurde.

8. Enter drücken, um die Meldung zu schließen.

7.2.1.4 Einen Gastbenutzer aktivieren

Damit sich ein Gast ohne Passwort anmelden kann, muss der Gastzugang wie folgt aktiviert werden:

1. Setup wählen und Enter drücken.

2. User wählen und Enter drücken.

3. Users wählen und Enter drücken.

4. Guest User wählen und Enter drücken.

5. Benutzernamen und Passwort eines vorhandenen Web-Benutzers eingeben und Tab drücken.

6. Enter drücken.

   → Der Web-Benutzer kann sich nun auch ohne Passwort auf der Web-Oberfläche anmelden (siehe Abb. 7.8).

   

   Abb. 7.8 Einloggen als Gast ohne Nutzung eines Passworts

7.2.1.5 Einen Super-Administrator erstellen

Die Rolle Super Admin stellt die höchste Zugriffsstufe dar. Ein Benutzer mit dieser Rolle kann wie folgt erstellt werden:

1. Setup wählen und Enter drücken.

2. User wählen und Enter drücken.

3. Users wählen und Enter drücken.

4. Super Admin wählen und Enter drücken.

   → Eine Warnung fordert den Benutzer auf, den Vorgang zu bestätigen (siehe Abb. 7.9).

   

   Abb. 7.9 Warnung beim Erstellen eines neuen Super-Administrators

5. Yes wählen und Enter drücken.

6. Benutzernamen für den Super-Administrator festlegen.

   Bemerkung

   Für den Benutzernamen sind nur die folgenden Zeichen zulässig:

   • Alle alphanumerischen Zeichen

   • - (Bindestrich)

   • _ (Unterstrich)

   • . (Punkt)

7. Passwort für den Super-Administrator zweimal eingeben.

   Bemerkung

   Das Passwort kann jede Art von Zeichen enthalten und darf maximal 30 Zeichen lang sein.

   Bei der Verwendung von Sonderzeichen ist zu beachten, dass diese auf allen verwendeten Tastaturen vorhanden sein müssen und von jeder Client-Software und allen Betriebssystemen korrekt unterstützt werden. Das Kopieren und Einfügen von Sonderzeichen für Passwörter kann je nach diesen externen Faktoren zu ungültigen Passwörtern führen.

8. OK wählen und Enter drücken.

   → Eine Meldung weist darauf hin, dass der Super-Administrator erstellt wurde.

9. Enter drücken, um die Meldung zu schließen.

   Bemerkung

   Der Super-Administrator kann nur vom Super-Administrator selbst bearbeitet werden.

7.2.1.6 Einen Benutzeraccount löschen

Bemerkung

Super-Administratoren können nur wie hier beschrieben gelöscht werden. Das Löschen eines Super-Administrators über die Web-Oberfläche ist nicht möglich.

Der Benutzer, der Feed Import Owner ist, kann nicht gelöscht werden. Zuerst muss ein anderer Feed Import Owner festgelegt oder die Einstellung auf (Unset) geändert werden (siehe Kapitel 7.2.1.10.1).

Ein Web-Benutzer kann wie folgt gelöscht werden:

1. Setup wählen und Enter drücken.

2. User wählen und Enter drücken.

3. Users wählen und Enter drücken.

4. Delete Account wählen und Enter drücken.

5. Web-Benutzer, der gelöscht werden soll, wählen und Enter drücken.

   → Eine Meldung fragt, ob ein Nachfolger gewählt werden soll.

6. Falls ein Nachfolger festgelegt werden soll, Yes wählen und Enter drücken.

7. Web-Benutzer, der der Nachfolger sein soll, wählen und Enter drücken.

   → Der Web-Benutzer wird sofort gelöscht.

   oder

6. Falls kein Nachfolger festgelegt werden soll, No wählen und Enter drücken.

   → Der Web-Benutzer wird sofort gelöscht.

7.2.1.7 Die Anzahl der gleichzeitigen Websitzungen begrenzen

Derselbe Web-Benutzer kann sich in mehreren Websitzungen auf der Web-Oberfläche anmelden. Es ist möglich, die Anzahl der gleichzeitigen Websitzungen zu begrenzen.

1. Setup wählen und Enter drücken.

2. User wählen und Enter drücken.

3. Users wählen und Enter drücken.

4. User sessions wählen und Enter drücken.

5. Maximale Anzahl der gleichzeitigen Websitzungen in das Eingabefeld eingeben (siehe Abb. 7.10).

   Bemerkung

   Der Wert kann zwischen 0 und 25 liegen. Der Standardwert ist 0, was bedeutet, dass die Anzahl der Websitzungen unbegrenzt ist.

   

   Abb. 7.10 Begrenzen der Anzahl von Websitzungen

6. Enter drücken.

7.2.1.8 Das Benutzerpasswort ändern

Das Passwort eines Web-Benutzers kann wie folgt geändert werden:

1. Setup wählen und Enter drücken.

2. User wählen und Enter drücken.

3. Users wählen und Enter drücken.

4. Change Password wählen und Enter drücken.

5. Web-Benutzer, dessen Passwort geändert werden soll, wählen und Enter drücken.

6. Neues Passwort zweimal eingeben und Tab drücken (siehe Abb. 7.11).

   

   Abb. 7.11 Ändern des Benutzerpassworts

7. Enter drücken.

7.2.1.9 Die Passwortrichtlinie ändern

Die Anforderungen an Passwörter können wie folgt geändert werden:

1. Setup wählen und Enter drücken.

2. User wählen und Enter drücken.

3. Users wählen und Enter drücken.

4. Password Policy wählen und Enter drücken.

5. Length wählen und Enter drücken, um die Mindestlänge eines Passworts festzulegen.

   Bemerkung

   Die Mindestlänge muss mindestens 10 Zeichen betragen.

   Username wählen und Enter drücken, um festzulegen, ob Benutzername und Passwort gleich sein dürfen.

   Complex wählen und Enter drücken, um festzulegen, ob ein Passwort mindestens einen Buchstaben, eine Zahl und ein Symbol enthalten muss.

   

   Abb. 7.12 Ändern der Passwortrichtlinie

7.2.1.10 Die Einstellungen für Datenobjekte konfigurieren

Scan-Konfigurationen, Compliance-Richtlinien, Berichtformate und Portlisten von Greenbone (im Folgenden als „Objekte“ bezeichnet) werden über den Feed verteilt. Diese Objekte müssen im Besitz eines Benutzers, des Feed Import Owners, sein.

Die Objekte werden während eines Feed-Updates heruntergeladen und aktualisiert, falls ein Feed Import Owner festgelegt wurde.

Nur der Feed Import Owner, ein Super-Administrator oder Nutzer, die entsprechende Berechtigungen erhalten haben, können Objekte löschen. Wenn die Objekte gelöscht werden, werden sie während des nächsten Feed-Updates erneut heruntergeladen.

Bemerkung

Falls die Objekte im Papierkorb verbleiben, gelten sie noch nicht als gelöscht und werden beim nächsten Feed-Update nicht erneut heruntergeladen.

Falls keine Objekte heruntergeladen werden sollen, darf kein Feed Import Owner festgelegt sein.

Der Feed Import Owner, ein Super-Administrator (Standardrolle) und ein Administrator (Standardrolle), welcher aktuell Berechtigungen für die Objekte hat, können anderen Nutzern auch zusätzliche Berechtigungen für die Objekte erteilen (siehe Kapitel 9.4.1.1 oder 9.4.1.2). Normalerweise gilt dies nur für die Standardrollen. Benutzerdefinierte Rollen müssen zunächst manuell mit Berechtigungen ausgestattet werden.

7.2.1.10.1 Den Feed Import Owner ändern

Der Feed Import Owner wird bei der ersten Einrichtung der Appliance festgelegt (siehe Kapitel 6 und 5). Der Feed Import Owner kann jedoch zu einem späteren Zeitpunkt geändert werden.

Bemerkung

Falls der Feed Import Owner geändert wird, werden die Objekte beim nächsten Import aus dem Feed in den Besitz des neuen Feed Import Owners übergehen. Der vorherige Feed Import Owner ist bis dahin weiterhin Eigentümer der Objekte.

Falls der vorherige Feed Import Owner die Objekte entfernt, werden sie während des Feed-Updates importiert und gehen in den Besitz des neuen Feed Import Owners über.

Der Feed Import Owner kann wie folgt geändert werden:

1. Setup wählen und Enter drücken.

2. User wählen und Enter drücken.

3. Users wählen und Enter drücken.

4. Distributed Data wählen und Enter drücken (siehe Abb. 7.13).

   

   Abb. 7.13 Konfigurieren der Einstellungen für die Datenobjekte

5. Import Owner wählen und Enter drücken.

6. Nutzer, der Feed Import Owner sein soll, wählen und Leertaste drücken.

7. Enter drücken.

Bemerkung

Der Benutzer, der Feed Import Owner ist, kann nicht gelöscht werden (siehe Kapitel 7.2.1.6). Es muss ein anderer Feed Import Owner oder die Einstellung (Unset) ausgewählt werden.

7.2.1.10.2 Die Zugriffsrollen festlegen

Standardmäßig haben die Rollen User, Admin und Super Admin Lesezugriff auf die Objekte, d. h. sie können sie auf der Web-Oberfläche sehen und nutzen.

Jedoch können die Rollen, die Lesezugriff auf die Objekte haben sollen, wie folgt ausgewählt werden:

1. Setup wählen und Enter drücken.

2. User wählen und Enter drücken.

3. Users wählen und Enter drücken.

4. Distributed Data wählen und Enter drücken.

5. Access Roles wählen und Enter drücken.

6. Rollen, die die Objekte sehen und benutzen können sollen, wählen und Leertaste drücken (siehe Abb. 7.14).

   

   Abb. 7.14 Wählen der Rollen mit Lesezugriff auf die Objekte

7. Enter drücken.

7.2.2 Die Netzwerkeinstellungen konfigurieren

7.2.2.1 Den Netzwerkmodus auf gnm aktualisieren

Wenn der alte Netzwerkmodus noch aktiv ist, steht eine Menüoption zum Umschalten auf den neuen Netzwerkmodus GOS Network Manager (gnm) zur Verfügung. Wenn der Netzwerkmodus gnm bereits verwendet wird, wird die Option nicht angezeigt. Ein Zurückschalten in den alten Netzwerkmodus ist nicht möglich.

Der Netzwerkmodus kann wie folgt umgeschaltet werden:

1. Setup wählen und Enter drücken.

2. Network wählen und Enter drücken.

3. Switch Networking Mode wählen und Enter drücken.

   → Eine Warnung empfiehlt, vor dem Umschalten des Netzwerkmodus eine Konsolenverbindung zur Appliance herzustellen (siehe Abb. 7.15).

   

   Abb. 7.15 Umschalten des Netzwerkmodus

4. Yes wählen und Enter drücken.

   → Wenn der Vorgang abgeschlossen ist, weist eine Meldung darauf hin, dass der Netzwerkmodus erfolgreich auf gnm aktualisiert wurde.

7.2.2.2 Allgemeine Informationen über Namensräume

Bei einigen Appliance-Modellen (Greenbone Enterprise 5400/6500 und Greenbone Enterprise 400/450/600/650) sind die Netzwerkschnittstellen in unterschiedlichen Namensräumen organisiert:

Management-Namensraum

• Dieser Namensraum enthält alle Schnittstellen, die für Managementtätigkeiten benötigt werden.

• Nur Schnittstellen im Management-Namensraum können Managementverkehr verarbeiten. Dies beinhaltet den Zugriff auf das GOS-Administrationsmenü, die Web-Oberfläche und den Greenbone Feed Server sowie die Konfiguration und den Betrieb von Master-Sensor-Setups.

Scan-Namensraum

• Dieser Namensraum enthält alle Schnittstellen, die für Schwachstellenscans benötigt werden.

• Schnittstellen im Scan-Namensraum verarbeiten nur Scanverkehr.

Standardmäßig befinden sich alle Schnittstellen im Management-Namensraum. Dies ermöglicht sowohl Management- als auch Scanverkehr über alle Schnittstellen. Sobald mindestens eine Schnittstelle im Scan-Namensraum ist, tritt die Namensraumtrennung in Kraft.

Die Namensräume werden getrennt, um nur die Schnittstellen im Scan-Namensraum mit vom Internet aus zugänglichen Netzwerken zu verbinden. Auf diese Weise können Angriffe aus dem Internet die Management-Schnittstellen der Appliance nicht erreichen.

Tipp

Die Trennung der Namensräume wird empfohlen.

7.2.2.3 Eine Schnittstelle in einen anderen Namensraum verschieben

Schnittstellen können wie folgt in einen anderen Namensraum verschoben werden:

1. Setup wählen und Enter drücken.

2. Network wählen und Enter drücken.

3. Configure Namespaces wählen und Enter drücken.

4. Enter drücken.

   Bemerkung

   Schnittstellen, die sich derzeit im Scan-Namensraum befinden, sind mit * gekennzeichnet (siehe Abb. 7.16).

   Schnittstellen, die sich derzeit im Management-Namensraum befinden, sind entsprechend gekennzeichnet.

   

   Abb. 7.16 Verschieben von Schnittstellen in einen anderen Namensraum

5. Schnittstelle, die verschoben werden soll, wählen und Leertaste drücken.

   Bemerkung

   Es dürfen nicht alle Schnittstellen in den Scan-Namensraum verschoben werden, da sonst die Appliance nicht mehr erreichbar ist.

6. Enter drücken.

7.2.2.4 Netzwerkschnittstellen konfigurieren

Bemerkung

Mindestens eine Netzwerkschnittstelle muss für den Zugriff auf die Appliance über das Netzwerk konfiguriert sein. Normalerweise wird die erste Netzwerkschnittstelle eth0 dafür genutzt. Der Administrator muss diese Netzwerkschnittstelle konfigurieren und die Appliance mit dem Netzwerk verbinden.

Auf allen virtuellen Appliances ist die erste Netzwerkschnittstelle über DHCP mit IPv4 vorkonfiguriert.

Netzwerkschnittstellen können wie folgt konfiguriert werden:

1. Setup wählen und Enter drücken.

2. Network wählen und Enter drücken.

3. Namensraum, in dem sich die gewünschte Schnittstelle befindet, wählen und Enter drücken.

4. Interfaces wählen und Enter drücken.

5. Gewünschte Schnittstelle wählen und Enter drücken.

   Bemerkung

   Falls es in diesem Namensraum nur eine Schnittstelle gibt, wird die Konfiguration dieser Schnittstelle direkt geöffnet.

   → Die Schnittstelle kann konfiguriert werden (siehe Abb. 7.17).

   

   Abb. 7.17 Konfigurieren der Netzwerkschnittstelle

7.2.2.4.1 Eine statische IP-Adresse festlegen

1. Gewünschte Schnittstelle wählen (siehe Kapitel 7.2.2.4).

2. Static IP (für IPv4 oder IPv6) wählen und Enter drücken.

3. dhcp aus dem Eingabefeld löschen und mit korrekter IP-Adresse, einschließlich Präfixlänge, ersetzen (siehe Abb. 7.18).

   Bemerkung

   Die statische IP-Adresse kann deaktiviert werden, indem das Eingabefeld leer gelassen wird.

   

   Abb. 7.18 Eingeben einer statischen IP-Adresse

4. Enter drücken.

   → Eine Meldung weist darauf hin, dass die Änderungen gespeichert werden müssen.

5. Enter drücken, um die Meldung zu schließen.

7.2.2.4.2 Eine Netzwerkschnittstelle so konfigurieren, dass DHCP genutzt wird

Bemerkung

Bei der Verwendung von DHCP überträgt die Appliance nicht die MAC-Adresse, sondern eine DHCP Unique ID (DUID). Während dies bei modernen DHCP-Servern nicht zu Schwierigkeiten führen sollte, sind einige ältere DHCP-Server (z. B. Windows Server 2012) möglicherweise nicht in der Lage, diese zu verarbeiten.

Eine mögliche Lösung ist die Angabe der DUID anstelle der MAC-Adresse auf dem DHCP-Server. Alternativ kann auch eine statische IP-Adresse auf der Appliance verwendet werden.

Eine Netzwerkschnittstelle kann wie folgt konfiguriert werden, sodass DHCP genutzt wird:

1. Gewünschte Schnittstelle wählen (siehe Kapitel 7.2.2.4).

2. DHCP (für IPv4 oder IPv6) wählen und Enter drücken.

7.2.2.4.3 Die Maximum Transmission Unit (MTU) konfigurieren

Bemerkung

Die Konfiguration der MTU ist nur möglich, falls eine statische IP-Adresse konfiguriert ist.

Die MTU kann wie folgt festgelegt werden:

1. Gewünschte Schnittstelle wählen (siehe Kapitel 7.2.2.4).

2. MTU (für IPv4 oder IPv6) wählen und Enter drücken.

3. MTU in das Eingabefeld eingeben.

   Bemerkung

   Falls das Eingabefeld leer gelassen wird, wird der Standardwert eingestellt.

4. Enter drücken.

   → Eine Meldung weist darauf hin, dass die Änderungen gespeichert werden müssen.

5. Enter drücken, um die Meldung zu schließen.

7.2.2.4.4 Das Router-Advertisement für IPv6 nutzen

Falls die Konfiguration von IP-Adressen und eines globalen Gateways für IPv6 automatisch via SLAAC (Stateless Address Autoconfiguration) ablaufen sollen, kann das Router-Advertisement wie folgt aktiviert werden:

1. Gewünschte Schnittstelle wählen (siehe Kapitel 7.2.2.4).

2. Router-advertisement wählen und Enter drücken.

7.2.2.4.5 VLANs konfigurieren

Bemerkung

VLAN-Schnittstellen werden derzeit auf virtuellen Appliances nicht unterstützt. Wenn der Hypervisor virtuelle Switches unterstützt, können diese verwendet werden, um die Funktionalität zu realisieren.

Ein neues VLAN erstellen

Eine neue VLAN-Subschnittstellen kann wie folgt erstellt werden:

1. Gewünschte Schnittstelle wählen (siehe Kapitel 7.2.2.4).

2. Configure the VLAN interfaces on this interface wählen und Enter drücken.

3. Configure a new VLAN interface wählen und Enter drücken.

4. VLAN ID in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.19).

   → Eine Meldung weist darauf hin, dass die Änderungen gespeichert werden müssen.

   

   Abb. 7.19 Erstellen einer neuen VLAN-Subschnittstelle

5. Enter drücken, um die Meldung zu schließen.

   → Die neue Schnittstellen kann mithilfe von IPv4 und IPv6 konfiguriert werden (siehe Abb. 7.20).

   

   Abb. 7.20 Konfigurieren der VLAN-Subschnittstelle

Ein VLAN konfigurieren

Eine erstellte Subschnittstelle kann wie folgt konfiguriert werden:

1. Gewünschte Schnittstelle wählen (siehe Kapitel 7.2.2.4).

2. Configure the VLAN interfaces on this interface wählen und Enter drücken.

3. Configure the VLAN interface … für die gewünschte Subschnittstelle wählen.

4. Subschnittstelle wie in den Unterkapiteln von Kapitel 7.2.2.4 beschrieben konfigurieren.

   Bemerkung

   Das VLAN kann durch Wählen von Disable All Settings und Drücken von Enter gelöscht werden.

7.2.2.4.6 Die Routen für eine Schnittstelle konfigurieren

Eine neue Route hinzufügen

Eine neue Route für eine Schnittstelle kann wie folgt konfiguriert werden:

1. Gewünschte Schnittstelle wählen (siehe Kapitel 7.2.2.4).

2. Configure the Routes for this interface wählen und Enter drücken.

3. Configure IPv4 Routes oder Configure IPv6 Routes wählen und Enter drücken (siehe Abb. 7.21).

   

   Abb. 7.21 Konfigurieren der Routen für eine Schnittstelle

4. Add a new route wählen und Enter drücken.

5. Zielnetzwerk und next hop in die Eingabefelder eingeben, OK wählen und Enter drücken.

Eine Route konfigurieren

Alle erstellten Routen können wie folgt konfiguriert werden:

1. Gewünschte Schnittstelle wählen (siehe Kapitel 7.2.2.4).

2. Configure the Routes for this interface wählen und Enter drücken.

3. Configure IPv4 Routes oder Configure IPv6 Routes wählen und Enter drücken.

4. Gewünschte Route wählen und Enter drücken.

5. Route bearbeiten, OK wählen und Enter drücken.

7.2.2.5 Den DNS-Server konfigurieren

Um den Feed und Updates zu erhalten, benötigt die Appliance einen erreichbaren und funktionierenden DNS-Server (Domain Name System) für die Namensauflösung. Diese Einstellung wird nicht benötigt, falls die Appliance einen Proxy zum Herunterladen des Feeds und der Updates verwendet.

Falls DHCP für die Konfiguration der Netzwerkschnittstellen genutzt wird, werden die vom DHCP-Protokoll bereitgestellten DNS-Server genutzt.

Die Appliance unterstützt bis zu drei DNS-Server. Mindestens ein DNS-Server wird benötigt. Zusätzliche Server werden nur bei einem Ausfall des ersten Servers genutzt.

Der DNS-Server kann wie folgt konfiguriert werden:

1. Setup wählen und Enter drücken.

2. Network wählen und Enter drücken.

3. Namespace: Management wählen und Enter drücken.

4. DNS wählen und Enter drücken.

5. Gewünschten DNS-Server wählen und Enter drücken.

6. IP-Adresse, die als DNS-Server genutzt wird, in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.22).

   

   Abb. 7.22 Konfiguration des DNS-Servers

   → Eine Meldung weist darauf hin, dass die Änderungen gespeichert werden müssen.

7. Enter drücken, um die Meldung zu schließen.

Bemerkung

Ob der DNS-Server erreicht wird und funktioniert, kann ermittelt werden, indem ein Self-Check durchgeführt wird (siehe Kapitel 7.3.1).

7.2.2.6 Das globale Gateway konfigurieren

Das globale Gateway wird oft das Standard-Gateway genannt.

Es kann automatisch über DHCP oder Router-Advertisement bezogen werden.

• Falls DHCP für das Zuweisen von IP-Adressen genutzt wird, wird das globale Gateway über DHCP bestimmt, sofern es nicht explizit festgelegt wurde.

• Falls SLAAC (Stateless Address Autoconfiguration) bei IPv6 verwendet werden soll, muss das Router-Advertisement aktiviert werden (siehe Kapitel 7.2.2.4.4).

Wenn die Appliance jedoch so konfiguriert ist, dass sie ausschließlich statische IP-Adressen verwendet und der Zugriff auf andere Netzwerke gewünscht wird, muss das Gateway manuell konfiguriert werden. Für IPv4 und IPv6 sind getrennte Optionen verfügbar.

Das globale Gateway kann wie folgt konfiguriert werden:

1. Setup wählen und Enter drücken.

2. Network wählen und Enter drücken.

   Bemerkung

   Wenn die Appliance über Namensräume verfügt (siehe Kapitel 7.2.2.2), muss zuerst der gewünschte Namensraum gewählt werden.

   Wenn die Appliance keine Namensräume hat, mit Schritt 4 fortfahren.

3. Namensraum, für den das globale Gateway konfiguriert werden soll, wählen und Enter drücken.

4. Global Gateway für IPv4 oder Global Gateway (IPv6) für IPv6 wählen und Enter drücken.

5. Gewünschte Schnittstellen wählen und Enter drücken (siehe Abb. 7.23).

   

   Abb. 7.23 Konfigurieren des globalen Gateways

6. IP-Adresse, die als globales Gateway genutzt wird, in das Eingabefeld eingeben und Enter drücken.

   → Eine Meldung weist darauf hin, dass die Änderungen gespeichert werden müssen.

7. Enter drücken, um die Meldung zu schließen.

7.2.2.7 Den Hostnamen und den Domainnamen festlegen

Nach dem Ausliefern der Appliance durch Greenbone oder nach einem Factory-Reset sind ein Standard-Hostname und ein Standard-Domainname konfiguriert. Die Konfiguration eines korrekten Fully Qualified Domain Name (FQDN) kann je nach der Umgebung, in der die Appliance eingesetzt wird, erforderlich sein und wird generell empfohlen.

Mit der Hostname-Option wird der kurze Hostname konfiguriert, mit der Domainname-Option der Domainname einschließlich seines Suffixes. Die beiden Werte zusammen bilden den FQDN. Die Standardwerte sind:

• Hostname: gsm

• Domainname: gbuser.net

Der aktuell konfigurierte Domainname wird immer als Suchdomain verwendet. DHCP-Server können Suchdomains hinzufügen, wenn DHCP für mindestens eine Netzwerkschnittstelle der Appliance konfiguriert ist und wenn der DHCP-Server entsprechend konfiguriert ist. GOS bietet keine zusätzlichen Konfigurationsoptionen, um weitere benutzerdefinierte Suchdomains hinzuzufügen.

Der Hostname und der Domainname können wie folgt konfiguriert werden:

1. Setup wählen und Enter drücken.

2. Network wählen und Enter drücken.

3. Namespace: Management wählen und Enter drücken.

4. Hostname oder Domainname wählen und Enter drücken.

5. Hostnamen oder Domainnamen in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.24).

   

   Abb. 7.24 Festlegen des Hostnamens/Domainnamens

   → Eine Meldung weist darauf hin, dass die Änderungen gespeichert werden müssen.

6. Enter drücken, um die Meldung zu schließen.

7.2.2.8 Den Managementzugriff beschränken

Die IP-Adresse, unter der die Managementschnittstelle verfügbar ist, kann festgelegt werden.

Jeder administrative Zugriff (SSH, HTTPS, GMP) wird auf die entsprechende Schnittstelle beschränkt und ist nicht auf anderen Schnittstellen verfügbar.

Bemerkung

Diese Funktionalität überschneidet sich mit der Namensraumtrennung (siehe Kapitel 7.2.2). Die Namensraumtrennung wird empfohlen.

Falls keine IP-Adresse festgelegt wird, ist die Managementschnittstelle auf allen IP-Adressen im Management-Namensraum verfügbar.

Die IP-Adresse für die Managementschnittstelle kann wie folgt festgelegt werden:

1. Setup wählen und Enter drücken.

2. Network wählen und Enter drücken.

3. Namespace: Management wählen und Enter drücken.

4. Management IP (v4) oder Management IP (v6) wählen und Enter drücken.

5. IP-Adresse für die Managementschnittstelle in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.25).

   Bemerkung

   Die IP-Adresse muss die IP-Adresse einer der Schnittstellen im Management-Namensraum sein. Falls eine andere IP-Adresse festgelegt wird, ist die Managementschnittstelle nicht verfügbar.

   Es kann entweder die IP-Adresse oder der Name der Schnittstelle (z. B. eth0) eingegeben werden.

   

   Abb. 7.25 Beschränken des Managementzugriffs

7.2.2.9 Die MAC- und die IP-Adressen und die Netzwerkrouten anzeigen

In einer einfachen Übersicht können die verwendeten MAC-Adressen, die aktuell konfigurierten IP-Adressen und die Netzwerkrouten der Appliance angezeigt werden.

Bemerkung

Dies unterstützt nicht die Konfiguration von MAC-Adressen.

Die MAC-Adressen, IP-Adressen oder Netzwerkrouten können wie folgt angezeigt werden:

1. Setup wählen und Enter drücken.

2. Network wählen und Enter drücken.

3. Namensraum, für den die IP-Adressen, MAC-Adressen oder Netzwerkrouten angezeigt werden sollen, wählen und Enter drücken.

4. MAC, IP oder Routes wählen und Enter drücken.

   → Die MAC-/IP-Adressen oder Netzwerkrouten des gewählten Namensraums werden angezeigt (siehe Abb. 7.26).

   

   Abb. 7.26 Anzeigen der MAC-/IP-Adressen oder Netzwerkrouten

7.2.3 Eine Virtual-Private-Network-Verbindung (VPN-Verbindung) konfigurieren

OpenVPN ist in GOS integriert. Die VPN-Funktion ermöglicht das Scannen von Zielen, die über den VPN-Tunnel erreichbar sind, hat aber keine Auswirkungen auf andere Ziele, Netzwerkeinstellungen oder Master-Sensor-Verbindungen.

Bemerkung

Das Scannen durch einen VPN-Tunnel ist nur für die Appliance-Modelle Greenbone Enterprise DECA/TERA/PETA/EXA verfügbar (siehe Kapitel 3).

Um Scans durch einen VPN-Tunnel durchzuführen, muss eine VPN-Verbindung aufgebaut werden. Der VPN-Tunnel wird immer applianceseitig initiiert.

Zur Authentifizierung der Appliance im VPN wird eine PKCS#12-Datei mit den folgenden Anforderungen benötigt:

• Die PKCS#12-Datei muss die erforderlichen Dateien für das Zertifikat und den privaten Schlüssel enthalten.

• Die PKCS#12-Datei kann eine Datei für die Zertifizierungsstelle (CA) enthalten. Falls sie keine enthält, muss die CA-Datei separat importiert werden.

• Die PKCS#12-Datei kann passwortgeschützt sein oder nicht.

• Passwortgeschützte private Schlüsseldateien innerhalb der PKCS#12-Datei werden nicht unterstützt.

7.2.3.1 Eine VPN-Verbindung einrichten

Bemerkung

Es kann immer nur eine VPN-Verbindung zur gleichen Zeit eingerichtet werden.

Eine neue VPN-Verbindung kann wie folgt eingerichtet werden:

1. Setup wählen und Enter drücken.

2. VPN wählen und Enter drücken.

3. Add a new VPN wählen und Enter drücken (siehe Abb. 7.27).

   

   Abb. 7.27 Eine VPN-Verbindung hinzufügen

4. IP-Adresse des VPNs in das Eingabefeld eingeben und Enter drücken.

5. Webbrowser öffnen und angezeigte URL eingeben.

6. Auf Browse… klicken, die PKCS#12-Datei wählen und auf Upload klicken.

7. Falls ein Exportpasswort zum Schutz des PKCS#12-Containers verwendet wurde, Passwort eingeben und Enter drücken.

   → Eine Meldung weist darauf hin, dass die PKCS#12-Datei erfolgreich extrahiert wurde.

8. Enter drücken.

   Bemerkung

   Falls die PKCS#12-Datei keine CA-Datei enthält, muss die CA-Datei separat importiert werden.

   Falls die PKCS#12-Datei bereits eine CA-Datei enthält, kann zwar auch eine CA-Datei separat importiert werden, dies überschreibt jedoch die CA-Datei aus der PKCS#12-Datei.

9. Certificate Authority wählen und Enter drücken.

10. Webbrowser öffnen und angezeigte URL eingeben.

11. Auf Browse… klicken, die CA-Datei wählen und auf Upload klicken.

    → Eine Meldung weist darauf hin, dass die CA-Datei erfolgreich importiert wurde.

12. Enter drücken.

    → Die VPN-Verbindung wird aufgebaut und die über das VPN erreichbaren Ziele können gescannt werden (siehe Kapitel 10.2).

7.2.3.2 Eine VPN-Verbindung bearbeiten oder löschen

Die VPN-Verbindung kann wie folgt bearbeitet werden:

1. Setup wählen und Enter drücken.

2. VPN wählen und Enter drücken.

   

   Abb. 7.28 Bearbeiten oder Löschen einer VPN-Verbindung

Die folgenden Aktionen sind verfügbar:

Remote Address

Die IP-Adresse des VPN festlegen.

Port

Den Port festlegen, der von OpenVPN verwendet wird. Standardmäßig ist der Port 1194.

Cipher algorithm

Den Cipher-Algorithmus wählen. Standardmäßig wird die Voreinstellung von OpenVPN verwendet.

Digest algorithm

Den Digest-Algorithmus wählen. Standardmäßig wird die Voreinstellung von OpenVPN verwendet.

PKCS#12

Die PKCS#12-Datei ersetzen.

Routes

Eine Route für die VPN-Verbindung hinzufügen. Ziel-IP-Adresse, Netzmaske und Ziel-Gateway müssen definiert werden.

Bemerkung

Es kann nur eine Route für die VPN-Verbindung eingerichtet werden.

Delete

Die VPN-Verbindung löschen.

7.2.4 Dienste konfigurieren

Um remote auf die Appliance zuzugreifen, sind viele Schnittstellen verfügbar:

• HTTPS, siehe Kapitel 7.2.4.1

• Greenbone Management Protocol (GMP), siehe Kapitel 15

• Open Scanner Protocol (OSP), siehe Kapitel 7.2.4.3

• SSH, siehe Kapitel 7.2.4.4

• SNMP, siehe Kapitel 7.2.4.5

7.2.4.1 HTTPS konfigurieren

Die Web-Oberfläche ist die übliche Option zum Erstellen, Ausführen und Analysieren von Schwachstellenscans. Sie ist standardmäßig aktiviert und kann nicht deaktiviert werden.

Für die Nutzung der Web-Oberfläche ist ein HTTPS-Zertifikat erforderlich.

Die Web-Oberfläche ist mit den von Greenbone bereitgestellten Werkseinstellungen sicher konfiguriert, aber die Sicherheit kann mit den in diesem Kapitel beschriebenen Konfigurationsoptionen weiter erhöht werden.

7.2.4.1.1 Das Timeout der Web-Oberfläche konfigurieren

Falls für eine bestimmte Zeit keine Aktion auf der Web-Oberfläche durchgeführt wird, wird der Benutzer automatisch ausgeloggt. Der Timeout-Wert kann wie folgt eingestellt werden:

1. Setup wählen und Enter drücken.

2. Services wählen und Enter drücken.

3. HTTPS wählen und Enter drücken.

4. Timeout wählen und Enter drücken.

5. Gewünschten Timeout-Wert in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.29).

   Bemerkung

   Der Wert kann zwischen 1 und 1440 Minuten (1 Tag) liegen. Der Standardwert ist 15 Minuten.

   

   Abb. 7.29 Festlegen des Timeout-Werts

   → Eine Meldung weist darauf hin, dass die Änderungen gespeichert werden müssen.

6. Enter drücken, um die Meldung zu schließen.

7.2.4.1.2 Die TLS-Protokolle konfigurieren

Die TLS-Protokolle für die HTTPS-Verbindung der Web-Oberfläche können wie folgt konfiguriert werden:

1. Setup wählen und Enter drücken.

2. Services wählen und Enter drücken.

3. HTTPS wählen und Enter drücken.

4. Protocols wählen und Enter drücken.

5. Gewünschte Protokollversion wählen und Leertaste drücken (siehe Abb. 7.30).

   Bemerkung

   Standardmäßig sind beide Versionen ausgewählt.

   Falls TLSv1.2 ausgewählt ist (entweder allein oder in Kombination mit Version 1.3), können die Ciphers für die HTTPS-Verbindung konfiguriert werden (siehe Kapitel 7.2.4.1.3).

   Falls nur TLSv1.3 ausgewählt ist, wird der Standardwert für -ciphersuites val von OpenSSL für die Cipher-Suiten verwendet. In diesem Fall ist der Menüpunkt zur Konfiguration der Ciphers nicht verfügbar.

   

   Abb. 7.30 Konfigurieren der TLS-Protokolle für die HTTPS-Verbindung

6. OK wählen und Enter drücken.

7.2.4.1.3 Die Ciphers konfigurieren

Falls TLS-Version 1.2 für die HTTPS-Verbindung der Web-Oberfläche verwendet wird (entweder allein oder in Kombination mit Version 1.3, siehe Kapitel 7.2.4.1.2), können die HTTPS-Ciphers konfiguriert werden, um die Sicherheit der Web-Oberfläche weiter zu erhöhen.

Bemerkung

Die derzeitige Einstellung lässt nur sichere Ciphers mit einer Schlüssellänge von mindestens 128 Bit zu, wobei die von SSLv3 und TLSv1.0 verwendeten Cipher-Suiten ausdrücklich nicht zugelassen werden.

Für TLSv1.1 gibt es keine Ciphers.

Der HTTPS-Ciphers können wie folgt konfiguriert werden:

1. Setup wählen und Enter drücken.

2. Services wählen und Enter drücken.

3. HTTPS wählen und Enter drücken.

4. Ciphers wählen und Enter drücken.

5. Gewünschten Wert in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.31).

   Bemerkung

   Die Zeichenkette, die zur Definition der Ciphers verwendet wird, wird von OpenSSL validiert und muss der Syntax einer OpenSSL-Cipherliste entsprechen.

   Weitere Informationen zur Syntax sind hier zu finden.

   

   Abb. 7.31 Konfigurieren der Ciphers

   → Eine Meldung weist darauf hin, dass die Änderungen gespeichert werden müssen.

6. Enter drücken, um die Meldung zu schließen.

7.2.4.1.4 Die Diffie-Hellman-Parameter (DH-Parameter) konfigurieren

DH-Parameter werden vom Webserver für den Aufbau von TLS-Verbindungen genutzt. Um die Sicherheit der Web-Oberfläche weiter zu erhöhen, können wie folgt neue DH-Parameter generiert werden:

1. Setup wählen und Enter drücken.

2. Services wählen und Enter drücken.

3. HTTPS wählen und Enter drücken.

4. DH Parameters wählen und Enter drücken.

5. Gewünschte Schlüsselgröße wählen und Leertaste drücken.

6. Enter drücken.

   → Eine Meldung weist darauf hin, dass die Generierung im Hintergrund gestartet wurde.

   Tipp

   Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

7.2.4.1.5 HTTP STS konfigurieren

Um die Sicherheit der Web-Oberfläche weiter zu erhöhen, kann HTTP Strict Transport Security (HSTS) aktiviert werden. Damit HSTS funktioniert, ist ein von einer Zertifizierungsstelle signiertes HTTPS-Zertifikat erforderlich (siehe Kapitel 7.2.4.1.7.2).

HSTS aktivieren

HSTS kann wie folgt aktiviert werden:

1. Setup wählen und Enter drücken.

2. Services wählen und Enter drücken.

3. HTTPS wählen und Enter drücken.

4. HTTP STS wählen und Enter drücken, um HSTS zu aktivieren oder zu deaktivieren.

Das maximal zulässige Alter des HSTS-Headers festlegen

Wenn HTTP STS aktiviert ist, kann das maximal zulässige Alter für den HSTS-Header wie folgt festgelegt werden:

1. Setup wählen und Enter drücken.

2. Services wählen und Enter drücken.

3. HTTPS wählen und Enter drücken.

4. HTTP STS max age wählen und Enter drücken.

5. Maximales Alter in Sekunden in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.32).

   

   Abb. 7.32 Festlegen des maximal zulässigen Alters für den HTTP-STS-Header

   → Eine Meldung weist darauf hin, dass die Änderungen gespeichert werden müssen.

6. Enter drücken, um die Meldung zu schließen.

7.2.4.1.6 OCSP stapling konfigurieren

OCSP (Online Certificate Status Protocol) stapling wird zur Überprüfung des Gültigkeitsstatus von digitalen X.509-Zertifikaten verwendet. Es ermöglicht der zertifizierten Partei, die Zertifikatsvalidierung durchzuführen, indem sie eine von der Zertifizierungsstelle signierte OCSP-Antwort mit Zeitstempel an den ursprünglichen TLS-Handshake anhängt („stapling“).

OCSP stapling kann wie folgt aktiviert werden:

1. Setup wählen und Enter drücken.

2. Services wählen und Enter drücken.

3. HTTPS wählen und Enter drücken.

4. OCSP Stapling wählen und Enter drücken, um OCSP stapling zu aktivieren oder zu deaktivieren.

7.2.4.1.7 Zertifikate verwalten

Die Appliance nutzt grundsätzlich zwei Arten von Zertifikaten:

• Selbstsignierte Zertifikate

• Zertifikat einer externen Zertifizierungsstelle

Alle modernen Betriebssysteme unterstützen das Erstellen und Verwalten eigener Zertifizierungsstellen.

• Unter Microsoft Windows Server unterstützen die Active Directory Certificate Services den Administrator bei der Erstellung einer Root-CA.

• Für Linux-Systeme sind verschiedene Optionen verfügbar. Eine Option ist im IPSec-Howto beschrieben.

Bemerkung

Vor der Erstellung des Zertifikats muss überprüft werden, wie später auf die Systeme zugegriffen wird.

Die IP-Adresse oder der DNS-Name wird bei der Erstellung des Zertifikats gespeichert.

Das aktuelle Zertifikat anzeigen

Das aktuelle Zertifikat kann wie folgt angezeigt werden:

1. Setup wählen und Enter drücken.

2. Services wählen und Enter drücken.

3. HTTPS wählen und Enter drücken.

4. Certificate wählen und Enter drücken.

5. Show wählen und Enter drücken.

   → Das Zertifikat wird angezeigt.

7.2.4.1.7.1 Selbstsignierte Zertifikate

Die Nutzung selbstsignierter Zertifikate ist der einfachste Weg. Es stellt trotzdem die niedrigste Sicherheit und mehr Arbeit für den Benutzer dar:

• Die Vertrauenswürdigkeit eines selbstsignierten Zertifikats kann nur manuell durch den Benutzer geprüft werden, indem das Zertifikat importiert und sein Fingerprint untersucht wird.

• Selbstsignierte Zertifikate können nicht widerrufen werden. Sobald sie durch den Benutzer akzeptiert wurden, werden sie dauerhaft im Browser gespeichert. Wenn ein Angreifer Zugang zum entsprechenden privaten Schlüssel erhält, kann ein Man-in-the-Middle-Angriff auf die durch das Zertifikat geschützte Verbindung gestartet werden.

Um eine schnelle Einrichtung zu ermöglichen, unterstützt die Appliance selbstsignierte Zertifikate.

• Bei den meisten Appliance-Modellen ist ein solches Zertifikat nicht standardmäßig installiert und muss erstellt werden.

• Nur die Greenbone Enterprise ONE ist bereits mit einem vorinstallierten Zertifikat ausgestattet.

Ein selbstsigniertes Zertifikat erstellen

Selbstsignierte Zertifikate können wie folgt erstellt werden:

1. Setup wählen und Enter drücken.

2. Services wählen und Enter drücken.

3. HTTPS wählen und Enter drücken.

4. Certificate wählen und Enter drücken.

5. Generate wählen und Enter drücken.

   → Eine Meldung weist darauf hin, dass das aktuelle Zertifikat und der aktuelle private Schlüssel überschrieben werden.

6. Yes wählen und Enter drücken, um die Meldung zu bestätigen.

7. Einstellungen für das Zertifikat eingeben (siehe Abb. 7.33), OK wählen und Enter drücken.

   Bemerkung

   Es ist zulässig, ein Zertifikat ohne einen Common Name zu erstellen. Allerdings sollte ein Zertifikat nicht ohne (einen) Subject Alternative Name(s) (SAN) erstellt werden.

   Falls ein Common Name verwendet wird, sollte dieser mit einem der SANs identisch sein.

   

   Abb. 7.33 Bereitstellen der Einstellungen für das Zertifikat

   → Wenn der Vorgang abgeschlossen ist, weist eine Meldung darauf hin, dass das Zertifikat heruntergeladen werden kann.

8. Enter drücken, um die Meldung zu schließen.

9. Download wählen und Enter drücken.

10. Webbrowser öffnen und angezeigte URL eingeben.

11. PEM-Datei herunterladen.

12. Im GOS-Administrationsmenü Enter drücken.

    → Wenn das Zertifikat von der Appliance erhalten wurde, zeigt das GOS-Administrationsmenü den Fingerprint des Zertifikats zur Verifizierung an.

13. Fingerprint prüfen und Enter drücken, um das Zertifikat zu bestätigen.

7.2.4.1.7.2 Zertifikat einer externen Zertifizierungsstelle

Das Nutzen eines Zertifikats, das von einer Zertifizierungsstelle ausgegeben wurde, hat mehrere Vorteile:

• Alle Clients, die der Zertifizierungsstelle vertrauen, können das Zertifikat direkt verifizieren und eine sichere Verbindung herstellen. Im Browser wird keine Warnung angezeigt.

• Das Zertifikat kann problemlos von der Zertifizierungsstelle widerrufen werden. Wenn die Clients die Möglichkeit haben, den Zertifikatsstatus zu überprüfen, können sie ein Zertifikat ablehnen, das zwar noch gültig ist, aber bereits widerrufen wurde. Als Mechanismen können die Certificate Revocation Lists (CRLs) oder das Online Certificate Status Protocol (OCSP) verwendet werden.

• Insbesondere wenn mehrere Systeme innerhalb einer Organisation SSL/TLS-geschützte Informationen bereitstellen, vereinfacht die Verwendung einer organisatorischen Zertifizierungsstelle die Verwaltung erheblich. Alle Clients müssen lediglich der organisatorischen Zertifizierungsstelle vertrauen, um alle von der Zertifizierungsstelle ausgestellten Zertifikate akzeptieren.

Um ein Zertifikat von einer externen Zertifizierungsstelle zu importieren, gibt es zwei Möglichkeiten:

• Eine Zertifikatsignierungsanforderung (engl. Certificate Signing Request, CSR) auf der Appliance generieren, diese über eine externe Zertifizierungsstelle signieren und das Zertifikat importieren.

• Die Zertifikatsignierungsanforderung und das Zertifikat extern generieren und beides mithilfe einer PKCS#12-Datei importieren.

Eine Zertifikatsanforderung erzeugen und ein Zertifikat importieren

Bemerkung

Die Web-Oberfläche der Appliance kann nicht verwendet werden, solange auf die Bearbeitung der CSR durch die CA gewartet wird. Erst nachdem das signierte Zertifikat importiert wurde, ist die Web-Oberfläche wieder zugänglich.

Das Erstellen einer neuen Zertifikatsanforderung und das Importieren des Zertifikats kann wie folgt durchgeführt werden:

1. Setup wählen und Enter drücken.

2. Services wählen und Enter drücken.

3. HTTPS wählen und Enter drücken.

4. Certificate wählen und Enter drücken.

5. CSR wählen und Enter drücken.

   → Eine Meldung weist darauf hin, dass das aktuelle Zertifikat und der aktuelle private Schlüssel überschrieben werden.

6. Yes wählen und Enter drücken, um die Meldung zu bestätigen.

7. Einstellungen für das Zertifikat eingeben (siehe Abb. 7.34), OK wählen und Enter drücken.

   Bemerkung

   Es ist zulässig, ein Zertifikat ohne einen Common Name zu erstellen. Allerdings sollte ein Zertifikat nicht ohne (einen) Subject Alternative Name(s) erstellt werden.

   Falls ein Common Name verwendet wird, sollte dieser mit einem der SANs identisch sein.

   

   Abb. 7.34 Bereitstellen der Einstellungen für das Zertifikat

8. Webbrowser öffnen und angezeigte URL eingeben.

9. PEM-Datei herunterladen.

   → Das GOS-Administrationsmenü zeigt eine Meldung, um zu verifizieren, dass die Zertifikatsanforderung nicht gefälscht wurde.

10. Enter drücken, um die Information zu verifizieren.

11. Wenn das Zertifikat von der Zertifizierungsstelle signiert wurde, Certificate wählen und Enter drücken.

12. Webbrowser öffnen und angezeigte URL eingeben.

13. Auf Browse… klicken, das signierte Zertifikat wählen und auf Upload klicken.

    → Wenn das Zertifikat von der Appliance erhalten wurde, zeigt das GOS-Administrationsmenü den Fingerprint des Zertifikats zur Verifizierung an.

14. Fingerprint prüfen und Enter drücken, um das Zertifikat zu bestätigen.

Ein bereits vorhandenes Zertifikat importieren

Falls bereits ein privater Schlüssel und ein signiertes Zertifikat vorhanden sind, können diese importiert werden. Der private Schlüssel und das Zertifikat müssen als PKCS#12-Datei formatiert sein. Die Datei kann mit einem Exportpasswort geschützt werden.

Die PKCS#12-Datei kann wie folgt importiert werden:

1. Setup wählen und Enter drücken.

2. Services wählen und Enter drücken.

3. HTTPS wählen und Enter drücken.

4. Certificate wählen und Enter drücken.

5. PKCS#12 wählen und Enter drücken.

   → Eine Meldung weist darauf hin, dass das aktuelle Zertifikat und der aktuelle private Schlüssel überschrieben werden.

6. Yes wählen und Enter drücken, um die Meldung zu bestätigen.

7. Webbrowser öffnen und angezeigte URL eingeben.

8. Auf Browse… klicken, die PKCS#12-Datei wählen und auf Upload klicken.

   Bemerkung

   Wenn der PKCS#12-Container durch ein Exportpasswort geschützt ist, muss das Passwort eingegeben werden.

   → Wenn das Zertifikat von der Appliance erhalten wurde, zeigt das GOS-Administrationsmenü den Fingerprint des Zertifikats zur Verifizierung an.

9. Fingerprint prüfen und Enter drücken, um das Zertifikat zu bestätigen.

7.2.4.1.8 Fingerprints anzeigen

Die Fingerprints des verwendeten Zertifikats können wie folgt angezeigt und überprüft werden:

1. Setup wählen und Enter drücken.

2. Services wählen und Enter drücken.

3. HTTPS wählen und Enter drücken.

4. Fingerprints wählen und Enter drücken.

   → Die folgenden Fingerprints des aktuell aktiven Zertifikats werden angezeigt:

   • SHA1

   • SHA256

   • BB

   

   Abb. 7.35 Anzeigen der Fingerprints

7.2.4.2 Das Greenbone Management Protocol (GMP) konfigurieren

Das Greenbone Management Protocol (GMP) kann für die Kommunikation interner Software mit der Appliance genutzt werden.

GMP kann wie folgt mithilfe des GOS-Administrationsmenüs aktiviert werden:

Bemerkung

Der SSH-Dienst muss aktiviert werden, bevor GMP aktiviert werden kann (siehe Kapitel 7.2.4.4).

1. Setup wählen und Enter drücken.

2. Services wählen und Enter drücken.

3. GMP wählen und Enter drücken.

4. Enter drücken, um GMP zu aktivieren oder zu deaktivieren (siehe Abb. 7.36).

   → Eine Meldung weist darauf hin, dass die Änderungen gespeichert werden müssen.

5. Enter drücken, um die Meldung zu schließen.

Abb. 7.36 Aktivieren von GMP

7.2.4.3 Das Open Scanner Protocol (OSP) konfigurieren

Das Open Scanner Protocol (OSP) wird für die Master-Sensor-Kommunikation benötigt (siehe Kapitel 16).

OSP kann wie folgt mithilfe des GOS-Administrationsmenüs aktiviert werden:

Bemerkung

Der SSH-Dienst muss aktiviert werden, bevor OSP aktiviert werden kann (siehe Kapitel 7.2.4.4).

1. Setup wählen und Enter drücken.

2. Services wählen und Enter drücken.

3. OSP wählen und Enter drücken.

4. Enter drücken, um OSP zu aktivieren oder zu deaktivieren.

   → Eine Meldung weist darauf hin, dass die Änderungen gespeichert werden müssen.

5. Enter drücken, um die Meldung zu schließen.

7.2.4.4 SSH konfigurieren

SSH ermöglicht den sicheren Fernzugriff auf das GOS-Administrationsmenü und die Kommandozeile der Appliance über ein ungesichertes Netzwerk. Außerdem ist es für die Master-Sensor-Kommunikation erforderlich (siehe Kapitel 16).

SSH ist auf der Appliance standardmäßig deaktiviert und muss erst aktiviert werden, z. B. über die serielle Konsole. Außerdem ist ein SSH-Client erforderlich, um eine Verbindung zur Appliance herzustellen.

• Bei der Verbindung zur Appliance mit einem SSH-Client werden die folgenden Schlüsselaustauschmethoden unterstützt:

  • ecdh-sha2-nistp256

  • ecdh-sha2-nistp384

  • ecdh-sha2-nistp521

  • curve25519-sha256

  • curve25519-sha256@libssh.org

• Bei der Verbindung von der Appliance zu einem anderen System hängen die unterstützten Methoden sowohl vom anderen System als auch von der Appliance ab. Es gibt viele mögliche Kombinationen, die jedoch den Rahmen dieser Dokumentation übersteigen würden.

7.2.4.4.1 Den SSH-Zustand aktivieren

Der in die Appliance integrierte SSH-Server kann wie folgt aktiviert werden:

1. Setup wählen und Enter drücken.

2. Services wählen und Enter drücken.

3. SSH wählen und Enter drücken.

4. SSH State wählen und Enter drücken, um SSH zu aktivieren.

7.2.4.4.2 Einen Loginschutz aktivieren und verwalten

Es kann ein Loginschutz aktiviert werden, d.h. wenn eine Anzahl von aufeinanderfolgenden Loginversuchen fehlschlägt, wird der Benutzer gesperrt.

Bemerkung

Ein Selbst-Scan, d. h. ein Scan, bei dem die Appliance Teil des Scan-Ziels ist, kann den Loginschutz auslösen.

Das Einloggen mithilfe eines SSH-Administratorschlüssels wird nicht vom Loginschutz gesperrt, falls solch ein Schlüssel eingerichtet ist (siehe Kapitel 7.2.4.4.3).

Den Loginschutz einrichten

Der Loginschutz kann wie folgt aktiviert und verwaltet werden:

1. Setup wählen und Enter drücken.

2. Services wählen und Enter drücken.

3. SSH wählen und Enter drücken.

4. Login Protection wählen und Enter drücken.

5. Login Protection wählen und Enter drücken (siehe Abb. 7.37).

   

   Abb. 7.37 Einrichten eines Loginschutzes

   → Eine Meldung weist darauf hin, dass der Loginschutz zu einem gesperrten SSH-Zugang führen kann.

6. Continue wählen und Enter drücken, um den Loginschutz zu aktivieren.

7. Login Attempts wählen und Enter drücken.

8. Gewünschten Wert eingeben und Enter drücken.

   → Eine Meldung weist darauf hin, dass die Änderungen gespeichert werden müssen.

9. Enter drücken, um die Meldung zu schließen.

Ein gesperrtes System entsperren

Wenn das System nach zu vielen fehlgeschlagenen Loginversuchen gesperrt ist, muss es über den Konsolenzugriff (seriell, Hypervisor oder Monitor/Tastatur) wie folgt entsperrt werden:

1. Setup wählen und Enter drücken.

2. User wählen und Enter drücken.

3. Unlock SSH wählen und Enter drücken.

   → Die Loginversuche werden zurückgesetzt.

4. Enter drücken, um die Meldung zu schließen.

7.2.4.4.3 Einen SSH-Administratorschlüssel hinzufügen

Öffentliche SSH-Schlüssel können hochgeladen werden, um eine schlüsselbasierte Authentifizierung der Administratoren zu ermöglichen.

Bemerkung

• SSH-Schlüssel können mit OpenSSH mit dem Befehl ssh-keygen unter Linux oder puttygen.exe bei Verwendung von PuTTY unter Microsoft Windows erzeugt werden.

• Die folgenden Formate werden unterstützt:

  • Ed25519, z. B. ssh-ed25519 AAAAB3NzaC1y...P3pCquVb admin@greenbone

  • RSA, z. B. ssh-rsa AAAAB3NzaC1y...P3pCquVb admin@greenbone

Ein SSH-Administratorschlüssel kann wie folgt hochgeladen werden:

1. Setup wählen und Enter drücken.

2. Services wählen und Enter drücken.

3. SSH wählen und Enter drücken.

4. Admin Key wählen und Enter drücken.

5. Webbrowser öffnen und angezeigte URL eingeben (siehe Abb. 7.38).

   

   Abb. 7.38 Hochladen eines öffentlichen SSH-Schlüssels

6. Auf Browse… klicken, den öffentlichen SSH-Schlüssel wählen und auf Upload klicken.

   → Wenn das Hochladen abgeschlossen ist, weist Meldung darauf hin, dass der Login über SSH möglich ist.

7.2.4.4.4 Fingerprints anzeigen

Die Appliance stellt verschiedene Host-Schlüssel für ihre eigene Authentifizierung bereit. Der Client entscheidet, welchen öffentlichen Schlüssel er verwenden möchte.

Die Fingerprints der vom SSH-Server der Appliance verwendeten öffentlichen Schlüssel können wie folgt angezeigt werden:

1. Setup wählen und Enter drücken.

2. Services wählen und Enter drücken.

3. SSH wählen und Enter drücken.

4. Fingerprint wählen und Enter drücken.

   → Die SHA256-Fingerprints der folgenden Schlüssel werden angezeigt:

   • Ed25519

   • RSA

7.2.4.5 SNMP konfigurieren

Die Appliance unterstützt SNMPv3 für den Lesezugriff und SNMPv1 für das Versenden von Traps über Benachrichtigungen und das Überwachen wichtiger Parameter der Appliance.

Die unterstützten Parameter sind in einer MIB-Datei (Management Information Base) festgelegt. Die aktuelle MIB ist im Greenbone TechDoc-Portal verfügbar.

SNMPv3 kann wie folgt konfiguriert werden:

1. Setup wählen und Enter drücken.

2. Services wählen und Enter drücken.

3. SNMP wählen und Enter drücken.

4. SNMP wählen und Enter drücken, um SNMP zu aktivieren.

   → Mehrere neue Optionen werden angezeigt (siehe Abb. 7.39).

   

   Abb. 7.39 Konfigurieren von SNMPv3

5. Location wählen und Enter drücken.

6. Ort des SNMP-Diensts in das Eingabefeld eingeben und Enter drücken.

7. Contact wählen und Enter drücken.

8. Kontakt des SNMP-Diensts in das Eingabefeld eingeben und Enter drücken.

9. Username wählen und Enter drücken.

10. SNMP-Benutzername in das Eingabefeld eingeben und Enter drücken.

    Bemerkung

    Bei der Konfiguration der Authentifizierungs- und Datenschutzpassphrase ist zu beachten, dass die Appliance SHA-1 bzw. AES128 verwendet.

11. Authentication wählen und Enter drücken.

12. SNMP-Authentifizierungspassphrase in das Eingabefeld eingeben und Enter drücken.

13. Privacy wählen und Enter drücken.

14. Passphrase für die Verschlüsselung des SNMP-Benutzers eingeben und Enter drücken.

    Bemerkung

    Nachdem ein Benutzer konfiguriert wurde, kann die Engine-ID der Appliance durch Wählen von Engine ID und Drücken von Enter angezeigt werden.

15. Den Lesezugriff des SNMP-Diensts unter Linux/Unix mit snmpwalk prüfen:

$ snmpwalk -v 3 -l authPriv -u user -a sha -A password -x aes -X key 192.168.222.115
iso.3.6.1.2.1.1.1.0 = STRING: "Greenbone Enterprise Appliance"
iso.3.6.1.2.1.1.3.0 = Timeticks: (347275248) 40 days, 4:39:12.48
iso.3.6.1.2.1.1.4.0 = STRING: "Greenbone AG <info@greenbone.net>"
...

Die folgenden Informationen können gesammelt werden:

• Betriebszeit

• Netzwerkschnittstellen

• Speicher

• Festplatte

• Last

• CPU

7.2.4.6 Einen Port für den temporären HTTP-Server konfigurieren

Standardmäßig wird der Port für HTTP-Uploads und -Downloads zufällig gewählt.

Ein permanenter Port kann wie folgt konfiguriert werden:

1. Setup wählen und Enter drücken.

2. Services wählen und Enter drücken.

3. Temporary HTTP wählen und Enter drücken.

4. Port wählen und Enter drücken.

5. Port in das Eingabefeld eingeben und Enter drücken.

   → Eine Meldung weist darauf hin, dass die Änderungen gespeichert werden müssen.

6. Enter drücken, um die Meldung zu schließen.

7.2.5 Regelmäßige Backups konfigurieren

Die Appliance unterstützt automatische tägliche Backups. Die folgenden Backups werden lokal oder remote gespeichert:

• Tägliche Backups der letzten 7 Tage

• Wöchentliche Backups der letzten 5 Wochen

• Monatliche Backups des letzten Jahrs

Backups, die älter als ein Jahr sind, werden automatisch gelöscht.

7.2.5.1 Periodische Backups aktivieren

Periodische Backups können wie folgt aktiviert werden:

1. Setup wählen und Enter drücken.

2. Backup wählen und Enter drücken.

3. Periodic Backup wählen und Enter drücken (siehe Abb. 7.40).

   → Periodische Backups sind aktiviert.

   

   Abb. 7.40 Konfigurieren periodischer Backups

7.2.5.2 Einen Remote-Backupserver einrichten

Standardmäßig werden Backups lokal gespeichert. Um sie auf einem Remote-Server zu speichern, muss der Server entsprechend eingerichtet werden. Die Appliance verwendet das SSH File Transfer Protocol (SFTP), um die Backups sicher zu übertragen.

Der Remote-Server kann wie folgt eingerichtet werden:

1. Setup wählen und Enter drücken.

2. Backup wählen und Enter drücken.

3. Backup Location wählen und Enter drücken.

   → Mehrere neue Optionen für den Ort des Backups werden angezeigt (siehe Abb. 7.41).

   

   Abb. 7.41 Einrichten des Remote-Servers

4. Server wählen und Enter drücken.

5. Adresse des Remote-Servers im folgenden Format eingeben:

   username@hostname[:port]/directory

   Bemerkung

   Der optionale Port kann weggelassen werden, falls der Server Port 22 nutzt.

6. OK wählen und Enter drücken.

   → Eine Meldung weist darauf hin, dass die Änderungen gespeichert werden müssen.

7. Enter drücken, um die Meldung zu schließen.

   Bemerkung

   Die Appliance nutzt einen öffentlichen SSH-Hostschlüssel, um den Remote-Server vor dem Einloggen zu identifizieren.

   • Der Schlüssel ist auf dem Remote-Backupserver zu finden. Unter Linux und den meisten Unix-ähnlichen Systemen befindet er sich unter /etc/ssh/ssh_host_*_key.pub.

   • Der Schlüssel muss im OpenSSH Public Key Format vorliegen.

   • Die erwartete Struktur ist <algorithm> <key> <comment>.

     • Der Abschnitt <key> muss Base64-kodiert sein.

     • Der Abschnitt <comment> ist optional.

     • Beispiel: ssh-rsa AAAAB3NzaC1y...P3pCquVb

8. Server key wählen und Enter drücken.

9. Webbrowser öffnen und angezeigte URL eingeben (siehe Abb. 7.42).

   

   Abb. 7.42 Einrichten des Serverschlüssels

10. Auf Browse… klicken, den öffentlichen SSH-Schlüssel wählen und auf Upload klicken.

    Bemerkung

    Die Appliance nutzt einen öffentlichen SSH-Schlüssel, um sich in den Remote-Server einzuloggen. Um den Loginvorgang zu ermöglichen, muss die Appliance mit der authorized_keys-Datei auf dem Remoteserver aktiviert sein.

11. User key wählen und Enter drücken, um den öffentlichen Schlüssel herunterzuladen.

12. Webbrowser öffnen und angezeigte URL eingeben.

13. PUB-Datei herunterladen.

    Bemerkung

    Wenn mehrere Appliances ihre Backups auf denselben Remote-Server hochladen, müssen die Dateien unterscheidbar sein. Dazu muss ein eindeutiger Identifikator für das Backup festgelegt werden. Wird dieser Identifikator nicht festgelegt, wird der Hostname verwendet.

14. Client wählen und Enter drücken.

15. Bezeichnung eingeben und Enter drücken.

    Bemerkung

    Da das Setup des Remotebackups mit den Schlüsseln fehleranfällig ist, ist eine Prüfroutine verfügbar. Diese testet das erfolgreiche Einloggen in das Remotesystem.

16. Test wählen und Enter drücken.

    → Der Login in das Remotesystem wird getestet.

    Bemerkung

    Optional kann das Passwort für das Backup-Repository geändert werden, was zu empfehlen ist.

    Wenn mehrere Appliances dasselbe Remote-Backup-Repository verwenden, wird empfohlen, dass jede Appliance ihr eigenes, eindeutiges Backup-Passwort verwendet.

17. Backup Password wählen und Enter drücken.

18. Passwort in das Eingabefeld eingeben und Enter drücken.

7.2.6 Besondere Upgrade-Einstellungen konfigurieren

7.2.6.1 Einen Upgrade-Schlüssel hinzufügen

Diese Option ist für mögliche Wiederherstellungszwecke gedacht. Das Hochladen eines Upgrade-Schlüssels ist für den normalen Betrieb der Appliance nicht erforderlich und sollte nur auf Anweisung von Greenbone durchgeführt werden. Greenbone stellt den Upgrade-Schlüssel in einem solchen Fall zur Verfügung.

Bemerkung

Der Schlüssel wird automatisch entfernt, wenn GOS erfolgreich aktualisiert wurde.

Einen Upgrade-Schlüssel mit dem Editor hinzufügen

Der Schlüssel kann über den Editor wie folgt hinzugefügt werden:

1. Setup wählen und Enter drücken.

2. Upgrade wählen und Enter drücken.

3. New Upgrade Key (Editor) wählen und Enter drücken (siehe Abb. 7.43).

   

   Abb. 7.43 Hochladen eines Upgrade-Schlüssels

   → Der Editor wird geöffnet.

4. Inhalt des Upgrade-Schlüssels eingeben.

   Bemerkung

   Es ist wichtig, den Inhalt des Schlüssels und nicht den Namen des Schlüssels (z. B. GBFeedSigningKeyUntil2024.gpg.asc) einzugeben.

   Der Inhalt des Schlüssels kann mit einem beliebigen Texteditor oder unter Linux mit dem Programm less angezeigt werden. Wenn der Inhalt mit einem Texteditor geöffnet wird, muss darauf geachtet werden, dass nichts verändert wird.

5. Strg + S drücken, um die Änderungen zu speichern.

6. Strg + X drücken, um den Editor zu schließen.

   → Eine Meldung weist darauf hin, dass der Upgrade-Schlüssel erfolgreich hochgeladen wurde.

7. Enter drücken, um die Meldung zu schließen.

   Beide Menüpunkte zum Hochladen eines Schlüssels werden vorübergehend ausgeblendet. Stattdessen wird der Menüpunkt Delete Upgrade Key angezeigt (siehe Kapitel 7.2.6.2).

Einen Upgrade-Schlüssel über HTTP hinzufügen

Der Schlüssel kann über HTTP wie folgt hinzugefügt werden:

1. Setup wählen und Enter drücken.

2. Upgrade wählen und Enter drücken.

3. New Upgrade Key (HTTP) wählen und Enter drücken (siehe Abb. 7.43).

4. Webbrowser öffnen und angezeigte URL eingeben.

5. Auf Browse… klicken, den Upgrade-Schlüssel wählen und auf Upload klicken.

   → Eine Meldung weist darauf hin, dass der Upgrade-Schlüssel erfolgreich hochgeladen wurde.

6. Enter drücken, um die Meldung zu schließen.

   Beide Menüpunkte zum Hochladen eines Schlüssels werden vorübergehend ausgeblendet. Stattdessen wird der Menüpunkt Delete Upgrade Key angezeigt (siehe Kapitel 7.2.6.2).

7.2.6.2 Einen Upgrade-Schlüssel löschen

Ein Upgrade-Schlüssel kann wie folgt gelöscht werden:

1. Setup wählen und Enter drücken.

2. Upgrade wählen und Enter drücken.

3. Delete Upgrade Key wählen und Enter drücken.

   → Eine Meldung weist darauf hin, dass der Upgrade-Schlüssel entfernt wurde.

4. Enter drücken, um die Meldung zu schließen.

7.2.6.3 Den automatischen Neustart konfigurieren

Die Appliance kann nach einem erfolgreichen GOS-Upgrade automatisch neu starten. Ein Neustart wird jedoch nur bei Bedarf durchgeführt, z. B. wenn der GOS-Linux-Kernel aktualisiert wird.

Der automatische Neustart ist standardmäßig deaktiviert. In diesem Fall wird nach einem GOS-Upgrade, das einen Neustart erfordert, eine Self-Check-Warnung angezeigt, die zum manuellen Neustart auffordert.

Bemerkung

Diese Einstellung gilt nur für die Appliance, auf dem sie konfiguriert ist. Sie gilt nicht für alle Sensoren, die mit der Appliance verbunden sind. Wenn Sensoren automatisch neu starten sollen, muss jeder Sensor für sich konfiguriert werden.

1. Setup wählen und Enter drücken.

2. Upgrade wählen und Enter drücken.

3. Automatic Reboot wählen und Enter drücken.

   → Eine Warnung informiert darüber, dass die Appliance nach einem GOS-Upgrade sofort neu gestartet wird (siehe Abb. 7.44).

   Bemerkung

   Alle Scans, die zu diesem Zeitpunkt laufen, werden beendet. Dies kann zum Verlust von ungesicherten Daten führen.

   

   Abb. 7.44 Aktivieren des automatischen Neustarts

4. Continue wählen und Enter drücken.

7.2.7 Die Feedsynchronisation konfigurieren

Der Greenbone Enterprise Feed stellt Updates für Schwachstellentests (VTs), SCAP-Daten (CVE und CPE) und CERT-Bund- sowie DFN-CERT-Advisories bereit. Außerdem stellt der Feed Upgrades für GOS sowie Updates für Scan-Konfigurationen, Compliance-Richtlinien, Portlisten und Berichtformate bereit.

Für das Herunterladen und die Nutzung des Greenbone Enterprise Feeds ist ein Subskription-Schlüssel erforderlich (siehe Kapitel 7.1.1). Wenn kein gültiger Schlüssel auf der Appliance gespeichert ist, wird der öffentliche Greenbone Community Feed anstelle des Greenbone Enterprise Feeds verwendet.

7.2.7.1 Einen Greenbone-Enterprise-Feed-Subskription-Schlüssel hinzufügen

Bemerkung

Es ist nicht notwendig, einen Greenbone-Enterprise-Feed-Subskription-Schlüssel auf einer neu gelieferten Appliance hinzuzufügen, da bereits ein Schlüssel vorinstalliert ist.

Ob bereits ein Subskription-Schlüssel auf der Appliance vorhanden ist, kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

Ein neuer Subskription-Schlüssel kann auf der Appliance gespeichert werden, indem er entweder über HTTP hochgeladen oder mit einem Editor kopiert und eingefügt wird.

Für mehr Informationen über den Subskription-Schlüssel siehe Kapitel 7.1.1.

Bemerkung

Ein neuer Schlüssel überschreibt jeden Schlüssel, der bereits auf der Appliance gespeichert ist.

Wenn der Subskription-Schlüssel überschrieben wird, wird der Status des Feeds auf der Appliance auf „No feed present“ zurückgesetzt. Nach dem Hinzufügen des neuen Subskription-Schlüssels muss ein Feed-Update durchgeführt werden.

Einen Subskription-Schlüssel über HTTP hinzufügen

Der Schlüssel kann über HTTP wie folgt hinzugefügt werden:

1. Setup wählen und Enter drücken.

2. Feed wählen und Enter drücken.

3. Key(HTTP) wählen und Enter drücken.

   → Eine Meldung weist darauf hin, dass der aktuelle Subskription-Schlüssel überschrieben wird (siehe Abb. 7.45).

   

   Abb. 7.45 Überschreiben des aktuellen Subskription-Schlüssels

4. Yes wählen und Enter drücken.

5. Webbrowser öffnen und angezeigte URL eingeben.

6. Auf Browse… klicken, den Subskription-Schlüssel wählen und auf Upload klicken.

   → Eine Meldung weist darauf hin, dass der Subskription-Schlüssel erfolgreich hochgeladen wurde.

7. Enter drücken, um die Meldung zu schließen.

8. Feed-Update wie in Kapitel 7.3.6 beschrieben durchführen.

Einen Subskription-Schlüssel mit dem Editor hinzufügen

Der Schlüssel kann über den Editor wie folgt hinzugefügt werden:

1. Setup wählen und Enter drücken.

2. Feed wählen und Enter drücken.

3. Key(Editor) wählen und Enter drücken.

   → Eine Meldung weist darauf hin, dass der aktuelle Subskription-Schlüssel überschrieben wird (siehe Abb. 7.45).

4. Yes wählen und Enter drücken.

   → Der Editor wird geöffnet.

5. Inhalt des Subskription-Schlüssels eingeben.

   Bemerkung

   Es ist wichtig, den Inhalt des Schlüssels und nicht den Namen des Schlüssels (z. B. gsf2022122017) einzugeben.

   Der Inhalt des Schlüssels kann mit einem beliebigen Texteditor oder unter Linux mit dem Programm less angezeigt werden. Wenn der Inhalt mit einem Texteditor geöffnet wird, muss darauf geachtet werden, dass nichts verändert wird.

6. Strg + S drücken, um die Änderungen zu speichern.

7. Strg + X drücken, um den Editor zu schließen.

   → Eine Meldung weist darauf hin, dass der Subskription-Schlüssel erfolgreich hochgeladen wurde.

8. Enter drücken, um die Meldung zu schließen.

9. Feed-Update wie in Kapitel 7.3.6 beschrieben durchführen.

7.2.7.2 Die Synchronisation aktivieren oder deaktivieren

Die automatische Synchronisation des Greenbone Enterprise Feeds kann deaktiviert werden, falls die Appliance keinen Internetzugang hat und nicht versuchen soll, auf die Greenbone-Dienste im Internet zuzugreifen. Die Synchronisation kann wieder aktiviert werden.

Die Synchronisation kann wie folgt aktiviert oder deaktiviert weden:

1. Setup wählen und Enter drücken.

2. Feed wählen und Enter drücken.

3. Synchronisation wählen und Enter drücken.

   → Die Synchronisation ist deaktiviert.

4. Die Synchronisation kann aktiviert werden, indem erneut Synchronisation gewählt und Enter gedrückt wird.

Bemerkung

Die Zeit der automatischen Feedsynchronisation kann eingestellt werden, indem die Wartungszeit geändert wird (siehe Kapitel 7.2.13).

7.2.7.3 Den Synchronisationsport konfigurieren

Der Greenbone Enterprise Feed wird von Greenbone auf zwei verschiedenen Ports bereitgestellt:

• 24/tcp

• 443/tcp

Während Port 24/tcp der Standardport ist, lassen viele Firewall-Setups den Verkehr zu diesem Port im Internet nicht zu. Daher ist es möglich, den Port auf 443/tcp zu ändern, da dieser Port am meistens zugelassen wird.

Bemerkung

Port 443/tcp wird normalerweise für HTTPS-Verkehr verwendet. Obwohl die Appliance diesen Port verwendet, handelt es sich beim eigentlichen Datenverkehr nicht um HTTPS, sondern um SSH, da die Appliance das in SSH eingebettete rsync verwendet, um den Feed abzurufen. Firewalls, die Deep Inspection und Application Awareness einsetzen, können den Datenverkehr dennoch zurückweisen.

Der Port kann wie folgt konfiguriert werden:

1. Setup wählen und Enter drücken.

2. Feed wählen und Enter drücken.

3. Greenbone Server wählen und Enter drücken.

4. Sync port wählen und Enter drücken.

5. Gewünschten Port wählen und Enter drücken (siehe Abb. 7.46).

   

   Abb. 7.46 Konfigurieren des Synchronisationsports

7.2.7.4 Den Synchronisationsproxy einstellen

Wenn eine Sicherheitsrichtlinie den direkten Internetzugang nicht zulässt, kann die Appliance einen HTTPS-Proxydienst verwenden. Dieser Proxy darf den SSL/TLS-Verkehr nicht untersuchen, muss aber die CONNECT-Methode unterstützen. Der Verkehr, der durch den Proxy läuft, ist nicht HTTPS, sondern SSH, das in http-proxy gekapselt ist.

Der Proxy kann wie folgt eingerichtet werden:

1. Setup wählen und Enter drücken.

2. Feed wählen und Enter drücken.

3. Greenbone Server wählen und Enter drücken.

4. Sync proxy wählen und Enter drücken.

5. URL des Proxys in das Eingabefeld eingeben (siehe Abb. 7.47).

   Bemerkung

   Die URL muss die Form http://proxy:port haben.

   

   Abb. 7.47 Einstellen des Synchronisationsproxys

7.2.7.5 Den Greenbone-Enterprise-Feed-Subskription-Schlüssel löschen

Der Subskription-Schlüssel kann entfernt werden. Dies ist nützlich, wenn eine Appliance das Ende ihrer Lebensdauer erreicht hat und nicht mehr verwendet wird. Das Entfernen stellt sicher, dass keine Lizenzen mehr auf der Appliance vorhanden sind. Ohne den Subskription-Schlüssel wird die Appliance nur den Greenbone Community Feed abrufen.

Das Entfernen kann wie folgt durchgeführt werden:

1. Setup wählen und Enter drücken.

2. Feed wählen und Enter drücken.

3. Cleanup wählen und Enter drücken.

   → Eine Meldung weist darauf hin, dass die Synchronisation mit dem Greenbone Enterprise Feed nach dem Entfernen nicht länger möglich ist (siehe Abb. 7.48).

   

   Abb. 7.48 Entfernen des Subskription-Schlüssels

4. Yes wählen und Enter drücken.

   → Eine Meldung weist darauf hin, dass der Subskription-Schlüssel entfernt wurde.

5. Enter drücken, um die Meldung zu schließen.

7.2.8 Die Appliance als Airgap-Master/-Sensor konfigurieren

Die Airgap-Funktion ermöglicht es einer Appliance, die nicht direkt mit dem Internet verbunden ist, Feed-Updates und GOS-Upgrades zu erhalten.

Mindestens zwei Appliances werden benötigt:

• Airgap-Sensor: befindet sich in einem gesicherten Bereich und ist nicht mit dem Internet verbunden

• Airgap-Master: mit dem Internet verbunden

Bemerkung

Airgap-Appliances können auch verkettet werden, d. h. ein Airgap-Sensor wird zum Airgap-Master für einen anderen Airgap-Sensor.

Zwei Optionen sind für die Airgap-Funktion verfügbar:

• Airgap-USB-Stick von Greenbone

• Airgap-FTP-Server

Die folgenden Appliance-Modelle können für USB-Airgap konfiguriert werden:

• Greenbone Enterprise 400 und höher als Airgap-USB-Master

• Greenbone Enterprise 400 und höher als Airgap-USB-Sensor

Die folgenden Appliance-Modelle können für FTP-Airgap konfiguriert werden:

• Greenbone Enterprise 400 und höher als Airgap-FTP-Master

• Greenbone Enterprise 150 und höher als Airgap-FTP-Sensor

• Greenbone Enterprise CENO und höher als Airgap-FTP-Sensor

7.2.8.1 Den Airgap-USB-Stick nutzen

Die Updates und Upgrades werden von einer mit dem Internet verbundenen Appliance geladen und auf einen USB-Stick kopiert. Der USB-Stick kann dann zur Aktualisierung einer anderen Appliance verwendet werden.

Bemerkung

Der USB-Stick muss ein spezieller Airgap-USB-Stick sein, der von Greenbone bereitgestellt wird. Ein entsprechender Airgap-USB-Stick kann vom Greenbone Enterprise Support unter Angabe der Kundennummer angefordert werden.

Tipp

Der USB-Stick kann vorher durch ein Sicherheitsgateway auf Schadsoftware geprüft werden.

Die Datenübertragung mithilfe des Airgap-USB-Sticks wird wie folgt durchgeführt:

1. Im GOS-Administrationsmenü des Airgap-Masters Setup wählen und Enter drücken.

2. Feed wählen und Enter drücken.

3. Airgap Master wählen und Enter drücken.

4. USB Master wählen und Enter drücken (siehe Abb. 7.49).

   

   Abb. 7.49 Konfigurieren des Airgap-USB-Masters

5. Save wählen und Enter drücken.

   Bemerkung

   Das Konfigurieren einer Appliance als einen Airgap-USB-Master deaktiviert die Möglichkeit, die Appliance als einen Airgap-USB-Sensor zu konfigurieren.

6. Airgap-USB-Stick mit dem Airgap-Master verbinden.

   → Die Datenübertragung startet automatisch.

7. Wenn die Datenübertragung abgeschlossen ist, Airgap-USB-Stick mit dem Airgap-Sensor verbinden.

   → Die Datenübertragung startet automatisch.

7.2.8.2 Den Airgap-FTP-Server nutzen

Die Updates und Upgrades können über einen FTP-Server, der als Datendiode wirkt, bereitgestellt werden. Eine Datendiode ist ein einseitiges Sicherheitsgateway, das den Datenfluss nur in eine Richtung erlaubt.

Das FTP-Airgap-Update wird durchgeführt, wenn ein manuelles (siehe Kapitel 7.3.6) oder ein automatisches Feed-Update zur Wartungszeit durchgeführt wird.

Bemerkung

Der Airgap-Master muss genügend Zeit haben, um den Airgap-FTP-Feed auf den FTP-Server hochzuladen. Bei langsameren Verbindungen kann es ratsam sein, die Wartungszeit des Airgap-Sensors mindestens drei Stunden hinter die des Airgap-Masters zu legen (siehe Kapitel 7.2.9).

Die Konfiguration eines Airgap-FTP-Setups wird wie folgt durchgeführt:

1. Im GOS-Administrationsmenü des Airgap-Masters Setup wählen und Enter drücken.

2. Feed wählen und Enter drücken.

3. Airgap Master wählen und Enter drücken.

4. FTP Master wählen und Enter drücken.

   → Mehrere neue Menüoptionen für die Konfiguration des FTP-Servers werden angezeigt (siehe Abb. 7.50).

   

   Abb. 7.50 Konfigurieren des FTP-Servers für den Airgap-Master

5. FTP Master Location wählen und Enter drücken.

6. Pfad des FTP-Servers in das Eingabefeld eingeben und Enter drücken.

   • Das erforderliche Importformat ist ftp://1.2.3.4 oder ftp://path.to.ftpserver.

   • Optional kann ein Port konfiguriert werden, z.B. ftp://1.2.3.4:21.

   • Wenn kein Port konfiguriert ist, wird der Standard-FTP-Port 21 verwendet. Wenn ein anderer Port als 21 verwendet werden soll, muss dieser explizit konfiguriert werden.

7. FTP Master User wählen und Enter drücken.

8. Benutzer, der für das Einloggen in den FTP-Server genutzt wird, in das Eingabefeld eingeben und Enter drücken.

9. FTP Master Password wählen und Enter drücken.

10. Passwort, das für das Einloggen in den FTP-Server genutzt wird, in das Eingabefeld eingeben und Enter drücken.

11. FTP Master Test wählen und Enter drücken.

    → Es wird getestet, ob ein Login mit den eingegebenen Informationen funktioniert.

12. Save wählen und Enter drücken.

13. Im GOS-Administrationsmenü des Airgap-Sensors Setup wählen und Enter drücken.

14. Feed wählen und Enter drücken.

15. Airgap Sensor wählen und Enter drücken.

16. Schritte 5 bis 23 im GOS-Administrationsmenü des Airgap-Sensors mit den gleichen Eingaben wie für den Airgap-Master durchführen.

    Bemerkung

    Die Menüpunkte haben etwas andere Namen als im GOS-Administrationsmenü des Airgap-Master (siehe Abb. 7.51).

    → Die Datenübertragung startet beim nächsten Feed-Update.

    

    Abb. 7.51 Konfigurieren des FTP-Servers für den Airgap-Sensor

7.2.9 Die Zeitsynchronisation konfigurieren

Um die Appliance mit zentralen Zeitservern zu synchronisieren, unterstützt die Appliance das Network Time Protocol (NTP). Es können bis zu vier verschiedene NTP-Server konfiguriert werden. Die Appliance wählt den passendsten Server aus. Fällt ein Server aus, wird automatisch ein anderer Server verwendet.

Sowohl IP-Adressen als auch DNS-Namen werden unterstützt.

Bemerkung

Zeitzonen- und Sommerzeitsynchronisierung werden von NTP nicht unterstützt. Die Zeitzone der Appliance ist immer UTC±00:00.

Die NTP-Einstellungen können wie folgt konfiguriert werden:

1. Setup wählen und Enter drücken.

2. Timesync wählen und Enter drücken.

3. Time synchronisation wählen und Enter drücken.

   → Die Zeitsynchronisation ist aktiviert.

4. Gewünschten Zeitserver wählen und Enter drücken (siehe Abb. 7.52).

   

   Abb. 7.52 Konfigurieren der NTP-Einstellungen

5. Zeitserver in das Eingabefeld eingeben und Enter drücken.

   → Eine Meldung weist darauf hin, dass die Änderungen gespeichert werden müssen.

6. Enter drücken, um die Meldung zu schließen.

7.2.10 Das Tastaturlayout wählen

Das Tastaturlayout der Appliance kann wie folgt verändert werden:

1. Setup wählen und Enter drücken.

2. Keyboard wählen und Enter drücken.

   → Alle verfügbaren Tastaturlayouts werden angezeigt. Das aktuelle Layout hat die Anmerkung (selected) (siehe Abb. 7.53).

   

   Abb. 7.53 Wählen des Tastaturlayouts

3. Gewünschtes Tastaturlayout wählen und Enter drücken.

   → Eine Meldung fordert den Benutzer auf, die Änderung zu bestätigen.

4. Yes wählen und Enter drücken.

   → Eine Meldung weist darauf hin, dass das Layout geändert wurde.

7.2.11 Die E-Mail-Einstellungen konfigurieren

Wenn Berichte über Schwachstellenscans oder Compliance-Audits per E-Mail zugestellt werden sollen, muss die Appliance zunächst mit einem Server verbunden werden, der als Mailhub fungiert. Ein solcher Server wird auch als „Mail-Relay“, „Relay-Host“ oder „Smarthost“ bezeichnet. Standardmäßig stellt die Appliance E-Mails nicht direkt ins Internet zu, sondern nur indirekt über den Mailhub, über den sie dann an die E-Mail-Server der Empfänger weitergeleitet werden müssen. Der Mailhub muss das Simple Mail Transfer Protocol (SMTP) unterstützen.

Die Appliance speichert keine E-Mails, wenn die Zustellung fehlschlägt, und es wird kein zweiter Zustellversuch unternommen.

Bemerkung

Die Appliance implementiert den Mail Transfer Agent Postfix. Der Mailhub muss möglicherweise korrekt eingerichtet werden, um mit der Appliance zusammenzuarbeiten. Informationen über spezielle Konfigurationen für diesen Fall finden sich in der Mailhub-Dokumentation.

Jeglicher Spamschutz auf dem Mailhub, wie z. B. graue Listen, muss für die Appliance deaktiviert werden.

7.2.11.1 Den Mailhub konfigurieren

Der Mailhub kann wie folgt konfiguriert werden:

1. Setup wählen und Enter drücken.

2. Mail wählen und Enter drücken.

3. Mail wählen und Enter drücken.

4. URL des Mailhubs in das Eingabefeld eingeben (siehe Abb. 7.54).

   

   Abb. 7.54 Konfigurieren des Mailhubs

5. OK wählen und Enter drücken.

   → Eine Meldung weist darauf hin, dass die Änderungen gespeichert werden müssen.

6. Enter drücken, um die Meldung zu schließen.

   Bemerkung

   Ein Port, der für den Mailhub verwendet wird, kann bei Bedarf konfiguriert werden. Eine manuelle Konfiguration ist jedoch nicht erforderlich.

   Wenn kein Port konfiguriert ist, werden automatisch die Standard-Ports für SMTP(S) verwendet.

7. Mailhub Port wählen und Enter drücken.

8. Port in das Eingabefeld eingeben und Enter drücken.

   → Eine Meldung weist darauf hin, dass die Änderungen gespeichert werden müssen.

9. Enter drücken, um die Meldung zu schließen.

7.2.11.2 SMTP-Authentifizierung für den Mailhub konfigurieren

Bemerkung

Die Appliance unterstützt nur die Authentifizierung über die SMTP-Auth-Erweiterung.

7.2.11.2.1 SMTP einrichten

Optional kann die SMTP-Authentifizierung für den verwendeten Mailhub wie folgt konfiguriert werden:

1. Setup wählen und Enter drücken.

2. Mail wählen und Enter drücken.

3. SMTP Authentication Requirements wählen und Enter drücken, um die SMTP-Authentifizierung zu aktivieren (siehe Abb. 7.55).

   

   Abb. 7.55 Konfigurieren der SMTP-Authentifizierung

4. SMTP Username wählen und Enter drücken.

5. Benutzernamen des Accounts, der für die Authentifizierung genutzt wird, in das Eingabefeld eingeben und Enter drücken.

   → Eine Meldung weist darauf hin, dass die Änderungen gespeichert werden müssen.

6. Enter drücken, um die Meldung zu schließen.

7. Password wählen und Enter drücken.

8. Passwort des Accounts, der für die Authentifizierung genutzt wird, zweimal eingeben und Tab drücken.

   Bemerkung

   Passwörter dürfen höchstens 128 Zeichen lang sein.

9. Enter drücken.

7.2.11.2.2 Die Verwendung von SMTPS erzwingen

SMTPS kann aktiviert werden, um den E-Mail-Verkehr immer mit TLS zu sichern.

Bemerkung

Wenn es aktiviert ist, muss der Mailhub auch SMTPS unterstützen, sonst schlägt der E-Mail-Versand fehl.

Auch wenn SMTPS nicht erzwungen wird, versucht GOS automatisch, die Verschlüsselung über STARTTLS zu verwenden. Nur wenn der Mailhub STARTTLS nicht unterstützt, ist der E-Mail-Verkehr unverschlüsselt.

SMTPS kann wie folgt erzwungen werden:

1. Setup wählen und Enter drücken.

2. Mail wählen und Enter drücken.

3. SMTP Enforce TLS wählen und Enter drücken.

7.2.11.3 Die maximale Größe enthaltener oder angehängter Berichte festlegen

Die maximale Größe (in Bytes) von enthaltenen oder angehängten Berichten (siehe Kapitel 10.12) kann wie folgt begrenzt werden:

1. Setup wählen und Enter drücken.

2. Mail wählen und Enter drücken.

3. Max. Email Attachment Size oder Max. Email Include Size wählen und Enter drücken.

   

   Abb. 7.56 Festlegen der maximalen Größe enthaltener oder angehängter Berichte

   → Eine Warnung weist darauf hin, dass eine Änderung der Größe einen Neustart des Greenbone Vulnerability Managers erfordert, was dazu führt, dass alle derzeit laufenden Scans gestoppt werden.

4. Maximale Größe (in Bytes) in das Eingabefeld eingeben (siehe Abb. 7.56).

5. OK wählen und Enter drücken.

   → Eine Meldung weist darauf hin, dass die Änderungen gespeichert werden müssen.

6. Enter drücken, um die Meldung zu schließen.

7.2.12 Die Sammlung von Logs konfigurieren

Die Appliance unterstützt die Konfiguration eines zentralen Loggingservers für die Sammlung von Logs. Es können entweder nur die sicherheitsrelevanten Logs oder alle Systemlogs an einen Remote-Loggingserver gesendet werden.

Die sicherheitsrelevanten Logs enthalten nur Meldungen von den Facilities zur Sicherheits- und Authentifizierungsprotokollierung:

• auth

• authpriv

• security

Zusätzlich enthalten die vollständigen Logs die folgenden Facilities:

• cron

• daemon

• ftp

• kern

• lp

• lpr

• ntp

• mail

• news

• syslog

• user

• uucp

• console

• solaris-cron

• local0 – local7

Die Appliance nutzt das Syslog-Protokoll. Die zentrale Sammlung von Logs ermöglicht eine zentrale Analyse, Verwaltung und Überwachung der Logs. Zusätzlich werden die Logs immer auch lokal gespeichert.

Für jede Art von Logs (sicherheitsrelevante Logs oder alle Systemlogs) kann ein eigener Loggingserver konfiguriert werden.

Für die Übertragung können UDP (Standard), TLS und TCP verwendet werden.

• TCP gewährleistet die Zustellung der Logs auch bei Paketverlusten.

• Wenn bei einer Übertragung über UDP ein Paketverlust auftritt, gehen die Logs verloren.

• TLS ermöglicht eine optionale Authentifizierung des Absenders über TLS. Es werden nur TLS 1.2 und TLS 1.3 unterstützt. Dieses Verfahren ist nicht mit RFC 5425 konform.

Bemerkung

Die Zeitzone der Appliance (UTC±00:00) wird für die Zeitstempel der Logs verwendet, sofern dies nicht auf dem Syslog-Server angepasst wurde.

7.2.12.1 Den Loggingserver konfigurieren

Der Loggingserver kann wie folgt eingerichtet werden:

1. Setup wählen und Enter drücken.

2. Remote Syslog wählen und Enter drücken.

3. Security Syslog wählen und Enter drücken, um sicherheitsrelevante Logs zu aktivieren (siehe Abb. 7.57).

   oder

3. Full Syslog wählen und Enter drücken, um alle Systemlogs zu aktivieren (siehe Abb. 7.57).

   Bemerkung

   Beide Logs können aktiviert sein.

   

   Abb. 7.57 Konfiguration der Logs

4. Security Remote wählen und Enter drücken, um die URL des Loggingservers für sicherheitsrelevante Logs einzustellen.

   oder

4. Full Remote wählen und Enter drücken, um die URL des Loggingservers für alle Systemlogs einzustellen.

5. URL des Loggingservers einschließlich des gewünschten Protokolls in das Eingabefeld eingeben (siehe Abb. 7.58).

   Bemerkung

   Falls kein Port festgelegt wird, wird der Standardport 514 genutzt.

   Falls das Protokoll nicht angegeben wird, wird UDP genutzt.

   Falls TLS verwendet wird, muss ein HTTPS-Zertifikat vorhanden sein (siehe Kapitel 7.2.12.2).

   → Eine Meldung weist darauf hin, dass die Änderungen gespeichert werden müssen.

   

   Abb. 7.58 Konfigurieren des Loggingservers

6. Enter drücken, um die Meldung zu schließen.

7.2.12.2 HTTPS-Zertifikate für das Logging verwalten

Ein Zertifikat erstellen

Die HTTPS-Zertifikate für das Logging können wie folgt verwaltet werden:

1. Setup wählen und Enter drücken.

2. Remote Syslog wählen und Enter drücken.

3. Certificates wählen und Enter drücken.

4. Generate wählen und Enter drücken, um ein Zertifikat zu generieren.

   → Eine Meldung weist darauf hin, dass das aktuelle Zertifikat und der aktuelle private Schlüssel überschrieben werden.

5. Yes wählen und Enter drücken, um die Meldung zu bestätigen.

6. Einstellungen für das Zertifikat eingeben (siehe Abb. 7.59), OK wählen und Enter drücken.

   Bemerkung

   Es ist zulässig, ein Zertifikat ohne einen Common Name zu erstellen. Allerdings sollte ein Zertifikat nicht ohne (einen) Subject Alternative Name(s) (SAN) erstellt werden.

   Falls ein Common Name verwendet wird, sollte dieser mit einem der SANs identisch sein.

   

   Abb. 7.59 Bereitstellen der Einstellungen für das Zertifikat

   → Wenn der Vorgang abgeschlossen ist, weist eine Meldung darauf hin, dass das Zertifikat heruntergeladen werden kann.

7. Enter drücken, um die Meldung zu schließen.

8. Certificates wählen und Enter drücken.

9. Download wählen und Enter drücken.

10. Webbrowser öffnen und angezeigte URL eingeben.

11. Datei herunterladen.

12. Im GOS-Administrationsmenü Enter drücken.

    → Wenn das Zertifikat von der Appliance erhalten wurde, zeigt das GOS-Administrationsmenü den Fingerprint des Zertifikats zur Verifizierung an.

13. Fingerprint prüfen und Enter drücken, um das Zertifikat zu bestätigen.

Das aktuelle Zertifikat und die Fingerprints anzeigen

Das Zertifikat und die zugehörigen Fingerprints können wie folgt angezeigt werden:

1. Setup wählen und Enter drücken.

2. Remote Syslog wählen und Enter drücken.

3. Certificates wählen und Enter drücken.

4. Show wählen und Enter drücken, um das Zertifikat anzuzeigen.

   Fingerprint wählen und Enter drücken, um die Fingerprints anzuzeigen.

   → Die folgenden Fingerprints des aktuell aktiven Zertifikats werden angezeigt:

   • SHA1

   • SHA256

7.2.13 Die Wartungszeit festlegen

Während der Wartung findet die tägliche Synchronisierung des Feeds statt. Es kann ein beliebiger Zeitpunkt während des Tags gewählt werden, mit Ausnahme von 10:00 bis 13:00 UTC. Während dieser Zeit aktualisiert Greenbone den Feed und deaktiviert die Synchronisationsdienste.

Die standardmäßige Wartungszeit ist eine zufällige Zeit zwischen 3:00 und 5:00 UTC±00:00.

Die Wartungszeit kann wie folgt festgelegt werden:

1. Setup wählen und Enter drücken.

2. Time wählen und Enter drücken.

3. Gewünschte Wartungszeit in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.60).

   Bemerkung

   Die Zeit muss vor der Eingabe in UTC umgerechnet werden.

   

   Abb. 7.60 Konfigurieren der Wartungszeit

   → Eine Meldung weist darauf hin, dass die Änderungen gespeichert werden müssen.

4. Enter drücken, um die Meldung zu schließen.

7.3 Maintenance-Menü

7.3.1 Einen Self-Check durchführen

Mit der Self-Check-Option wird die Einrichtung der Appliance überprüft. Sie zeigt falsche oder fehlende Konfigurationsdetails an, die eine korrekte Funktion der Appliance verhindern könnten. Die folgenden Punkte werden überprüft:

• Netzwerkverbindung

• DNS-Auflösung

• Erreichbarkeit des Feeds

• Verfügbare Updates

• Benutzerkonfiguration

Der Self-Check wird wie folgt durchgeführt:

1. Maintenance wählen und Enter drücken.

2. Selfcheck wählen und Enter drücken.

   → Der Self-Check wird durchgeführt. Anschließend wird das Ergebnis angezeigt.

3. Enter drücken (siehe Abb. 7.61).

   

   Abb. 7.61 Durchführen eines Self-Checks

7.3.2 Ein Backup durchführen und wiederherstellen

Bemerkung

Regelmäßige, geplante Backups werden im Setup-Menü konfiguriert (siehe Kapitel 7.2.5).

Zusätzlich zu den geplanten Backups können Backups auch manuell durchgeführt werden. Es gibt zwei verschiedene Backup-Typen mit unterschiedlichen Anwendungsfällen:

• Inkrementelle Backups

  • Es werden nur die Daten gesichert, die seit dem letzten Backup geändert wurden.

  • Wenn kein Backup vorhanden ist, wird ein vollständiges Backup durchgeführt.

  • Das inkrementelle Backup kann remote auf einem Server oder lokal auf der Appliance gespeichert werden.

  • Standardmäßig werden die letzten 7 täglichen Backups, die letzten 5 wöchentlichen Backups und die letzten 12 monatlichen Backups gespeichert. Backups, die älter als ein Jahr sind, werden automatisch gelöscht.

• USB-Backups

  • Zunächst wird ein separates, vollständiges (temporäres) Backup auf der Appliance erstellt und dann auf den USB-Flash-Speicher kopiert.

  • Das temporäre Backup auf der Festplatte wird anschließend gelöscht.

7.3.2.1 Inkrementelle Backups

Abhängig von dem in Kapitel 7.2.5 konfigurierten Sicherungsort werden die inkrementellen Backups remote oder lokal gespeichert.

Die Backups umfassen Nutzerdaten (z. B. Aufgaben, Berichte, Ergebnisse) und Systemeinstellungen, d. h. die GOS-Konfiguration.

7.3.2.1.1 Ein inkrementelles Backup durchführen

Ein Backup kann wie folgt manuell durchgeführt werden:

1. Maintenance wählen und Enter drücken.

2. Backup wählen und Enter drücken.

3. Incremental Backup wählen und Enter drücken (siehe Abb. 7.62).

   → Eine Meldung informiert darüber, dass das Backup im Hintergrund gestartet wurde.

   Tipp

   Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

   

   Abb. 7.62 Manuelles Auslösen eines Backups

7.3.2.1.2 Ein inkrementelles Backup wiederherstellen

Bemerkung

Es können nur Backups wiederhergestellt werden, die mit der aktuell verwendeten GOS-Version oder der vorherigen GOS-Version erstellt wurden. Bei GOS 22.04 können nur Backups aus GOS 21.04 oder GOS 22.04 importiert werden. Wenn ein älteres Backup, z. B. aus GOS 6 oder GOS 20.08, importiert werden soll, muss eine Appliance mit einer passenden GOS-Version verwendet werden.

Backups, die mit GOS-Versionen erstellt wurden, die neuer sind als die aktuell verwendete GOS-Version, werden ebenfalls nicht unterstützt. Wenn ein neueres Backup importiert werden soll, muss eine Appliance mit einer passenden GOS-Version verwendet werden.

Es können nur Backups wiederhergestellt werden, die mit dem gleichen Appliance-Modell (siehe Kapitel 3) erstellt wurden.

Es wird geprüft, ob die Subskription-Schlüssel des Backups und der Appliance, auf der das Backup wiederhergestellt werden soll, identisch sind. Falls die Schlüssel nicht übereinstimmen, wird eine Warnung angezeigt und der Benutzer muss bestätigen, dass der Schlüssel auf der Appliance überschrieben werden soll. Wenn jedoch ein Backup ohne Subskription-Schlüssel wiederhergestellt wird, bleibt der Schlüssel auf der Appliance erhalten.

Falls ein neues Backup-Passwort festgelegt wurde (siehe Kapitel 7.2.5.2) und ein Backup wiederhergestellt wird, das mit einem vorherigen Passwort erstellt wurde, wird das vorherige Passwort nicht wiederhergestellt. Die Appliance verwendet immer das neueste festgelegte Backup-Passwort.

Bei Fragen kann der Greenbone Enterprise Support kontaktiert werden.

Ein Backup kann wie folgt wiederhergestellt werden:

1. Maintenance wählen und Enter drücken.

2. Backup wählen und Enter drücken.

3. List wählen und Enter drücken.

4. Gewünschtes Backup wählen und Enter drücken.

5. Yes wählen und Enter drücken, falls sowohl Nutzerdaten als auch Systemeinstellungen hochgeladen werden sollen.

   oder

5. No wählen und Enter drücken, falls nur Nutzerdaten hochgeladen werden sollen.

   Bemerkung

   Die Systemeinstellungen enthalten alle GOS-Konfigurationen, z. B. Netzwerkeinstellungen.

   Die Benutzerdaten enthalten alle Informationen zu Schwachstellenscanning und -management.

   → Eine Warnung informiert darüber, dass alle lokalen Einstellungen verloren gehen, falls das Backup wiederhergestellt wird (siehe Abb. 7.63).

   

   Abb. 7.63 Wiederherstellen eines Backups

6. Yes wählen und Enter drücken, um die Meldung zu bestätigen.

   → Eine Meldung weist darauf hin, dass die Wiederherstellung im Hintergrund gestartet wurde.

   Tipp

   Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

7.3.2.2 USB-Backups

7.3.2.2.1 Ein USB-Backup durchführen

Backups können wie folgt auf einem USB-Flash-Speicher durchgeführt werden:

1. USB-Speicher mit der Appliance verbinden.

2. Maintenance wählen und Enter drücken.

3. Backup wählen und Enter drücken.

4. USB Backup wählen und Enter drücken.

   → Falls der verwendete USB-Speicher noch nicht für die Verwendung als GOS-Backup-Gerät formatiert ist, fragt eine Meldung, ob der USB-Speicher formatiert werden soll.

   Falls der USB-Speicher bereits für die Verwendung als GOS-Backup-Gerät formatiert ist, wird keine Meldung angezeigt. Mit Schritt 7 fortfahren.

5. Yes wählen und Enter drücken.

   → Eine Warnung weist darauf hin, dass die gespeicherten Daten gelöscht werden, wenn der Speicher formatiert wird.

6. Yes wählen und Enter drücken.

   → Der USB-Speicher wird für die Verwendung als GOS-Backup-Gerät formatiert.

7. Backup wählen und Enter drücken (siehe Abb. 7.64).

   

   Abb. 7.64 Durchführen eines Backups mithilfe eines USB-Speichers

   → Eine Meldung fordert den Benutzer auf, das Backup zu bestätigen.

8. Yes wählen und Enter drücken.

   → Eine Meldung informiert darüber, dass das Backup im Hintergrund gestartet wurde.

   Tipp

   Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

7.3.2.2.2 Ein USB-Backup wiederherstellen

Bemerkung

Es können nur Backups wiederhergestellt werden, die mit der aktuell verwendeten GOS-Version oder der vorherigen GOS-Version erstellt wurden. Bei GOS 22.04 können nur Backups aus GOS 21.04 oder GOS 22.04 importiert werden. Wenn ein älteres Backup, z. B. aus GOS 6 oder GOS 20.08, importiert werden soll, muss eine Appliance mit einer passenden GOS-Version verwendet werden.

Backups, die mit GOS-Versionen erstellt wurden, die neuer sind als die aktuell verwendete GOS-Version, werden ebenfalls nicht unterstützt. Wenn ein neueres Backup importiert werden soll, muss eine Appliance mit einer passenden GOS-Version verwendet werden.

Es können nur Backups wiederhergestellt werden, die mit dem gleichen Appliance-Modell (siehe Kapitel 3) erstellt wurden.

Es wird geprüft, ob die Subskription-Schlüssel des Backups und der Appliance, auf der das Backup wiederhergestellt werden soll, identisch sind. Falls die Schlüssel nicht übereinstimmen, wird eine Warnung angezeigt und der Benutzer muss bestätigen, dass der Schlüssel auf der Appliance überschrieben werden soll. Wenn jedoch ein Backup ohne Subskription-Schlüssel wiederhergestellt wird, bleibt der Schlüssel auf der Appliance erhalten.

Falls ein neues Backup-Passwort festgelegt wurde (siehe Kapitel 7.2.5.2) und ein Backup wiederhergestellt wird, das mit einem vorherigen Passwort erstellt wurde, wird das vorherige Passwort nicht wiederhergestellt. Die Appliance verwendet immer das neueste festgelegte Backup-Passwort.

Bei Fragen kann der Greenbone Enterprise Support kontaktiert werden.

Backups können wie folgt von einem USB-Speicher wiederhergestellt werden:

1. USB-Speicher, der das gewünschte GOS-Backup enthält, mit der Appliance verbinden.

   Bemerkung

   Bei Problemen sollte ein anderer USB-Speicher oder ein anderer USB-Anschluss der Appliance verwendet werden.

2. Maintenance wählen und Enter drücken.

3. Backup wählen und Enter drücken.

4. USB Backup wählen und Enter drücken.

5. Restore wählen und Enter drücken (siehe Abb. 7.64).

6. Yes wählen und Enter drücken, falls sowohl Nutzerdaten als auch Systemeinstellungen hochgeladen werden sollen.

   oder

6. No wählen und Enter drücken, falls nur Nutzerdaten hochgeladen werden sollen.

   Bemerkung

   Die Systemeinstellungen enthalten alle GOS-Konfigurationen, z. B. Netzwerkeinstellungen.

   Die Benutzerdaten enthalten alle Informationen zu Schwachstellenscanning und -management.

   → Eine Warnung informiert darüber, dass alle lokalen Einstellungen verloren gehen, falls das Backup wiederhergestellt wird (siehe Abb. 7.65).

   

   Abb. 7.65 Wiederherstellen eines Backups

7. Yes wählen und Enter drücken, um die Meldung zu bestätigen.

   → Eine Meldung weist darauf hin, dass die Wiederherstellung im Hintergrund gestartet wurde.

   Tipp

   Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

7.3.3 Daten und Einstellungen mithilfe von Beaming auf eine andere Appliance kopieren

Der aktuelle Zustand einer Appliance kann auf eine andere Appliance kopiert werden. Dazu gehören Benutzerdaten (z. B. Aufgaben, Berichte, Ergebnisse) und Systemeinstellungen, d. h. die GOS-Konfiguration.

Auf der empfangenden Appliance kann gewählt werden, ob nur die Nutzerdaten oder sowohl Nutzerdaten als auch Systemeinstellungen importiert werden sollen.

Bemerkung

Es können nur Beaming-Images wiederhergestellt werden, die mit der aktuell verwendeten GOS-Version oder der vorherigen GOS-Version erstellt wurden. Bei GOS 22.04 können nur Beaming-Images aus GOS 21.04 oder GOS 22.04 importiert werden. Wenn ein älteres Beaming-Image, z. B. aus GOS 20.08, importiert werden soll, muss eine Appliance mit einer passenden GOS-Version verwendet werden.

Es ist nur möglich, ein Beaming-Image auf eine Appliance zu importieren, wenn die Release-Informationen, d.h. die Liste der verfügbaren GOS-Upgrades, auf der entsprechenden Appliance aktuell sind. Um dies sicherzustellen, sollte ein aktueller Greenbone Enterprise Feed heruntergeladen werden.

Beaming-Images, die mit GOS-Versionen erstellt wurden, die neuer sind als die aktuell verwendete GOS-Version, werden ebenfalls nicht unterstützt. Wenn ein neueres Beaming-Image importiert werden soll, muss eine Appliance mit einer passenden GOS-Version genutzt werden.

Das Beaming ist nur auf eine Appliance der gleichen oder einer höheren Klasse erlaubt (siehe Kapitel 3). Das Beaming auf eine Greenbone Enterprise TRIAL wird nicht unterstützt.

Es wird geprüft, ob die Subskription-Schlüssel des Beaming-Images und der Appliance, auf der das Beaming-Image wiederhergestellt werden soll, identisch sind. Falls die Schlüssel nicht übereinstimmen, wird eine Warnung angezeigt und der Benutzer muss bestätigen, dass der Schlüssel auf der Appliance überschrieben werden soll. Wenn jedoch ein Beaming-Image ohne Subskription-Schlüssel wiederhergestellt wird, bleibt der Schlüssel auf der Appliance erhalten.

Bei Fragen kann der Greenbone Enterprise Support kontaktiert werden.

7.3.3.1 Beaming direkt von einer anderen Appliance aus durchführen

Das Beaming-Image kann wie folgt erstellt und direkt kopiert werden:

Bemerkung

• Appliance A = sendende Appliance

• Appliance B = empfangende Appliance

1. Im GOS-Administrationsmenü von Appliance A Maintenance wählen und Enter drücken.

2. Beaming wählen und Enter drücken.

3. Download wählen und Enter drücken (siehe Abb. 7.66).

   

   Abb. 7.66 Herunterladen des Beaming-Images

   → Eine Meldung weist darauf hin, dass die Erstellung des Beaming-Images im Hintergrund gestartet wurde.

   Tipp

   Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

   Wenn die Erstellung abgeschlossen ist, weist eine Meldung darauf hin, dass ein zu notierendes Passwort angezeigt werden wird.

4. Enter drücken.

5. Passwort notieren. Es wird in Schritt 13 benötigt.

6. q drücken, um den Editor zu verlassen.

   Wichtig

   Meldung, die die URL anzeigt, nicht schließen.

7. Im GOS-Administrationsmenü von Appliance B Maintenance wählen und Enter drücken.

8. Beaming wählen und Enter drücken.

9. Upload from Greenbone Enterprise Appliance A wählen und Enter drücken.

10. URL, die im GOS-Administrationsmenü von Appliance A angezeigt wird, in das Eingabefeld eingeben und Enter drücken.

    

    Abb. 7.67 Wählen der Daten und Einstellungen für den Upload

11. Yes wählen und Enter drücken, falls sowohl Nutzerdaten als auch Systemeinstellungen hochgeladen werden sollen.

    oder

11. No wählen und Enter drücken, falls nur Nutzerdaten hochgeladen werden sollen.

    → Eine Warnung fordert den Benutzer auf, den Vorgang zu bestätigen.

12. Yes wählen und Enter drücken.

13. Passwort aus Schritt 5 in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.68).

    

    Abb. 7.68 Eingeben des Passworts für das Beaming-Image

    → Eine Meldung weist darauf hin, dass der Upload des Beaming-Images im Hintergrund gestartet wurde.

    Tipp

    Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

    Wenn der Upload abgeschlossen ist, wird eine Meldung angezeigt.

14. Enter drücken.

7.3.3.2 Beaming über ein Remote-Dateisystem durchführen

Das Beaming-Image kann wie folgt erstellt, heruntergeladen, gespeichert und später über ein Remote-Dateisystem importiert werden:

Bemerkung

• Appliance A = sendende Appliance

• Appliance B = empfangende Appliance

1. Im GOS-Administrationsmenü von Appliance A Maintenance wählen und Enter drücken.

2. Beaming wählen und Enter drücken.

3. Download wählen und Enter drücken (siehe Abb. 7.69).

   

   Abb. 7.69 Herunterladen des Beaming-Images

   → Eine Meldung weist darauf hin, dass die Erstellung des Beaming-Images im Hintergrund gestartet wurde.

   Tipp

   Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

   Wenn die Erstellung abgeschlossen ist, weist eine Meldung darauf hin, dass ein zu notierendes Passwort angezeigt werden wird.

4. Enter drücken.

5. Passwort notieren. Es wird in Schritt 16 benötigt.

6. q drücken, um den Editor zu verlassen.

7. Webbrowser öffnen und angezeigte URL eingeben.

   Bemerkung

   Diese URL ist nur für einen Download gültig. Wenn das Beaming-Image einmal heruntergeladen wurde und der Link ein weiteres Mal in einem Webbrowser geöffnet wird, wird angezeigt, dass keine Verbindung möglich ist.

   → Das Beaming-Image wird automatisch als GSMB-Datei heruntergeladen.

8. Im GOS-Administrationsmenü von Appliance B Maintenance wählen und Enter drücken.

9. Beaming wählen und Enter drücken.

10. Upload via remote file system wählen und Enter drücken.

11. Webbrowser öffnen und angezeigte URL eingeben.

12. Auf Browse… klicken, die GSMB-Datei wählen und auf Upload klicken.

    

    Abb. 7.70 Wählen der Daten und Einstellungen für den Upload

13. Yes wählen und Enter drücken, falls sowohl Nutzerdaten als auch Systemeinstellungen hochgeladen werden sollen.

    oder

13. No wählen und Enter drücken, falls nur Nutzerdaten hochgeladen werden sollen.

    → Eine Warnung fordert den Benutzer auf, den Vorgang zu bestätigen.

14. Yes wählen und Enter drücken.

15. Passwort aus Schritt 5 in das Eingabefeld eingeben und Enter drücken (siehe Abb. 7.71).

    

    Abb. 7.71 Eingeben des Passworts für das Beaming-Image

    → Eine Meldung weist darauf hin, dass der Upload des Beaming-Images im Hintergrund gestartet wurde.

    Tipp

    Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

    Wenn der Upload abgeschlossen ist, wird eine Meldung angezeigt.

16. Enter drücken.

7.3.4 Ein GOS-Upgrade durchführen

Während des täglichen Feed-Updates zur Wartungszeit (siehe Kapitel 7.2.13) lädt die Appliance auch neue GOS-Upgrades herunter, sofern verfügbar. Die Upgrades werden zwar automatisch heruntergeladen, aber nicht automatisch installiert.

Bemerkung

Da die Upgrades laufende Scanaufgaben unterbrechen können, müssen sie sorgfältig geplant werden.

Upgrades können wie folgt manuell installiert werden:

1. Maintenance wählen und Enter drücken.

2. Upgrade wählen und Enter drücken.

3. Upgrade wählen und Enter drücken, um ein Upgrade zu installieren.

   oder

3. Switch Release wählen und Enter drücken, um zu einem neuen Softwarerelease zu wechseln.

   → Eine Meldung weist darauf hin, dass das Upgrade im Hintergrund gestartet wurde.

   Tipp

   Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

   Bemerkung

   Treten nach einem GOS-Upgrade Fehler bei der Benutzung der Web-Oberfläche auf, muss der Browser- oder Seitencache geleert werden(siehe Kapitel 6.4).

   Es ist möglich, dass ein GOS-Upgrade die über das GOS-Administrationsmenü verfügbaren Funktionen verändert. Diese geänderten Funktionen sind erst nach einem erneuten Laden des GOS-Administrationsmenüs verfügbar. Es wird daher empfohlen, sich nach dem GOS-Upgrade vom GOS-Administrationsmenü abzumelden und wieder neu anzumelden.

   Gelegentlich ist auch ein Neustart der Appliance erforderlich (siehe Kapitel 7.3.9.1). Der Self-Check zeigt in diesem Fall einen entsprechenden Hinweis an (siehe Kapitel 7.3.1).

Bemerkung

Ein erfolgreiches GOS-Upgrade auf dem Master startet standardmäßig auch ein GOS-Upgrade auf den angeschlossenen Sensoren. Ein Upgrade kann jedoch auch manuell auf den Sensoren installiert werden (siehe Kapitel 7.3.5).

7.3.5 Ein GOS-Upgrade auf Sensoren durchführen

Ein GOS-Upgrade kann wie folgt auf einem Sensor installiert werden:

1. Maintenance wählen und Enter drücken.

2. Upgrade wählen und Enter drücken.

3. Sensors wählen und Enter drücken.

4. Gewünschten Sensor wählen und Leertaste drücken.

   → Der Sensor wird mit * markiert. Es können mehrere Sensoren zur gleichen Zeit gewählt werden.

   Sensoren, die nicht für ein Upgrade bereit sind, sind entsprechend gekennzeichnet.

5. Enter drücken.

   → Eine Meldung weist darauf hin, dass das Upgrade im Hintergrund gestartet wurde.

   Tipp

   Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

7.3.6 Ein Feed-Update durchführen

Standardmäßig versucht die Appliance, Feed-Updates und GOS-Upgrades täglich zu ihrer Wartungszeit (siehe Kapitel 7.2.13) herunterzuladen.

Außerdem kann ein Feed-Update wie folgt manuell ausgelöst werden:

1. Maintenance wählen und Enter drücken.

2. Feed wählen und Enter drücken.

3. Update wählen und Enter drücken (siehe Abb. 7.72).

   → Eine Meldung weist darauf hin, dass das Feed-Update im Hintergrund gestartet wurde.

   Tipp

   Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

   

   Abb. 7.72 Manuelles Auslösen eines Feed-Updates

Bemerkung

Standardmäßig wird ein erfolgreiches Feed-Update auf dem Master auch ein Feed-Update auf den angeschlossenen Sensoren starten. Ein Feed-Update kann jedoch auch manuell an die Sensoren übertragen werden (siehe Kapitel 7.3.7).

7.3.7 Ein Feed-Update auf Sensoren durchführen

Ein Feed-Update kann wie folgt auf einen Sensor übertragen werden:

1. Maintenance wählen und Enter drücken.

2. Feed wählen und Enter drücken.

3. Sensors wählen und Enter drücken.

4. Gewünschten Sensor wählen und Enter drücken (siehe Abb. 7.73).

   → Eine Meldung weist darauf hin, dass das Feed-Update im Hintergrund gestartet wurde.

   Tipp

   Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

   

   Abb. 7.73 Wählen des Sensors

7.3.8 Die Flash-Partition upgraden

Die Flash-Partition wird für die Durchführung von Resets der Appliance verwendet. Um Factory-Resets zu vereinfachen, sollte sie regelmäßig auf die neueste GOS-Version aktualisiert werden.

Bemerkung

Es muss sichergestellt werden, dass die Appliance selbst eine Verbindung zum Greenbone Feed Server herstellen kann.

Es ist nicht möglich, die Flash-Partitionen von Sensoren über den Master zu aktualisieren.

Die Flash-Partition kann wie folgt aktualisiert werden:

1. Appliance auf die letzte GOS-Version upgraden (siehe Kapitel 7.3.4).

2. Maintenance wählen und Enter drücken.

3. Flash wählen und Enter drücken.

4. Download wählen und Enter drücken (siehe Abb. 7.74).

   → Das neueste Flash-Image wird heruntergeladen.

   Tipp

   Der Download-Status kann in den Live-Logs (Advanced > Logs > Live, siehe Kapitel 7.4.1) überwacht werden.

5. Wenn das Herunterladen beendet ist, Write wählen und Enter drücken (siehe Abb. 7.74) .

   → Das Image wird auf die Flash-Partition geschrieben. Der Vorgang kann bis zu 20 Minuten dauern.

   Tipp

   Die momentan laufende Systemoperation kann durch Wählen von About und Drücken von Enter im GOS-Administrationsmenü angezeigt werden.

   

   Abb. 7.74 Aktualisieren der Flash-Partition

7.3.9 Die Appliance herunterfahren und neu starten

Bemerkung

Die Appliance sollte nicht über den Netzschalter ausgeschaltet werden.

Stattdessen sollte die Appliance über das GOS-Administrationsmenü heruntergefahren und neu gestartet werden. Dadurch wird sichergestellt, dass die obligatorischen Bereinigungsprozesse während des Herunterfahrens und Neustarts ausgeführt werden.

7.3.9.1 Die Appliance neu starten

Die Appliance kann wie folgt neu gestartet werden:

1. Maintenance wählen und Enter drücken.

2. Power wählen und Enter drücken.

3. Reboot wählen und Enter drücken.

   → Eine Meldung fordert den Benutzer auf, den Neustart zu bestätigen (siehe Abb. 7.75).

4. Yes wählen und Enter drücken.

   → Die Appliance startet neu. Der Vorgang kann einige Minuten dauern.

   

   Abb. 7.75 Neustarten der Appliance

7.3.9.2 Die Appliance herunterfahren

Die Appliance kann wie folgt heruntergefahren werden:

1. Maintenance wählen und Enter drücken.

2. Power wählen und Enter drücken.

3. Shutdown wählen und Enter drücken.

   → Eine Meldung fordert den Benutzer auf, das Herunterfahren zu bestätigen (siehe Abb. 7.76).

   

   Abb. 7.76 Herunterfahren der Appliance

4. Yes wählen und Enter drücken.

   → Die Appliance fährt herunter. Der Vorgang kann einige Minuten dauern.

7.4 Advanced-Menü

7.4.1 Die Log-Dateien der Appliance anzeigen

Die Log-Dateien der Appliance können wie folgt angezeigt werden:

1. Advanced wählen und Enter drücken.

2. Logs wählen und Enter drücken.

3. Gewünschte Logs wählen und Enter drücken (siehe Abb. 7.77).

   → Die Log-Dateien werden in einem Viewer angezeigt.

4. q oder Strg + C drücken, um den Viewer zu verlassen.

   

   Abb. 7.77 Wählen der Log-Dateien

7.4.2 Fortgeschrittene, administrative Tätigkeiten durchführen

7.4.2.1 Den Superuser-Account verwalten

Wenn auf die Shell zugegriffen wird, wird eine Linux-Befehlszeile mit dem unprivilegierten Benutzer admin angezeigt (siehe Kapitel 7.4.2.3). Jeder Debian GNU/Linux-Befehl kann ausgeführt werden, allerdings können einige Befehle auf den privilegierten Benutzer root beschränkt sein.

Bemerkung

Der privilegierte Account root (Superuser) sollte nur in Absprache mit dem Greenbone Enterprise Support genutzt werden.

Werden Änderungen ohne Rücksprache vorgenommen, erlischt der Anspruch auf Unterstützung durch den Greenbone Enterprise Support.

Um Root-Rechte auf der Appliance zu erhalten, muss der Befehl su - in der Shell eingegeben werden. Die Verwendung von su - zum Wechsel vom Benutzer admin zum Benutzer root ist standardmäßig deaktiviert.

Der Superuser muss wie folgt aktiviert und mit einem Passwort ausgestattet werden:

1. Advanced wählen und Enter drücken.

2. Support wählen und Enter drücken.

3. Superuser wählen und Enter drücken.

4. Superuser State wählen und Enter drücken (siehe Abb. 7.78).

   

   Abb. 7.78 Aktivieren des Superusers

   → Eine Warnung weist darauf hin, dass Root-Rechte nur in Ausnahmefällen und in Abstimmung mit dem Greenbone Enterprise Support erlangt werden sollten.

5. Yes wählen und Enter drücken.

   → Eine Meldung weist darauf hin, dass die Änderungen gespeichert werden müssen.

6. Enter drücken, um die Meldung zu schließen.

7. Password wählen und Enter drücken.

8. Passwort zweimal eingeben, OK wählen und Enter drücken (siehe Abb. 7.79).

   

   Abb. 7.79 Festlegen des Passworts des Superusers

7.4.2.2 Ein Supportpaket generieren und herunterladen

Manchmal benötigt der Greenbone Enterprise Support zusätzliche Informationen, um Fehler zu beheben und die Kundschaft zu unterstützen. Die erforderlichen Daten werden als (verschlüsseltes) Supportpaket gesammelt, das alle Konfigurationsdaten der Appliance enthält.

Das Paket kann mit dem öffentlichen GPG-Schlüssel des Greenbone Enterprise Supports verschlüsselt werden. Das Supportpaket wird auf der Appliance gespeichert.

Ein Supportpaket kann wie folgt erstellt werden:

1. Advanced wählen und Enter drücken.

2. Support wählen und Enter drücken.

3. Support Package wählen und Enter drücken.

   → Eine Meldung fordert den Benutzer auf, die Generierung des Supportpakets zu bestätigen.

4. Yes wählen und Enter drücken.

   → Eine Meldung fragt, ob das Supportpaket verschlüsselt werden soll (siehe Abb. 7.80).

   

   Abb. 7.80 Herunterladen eines Supportpakets

5. Yes wählen und Enter drücken, um das Supportpaket zu verschlüsseln.

   oder

5. No wählen und Enter drücken, um das Supportpaket nicht zu verschlüsseln.

6. Falls ein verschlüsseltes Supportpaket gewählt wurde, Webbrowser öffnen, angezeigte URL eingeben und GPG-Schlüssel herunterladen (verschlüsselter ZIP-Ordner).

   oder

   Bemerkung

   Falls das Support Package nicht verschlüsselt ist, muss der Download über das Secure Copy Protocol (SCP) erfolgen. Dazu muss zunächst SSH aktiviert werden (siehe Kapitel 7.2.4.4).

6. Falls ein unverschlüsseltes Supportpaket gewählt wurde, angezeigten Befehl mithilfe von SCP eingeben (siehe Abb. 7.81) und Supportpaket (ZIP-Ordner) herunterladen.

   Bemerkung

   Der „.“ am Ende kann durch einen Pfad ersetzt werden. Falls der „.“ beibehalten wird, wird der aktuelle Ordner genutzt.

   

   Abb. 7.81 Herunterladen eines unverschlüsselten Supportpakets

7. ZIP-Ordner an den Greenbone Enterprise Support senden.

Auf Microsoft Windows-Systemen kann das Supportpaket entweder mit pscp, einem in PuTTY enthaltenen Kommandozeilenwerkzeug, oder mit smarTTY, einem grafischen Werkzeug, das SCP implementiert, heruntergeladen werden.

7.4.2.3 Auf die Shell zugreifen

Der Shell-Zugang ist für administrative Arbeiten nicht erforderlich, kann aber vom Greenbone Enterprise Support zu Diagnose- und Support angefordert werden.

Auf die Shell kann wie folgt zugegriffen werden:

1. Advanced wählen und Enter drücken.

2. Support wählen und Enter drücken.

3. Shell wählen und Enter drücken.

   → Eine Warnung informiert darüber, dass die Shellebene nicht dokumentiert wird und nicht für administrative Einstellungen genutzt werden sollte (siehe Abb. 7.82).

   

   Abb. 7.82 Warnung beim Zugriff auf die Shell

4. Continue wählen und Enter drücken.

   → Eine Linux-Shell wird mit dem unprivilegierten Benutzer admin geöffnet (siehe Abb. 7.83).

   

   Abb. 7.83 Zugriff auf die lokale Shell

   Bemerkung

   Der Zugriff als root erfordert die Aktivierung des Superusers und das Setzen eines Passworts (siehe Kapitel 7.4.2.1). Danach ist der Wechsel zu root mit dem Befehl su - möglich.

5. exit eingeben oder Strg + D drücken, um die Shell zu verlassen.

7.4.3 Den Greenbone-Enterprise-Feed-Subskription-Schlüssel anzeigen

Der Subskription-Schlüssel (siehe Kapitel 7.2.7.1) kann wie folgt angezeigt werden:

1. Advanced wählen und Enter drücken.

2. Subscription wählen und Enter drücken (siehe Abb. 7.84).

   → Der Subskription-Schlüssel wird in einem Viewer angezeigt.

3. q drücken, um den Viewer zu verlassen.

7.4.4 Die Copyright- und Lizenzinformationen anzeigen

Die Copyright-Datei kann wie folgt angezeigt werden:

1. Advanced wählen und Enter drücken.

2. Copyright and Licenses wählen und Enter drücken (siehe Abb. 7.84).

   → Die Copyright-Datei wird in einem Viewer angezeigt.

3. q drücken, um den Viewer zu verlassen.

Abb. 7.84 Anzeigen des Subskription-Schlüssels oder der Copyright-Datei

7.5 Informationen über die Appliance anzeigen

Informationen über die Appliance können durch Wählen von About und Drücken von Enter angezeigt werden.

Die folgenden Informationen werden angezeigt:

• Appliance-Modell

• GOS-Version

• Feedversion

• Name des Subskription-Schlüssels

• IP-Adresse der Web-Oberfläche

• Konfigurierte Sensoren

• Aktuell laufende Systemoperationen

Abb. 7.85 Informationen über die Appliance anzeigen