16 Ein Master-Sensor-Setup nutzen

Bemerkung

Dieses Kapitel dokumentiert alle möglichen Menüoptionen.

Allerdings unterstützen nicht alle Appliance-Modelle alle Menüoptionen. Die Modellübersicht gibt Auskunft darüber, ob ein bestimmtes Feature auf dem verwendeten Appliance-Modell verfügbar ist.

Aus Sicherheitsgründen ist es oft nicht möglich, bestimmte Netzwerksegmente direkt zu scannen. Zum Beispiel kann der direkte Zugang zum Internet untersagt sein. Um dieses Problem zu beheben, unterstützt die Greenbone Enterprise Appliance die Einrichtung eines verteilten Scansystems: Zwei oder mehr Appliances in unterschiedlichen Netzwerksegmenten können sicher verbunden werden, um Schwachstellentests in den Netzwerksegmente durchzuführen, die andernfalls nicht erreichbar sind.

In diesem Fall steuert eine Appliance eine oder mehr andere Appliances fern. Eine steuernde Appliance wird als „Master“ und eine kontrollierte Appliance wird als „Sensor“ bezeichnet.

Master

  • Alle Appliance-Modelle ab Greenbone Enterprise 400/DECA können als Master genutzt werden (siehe Kapitel 3).

Sensor

  • Alle Appliance-Modelle, abgesehen von der Greenbone Enterprise ONE, können als Sensor genutzt werden.

  • Die Appliance-Modelle Greenbone Enterprise 35 und 25V können ausschließlich als Sensor genutzt werden und werden immer von einem Master gesteuert.

  • Alle Sensoren können direkt vom Master verwaltet werden. Dies schließt automatische oder manuelle Feed-Updates und Upgrades vom Greenbone Operating System (GOS) ein.

  • Ein Sensor benötigt keine andere Netzwerkverbindung außer zum Master und zu den Scanzielen.

  • Ein Sensor benötigt nach dem anfänglichen Setup keine weiteren administrativen Schritte.

  • Falls ein Sensor Scans ferngesteuert durchführen soll, muss er als Remote-Scanner konfiguriert werden.

    • Der Benutzer kann Scans für den Remote-Scanner individuell mithilfe der Web-Oberfläche des Masters, abhängig von Anforderungen und Berechtigungen, erstellen.

    • Der Remote-Scanner führt die Scans durch und leitet die Ergebnisse an den Master weiter, wo alle Schwachstelleninformationen verwaltet werden.

    • Die Verbindung zu einem Remote-Scanner wird mithilfe vom Open Scanner Protocol (OSP) über SSH aufgebaut.

Die Verbindung zwischen Master und Sensor wird mithilfe des Secure-Shell-Protokolls (SSH) über Port 22/TCP aufgebaut. Für Abwärtskompatibilität kann der Port 9390/TCP verwendet werden (siehe Kapitel 16.3).

Zum Unterscheiden zwischen den Begriffen „Sensor“ und „Remote-Scanner“:

  • Sensoren

    Diese Funktion erfordert das Einrichten einer Master-Sensor-Verknüpfung über die GOS-Administrationsmenüs von Master und Sensor. Die Funktion unterstützt dann die ferngesteuerte Feedsynchronisation und die Upgradeverwaltung des Sensors.

  • Remote-Scanner

    Diese Funktion erfordert das Einrichten des Remote-Scanners mithilfe der Web-Oberfläche des Masters. Die Funktion unterstützt dann die Ausführung von Scans über den Sensor.

16.1 Ein Master-Sensor-Setup konfigurieren

Ein Master kann wie folgt mit einem Sensor verknüpft werden:

  1. GOS-Administrationsmenü des Masters und des Sensors öffnen (siehe Kapitel 7.1.2.2).

  2. Im GOS-Administrationsmenü des Masters Setup wählen und Enter drücken.

  3. Master wählen und Enter drücken.

  4. Master Identifier wählen und Enter drücken.

  5. Download wählen und Enter drücken (siehe Abb. 16.1).

    _images/gos_menu_master_1.png

    Abb. 16.1 Konfiguration des Masters

  6. Webbrowser öffnen und angezeigte URL eingeben.

  7. PUB-Datei herunterladen.

    → Wenn der Schlüssel heruntergeladen wurde, zeigt das GOS-Administrationsmenü des Masters den Fingerprint des Schlüssels zur Verifizierung an.

    Wichtig

    Der Fingerprint darf nicht bestätigt werden, bevor der Schlüssel in den Sensor hochgeladen wurde.

  8. Im GOS-Administrationsmenü des Sensors Setup wählen und Enter drücken.

  9. Sensor wählen und Enter drücken.

  10. Configure Master wählen und Enter drücken (siehe Abb. 16.2).

    _images/gos_menu_sensor_1.png

    Abb. 16.2 Konfiguration des Sensors

  11. Upload wählen und Enter drücken.

  12. Webbrowser öffnen und angezeigte URL eingeben.

  13. Auf Browse… klicken, die zuvor heruntergeladene PUB-Datei wählen und auf Upload klicken.

    → Wenn der Schlüssel hochgeladen wurde, zeigt das GOS-Administrationsmenü des Sensors den Fingerprint des Schlüssels zur Verifizierung an.

  14. Fingerprint mit dem Fingerprint, der im GOS-Administrationsmenü des Masters angezeigt wird, vergleichen.

    Falls die Fingerprints übereinstimmen, Enter in beiden GOS-Administrationsmenüs drücken.

  15. Im GOS-Administrationsmenü des Sensors Save wählen und Enter drücken.

  16. Zweimal durchführen: Tab drücken und anschließend Enter drücken.

  17. Services wählen und Enter drücken.

  18. SSH wählen und Enter drücken.

  19. SSH State wählen und Enter drücken.

    → SSH ist auf dem Sensor aktiviert.

  20. Save wählen und Enter drücken.

  21. Tab drücken, um Back zu wählen und Enter drücken.

  22. OSP wählen und Enter drücken.

    Bemerkung

    Auf der Greenbone Enterprise 35 und der Greenbone Enterprise 25V ist OSP immer aktiviert und kann nicht deaktiviert werden. Diese Menüoption ist daher auf diesen Modellen nicht verfügbar. Mit Schritt 26 fortfahren.

  23. Enter drücken, um OSP zu aktivieren.

    → Eine Nachricht informiert den Benutzer darüber, dass die Änderungen gespeichert werden müssen (siehe Kapitel 7.1.3).

  24. Enter drücken, um die Nachricht zu schließen.

  25. Save wählen und Enter drücken.

    → OSP ist auf dem Sensor aktiviert.

  26. Im GOS-Administrationsmenü des Masters Setup wählen und Enter drücken.

  27. Master wählen und Enter drücken.

  28. Sensors wählen und Enter drücken.

  29. Add a new sensor wählen und Enter drücken.

  30. IP-Adresse oder Hostnamen des Sensors in das Eingabefeld eingeben und Enter drücken.

    → Zusätzliche Menüoptionen für die Sensorkonfiguration werden angezeigt (siehe Abb. 16.3, siehe Kapitel 16.2).

    _images/gos_menu_sensor_2.png

    Abb. 16.3 Menü für die Sensorkonfiguration

  31. Auto wählen und Enter drücken.

    → Der Master verbindet sich automatisch mit dem Sensor und ruft den Identifier ab.

    Der Fingerprint des Identifiers wird im GOS-Administrationsmenü des Masters angezeigt.

  32. Im GOS-Administrationsmenü des Sensors Setup wählen und Enter drücken.

  33. Sensor wählen und Enter drücken.

  34. Sensor Identifier wählen und Enter drücken.

  35. Fingerprint wählen und Enter drücken.

  36. Fingerprint mit dem Fingerprint, der im GOS-Administrationsmenü des Masters angezeigt wird, vergleichen.

    Falls die Fingerprints übereinstimmen, Enter im GOS-Administrationsmenüs des Masters drücken.

  37. Save wählen und Enter drücken.

  38. Test wählen und Enter drücken.

    → Die Konfiguration des Sensors wird getestet.

    Falls der Test fehlschlägt, wird eine Warnung mit Anweisungen angezeigt (siehe Abb. 16.4).

    _images/gos_menu_sensortest.png

    Abb. 16.4 Testen der Sensorkonfiguration

Bemerkung

Wenn sie erfolgreich konfiguriert wurden, können Sensoren direkt vom Master aus über das GOS-Administrationsmenü verwaltet werden (siehe Kapitel 7.3.5 und 7.3.7).

16.2 Alle konfigurierten Sensoren verwalten

Alle auf einem Master konfigurierten Sensoren können wie folgt angezeigt werden:

  1. Setup wählen und Enter drücken.

  2. Master wählen und Enter drücken.

  3. Sensors wählen und Enter drücken.

    → Aktionen für alle konfigurierten Sensoren werden angezeigt (siehe Abb. 16.5).

Die folgenden Aktionen sind verfügbar:

Testing all sensor connections

Die korrekte Konfiguration aller Sensoren testen. Falls der Test fehlschlägt, wird eine Warnung mit Anweisungen angezeigt.

Update all sensor protocols

Alle Konfigurationen der Sensorprotokolle auf dem Master aktualisieren.

Edit/Delete the sensor …

Das Menü zum Konfigurieren eines bestimmten Sensors öffnen (siehe Abb. 16.3). Die folgenden Aktionen sind verfügbar:

  • Die Adresse des Sensors festlegen.

  • Den Remoteport des Sensors festlegen.

  • Den Proxy für den Sensor festlegen.

  • Den Identifier des Sensors festlegen.

  • Automatische Feed-Updates auf dem Sensor aktivieren/deaktivieren. Diese werden ausgeführt, falls auf dem Master ein Feed-Update durchgeführt wird.

  • Den Port und den Identifier automatisch festlegen.

  • Die korrekte Konfiguration des Sensors testen.

  • Den Sensor löschen.

Add a new sensor

Einen neuen Sensor konfigurieren (siehe Kapitel 16.1).

_images/gos_menu_configured_sensors.png

Abb. 16.5 Verwalten aller konfigurierter Sensoren

16.3 Sensoren in sicheren Netzwerken einsetzen

Bei einem Master-Sensor-Setup speichert der Master alle Schwachstelleninformationen und Anmeldedaten. Der Sensor speichert keine Informationen dauerhaft (abgesehen von VTs).

Aus diesem Grund muss der Master in der höchsten Sicherheitszone mit Kommunikation nach außen (zu den Sensoren) platziert sein. Jegliche Kommunikation wird vom Master in der höheren Sicherheitszone aus zum Sensor in der niedrigeren Sicherheitszone veranlasst.

Bemerkung

Eine Firewall, die die unterschiedlichen Zonen trennt, muss nur die Verbindung zum Master zum Sensor erlauben. Zusätzliche Verbindungen in die höhere Sicherheitszone müssen nicht zugelassen werden.

Master und Sensor kommunizieren über das SSH-Protokoll. Der Port 22/TCP wird standardmäßig genutzt. Für Abwärtskompatibilität kann der Port 9390/TCP genutzt werden. Dieser kann wie folgt konfiguriert werden:

  1. Im GOS-Administrationsmenü des Sensors Setup wählen und Enter drücken.

  2. Sensor wählen und Enter drücken.

  3. Port 9390 wählen und Enter drücken.

  4. Save wählen und Enter drücken.

Auf Sensoren können Updates des Greenbone Enterprise Feeds und GOS-Upgrades entweder direkt vom Greenbone-Server oder mithilfe des Masters heruntergeladen werden. Im zweiten Fall kontaktiert nur der Master den Greenbone-Server und verteilt die zugehörigen Dateien an alle verbundene Sensoren.

Um zu verhindern, dass der Sensor den Greenbone-Server kontaktiert, kann die automatische Synchronisierung wie folgt deaktiviert werden:

  1. Im GOS-Administrationsmenü des Sensors Setup wählen und Enter drücken.

  2. Feed wählen und Enter drücken.

  3. Synchronisation wählen und Enter drücken.

  4. Save wählen und Enter drücken.

Tipp

Als zusätzlicher Schutz kann eine Regel für Source- und Destination-NAT auf einer Firewall mit Stateful-Packet-Inspection (SPI) genutzt werden, um die Notwendigkeit von Standardrouten auf der Appliance zu vermeiden.

16.4 Einen Sensor als Remote-Scanner konfigurieren

Bemerkung

Um einen Sensor als Remote-Scanner zu konfigurieren, müssen zuerst alle Schritte in Kapitel 16.1 erledigt werden.

Master können Sensoren als Remote-Scan-Maschinen (Scanner) zusätzlich zu den voreingestellten Scannern OpenVAS und CVE nutzen. Dazu muss der Sensor mithilfe der Web-Oberfläche des Masters als Remote-Scanner konfiguriert sein.

Ein neuer Remote-Scanner kann wie folgt konfiguriert werden:

  1. In die Web-Oberfläche des Masters einloggen.

  2. Konfiguration > Scanner in der Menüleiste wählen.

  3. Neuen Scanner durch Klicken auf erstellen.

  4. Namen des Remote-Scanners in das Eingabefeld Name eingeben (siehe Abb. 16.6).

    _images/remote_scanner_new-de.png

    Abb. 16.6 Konfiguration des Remote-Scanners auf dem Master

  5. Greenbone Sensor in der Drop-down-Liste Typ wählen.

    Bemerkung

    Die Wahl von Greenbone Sensor ist zwingend notwendig. Der Typ OSP-Scanner darf nicht verwendet werden.

  6. IP-Adresse oder Hostnamen des Sensors in das Eingabefeld Host eingeben.

  7. Auf Speichern klicken, um den Remote-Scanner zu erstellen.

    → Der Scanner wird erstellt und auf der Seite Scanner angezeigt.

  8. In der Zeile des neu erstellen Scanners auf klicken, um den Scanner zu verifizieren.

    → Falls das Setup korrekt ist, wird der Scanner erfolgreich verifiziert.

Tipp

Scanner werden pro Benutzer erstellt. Sie können entweder für jeden Benutzer einzeln erstellt werden oder alternativ kann anderen Benutzern die Berechtigung für die Nutzung erteilt werden (siehe Kapitel 9.4).

16.5 Einen Remote-Scanner nutzen

Nachdem ein Sensor als Remote-Scanner konfiguriert wurde, kann er als Scanner ausgewählt werden, wenn eine neue Scanaufgabe oder ein neues Audit erstellt wird (siehe Kapitel 10.2.2 und 12.2).

_images/remote_scanner_task-de.png

Abb. 16.7 Auswählen des Remote-Scanners für eine Aufgabe oder ein Audit

Tipp

Es gibt zwei Möglichkeiten, den Remote-Scanner für ein/e bereits vorhandene/s Aufgabe oder Audit zu verwenden:

  • Falls die Aufgabe/das Audit in der Spalte Name als änderbar markiert ist (siehe Kapitel 10.8 und 12.2.3), Scanner der Aufgabe/des Audits ändern.

  • Die Aufgabe/das Audit klonen und den Scanner des Klons ändern.