2 Vor der ersten Verwendung lesen#

2.1 Nutzung einer unterstützten GOS-Version#

Die Greenbone Enterprise Appliance sollte immer in einer von Greenbone unterstützten Version (inklusive Patchlevel) betrieben werden. Andernfalls können die folgenden Probleme/Auswirkungen auftreten:

  • Kompatibilitätsprobleme im Feed

  • Nicht behobene Bugs

  • Fehlende Funktionalitäten (z. B. solche, die erforderlich sind, damit VTs zuverlässig oder überhaupt funktionieren)

  • Verringerte Scanabdeckung oder fehlende Schwachstellenerkennung aufgrund der oben genannten Probleme

  • Nicht behobene Sicherheitslücken in den verwendeten Komponenten (z. B. GOS)

2.2 Auswirkungen auf die gescannte Netzwerkumgebung#

Die Greenbone Enterprise Appliance beinhaltet einen vollständigen Schwachstellenscanner. Obwohl der Schwachstellenscanner so konzipiert wurde, dass alle negativen Auswirkungen auf die Netzwerkumgebung minimal sind, muss er während des Scans mit dem untersuchten Zielsystem interagieren und kommunizieren.

Bemerkung

Es ist die grundlegende Aufgabe der Greenbone Enterprise Appliance, ansonsten unentdeckte Schwachstellen zu finden und zu identifizieren. Der Scanner muss sich bis zu einem gewissen Grad so verhalten, wie es echte Cyber-Kriminelle tun würden.

Obwohl die standardmäßigen und empfohlenen Einstellungen die Auswirkungen des Schwachstellenscanners auf die Netzwerkumgebung auf ein Minimum beschränken, sind unerwünschte Nebeneffekte möglich. Durch die Einstellungen des Scanners können diese Nebeneffekte kontrolliert und verbessert werden.

Bemerkung

Die folgenden Nebeneffekte sollten zur Kenntnis genommen werden:

  • Auf dem Zielsystem können Protokoll- und Warnmeldungen angezeigt werden.

  • Auf Netzwerkgeräten, Überwachungslösungen, Firewalls und Intrusion-Detection-/Intrusion-Prevention-Systemen können Protokoll- und Warnmeldungen angezeigt werden.

  • Firewall-Regeln und andere Intrusion-Prevention-Maßnahmen können ausgelöst werden.

  • Scans können die Latenzzeit auf dem Ziel und/oder dem gescannten Netzwerk erhöhen. In extremen Fällen kann dies zu Situationen führen, die einem Denial-of-Service-Angriff (DoS-Angriff) ähneln.

  • In anfälligen oder unsicheren Anwendungen können durch den Scan Fehler ausgelöst werden. Diese können weitere Fehler oder Abstürze verusachen.

  • Eingebettete Systeme und Elemente der operativen Technologien mit schwachen Netzwerk-Stacks sind besonders anfällig für mögliche Abstürze oder sogar beschädigte Geräte.

  • Logins (z. B. über SSH oder FTP) werden zu Banner-Grabbing-Zwecken gegen die Zielsysteme durchgeführt. Dazu gehören Analysen über verschiedene Protokolle (z. B. HTTP, FTP) bei allen betroffenen Diensten zur Diensterkennung.

  • Alle exponierten Dienste werden über verschiedene Protokolle (z. B. HTTP, FTP) zur Diensterkennung getestet.

  • Scans können dazu führen, dass Benutzerkonten durch das Testen standardmäßiger Benutzername-Passwort-Kombinationen gesperrt werden.

Da das oben beschriebene Verhalten beim Schwachstellenscanning erwartet, gewünscht oder sogar erforderlich ist, sollte(n) die IP-Adresse(n) des Scanners in die Ausnahmeliste des betroffenen Systems/Diensts aufgenommen werden. Informationen zur Erstellung einer solchen Ausnahmeliste finden sich in der Dokumentation oder beim Support des jeweiligen Systems/Diensts.

Das Auslösen von Fehlern, Abstürzen oder Sperrungen mit den Standardeinstellungen bedeutet, dass Cyber-Kriminelle dasselbe zu einer ungewissen Zeit und zu einem ungewissen Ausmaß tun können. Das Finden von Schwachstellen, bevor sie von Cyber-Kriminellen gefunden werden, ist der Schlüssel zur Widerstandsfähigkeit.

Obwohl die Nebeneffekte sehr selten auftreten, wenn standardmäßige und empfohlene Einstellungen genutzt werden, erlaubt der Schwachstellenscanner die Konfiguration von invasivem Verhalten, welches die Wahrscheinlichkeit der genannten Effekte erhöht.

Bemerkung

Die oben genannten Gegebenheiten sollten berücksichtigt und die benötigte Autorisierung sollte verifiziert werden, bevor die Greenbone Enterprise Appliance zum Scannen des Zielsystems genutzt wird.

2.3 Scannen durch Netzwerkgeräte#

2.3.1 Allgemeine Informationen#

Das Scannen durch Netzwerkgeräte wie ein IDS (Intrusion Detection System)/IPS (Intrusion Prevention System), eine WAF (Web Application Firewall), einen Proxy oder eine Firewall sollte vermieden werden, da solche Geräte den Scan stören können, was zu folgendem unvorhersehbarem Scan-Verhalten oder Auswirkungen auf die Umgebung führen kann:

  • Falsch-positive und falsch-negative Ergebnisse

  • Geringe Scangeschwindigkeit

  • Zu viele als offen gemeldete Ports auf dem Scanziel

  • Verlorene Pakete aufgrund von TCP-Verbindungsgrenzen oder Erreichen des maximalen Sitzungslimits

  • Je nach Einstellung können die Logs sehr umfangreich werden, was zu einer Überlastung des Logservers oder – falls sie komplett deaktiviert wereden – zu einem blinden Fleck führen kann.

Bemerkung

Ein solches Verhalten kann auch auftreten, wenn die maximale Anzahl von Prüfungen pro Host begrenzt ist.

2.3.2 Firewall-spezifische Informationen#

Je nach Modell kann eine Firewall über verschiedene Zusatzmodule wie Deep Packet Inspection und Denial-of-Service-Schutz (DoS-Schutz) verfügen.

  • Diese Module sind möglicherweise nur begrenzt konfigurierbar, z. B. allgemeines Ein- und Ausschalten pro Schnittstelle und nicht pro Quell-/Ziel-IP-Adresse.

  • Einige der Module können sogar versteckt oder überhaupt nicht konfigurierbar sein, sodass die oben erwähnten Auswirkungen auftreten können, ohne dass bekannt ist, warum und wo sie auftreten.

  • Die Belastung der Firewall steigt deutlich an. Im schlimmsten Fall werden nicht nur die Verbindungen für den Scanner unterbrochen, sondern die gesamte Firewall-Funktionalität kann beeinträchtigt werden, was zu einem Denial of Service führen kann.