10 Ein System scannen¶
Bemerkung
Dieses Kapitel dokumentiert alle möglichen Menüoptionen.
Allerdings unterstützen nicht alle Appliance-Modelle alle Menüoptionen. Die Modellübersicht gibt Auskunft darüber, ob ein bestimmtes Feature auf dem verwendeten Appliance-Modell verfügbar ist.
10.1 Den Aufgaben-Wizard für einen ersten Scan nutzen¶
Der Aufgaben-Wizard kann einen Basisscan mit minimalem Input vom Benutzer konfigurieren und starten.
10.1.1 Den Aufgaben-Wizard nutzen¶
Eine neue Aufgabe kann wie folgt mit dem Aufgaben-Wizard konfiguriert werden:
Scans > Aufgaben in der Menüleiste wählen.
Wizard durch Bewegen der Maus über und Klicken auf Aufgaben-Wizard starten.
IP-Adresse oder Hostnamen des Zielsystems in das Eingabefeld eingeben (siehe Abb. 10.1).
Bemerkung
Beim Nutzen eines DNS-Namens muss die Appliance in der Lage sein, diesen Namen aufzuschlüsseln.
Auf Scan starten klicken.
→ Der Aufgaben-Wizard führt die folgenden Schritte automatisch aus:
Erstellen eines neuen Scanziels auf der Appliance.
Erstellen einer neuen Scanaufgabe auf der Appliance.
Unmittelbares Starten der Scanaufgabe.
Darstellen der Seite Aufgaben.
Nachdem die Aufgabe gestartet wurde, kann der Fortschritt überwacht werden (siehe Abb. 10.2).
Für den Status einer Aufgabe siehe Kapitel 10.8.
Tipp
Sobald eine Aufgabe gestartet wurde, kann der Bericht der Aufgabe durch Klicken auf den Balken in der Spalte Status dargestellt werden. Für das Lesen, Verwalten und Herunterladen von Berichten siehe Kapitel 11.
Sobald sich der Status zu Abgeschlossen ändert, ist der gesamte Bericht verfügbar. Zu jeder Zeit können Zwischenergebnisse angesehen werden (siehe Kapitel 11.2.1).
Bemerkung
Die Fertigstellung des Scans kann einige Zeit in Anspruch nehmen. Die Seite aktualisiert automatisch, falls neue Daten verfügbar sind.
10.1.2 Den erweiterten Aufgaben-Wizard nutzen¶
Neben dem einfachen Aufgaben-Wizard stellt die Appliance auch einen erweiterten Aufgaben-Wizard mit mehr Konfigurationsmöglichkeiten bereit.
Eine neue Aufgabe kann wie folgt mit dem erweiterten Aufgaben-Wizard konfiguriert werden:
Scans > Aufgaben in der Menüleiste wählen.
Wizard durch Bewegen der Maus über und Klicken auf Erweiterter Aufgaben-Wizard starten.
Aufgabe festlegen (siehe Abb. 10.3).
Tipp
Für die Informationen, die in die Eingabefelder eingegeben werden müssen, siehe Kapitel 10.2.1 und 10.2.2.
Falls eine E-Mail-Adresse in das Eingabefeld E-Mail-Bericht an eingegeben wird, wird eine Benachrichtigung erstellt, die eine E-Mail versendet, sobald die Aufgabe abgeschlossen ist (siehe Kapitel 10.12).
Auf Erstellen klicken.
→ Der erweiterte Aufgaben-Wizard führt die folgenden Schritte automatisch aus:
Unmittelbares Starten der Scanaufgabe.
Darstellen der Seite Aufgaben.
Für den Status einer Aufgabe siehe Kapitel 10.8.
Tipp
Sobald eine Aufgabe gestartet wurde, kann der Bericht der Aufgabe durch Klicken auf den Balken in der Spalte Status dargestellt werden. Für das Lesen, Verwalten und Herunterladen von Berichten siehe Kapitel 11.
Sobald sich der Status zu Abgeschlossen ändert, ist der gesamte Bericht verfügbar. Zu jeder Zeit können Zwischenergebnisse angesehen werden (siehe Kapitel 11.2.1).
Bemerkung
Die Fertigstellung des Scans kann einige Zeit in Anspruch nehmen. Die Seite aktualisiert automatisch, falls neue Daten verfügbar sind.
10.1.3 Den Wizard zum Verändern einer Aufgabe nutzen¶
Ein weiterer Wizard kann eine vorhandene Aufgabe verändern:
Scans > Aufgaben in der Menüleiste wählen.
Wizard durch Bewegen der Maus über und Klicken auf Aufgabe-Bearbeiten-Wizard starten.
Aufgabe, die verändert werden soll, in der Drop-down-Liste Aufgabe wählen (siehe Abb. 10.4).
Zeitplan für die Aufgabe durch Wählen des Radiobuttons Zeitplan erstellen erstellen (siehe Kapitel 10.10).
Das Datum des ersten Scans kann duch Klicken auf gewählt und die Zeit kann mithilfe der Eingabefelder festgelegt werden.
E-Mail-Adresse, an die ein Bericht gesendet werden soll, in das Eingabefeld E-Mail-Bericht an eingeben.
Auf Aufgabe bearbeiten klicken.
10.2 Einen einfachen Scan manuell konfigurieren¶
Im Allgemeinen kann die Appliance zwei unterschiedliche Vorgehensweisen nutzen, um ein Ziel zu scannen:
Einfacher Scan
Authentifizierter Scan mithilfe lokaler Sicherheitskontrollen
Die folgenden Schritte müssen ausgeführt werden, um einen einfachen Scan zu konfigurieren:
Erstellen eines Ziels (siehe Kapitel 10.2.1)
Erstellen einer Aufgabe (siehe Kapitel 10.2.2)
Ausführen der Aufgabe (siehe Kapitel 10.2.3)
10.2.1 Ein Ziel erstellen¶
Der erste Schritt ist es, ein Scanziel wie folgt zu erstellen:
Konfiguration > Ziele in der Menüleiste wählen.
Ziel definieren (siehe Abb. 10.5).
Auf Speichern klicken.
Die folgenden Informationen können eingegeben werden:
- Name
Der Name kann frei gewählt werden. Falls möglich, sollte ein aussagekräftiger Name gewählt werden. Möglichkeiten sind Mailserver, ClientNetwork, Webserverfarm, DMZ oder eine nähere Beschreibung des Systems.
- Kommentar
Der optionale Kommentar erlaubt es, Hintergrundinformationen festzulegen. Diese erleichtern später das Verständnis des konfigurierten Ziel.
- Hosts
Manuelle Eingabe der Hosts, die gescannt werden sollen, getrennt durch Kommas oder Importieren einer Hostliste.
Bemerkung
Die IP-Adresse oder der Hostname wird benötigt. In beiden Fällen ist es nötig, dass sich die Appliance mit dem System verbinden kann. Falls der Hostname verwendet wird, muss die Appliance in der Lage sein, den Namen aufzuschlüsseln.
Die maximal konfigurierbare Anzahl von IP-Adressen beträgt bei den meisten Appliance-Modellen 4096. Für die Greenbone Enterprise 6500 beträgt die maximal konfigurierbare Anzahl von IP-Adressen 16777216.
Für die manuelle Eingabe sind die folgenden Optionen möglich:
Einzelne IP-Adresse, z. B. 192.168.15.5
Hostname, z. B. mail.example.com
IPv4-Adressbereich in langem Format, z. B. 192.168.15.5-192.168.15.27
IPv4-Adressbereich in kurzem Format, z. B. 192.168.55.5-27
IPv4-Adressbereich in CIDR-Schreibweise, z. B. 192.168.15.0/24
Bemerkung
Aufgrund der maximal konfigurierbaren Anzahl von IP-Adressen (siehe oben) beträgt die maximale Subnetzmaske /20 für IPv4, wenn keine weiteren Hosts Teil der Konfiguration sind. Ist die maximale Anzahl der IP-Adressen höher, z. B. bei der Greenbone Enterprise 6500, können entsprechend größere Subnetzmasken konfiguriert werden.
Üblicherweise werden die erste IP-Adresse (Netzwerkadresse, z.B. 192.168.15.0) und die letzte IP-Adresse (Broadcast-Adresse, z.B. 192.168.15.255) eines Subnetzes nicht in die Anzahl der nutzbaren IP-Adressen einbezogen und daher bei Scans nicht berücksichtigt, wenn diese Schreibweise verwendet wird. Wenn die IP-Adressen tatsächlich nutz- und scanbar sind, müssen sie explizit zum Scanziel hinzugefügt werden, z.B.
192.168.15.0/24, 192.168.15.0, 192.168.15.255
.Einzelne IPv6-Adresse, z. B. fe80::222:64ff:fe76:4cea
IPv6-Adressbereich in langem Format, z. B. ::12:fe5:fb50-::12:fe6:100
IPv6-Adressbereich in kurzem Format, z. B. ::13:fe5:fb50-fb80
IPv6-Adressbereich in CIDR-Schreibweise, z. B. fe80::222:64ff:fe76:4cea/120
Bemerkung
Aufgrund der maximal konfigurierbaren Anzahl von IP-Adressen (siehe oben) ist die maximale Subnetzmaske für IPv6 /116, wenn keine weiteren Hosts Teil der Konfiguration sind. Ist die maximale Anzahl der IP-Adressen höher, z. B. beim Greenbone Enterprise 6500, können entsprechend größere Subnetzmasken konfiguriert werden.
Mehrere Optionen können gemischt werden. Falls eine Datei importiert wird, muss dieselbe Syntax genutzt werden. Einträge können durch Kommas oder durch Zeilenumbrüche getrennt werden. Falls mehrere Systeme gescannt werden müssen, ist es einfacher eine Datei mit den Hosts zu nutzen, statt alle Hosts manuell einzugeben. Die Datei muss die ASCII-Zeichenkodierung verwenden.
Alternativ kann das System aus der Host-Assetdatenbank importiert werden.
Bemerkung
Das Importieren eines Hosts aus der Assetdatenbank ist nur möglich, falls das Ziel von der Seite Hosts aus erstellt wurde (siehe Kapitel 13.1.3).
- Hosts ausschließen
Manuelle Eingabe der Hosts, die vom Scan ausgeschlossen werden sollen, getrennt durch Kommas oder Importieren einer Hostliste.
Für die manuelle Eingabe sind die folgenden Optionen möglich:
Einzelne IP-Adresse, z. B. 192.168.15.5
IPv4-Adressbereich in langem Format, z. B. 192.168.15.5-192.168.15.27
IPv4-Adressbereich in kurzem Format, z. B. 192.168.55.5-27
IPv4-Adressbereich in CIDR-Schreibweise, z. B. 192.168.15.0/24
Einzelne IPv6-Adresse, z. B. fe80::222:64ff:fe76:4cea
IPv6-Adressbereich in langem Format, z. B. ::12:fe5:fb50-::12:fe6:100
IPv6-Adressbereich in kurzem Format, z. B. ::13:fe5:fb50-fb80
IPv6-Adressbereich in CIDR-Schreibweise, z. B. fe80::222:64ff:fe76:4cea/120
Bemerkung
Die Eingabe von Hostnamen/FQDN ist ebenfalls möglich. Dies führt jedoch nicht dazu, dass eine IP-Adresse nicht gescannt wird – da der Scanner auf IP-Adressen basiert – sondern schließt nur den spezifischen Host aus der vHost-Liste für die IP-Adresse aus.
- Erlaube das gleichzeitige Scannen über verschiedene IPs
Einige Geräte, insbesondere IoT-Geräte, können abstürzen, wenn sie über mehrere Verbindungen, die vom selben Host kommen, gleichzeitig gescannt werden. Dies kann z. B. passieren, wenn das Gerät über IPv4 und IPv6 verbunden ist.
Durch Wählen des Radiobuttons Nein wird das gleichzeitige Scannen über mehrere Adressen verhindert.
- Portliste
Portliste, die für den Scan genutzt wird (siehe Kapitel 10.7).
- Erreichbarkeitstest
Diese Option legt die Methode fest, mit der geprüft wird, ob ein Ziel erreichbar ist. Die Möglichkeiten sind:
Scan Config Default (die Erreichbarkeitstestmethode ICMP Ping wird standardmäßig verwendet)
ICMP Ping
TCP-ACK Service Ping
TCP-SYN Service Ping
ICMP & TCP-ACK Service Ping
ICMP & ARP Ping
TCP-ACK Service & ARP Ping
ICMP, TCP-ACK Service & ARP Ping
Consider Alive
Manchmal gibt es Probleme mit diesem Test. In einigen Umgebungen antworten Router- und Firewallsysteme auf einen TCP-Serviceping mit einem TCP-RST, obwohl der Host in Wirklichkeit nicht erreichbar ist (siehe Kapitel 10.13).
Es gibt Netzwerkkomponenten, die Proxy-ARP unterstützen und auf einen ARP-Ping antworten. Deshalb benötigt dieser Test oft lokale Anpassungen an die Umgebung.
- SSH-Anmeldedaten
Auswahl eines Benutzers, der sich in das Zielsystem einloggen kann, falls dieses ein Linux- oder Unix-System ist. Dies ermöglicht einen authentifizierten Scan mit lokalen Sicherheitskontrollen (siehe Kapitel 10.3.2 und 10.3).
- Berechtigungen erweitern
Es ist auch möglich, Anmeldedaten für erweiterte Berechtigungen zu speichern, z. B. root. Dazu müssen zunächst SSH-Anmeldedaten ausgewählt werden. Dann wird eine neue Drop-down-Liste zur Auswahl der erweiterten Anmeldedaten angezeigt.
Bemerkung
Um die neue Funktion für erweiterte SSH-Anmeldedaten zu sehen, muss der Cache des Browsers, der für die Web-Oberfläche genutzt wird, möglicherweise geleert werden. Das Leeren des Browsercaches kann in den Einstellungen des genutzten Browsers vorgenommen werden.
Alternativ kann der Seitencache geleert werden, indem Strg und F5 gedrückt wird.
Bemerkung
Das Feature ist noch experimentell. Je nach Zielsystem und dessen Konfiguration ist das Feature möglicherweise nicht zuverlässig.
Mehr Informationen über Root-Rechte für Scans befinden sich in Kapitel 10.3.5.
Die erweiterten Berechtigungen des Nutzers müssen vorher auf dem Zielsystem konfiguriert werden. Die Appliance führt nur den Befehl
su - <Benutzername>
aus, der keine Kontrolle über die Nutzungsrechte hat.Wenn erweiterte SSH-Anmeldedaten konfiguriert sind, werden die Standard-SSH-Anmeldedaten nur für die Anmeldung auf dem Zielsystem verwendet. Die erweiterten Anmeldedaten werden für den Scan verwendet.
Die Programme stty und unset müssen für den Nutzer mit erweiterten Berechtigungen verfügbar/zugänglich sein.
Der Nutzer mit erweiterten Berechtigungen muss berechtigt sein, die Login-Aufforderung durch ein
export PS1=
zu ändern, das den gesendeten Befehlen vorangestellt wird.Wenn erweiterte SSH-Anmeldedaten konfiguriert sind, werden diese immer verwendet, auch wenn die Scan-Konfiguration keine relevanten Schwachstellentests enthält.
Standard- und erweiterte SSH-Anmeldedaten dürfen nicht identisch sein.
Bemerkung
Die Verwendung von erweiterten SSH-Anmeldedaten kann zu einer erhöhten Last auf der Appliance sowie zu einer erhöhten Anzahl von SSH-Verbindungen von der Appliance zum Zielsystem führen. Dies muss ggf. bei Firewalls, Intrusion-Detection- und Logging-Systemen berücksichtigt werden.
Darüber hinaus kann die Dauer von Scans mit erweiterten SSH-Anmeldedaten aufgrund der oben erwähnten Systemlast wesentlich länger sein als bei Scans ohne erweiterte Anmeldedaten.
- SMB-Anmeldedaten
Auswahl eines Benutzers, der sich in das Zielsystem einloggen kann, falls dieses ein Microsoft-Windows-System ist. Dies ermöglicht einen authentifizierten Scan mit lokalen Sicherheitskontrollen (siehe Kapitel 10.3.2 und 10.3).
- ESXi-Anmeldedaten
Auswahl eines Benutzers, der sich in das Zielsystem einloggen kann, falls dieses ein VMware-ESXi-System ist. Dies ermöglicht einen authentifizierten Scan mit lokalen Sicherheitskontrollen (siehe Kapitel 10.3.2 und 10.3).
- SNMP-Anmeldedaten
Auswahl eines Benutzers, der sich in das Zielsystem einloggen kann, falls dieses ein SNMP-Aware-System ist. Dies ermöglicht einen authentifizierten Scan mit lokalen Sicherheitskontrollen (siehe Kapitel 10.3.2 und 10.3).
- Nur Invers-Lookup
Nur IP-Adressen scannen, die sich in einen DNS-Namen auflösen können.
- Invers-Lookup-Vereinheitlichung
Falls sich mehrere IP-Adressen zum gleichen DNS-Namen auflösen, wird der DNS-Name nur einmal gescannt.
Bemerkung
Für die Invers-Lookup-Vereinheitlichung werden alle Zieladressen vor dem Scan geprüft, um die Anzahl tatsächlich gescannter Adressen zu reduzieren. Für große Ziele und für Netzwerke, in denen Invers-Lookups Verzögerungen verursachen, führt dies zu einer langen Phase, in der die Aufgabe bei 1 % Fortschritt steht.
Diese Option wird nicht für große Netzwerke oder Netzwerke, in denen Invers-Lookups Verzögerungen verursachen, empfohlen.
10.2.2 Eine Aufgabe erstellen¶
Der zweite Schritt ist das Erstellen einer Aufgabe.
Die Appliance steuert die Ausführung von Scans mithilfe von Aufgaben. Diese Aufgaben können regelmäßig wiederholt oder zu bestimmten Zeiten ausgeführt werden (siehe Kapitel 10.10).
Eine Aufgabe kann wie folgt erstellt werden:
Scans > Aufgaben in der Menüleiste wählen.
Neue Aufgabe durch Bewegen der Maus über und Klicken auf Neue Aufgabe erstellen.
Aufgabe definieren (siehe Abb. 10.6).
Auf Speichern klicken.
→ Die Aufgabe wird erstellt und auf der Seite Aufgaben angezeigt.
Die folgenden Informationen können eingegeben werden:
- Name
Der Name kann frei gewählt werden. Falls möglich, sollte ein aussagekräftiger Name gewählt werden. Möglichkeiten sind Mailserver, ClientNetwork, Webserverfarm, DMZ oder eine nähere Beschreibung des Systems.
- Kommentar
Der optionale Kommentar erlaubt es, Hintergrundinformationen festzuhalten. Diese erleichtern später das Verständnis der konfigurierten Aufgabe.
- Scan-Ziele
Zuvor konfiguriertes Ziel aus der Drop-down-Liste wählen (siehe Kapitel 10.2.1).
Alternativ kann das Ziel durch Klicken auf neben der Drop-down-Liste erstellt werden.
- Benachrichtigungen
Zuvor konfigurierte Benachrichtigung aus der Drop-down-Liste wählen (siehe Kapitel 10.12). Statusänderungen der Aufgabe können über E-Mail, System-Logger, HTTP oder einen Konnektor mitgeteilt werden.
Alternativ kann die Benachrichtigung durch Klicken auf neben der Drop-down-Liste erstellt werden.
- Zeitplan
Zuvor konfigurierten Zeitplan aus der Drop-down-Liste wählen (siehe Kapitel 10.10). Die Aufgabe kann einmalig oder wiederholt zu einer festgelegten Zeit, z. B. jeden Montagmorgen um 6:00, ausgeführt werden.
Alternativ kann ein Zeitplan durch Klicken auf neben der Drop-down-Liste erstellt werden.
Bemerkung
Wenn einer großen Anzahl von Aufgaben derselbe Zeitplan zugewiesen wird, kann sich dies negativ auf die Systemleistung auswirken und sogar zu einem Systemabsturz führen, wenn die Aufgaben durch den Zeitplan gestartet werden.
- Ergebnisse zu Assets hinzufügen
Das Auswählen dieser Option macht die Systeme automatisch für die Assetverwaltung der Appliance verfügbar (siehe Kapitel 13). Diese Auswahl kann später geändert werden.
- Übersteuerungen anwenden
Übersteuerungen können direkt angewendet werden, wenn die Ergebnisse zur Assetdatenbank hinzugefügt werden (siehe Kapitel 11.8).
- Min QdE
Minimale Qualität der Erkennung für die Aufnahme der Ergebnisse in die Assetdatenbank (siehe Kapitel 11.2.6).
- Änderbare Aufgabe
Änderung von Scan-Ziel(en), Scanner und Scan-Konfiguration der Aufgabe ermöglichen, auch wenn bereits Berichte erstellt wurden. Die Übereinstimmung zwischen Berichten kann nicht mehr garantiert werden, wenn Aufgaben geändert werden.
- Berichte automatisch löschen
Maximale Anzahl an gespeicherten Berichten. Falls das Maximum überschritten wird, wird der älteste Bericht automatisch gelöscht. Die Werkseinstellung ist Berichte nicht automatisch löschen.
- Scanner
Standardmäßig werden nur die integrierten OpenVAS- und CVE-Scanner unterstützt (siehe Kapitel 10.11). Sensoren können als zusätzliche Scanmaschinen genutzt werden, müssen jedoch erst konfiguriert werden (siehe Kapitel 16).
Bemerkung
Die folgenden Optionen sind nur für den OpenVAS-Scanner relevant. Der CVE-Scanner unterstützt keine dieser Optionen.
- Scan-Konfiguration
Eine Scan-Konfiguration definiert den Satz von VTs, die während eines Scans ausgeführt werden. Sie enthält außerdem allgemeine und sehr spezifische (Experten-)Parameter für den Scanserver und für einige der VTs.
Die Appliance wird mit mehreren vorkonfigurierten Scan-Konfigurationen für den OpenVAS-Scanner geliefert (siehe Kapitel 10.9). Pro Aufgabe kann nur eine Scan-Konfiguration konfiguriert werden.
- Reihenfolge der Ziel-Hosts
Wählen, in welcher Reihenfolge die angegebenen Zielhosts bei Schwachstellentests verarbeitet werden. Verfügbare Optionen sind:
Sequenziell
Zufällig
Rückwärts
Um die Abschätzung des Scanfortschritts zu verbessern, wird die Einstellung Zufällig empfohlen (siehe Kapitel 17.2.3).
Diese Einstellung hat keinen Einfluss auf den Erreichbarkeitstest, bei dem aktive Hosts in einem Zielnetzwerk identifiziert werden. Der Erreichbarkeitstest ist immer zufällig.
- Maximal gleichzeitig ausgeführte NVTs pro Host/Maximal gleichzeitig gescannte Hosts
Auswahl der Geschwindigkeit des Scans auf einem Host. Die Standardwerte sind bewusst gewählt. Falls mehrere VTs gleichzeitig auf einem System laufen oder mehrere Systeme zur gleichen Zeit gescannt werden, könnte der Scan negative Auswirkungen auf die Leistung der gescannten Systeme, des Netzwerks oder der Appliance selbst haben. Die Werte „maxhosts“ und „maxchecks“ können optimiert werden.
- Tag
Zuvor konfigurierten Tag aus der Drop-down-Liste wählen (siehe Kapitel 8.4), um ihn mit der Aufgabe zu verbinden.
10.2.3 Die Aufgabe starten¶
In der Zeile der neu erstellen Aufgabe auf klicken.
Bemerkung
Für Aufgaben mit Zeitplan wird zusätzlich angezeigt. Die Aufgabe startet zu der Zeit, die im Zeitplan festgelegt wurde (siehe Kapitel 10.10).
→ Die Aufgabe wird zur Warteschlange hinzugefügt. Danach beginnt der Scanner mit dem Scan.
Bemerkung
In einigen Fällen kann die Aufgabe in der Warteschlange bleiben. Weitere Informationen befinden sich in Kapitel 17.3.
Für den Status einer Aufgabe siehe Kapitel 10.8.
Sobald eine Aufgabe gestartet wurde, kann der Bericht der Aufgabe durch Klicken auf den Balken in der Spalte Status dargestellt werden. Für das Lesen, Verwalten und Herunterladen von Berichten siehe Kapitel 11.
Sobald sich der Status zu Abgeschlossen ändert, ist der gesamte Bericht verfügbar. Zu jeder Zeit können Zwischenergebnisse angesehen werden (siehe Kapitel 11.2.1).
Bemerkung
Die Fertigstellung des Scans kann einige Zeit in Anspruch nehmen. Die Seite aktualisiert automatisch, falls neue Daten verfügbar sind.
10.3 Einen authentifizierten Scan mit lokalen Sicherheitskontrollen konfigurieren¶
Ein authentifizierter Scan kann mehr Details über Schwachstellen auf dem gescannten System bereitstellen. Während eines authentifizierten Scans wird das Ziel sowohl von außen über das Netzwerk als auch von innen mithilfe eines gültigen Benutzerlogins gescannt.
Während eines authentifizierten Scans loggt sich die Appliance in das Zielsystem ein, um lokale Sicherheitskontrollen (engl. local security checks, LSCs) durchzuführen. Der Scan benötigt die vorherige Erstellung von Anmeldedaten. Diese Anmeldedaten werden für die Authentifizierung auf unterschiedlichen Diensten auf dem Zielsystem genutzt. Unter manchen Umständen können die Ergebnisse durch die Berechtigungen des Benutzers eingeschränkt werden.
Die VTs in der entsprechenden VT-Familie (LSCs) werden nur ausgeführt, falls sich die Appliance in das Zielsystem einloggen konnte. Die VTs der lokalen Sicherheitskontrollen im resultierenden Scan sind minimalinvasiv.
Die Appliance bestimmt nur die Risikostufe, aber nimmt keine Änderungen am Zielsystem vor. Trotzdem wird der Login der Appliance wahrscheinlich in den Protokollen des Zielsystems vermerkt.
Die Appliance kann unterschiedliche Anmeldedaten, basierend auf den Eigenschaften des Ziels, nutzen. Die wichtigsten sind:
- SMB
Auf Microsoft-Windows-Systemen kann die Appliance das Patchlevel und lokal installierte Software wie Adobe Acrobat Reader oder die Java-Suite prüfen.
- SSH
Dieser Zugang wird für das Prüfen des Patchlevels von Unix- und Linuxsystemen genutzt.
- ESXi
Dieser Zugang wird für das lokale Prüfen von VMware-ESXi-Servern genutzt.
- SNMP
Netzwerkkomponenten wie Router und Switches können mithilfe von SNMP geprüft werden.
Die folgende Tabelle listet den erforderlichen Port – vorausgesetzt, der Authentifizierungsdienst verwendet den Standardport – und die zulässigen Anmeldedatentypen (siehe Kapitel 10.3.2) für jede Authentifizierungsmethode auf:
Erforderlicher Port |
Zulässige Anmeldedatentypen |
|
---|---|---|
SMB |
|
|
SSH |
|
|
ESXi |
|
|
SNMP |
|
|
10.3.1 Vorteile und Nachteile authentifizierter Scans¶
Der Umfang und Erfolg der Prüfroutinen für authentifizierte Scans hängen stark von den Berechtigungen des genutzten Benutzeraccounts ab.
Auf Linux-Systemen ist ein unprivilegierter Benutzer ausreichend und kann auf die meisten relevanten Informationen zugreifen, während ein unprivilegierter Benutzer auf Microsoft-Windows-Systemen sehr eingeschränkt ist und ein administrativer Benutzer mehr Ergebnisse liefert. Ein unprivilegierter Benutzer hat keinen Zugriff auf die Microsoft-Windows-Registrierungsdatenbank („Registry“) und den Microsoft-Windows-Systemorder \windows
, welcher Informationen zu Updates und Patchlevels enthält.
Lokale Sicherheitskontrollen (LSCs) sind die schonendste Methode, um nach Schwachstellendetails zu suchen. Während Remote-Sicherheitsheitskontrollen ebenfalls versuchen, möglichst nicht-invasiv zu sein, verursachen sie einige Auswirkungen.
Einfach gesagt ähnelt ein authentifizierter Scan einem Whitebox-Ansatz. Die Appliance hat Zugriff auf frühere Informationen und kann von innen auf das Ziel zugreifen. Insbesondere sind die Registrierung, Softwareversionen und Patchlevels zugänglich.
Ein Remotescan ähnelt einem Blackbox-Ansatz. Die Appliance nutzt die gleichen Techniken und Protokolle wie potenzielle Angreifende, um von außen auf das Ziel zuzugreifen. Die einzigen verfügbaren Informationen werden von der Appliance selbst gesammelt. Während einer Prüfung kann die Appliance Fehlfunktionen auslösen, um Informationen über die genutzte Software zu erhalten,B. kann der Scanner eine fehlerhafte Anfrage an einen Dienst senden, um eine Antwort auszulösen, die weitere Informationen über das eingesetzte Produkt enthält.
Während eines Remotescans mit der Scan-Konfiguration Full and fast sind alle Remoteprüfungen sicher. Die genutzten VTs haben möglicherweise einige invasive Komponenten, aber keiner der genutzten VTs versucht, einen Defekt oder eine Fehlfunktion auf dem Ziel auszulösen (siehe Beispiel unten). Dies wird durch die Scanner-Vorgabe safe_checks=yes
in der Scan-Konfiguration sichergestellt (siehe Kapitel 10.9.4). Alle VTs mit sehr invasiven Komponenten oder solche, die einen Denial of Service (DoS) auslösen, werden automatisch von der Prüfung ausgeschlossen.
Beispiel für einen invasiven VT
Ein Beispiel für einen invasiven, aber sicheren VT ist der Heartbleed-VT. Er wird sogar ausgeführt, wenn safe_checks
aktiviert ist, da der VT keine negativen Auswirkungen auf das Ziel hat.
Der VT ist trotzdem invasiv, da er die Speicherlecks des Ziels prüft. Falls das Ziel angreifbar ist, wird tatsächlicher Speicher des Ziels geleaked. Die Appliance bewertet die geleakten Informationen nicht. Die Informationen werden umgehend gelöscht.
10.3.2 Anmeldedaten nutzen¶
Anmeldedaten für lokale Sicherheitsprüfungen werden benötigt, um VTs das Einloggen in ein Zielsystem zu ermöglichen, z. B. um das Vorhandensein aller Sicherheitspatches des Herstellers lokal zu prüfen.
10.3.2.1 Anmeldedaten erstellen¶
Neue Anmeldedaten können wie folgt erstellt werden:
Konfiguration > Anmeldedaten in der Menüleiste wählen.
Anmeldedaten definieren (siehe Abb. 10.7).
Auf Speichern klicken.
Die folgenden Details der Anmeldedaten können festgelegt werden:
- Name
Festlegung des Namens. Der Name kann frei gewählt werden.
- Kommentar
Ein optionaler Kommentar kann zusätzliche Informationen enthalten.
- Typ
Festlegung des Typs der Anmeldedaten. Die folgenden Typen sind möglich:
Benutzername + Passwort
Benutzername + SSH-Schlüssel
SNMP
S/MIME-Zertifikat
PGP-Verschlüsselungsschlüssel
Nur Passwort
- Unsichere Verwendung zulassen
Wahl, ob die Appliance die Anmeldedaten für unverschlüsselte oder andersweitig unsichere Authentifizierungsmethoden nutzen kann.
Abhängig vom gewählten Typen werden weitere Optionen angezeigt:
- Benutzername + Passwort
- Auto-generieren
Wahl, ob die Appliance ein zufällig Passwort erstellt.
Bemerkung
Falls der Radiobutton Ja gewählt wird, ist es nicht möglich, im Eingabefeld Passwort ein Passwort festzulegen.
- Benutzername
Festlegung des Loginnamens, der von der Appliance genutzt wird, um sich auf dem gescannten Zielsystem zu authentifizieren.
Bemerkung
Für den Benutzernamen sind nur die folgenden Zeichen zulässig:
Alle englischen alphanumerischen Zeichen
- (Bindestrich)
_ (Unterstrich)
\ (Backslash)
. (Punkt)
@ (At-Zeichen)
Dies schließt auch die deutschen Umlaute aus, die wie folgt ersetzt werden müssen:
„ß“ → „ss“
„ä“ → „a“
„ö“ → „o“
„ü“ → „u“
- Passwort
Festlegung des Passworts, das von der Appliance genutzt wird, um sich auf dem gescannten Zielsystem zu authentifizieren.
- Benutzername + SSH-Schlüssel
- Auto-generieren
Wahl, ob die Appliance ein zufällig Passwort erstellt.
Bemerkung
Falls der Radiobutton Ja gewählt wird, ist es nicht möglich, im Eingabefeld Passwort ein Passwort festzulegen.
- Benutzername
Festlegung des Loginnamens, der von der Appliance genutzt wird, um sich auf dem gescannten Zielsystem zu authentifizieren.
Bemerkung
Für den Benutzernamen sind nur die folgenden Zeichen zulässig:
Alle englischen alphanumerischen Zeichen
- (Bindestrich)
_ (Unterstrich)
\ (Backslash)
. (Punkt)
@ (At-Zeichen)
Dies schließt auch die deutschen Umlaute aus, die wie folgt ersetzt werden müssen:
„ß“ → „ss“
„ä“ → „a“
„ö“ → „o“
„ü“ → „u“
- Passphrase
Festlegung der Passphrase des privaten SSH-Schlüssels.
- Privater Schlüssel
Hochladen des privaten SSH-Schlüssels.
- SNMP
SNMPv3 erfordert einen Benutzernamen, ein Authentifizierungs-Passwort und ein Privacy-Passwort, während alle älteren SNMP-Versionen (SNMPv1 und SNMPv2) nur eine SNMP-Community benötigen.
Bemerkung
Aufgrund der Einzigartigkeit der SNMP-Anmeldedaten ist es derzeit nicht möglich, entweder den SNMPv1/v2- oder den SNMPv3-Modus zu konfigurieren.
Das bedeutet, dass die Appliance immer versuchen wird, sich mit allen SNMP-Protokollversionen einzuloggen. Es ist möglich, sowohl das Ergebnis SNMP Login Successful For Authenticated Checks als auch das Ergebnis SNMP Login Failed For Authenticated Checks für einen Scan zu sehen, z. B. wenn die SNMPv3-Logininformationen in den Anmeldedaten korrekt sind, aber die SNMPv1/2-Informationen falsch sind.
- SNMP-Community
Festlegung der Community für SNMPv1 oder SNMPv2c.
- Benutzername
Festlegung des Benutzernamens für SNMPv3.
Bemerkung
Für den Benutzernamen sind nur die folgenden Zeichen zulässig:
Alle englischen alphanumerischen Zeichen
- (Bindestrich)
_ (Unterstrich)
\ (Backslash)
. (Punkt)
@ (At-Zeichen)
Dies schließt auch die deutschen Umlaute aus, die wie folgt ersetzt werden müssen:
„ß“ → „ss“
„ä“ → „a“
„ö“ → „o“
„ü“ → „u“
- Passwort
Festlegung des Passworts für SNMPv3.
- Privacy-Passwort
Festlegung des Passworts für die Verschlüsselung für SNMPv3.
- Auth-Algorithmus
Wahl des Authentifizierungsalgorithmus (MD5 oder SHA1)
- Privacy-Algorithmus
Wahl des Verschlüsselungsalgorithmus (AES, DES oder keiner).
- S/MIME-Zertifikat
- S/MIME-Zertifikat
Hochladen der Zertifikatdatei.
- PGP-Verschlüsselungsschlüssel
- Öffentlicher PGP-Schlüssel
Hochladen der Schlüsseldatei.
- Nur Passwort
- Passwort
Festlegung des Passworts, das von der Appliance genutzt wird, um sich auf dem gescannten Zielsystem zu authentifizieren.
Bemerkung
Die Anmeldedaten müssen mit mindestens einem Ziel verknüpft sein. Dies erlaubt es der Scanmaschine, die Anmeldedaten anzuwenden.
10.3.2.2 Anmeldedaten verwalten¶
Listenseite
Alle vorhandenen Anmeldedaten können angezeigt werden, indem Konfiguration > Anmeldedaten in der Menüleiste gewählt wird.
Für alle Anmeldedaten werden die folgenden Informationen angezeigt:
- Name
Name der Anmeldedaten.
- Typ
Gewählter Anmeldedatentyp.
- Unsichere Verwendung zulassen
Hinweis, ob die Appliance die Anmeldedaten für unverschlüsselte oder andersweitig unsichere Authentifizierungsmethoden nutzen kann.
- Login
Benutzername für die Anmeldedaten, falls ein Anmeldedatentyp gewählt wurde, der einen Benutzernamen benötigt.
Für alle Anmeldedaten sind die folgenden Aktionen verfügbar:
Die Anmeldedaten in den Papierkorb verschieben. Nur Anmeldedaten, die aktuell nicht genutzt werden, können in den Papierkorb verschoben werden.
Abhängig vom gewählten Anmeldedatentyp (siehe Kapitel 10.3.2.1) sind mehr Aktionen verfügbar:
Ein EXE-Paket für Microsoft Windows herunterladen. Diese Aktion ist verfügbar, falls Benutzername + Passwort gewählt wurde.
Ein RPM-Paket für Red Hat Enterprise Linux und dessen Derivate herunterladen. Diese Aktion ist verfügbar, falls Benutzername + SSH-Schlüssel gewählt wurde.
Ein Debian-Paket für Debian GNU/Linux und dessen Derivate herunterladen. Diese Aktion ist verfügbar, falls Benutzername + SSH-Schlüssel gewählt wurde.
Einen öffentlichen Schlüssel herunterladen. Diese Aktion ist verfügbar, falls Benutzername + SSH-Schlüssel gewählt wurde.
Diese Installationspakete vereinfachen die Installation und das Erstellen von Accounts für authentifizierte Scans. Sie erstellen den Benutzer und die wichtigsten Berechtigungen für den authentifizierten Scan und setzen diese während der Deinstallation wieder zurück.
Bemerkung
Falls die automatische Generierung eines Passworts aktiviert ist (siehe Kapitel 10.3.2.1), müssen die Pakete genutzt werden. Andernfalls ist die Nutzung optional.
Bemerkung
Durch Klicken auf oder unterhalb der Liste von Anmeldedaten können mehrere Anmeldedaten zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Anmeldedaten in den Papierkorb verschoben oder exportiert werden.
Detailseite
Durch Klicken auf den Namen von Anmeldedaten werden Details der Anmeldedaten angezeigt. Durch Klicken auf wird die Detailseite der Anmeldedaten geöffnet.
Die folgenden Register sind verfügbar:
- Informationen
Allgemeine Informationen über die Anmeldedaten.
- Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.4).
- Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).
Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:
Neue Anmeldedaten erstellen (siehe Kapitel 10.3.2.1).
Die Anmeldedaten in den Papierkorb verschieben. Nur Anmeldedaten, die aktuell nicht genutzt werden, können in den Papierkorb verschoben werden.
Abhängig vom gewählten Anmeldedatentyp (siehe Kapitel 10.3.2.1) sind mehr Aktionen verfügbar:
Ein EXE-Paket für Microsoft Windows herunterladen. Diese Aktion ist verfügbar, falls Benutzername + Passwort gewählt wurde.
Ein RPM-Paket für Red Hat Enterprise Linux und dessen Derivate herunterladen. Diese Aktion ist verfügbar, falls Benutzername + SSH-Schlüssel gewählt wurde.
Ein Debian-Paket für Debian GNU/Linux und dessen Derivate herunterladen. Diese Aktion ist verfügbar, falls Benutzername + SSH-Schlüssel gewählt wurde.
Einen öffentlichen Schlüssel herunterladen. Diese Aktion ist verfügbar, falls Benutzername + SSH-Schlüssel gewählt wurde.
10.3.3 Anforderungen auf Zielsystemen mit Microsoft Windows¶
10.3.3.1 Allgemeine Hinweise zur Konfiguration¶
Der Dienst der Remote-Registrierung muss gestartet werden, um auf die Registrierung zuzugreifen.
Dies wird erreicht, indem das automatischte Starten des Diensts eingestellt wird. Falls ein automatischer Start nicht gewünscht wird, kann ein manueller Start konfiguriert werden. In diesem Fall wird der Dienst, während das System von der Appliance gescannt wird, gestartet und anschließend wieder deaktiviert. Um dieses Verhalten sicherzustellen, muss der folgende Punkt über LocalAccountTokenFilterPolicy beachetet werden.
Es ist notwendig, dass für alle gescannten Systeme der Datei- und Druckerzugriff aktiviert ist. Falls Microsoft Windows XP genutzt wird, muss die Einstellung Use Simple File Sharing deaktiviert sein.
Für einzelne Systeme, die nicht mit einer Domäne verbunden sind, muss der folgende Registrierungsschlüssel festgelegt werden:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ DWORD: LocalAccountTokenFilterPolicy = 1
Auf Systemen mit Domänen-Controller muss der genutzte Benutzeraccount Mitglied der Gruppe Domain Administrators sein, um die bestmöglichen Ergebnisse zu erhalten. Aufgrund des Berechtigungskonzepts ist es nicht möglich, alle Schwachstellen zu erkennen, wenn der Local Administrator oder der von der Domain zugewiesene Administrator genutzt wird. Alternativ können die Anweisungen in Kapitel 10.3.3.2 befolgt werden.
→ Sollte ein Local Administrator gewählt werden – was ausdrücklich nicht empfohlen wird – ist es auch notwendig, den folgenden Registrierungsschlüssel festzulegen:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ DWORD: LocalAccountTokenFilterPolicy = 1
Generiertes Installationspaket für Anmeldedaten: Das Installationsprogramm stellt den Remote-Registrierungsdienst auf automatisches Starten ein. Falls das Installationsprogramm auf einem Domänen-Controller ausgeführt wird, wird der Benutzeraccount der Gruppe BUILTIN/Administratoren (SID S-1-5-32-544) zugeordnet.
Auf der Microsoft-Windows-Firewall muss eine Ausnahmeregel für die Appliance erstellt werden. Zusätzlich muss auf XP-Systemen der Dienst File and Printer Sharing auf enabled eingestellt sein.
Generiertes Installationspaket für Anmeldedaten: Während der Installation bietet das Installationsprogramm einen Dialog, um die IP-Adresse der Appliance einzugeben. Wenn die Eingabe bestätigt wird, wird eine Regel für die Firewall konfiguriert. Der Dienst File and Printer Sharing wird in den Regeln der Firewall aktiviert.
Powershell-Ausführungsberechtigungen auf einem Zielsystem können für das Konto erforderlich sein, das in einem authentifizierten Scan verwendet wird. Bei Richtlinien- und Schwachstellentests können gelegentlich Powershell-Befehle ausgeführt werden, um die Genauigkeit der Ergebnisse zu erhöhen, wofür Berechtigungen für die Dauer eines Scans erforderlich sind.
Für Compliance-Audits, die auf Windows-Betriebssysteme ausgerichtet sind, wird empfohlen, die Einstellung Maximal gleichzeitig ausgeführte NVTs pro Host/Maximal gleichzeitig gescannte Hosts auf
1
zu setzen, um die Genauigkeit der Ergebnisse zu erhöhen (siehe Kapitel 12.2.1.1).Für einen voll funktionsfähigen Zugriff auf Windows Management Instrumentation (WMI), der z. B. für die Dateisuche oder Richtlinien-Scans verwendet wird, sind die folgenden Einstellungen erforderlich:
WMI-Zugriff in den Einstellungen der Windows Firewall oder einer möglichen Firewall-Lösung eines Drittanbieters zulassen.
Verifizieren, dass der Benutzer oder die Gruppe des Scan-Benutzers für den Remote-Zugriff auf WMI zugelassen ist.
10.3.3.2 Einen Domänenaccount für authentifiziert Scans konfigurieren¶
Für authentifizierte Scans von Microsoft-Windows-Zielsystemen wird die Nutzung eines Domänenaccounts mit einer Domänenrichtlinie, die lokale Administratorprivilegien erteilt, empfohlen. Dies hat mehrere Vorteile:
Eine Domänenrichtlinie muss nur einmal erstellt werden und kann dann für unterschiedliche Benutzer angewendet oder widerrufen werden.
Das lokale Bearbeiten der Registrierung von Microsoft Windows ist nicht länger nötig. Die Benutzerverwaltung ist somit zentralisiert, was auf lange Sicht Zeit spart und mögliche Konfigurationsfehler reduziert.
Aus Sicht der Schwachstellenbewertung ermöglicht nur ein Domänenaccount die Erkennung domänenzugehöriger Scanergebnisse. Diese Ergebnisse fehlen, falls ein ein lokaler Benutzeraccount genutzt wird.
Es gibt auch einige Sicherheitsvorteile beim Nutzen eines Domänenaccounts mit einer Domänenrichtlinie, die von Greenbone empfohlen wird: Der zugehörige Benutzer kann sich möglicherweise nicht lokal oder über die Remotedesktopverbindung einloggen, was etwaige Angriffsvektoren begrenzt. Zusätzlich werden die Anmeldedaten via Kerberos geschützt, während bei einem Passwort eines lokalen Benutzers ein höheres Risiko des Ausnutzens besteht.
Um einen Domänenaccount für authentifizierte Scans oder Audits auf einem Microsoft-Windows-Ziel zu verwenden, muss das Zielsystem Teil einer Domäne sein und die folgende Konfiguration muss auf dem Zielsystem vorgenommen werden.
Eine Sicherheitsgruppe erstellen
In einen Domänen-Controller einloggen und Active Directory Users and Computers öffnen.
Aktion > Neu > Gruppe in der Menüleiste wählen.
Greenbone Local Scan
in das Eingabefeld Name eingeben.Global für Gruppenbereich und Sicherheit für Gruppentyp wählen.
Account, der unter Microsoft Windows für die lokalen authentifizierten Scans von der Appliance genutzt wird, zur Gruppe hinzufügen.
Auf OK klicken.
Eine Gruppenrichtlinie (engl. Group Policy Object, GPO) erstellen
Im linken Panel die Konsole Gruppenrichtlinienverwaltung öffnen.
Auf Gruppenrichtlinienobjekte rechtsklicken und Neu wählen.
Greenbone Local SecRights
in das Eingabefeld Name eingeben (siehe Abb. 10.8).Auf OK klicken.
Konfigurieren der Richtlinie
Auf die Richtlinie Greenbone Local SecRights klicken und Bearbeiten… wählen.
Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen im linken Panel wählen.
Auf Eingeschränkte Gruppen klicken und Gruppe hinzufügen wählen.
Auf Durchsuchen… klicken und
Greenbone Local Scan
in das Eingabefeld eingeben (siehe Abb. 10.9).Auf Namen überprüfen klicken.
Zweimal auf OK klicken, um die offenen Fenster zu schließen.
Bei Diese Gruppe ist Mitglied von auf Hinzufügen… klicken.
Administrators
in das Eingabefeld Gruppe eingeben (siehe Abb. 10.10) und zweimal auf OK klicken, um die offenen Fenster zu schließen.Bemerkung
Auf nicht-englischsprachigen Systemen den entsprechenden Namen der lokalen Administratorengruppe eingeben.
Konfigurieren der Richtlinie, sodass der Gruppe „Greenbone Local Scan“ das lokale Einloggen in das System verweigert wird
Auf die Richtlinie Greenbone Local SecRights klicken und Bearbeiten… wählen.
Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten im linken Panel wählen.
Im rechten Panel auf Lokal anmelden verweigern doppelklicken.
Checkbox Diese Richtlinieneinstellungen definieren aktivieren und auf Benutzer oder Gruppe hinzufügen klicken.
Auf Durchsuchen… klicken und
Greenbone Local Scan
in das Eingabefeld eingeben (siehe Abb. 10.11).Auf Namen überprüfen klicken.
Dreimal auf OK klicken, um die offenen Fenster zu schließen.
Konfigurieren der Richtlinie, sodass der Gruppe „Greenbone Local Scan“ das Einloggen per Remote Desktop in das System verweigert wird
Auf die Richtlinie Greenbone Local SecRights klicken und Bearbeiten… wählen.
Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten im linken Panel wählen.
Im rechten Panel auf Anmelden über Remotedesktopdienst verweigern doppelklicken.
Checkbox Diese Richtlinieneinstellungen definieren aktivieren und auf Benutzer oder Gruppe hinzufügen klicken.
Auf Durchsuchen… klicken und
Greenbone Local Scan
in das Eingabefeld eingeben (siehe Abb. 10.12).Auf Namen überprüfen klicken.
Dreimal auf OK klicken, um die offenen Fenster zu schließen.
Konfigurieren der Richtlinie, sodass die Gruppe „Greenbone Local Scan“ auf der Registrierung nur Leserechte hat
Wichtig
Diese Einstellung ist auch nach Entfernen der Gruppenrichtlinie vorhanden („tattooing GPO“).
Dies ändert grundlegende Privilegien, welche nicht einfach durch Entfernen der Gruppenrichtlinie rückgängig gemacht werden können.
Es muss geprüft werden, ob die Einstellungen mit der Umgebung kompatibel sind.
Bemerkung
Die folgenden Schritte sind optional.
Im linken Panel auf Registrierung klicken und Schlüssel hinzufügen… wählen.
USERS wählen und auf OK klicken (siehe Abb. 10.13).
Auf Erweitert und Hinzufügen klicken.
Greenbone Local Scan
in das Eingabefeld eingeben und auf OK klicken (siehe Abb. 10.14).Dieses Objekt und untergeordnete Objekte in der Drop-down-Liste Übernehmen für wählen.
Alle Checkboxen für Zulassen deaktivieren und Checkboxen Wert festlegen, Unterschlüssel erstellen, Link erstellen, Löschen, Berechtigungen ändern und Besitz übernehmen für Verweigern aktivieren (siehe Abb. 10.15).
Zweimal auf OK klicken und Warnung durch Klicken auf Ja bestätigen.
Auf OK klicken.
Radiobuttons Diesen Schlüssel konfigurieren und Vererbbare Berechtigungen an alle Unterschlüssel verteilen wählen und auf OK klicken (siehe Abb. 10.16).
Schritte 2 bis 9 für MACHINE und CLASSES_ROOT wiederholen.
Die Gruppenrichtlinie verbinden
Im rechten Panel auf die Domäne rechtsklicken und Vorhandenes Gruppenrichtlinienobjekt verknüpfen wählen.
Greenbone Local SecRights im Abschnitt Gruppenrichtlinienobjekte wählen und auf OK klicken (siehe Abb. 10.17).
10.3.3.3 Einschränkungen¶
Da Schreibrechte auf der Registrierung und dem Systemlaufwerk entfernt wurden, funktionieren die beiden folgenden Tests nicht mehr:
- Leave information on scanned Windows hosts (OID 1.3.6.1.4.1.25623.1.0.96171)
Falls gewünscht, erstellt dieser Test Informationen über den Start und das Ende eines Scans unter HKLM\Software\VulScanInfo. Da HKLM die Schreibrechte verweigert werden, ist dies nicht länger möglich. Falls der Test ausgeführt werden soll, muss das Gruppenrichtlinienobjekt entsprechend angepasst werden.
- Windows file Checksums (OID 1.3.6.1.4.1.25623.1.0.96180)
Falls gewünscht, speichert dieser Test das Tool ReHash unter C:\Windows\system32 (auf 32-Bit-Systemen) oder C:\Windows\SysWOW64 (auf 64-Bit-Systemen). Da die Schreibrechte verweigert werden, ist dies nicht länger möglich. Falls der Test ausgeführt werden soll, muss das Tool separat gespeichert werden oder das Gruppenrichtlinienobjekt entsprechend angepasst werden.
Mehr Informationen können in Kapitel 12.4.3 gefunden werden.
10.3.3.4 Scannen ohne Domänenadministrator und lokale Administratorberechtigungen¶
Es ist möglich, eine Gruppenrichtlinie zu erstellen, in der der Benutzer keine lokalen Administratorberechtigungen hat. Allerdings ist der Aufwand, die entsprechenden Leserechte zu jedem Zweig und Ordner der Registrierung hinzuzufügen, sehr hoch. Leider ist das Vererben von Berechtigungen für viele Ordner und Zweige deaktiviert. Außerdem können diese Änderungen zwar durch die Gruppenrichtlinie festgelegt werden, aber nicht wieder entfernt werden („tattooing GPO“). Bestimmte Berechtigungen könnten überschrieben werden, sodass zusätzliche Probleme auftreten.
Das Erstellen einer Gruppenrichtlinie, in der der Benutzer keinerlei Administratorberechtigungen hat, ist aus technischer und administrativer Sicht nicht sinnvoll.
10.3.4 Anforderungen auf Zielsystemen mit ESXi¶
Bemerkung
Wenn eine vCenter Server Appliance (VCSA) zur Steuerung von ESXi-Hosts verwendet wird und User auf der VCSA erstellt werden, sind sie nur auf der VCSA und nicht auf den ESXi-Hosts bekannt.
Scan-User müssen auf jedem ESXi-Host, der gescannt wird, erstellt werden.
Standardmäßig sind lokale ESXi-User auf Rollen ohne Schreibrechte beschränkt. Es muss entweder ein administrativer Account oder eine Read-only-Rolle mit Berechtigung für globale Einstellungen genutzt werden.
Eine Read-only-Rolle mit Berechtigung für globale Einstellungen kann wie folgt eingerichtet werden:
Web-Oberfläche der VMware-ESXi-Instanz öffnen und einloggen.
Host > Verwalten in der Spalte Navigator links wählen.
Register Sicherheit und Benutzer wählen.
Rollen im linken Menüpanel wählen (siehe Abb. 10.18).
Auf Rolle hinzufügen klicken.
Namen für die Rolle in das Eingabefeld Rollenname eingeben.
Checkbox System aktivieren.
Auf Global klicken und Checkbox Settings aktivieren (siehe Abb. 10.19).
Auf Hinzufügen klicken.
Auf Host in der Spalte Navigator links rechtsklicken und Berechtigungen wählen.
Scan-Benutzeraccount, der von der Appliance genutzt wird, wählen.
Auf Rolle zuweisen klicken.
Zuvor erstellte Rolle in der Drop-down-Liste wählen (siehe Abb. 10.20).
Auf Rolle zuweisen klicken.
Auf Schließen klicken.
10.3.5 Anforderungen auf Zielsystemen mit Linux/Unix¶
Für authentifizierte Scans auf Linux- oder Unix-Systemen ist normalerweise der reguläre Benutzerzugang ausreichend. Der Login wird mithilfe von SSH vorgenommen. Die Authentifizierung wird entweder mit Passwörtern oder einem auf der Appliance gespeicherten privaten SSH-Schlüssel durchgeführt.
Ein Remote-SSH-Server sollte die folgenden Standardeinstellungen in der Datei
sshd_config
konfiguriert haben:MaxSessions
: 10MaxAuthTries
: 6
Wenn andere als die Standardwerte und niedrigere Werte verwendet werden, kann es zu fehlgeschlagenen Logins kommen.
Generiertes Installationspaket für Anmeldedaten: Das Installationspaket für Linux-Distributionen basierend auf Debian ist eine DEB-Datei, das Installationspaket für Linux-Distributionen basierend auf RedHat ist eine RPM-Datei. Beide Installationspakete erstellen einen neuen Benutzer ohne besondere Berechtigungen. Ein öffentlicher SSH-Schlüssel, der auf der Appliance erstellt wird, wird im Home-Verzeichnis des Benutzers gespeichert. Für Benutzer anderer Linux-Distributionen oder Unix-Derivaten, wird der öffentliche Schlüssel zum Herunterladen angeboten. Das Erstellen eines Benutzers und Speichern des öffentlichen Schlüssels mit den korrekten Dateiberechtigungen liegt in der Verantwortung des Benutzers.
In beiden Fällen muss sichergestellt werden, dass die Authentifizierung mithilfe des öffentlichen Schlüssels nicht durch den SSH-Daemon verhindert wird. Die Zeile
PubkeyAuthentication no
darf nicht vorhanden sein.Vorhandene SSH-Schlüsselpaare können auch genutzt werden. SSH-Schlüsselpaare können mithilfe des Befehls
ssh-keygen
auf Linux oderputtygen.exe
beim Nutzen von PuTTY auf Microsoft Windows generiert werden. Um ein vorhandenes SSH-Schlüsselpaar nutzen zu können, muss der private Schlüssel beim Erstellen der Anmeldedaten hinterlegt werden. Der private SSH-Schlüssel muss im PEM- oder OpenSSH-Format vorliegen. Die Schlüsselarten Ed25519, ECDSA, RSA und DSA werden unterstützt.Für Scans, die das Prüfen von Richtlinien beinhalten, sind möglicherweise root-Berechtigungen oder die Mitgliedschaft in bestimmten Gruppe (oft
wheel
) nötig. Aus Sicherheitsgründen sind einige Konfigurationsdateien nur von Super-Benutzern oder Mitgliedern bestimmter Gruppen lesbar.Je mehr Berechtigungen ein Nutzer hat, desto mehr Ergebnisse und Einstellungen können auf einem System erkannt werden. In einigen Fällen ist möglicherweise ein Root-Zugang nötig.
Die folgenden Befehle werden während eines authentifizierten Scans mit einem Root-Account ausgeführt.
Wichtig
Diese Liste ist nicht statisch. Neue oder geänderte VTs könnten jederzeit neue Befehle hinzufügen.
Abhängig von der gefundenen Software könnten zusätzliche Befehle ausgeführt werden.
Die ausgeführten Befehle hängen von der Linux-Distribution und der gewählten Scan-Konfiguration ab.
bash
cat
date
dpkg
egrep
find
grep
host
id
ip
lastlog
locate
ls
md5sum
mlocate
netstat
perl
ps
rpm
sh
sha1sum
slocate
uname
uptime
whereis
which
Die Installation des Pakets
locate
(alternativmlocate
), um den Befehllocate
/mlocate
auf dem Zielsystem verfügbar zu machen, wird empfohlen. Die Nutzung dieses Befehls reduziert Aufrufe des Befehlsfind
, der für die Suche nach Dateien genutzt wird, und verbessert somit die Scanleistung und verringert die Ressourcennutzung auf dem Zielsystem.Damit die Befehle funktionieren, müssen möglicherweise die entsprechenden Datenbank-Berechtigungen und regelmäßige Datenbank-Updates, z. B. mithilfe eines Cronjobs, konfiguriert werden.
10.3.6 Anforderungen auf Zielsystemen mit Cisco OS¶
Die Appliance kann auch Netzwerkkomponenten wie Router und Switches auf Schwachstellen prüfen. Während die üblichen Netzwerkdienste über das Netzwerk gefunden und geprüft werden, können einige Schwachstellen nur durch einen authentifizierten Scan entdeckt werden. Für einen authentifizierten Scan kann die Appliance entweder SNMP oder SSH nutzen.
10.3.6.1 SNMP¶
Die Appliance kann das Protokoll SNMP nutzen, um auf die Cisco-Netzwerkkomponenten zuzugreifen. Die Appliance unterstützt SNMPv1, v2c und v3. SNMP nutzt den Port 161/UDP. Die standardmäßige Portliste enthält keine UDP-Ports. Deshalb wird dieser Port während eines Schwachstellenscans mit der Scan-Konfiguration Full and fast ignoriert und keine SNMP-Prüfung durchgeführt. Um Netzwerkkomponenten zu scannen, sollte die Portliste bearbeitet werden, sodass mindestens die folgenden Ports enthalten sind:
22/TCP SSH
80/TCP 8080/TCP HTTP
443/TCP 8443/TCP HTTPS
2000/TCP SCCP
2443/TCP SCCPS
5060/TCP 5060/UDP SIP
5061/TCP 5061/UDP SIPS
67/UDP DHCP-Server
69/UDP TFTP
123/UDP NTP
161/UDP SNMP
162/UDP SNMP-Traps
500/UDP IKE
514/UDP Syslog
546/UDP DHCPv6
6161/UDP 6162/UDP Unified CM
Der Administrator kann besondere Portlisten erstellen, die nur für solche Netzwerkkomponenten genutzt werden.
Die Appliance benötigt zu sehr wenigen Objekten des SNMP-Baums Zugriff. Für einen weniger privilegierten Zugriff sollte eine SNMP-Sicht genutzt werden, um die Sichtbarkeit des SNMP-Baums für die Appliance einzuschränken. Die folgenden zwei Beispiele erklären, wie solch eine Sicht mithilfe eines Community-Strings oder eines SNMPv3-Benutzers eingestellt wird.
Um den SNMP-Community-String zu nutzen, werden die folgenden Befehle auf dem Ziel benötigt:
# configure terminal
Mithilfe einer Zugriffsliste kann die Nutzung der Community beschränkt werden. Die IP-Adresse der Appliance ist in diesem Beispiel 192.168.222.74:
(config) # access-list 99 permit 192.168.222.74
Die Sicht gsm
sollte nur den Zugriff auf die Systembeschreibung erlauben:
(config) # snmp-server view gsm system included
(config) # snmp-server view gsm system.9 excluded
Der letzte Befehl verbindet die Community gsm-community
mit der Sicht gsm
und der Zugriffsliste 99:
(config) # snmp-server community gsm-community view gsm RO 99
Falls ein SNMPv3-Benutzer mit Verschlüsselung genutzt wird, werden die folgenden Konfigurationszeilen auf dem Ziel benötigt:
# configure terminal
(config) # access-list 99 permit 192.168.222.74
(config) # snmp-server view gsm system included
(config) # snmp-server view gsm system.9 excluded
SNMPv3 benötigt zuerst das Einrichten einer Gruppe. Hier wird die Gruppe gsmgroup
mit der Sicht gsm
und der Zugriffsliste 99 verbunden:
(config) # snmp-server group gsmgroup v3 priv read gsm access 99
Nun kann der Benutzer mit dem Passwort gsm-password
und dem Verschlüsselungsschlüssel gsm-encrypt
erstellt werden. Die Authentifizierung wird durch MD5 und die Verschlüsselung durch AE128 durchgeführt:
(config) # snmp-server user gsm-user gsm-group v3 auth md5 gsm-password priv
aes 128 gsm-encrypt
Um entweder die Community oder den SNMPv3-Benutzer auf der Appliance zu konfigurieren, als Administrator Konfiguration > Anmeldedaten in der Menüleiste wählen (siehe Kapitel 10.3.2).
10.3.6.2 SSH¶
Der authentifizierte Scan kann auch über SSH ausgeführt werden. Falls SSH genutzt wird, wird die Nutzung besonderer unprivilegierter Benutzer empfohlen. Die Appliance benötigt aktuell nur den Befehl show version
, um die aktuelle Version der Firmware des Geräts zu erhalten.
Um einen weniger privilegierten Benutzer einzurichten, der nur diesen Befehl ausführen darf, sind verschiedene Ansätze möglich. Das folgende Beispiel nutzt die rollenbasierte Zugriffskontrollenfunktionalität.
Bemerkung
Bevor eines der folgenden Beispiele genutzt wird, muss sichergestellt werden, dass alle Nebeneffekte der Konfiguration verstanden werden. Falls sie ohne Verifizierung genutzt wird, beschränkt das System möglicherweise weitere Logins über SSH oder die Konsole.
Um die rollenbasierte Zugriffskontrolle zu nutzen, müssen AAA und Views aktiviert werden:
> enable
# configure terminal
(config)# aaa new-model
(config)# exit
> enable view
# configure terminal
Die folgenden Befehle erstellen eine eingeschränkte Sicht, die nur den Befehl show version
beinhaltet. Das gelieferte Passwort view-pw
ist nicht kritisch:
(config)# parser view gsm-view
(config-view)# secret 0 view-pw
(config-view)# commands exec include show version
(config-view)# exit
Nun wird der Benutzer gsm-user
mit dem Passwort gsm-pw
erstellt und mit der Sicht gsm-view
verknüpft:
(config)# username gsm-user view gsm-view password 0 gsm-pw
(config)# aaa authorization console
(config)# aaa authorization exec default local
Falls SSH noch nicht aktiviert ist, erledigt dies der folgende Befehl. Der entsprechende Hostname und die entsprechende Domäne müssen genutzt werden:
(config)# hostname switch
(config)# ip domain-name greenbone.net
(config)# crypto key generate rsa general-keys modulus 2048
Schließlich SSH-Logins mithilfe der folgenden Befehle aktivieren:
(config)# line vty 0 4
(config-line)# transport input ssh
(config-line)# Crtl-Z
Bemerkung
Um einen vollständigen Scan auszuführen, z. B. mit der Scan-Konfiguration Full and fast, muss die Einstellung ssh server rate-limit auf 240
gesetzt werden. Vor dem Scannen sollte dieser Wert überprüft und ggf. angepasst werden.
Die Anmeldedaten des Benutzers müssen auf der Appliance eingegebene werden. Konfiguration > Anmeldedaten in der Menüleiste wählen und den entsprechenden Benutzer erstellen (siehe Kapitel 10.3.2).
Anmeldedaten mit dem Ziel verbinden, damit sie als SSH-Anmeldedaten genutzt werden können.
10.3.7 Anforderungen auf Zielsystemen mit Huawei VRP¶
Die Appliance kann auch Netzwerkkomponenten wie Router und Switches auf Schwachstellen prüfen. Während die üblichen Netzwerkdienste über das Netzwerk gefunden und geprüft werden, können einige Schwachstellen nur durch einen authentifizierten Scan entdeckt werden. Für einen authentifizierten Scan kann die Appliance entweder SNMP oder SSH nutzen.
Bemerkung
Die Befehle in diesem Kapitel dienen als Beispiel und sollten auf den meisten Huawei-Routern funktionieren.
Abhängig von der Softwareversion oder von der Hardware, könnten einige Befehle abweichen (z. B. die Reihenfolge der Parameter oder Werte), nicht nötig sein oder nicht verfügbar sein.
Weitere Informationen befinden sich in der zugehörigen Dokumentation für das entsprechende Gerät und die entsprechende Software-Version.
10.3.7.1 SNMP¶
Die Appliance kann das Protokoll SNMP nutzen, um auf die Huawei-Netzwerkkomponenten zuzugreifen. Die Appliance unterstützt SNMPv1, v2c und v3. SNMP nutzt den Port 161/UDP. Die standardmäßige Portliste enthält keine UDP-Ports. Deshalb wird dieser Port während eines Schwachstellenscans mit der Scan-Konfiguration Full and fast ignoriert und keine SNMP-Prüfung durchgeführt. Um Netzwerkkomponenten zu scannen, sollte die Portliste bearbeitet werden, sodass mindestens die folgenden Ports enthalten sind:
22/TCP SSH
80/TCP 8080/TCP HTTP
443/TCP 8443/TCP HTTPS
2000/TCP SCCP
2443/TCP SCCPS
5060/TCP 5060/UDP SIP
5061/TCP 5061/UDP SIPS
67/UDP DHCP-Server
69/UDP TFTP
123/UDP NTP
161/UDP SNMP
162/UDP SNMP-Traps
500/UDP IKE
514/UDP Syslog
546/UDP DHCPv6
Der Administrator kann besondere Portlisten erstellen, die nur für solche Netzwerkkomponenten genutzt werden.
Die Appliance benötigt zu sehr wenigen Objekten des SNMP-Baums Zugriff. Für einen weniger privilegierten Zugriff sollte eine SNMP-Sicht genutzt werden, um die Sichtbarkeit des SNMP-Baums für die Appliance einzuschränken. Die folgenden zwei Beispiele erklären, wie solch eine Sicht mithilfe eines Community-Strings oder eines SNMPv3-Benutzers eingestellt wird.
Um den SNMP-Community-String zu nutzen, werden die folgenden Befehle auf dem Ziel benötigt:
<HUAWEI>system-view
Mithilfe einer Zugriffsliste kann die Nutzung der Community beschränkt werden. Die IP-Adresse der Appliance ist in diesem Beispiel 192.168.222.74:
[~HUAWEI]acl 2000
[~HUAWEI-acl4-basic-2000]rule permit source 192.168.222.74 32
[*HUAWEI-acl4-basic-2000]commit
[~HUAWEI-acl4-basic-2000]quit
Version 2c von SNMPv erlauben:
[~HUAWEI]snmp-agent sys-info version v3 v2c
[*HUAWEI]commit
Die Sicht gsm
sollte nur den Zugriff auf die Systembeschreibung erlauben:
[~HUAWEI]snmp-agent mib-view included gsm system
[*HUAWEI]snmp-agent mib-view excluded gsm system.9
[*HUAWEI]commit
Der letzte Befehl verbindet die Community gsm-community
mit der Sicht gsm
und der Zugriffsliste 2000:
[~HUAWEI]snmp-agent community read gsm-community mib-view gsm acl 2000
[*HUAWEI]commit
Falls ein SNMPv3-Benutzer mit Verschlüsselung genutzt wird, werden die folgenden Konfigurationszeilen auf dem Ziel benötigt:
<HUAWEI>system-view
[~HUAWEI]acl 2000
[~HUAWEI-acl4-basic-2000]rule permit source 192.168.222.74 32
[*HUAWEI-acl4-basic-2000]quit
[*HUAWEI]snmp-agent sys-info version v3
[*HUAWEI]snmp-agent mib-view included gsm system
[*HUAWEI]snmp-agent mib-view excluded gsm system.9
[*HUAWEI]commit
SNMPv3 benötigt zuerst das Einrichten einer Gruppe. Hier wird die Gruppe gsmgroup
mit der Sicht gsm
und der Zugriffsliste 2000 verbunden:
[~HUAWEI]snmp-agent group v3 gsmgroup privacy read-view gsm acl 2000
[*HUAWEI]commit
Nun kann der Benutzer mit dem Passwort gsm-password
und dem Verschlüsselungsschlüssel gsm-encrypt
erstellt werden. Die Authentifizierung wird durch MD5 und die Verschlüsselung durch AE128 durchgeführt. Dies wird in drei Schritten durchgeführt:
Passwort gsm-password
konfigurieren:
[~HUAWEI]snmp-agent usm-user v3 gsm-user authentication-mode md5
Please configure the authentication password (8-255)
[*HUAWEI]commit
Verschlüsselungsschlüssel gsm-encrypt
konfigurieren:
[~HUAWEI]snmp-agent usm-user v3 gsm-user privacy-mode aes128
Please configure the privacy password (8-255)
[*HUAWEI]commit
Nutzer zur Gruppe hinzufügen:
[*HUAWEI]snmp-agent usm-user v3 gsm-user group gsmgroup
[*HUAWEI]commit
Um entweder die Community oder den SNMPv3-Benutzer auf der Appliance zu konfigurieren, als Administrator Konfiguration > Anmeldedaten in der Menüleiste wählen (siehe Kapitel 10.3.2).
10.3.7.2 SSH¶
Der authentifizierte Scan kann auch über SSH durchgeführt werden. Falls SSH genutzt wird, wird die Verwendung eines speziellen unprivilegierten Benutzers empfohlen. Die Appliance benötigt derzeit nur die Befehle display device
, display version
und display patch-information
, um die aktuelle Firmware-Version des Geräts abzufragen.
Bemerkung
Falls ein Compliance-Scan ausgeführt wird, könnten die folgenden zusätzlichen Befehle genutzt werden:
display arp speed-limit
display arp-miss speed-limit source-ip
display current-configuration
display current-configuration configuration bgp
display current-configuration configuration pim
display current-configuration configuration user-interface
display current-configuration configuration vpn-instance
display current-configuration interface
display current-configuration | include multicast
display current-configuration | include ntp
display current-configuration | include snmp
display current-configuration | include ssh
display ftp-server
display isis peer
display mpls ldp session verbose
display mpls rsvp-te interface
display ospf peer brief
display ospfv3 peer
display snmp-agent sys-info version
display ssh server status
display telnet server
display telnet server status
display vrrp
Um einen weniger privilegierten Benutzer einzurichten, der nur diesen Befehl ausführen darf, sind verschiedene Ansätze möglich. Das folgende Beispiel nutzt die rollenbasierte Zugriffskontrollenfunktionalität.
Bemerkung
Bevor eines der folgenden Beispiele genutzt wird, muss sichergestellt werden, dass alle Nebeneffekte der Konfiguration verstanden werden. Falls sie ohne Verifizierung genutzt wird, beschränkt das System möglicherweise weitere Logins über SSH oder die Konsole.
Die folgenden Befehle erstellen eine eingeschränkte Sicht, die nur die Befehle display device
, display version
und display patch-information
beinhaltet. Das gelieferte Passwort Hello-secret123
ist nicht kritisch.
<HUAWEI> system-view
[~HUAWEI]aaa
[~HUAWEI-aaa]local-user gsm-user password cipher Hello-secret123
[*HUAWEI-aaa]local-user gsm-user level 0
[*HUAWEI-aaa]local-user gsm-user service-type ssh
[*HUAWEI-aaa]commit
[~HUAWEI-aaa]quit
[~HUAWEI]ssh user gsm-user authentication-type password
[*HUAWEI]ssh user gsm-user service-type stelnet
[*HUAWEI]commit
Die folgenden Befehle fügen nur die Befehle display version
, display patch-information
und display device
zu „level 0“ hinzu, sodass gsm-user
beschränkt ist:
[~HUAWEI] command-privilege level 0 view global display device
[*HUAWEI] command-privilege level 0 view global display version
[*HUAWEI] command-privilege level 0 view global display patch-information
[*HUAWEI]commit
Falls SSH noch nicht aktiviert ist, erledigt dies der folgende Befehl:
[~HUAWEI] rsa local-key-pair create
[*HUAWEI]commit
SSH-Logins mithilfe der folgenden Befehle aktivieren:
[~HUAWEI] user-interface vty 0 4
[*HUAWEI-ui-vty0-4] authentication-mode aaa
[*HUAWEI-ui-vty0-4] protocol inbound ssh
[*HUAWEI-ui-vty0-4] quit
[*HUAWEI]commit
Den STelnet-Server aktivieren:
[~HUAWEI] stelnet server enable
[*HUAWEI] ssh authentication-type default password
[*HUAWEI]commit
Mithilfe einer Zugriffsliste kann die Nutzung des SSH-Logins beschränkt werden. Die IP-Adresse der Appliance ist in diesem Beispiel 192.168.222.74.
Bemerkung
Dies könnte jegliche SSH-Anmeldungen von anderen IP-Adressen einschränken und das Gerät über das Netzwerk unzugänglich machen.
[~HUAWEI]acl 2000
[*HUAWEI-acl4-basic-2000] rule permit source 192.168.222.74 32
[*HUAWEI-acl4-basic-2000] quit
[*HUAWEI] HUAWEI acl 2000
[*HUAWEI] commit
In Abhängigkeit von den Sicherheitseinstellungen muss das Passwort für gsm-view
beim ersten Login geändert werden. Dies sollte durch einmaliges Einloggen via SSH geprüft werden.
Die Anmeldedaten des Benutzers müssen auf der Appliance eingegebene werden. Konfiguration > Anmeldedaten in der Menüleiste wählen und den entsprechenden Benutzer erstellen (siehe Kapitel 10.3.2).
Anmeldedaten mit dem Ziel verbinden, damit sie als SSH-Anmeldedaten genutzt werden können.
10.3.8 Anforderungen auf Zielsystemen mit EulerOS¶
Für authentifizierte Scans auf EulerOS ist normalerweise der reguläre Benutzerzugang ausreichend. Der Login wird mithilfe von SSH vorgenommen. Die Authentifizierung wird entweder mit Passwörtern oder einem auf der Appliance gespeicherten privaten SSH-Schlüssel durchgeführt.
Generiertes Installationspaket für Anmeldedaten: Das Installationspaket für EulerOS ist eine RPM-Datei. Das Installationspaket erstellt einen neuen Benutzer ohne besondere Berechtigungen. Ein öffentlicher SSH-Schlüssel, der auf der Appliance erstellt wird, wird im Home-Verzeichnis des Benutzers gespeichert. Für Benutzer anderer Linux-Distributionen oder Unix-Derivaten, wird der öffentliche Schlüssel zum Herunterladen angeboten. Das Erstellen eines Benutzers und Speichern des öffentlichen Schlüssels mit den korrekten Dateiberechtigungen liegt in der Verantwortung des Benutzers.
In beiden Fällen muss sichergestellt werden, dass die Authentifizierung mithilfe des öffentlichen Schlüssels nicht durch den SSH-Daemon verhindert wird. Die Zeile
PubkeyAuthentication no
darf nicht vorhanden sein.Vorhandene SSH-Schlüsselpaare können auch genutzt werden. SSH-Schlüsselpaare können mithilfe des Befehls
ssh-keygen
auf EulerOS oderputtygen.exe
beim Nutzen von PuTTY auf Microsoft Windows generiert werden. Um ein vorhandenes SSH-Schlüsselpaar nutzen zu können, muss der private Schlüssel beim Erstellen der Anmeldedaten hinterlegt werden. Der private SSH-Schlüssel muss im PEM- oder OpenSSH-Format vorliegen. Die Schlüsselarten Ed25519, ECDSA, RSA und DSA werden unterstützt.Für Scans, die das Prüfen von Richtlinien beinhalten, sind möglicherweise root-Berechtigungen oder die Mitgliedschaft in bestimmten Gruppe (oft
wheel
) nötig. Aus Sicherheitsgründen sind einige Konfigurationsdateien nur von Super-Benutzern oder Mitgliedern bestimmter Gruppen lesbar.Je mehr Berechtigungen ein Nutzer hat, desto mehr Ergebnisse und Einstellungen können auf einem System erkannt werden. In einigen Fällen ist möglicherweise ein Root-Zugang nötig.
Die folgenden Befehle werden während eines authentifizierten Scans mit einem Root-Account ausgeführt.
Wichtig
Diese Liste ist nicht statisch. Neue oder geänderte VTs könnten jederzeit neue Befehle hinzufügen.
Abhängig von der gefundenen Software könnten zusätzliche Befehle ausgeführt werden.
bash
cat
date
dpkg
egrep
find
grep
host
id
ip
lastlog
locate
ls
md5sum
mlocate
netstat
perl
ps
rpm
sh
sha1sum
slocate
uname
uptime
whereis
which
Die Installation des Pakets
locate
(alternativmlocate
), um den Befehllocate
/mlocate
auf dem Zielsystem verfügbar zu machen, wird empfohlen. Die Nutzung dieses Befehls reduziert Aufrufe des Befehlsfind
, der für die Suche nach Dateien genutzt wird, und verbessert somit die Scanleistung und verringert die Ressourcennutzung auf dem Zielsystem.Damit die Befehle funktionieren, müssen möglicherweise die entsprechenden Datenbank-Berechtigungen und regelmäßige Datenbank-Updates, z. B. mithilfe eines Cronjobs, konfiguriert werden.
10.3.9 Anforderungen auf Zielsystemen mit GaussDB¶
Bemerkung
Es muss sichergestellt werden, dass der Scan von einem Benutzer ausgeführt wird, der GaussDB-Ausführungsberechtigungen besitzt.
10.3.9.1 Anforderungen für den Systembenutzer root¶
Bemerkung
Im Allgemeinen wird nicht empfohlen, mit dem Benutzer root zu scannen.
Ein Root-Nutzer hat die folgenden Anforderungen für das Scannen auf einem Zielsystem mit GaussDB:
Auf der Appliance:
Anmeldedaten für den/die Zielhost(s), entweder als Passwort oder als SSH-Schlüssel
Auf dem Zielsystem:
Root-Benutzer ist in der Lage
zsq
/zengine
auszuführen (z. B.LD_LIBRARY_PATH
ist korrekt eingestellt und nicht auf Standard)PermitRootLogin yes
insshd_config
oderPermitRootLogin prohibit-password
insshd_config
für auf SSH-Schlüssel basierenden Anmeldedaten
10.3.9.2 Anforderungen für einen Datenbankadministrator-Account (z. B. gaussdba)¶
Ein Datenbankadministrator hat die folgenden Anforderungen für das Scannen auf einem Zielsystem mit GaussDB:
Auf der Appliance:
Anmeldedaten für den/die Zielhost(s), entweder als Passwort oder als SSH-Schlüssel
Auf dem Zielsystem:
Benutzer gaussdba ist der Datenbankinstallationsbenutzer
10.3.9.3 Anforderungen für einen normalen Benutzer-Account¶
Ein normaler Benutzer hat die folgenden Anforderungen für das Scannen auf einem Zielsystem mit GaussDB:
Auf der Appliance:
Anmeldedaten für den/die Zielhost(s), entweder als Passwort oder als SSH-Schlüssel
Auf dem Zielsystem:
Benutzer ist in der Lage
zsq
/zengine
auszuführen (z. B.LD_LIBRARY_PATH
ist korrekt eingestellt und nicht auf Standard)
10.3.9.4 Anforderungen für einen normalen Datenbankbenutzer-Account (z. B. gauss)¶
Ein normaler Datenbankbenutzer hat die folgenden Anforderungen für das Scannen auf einem Zielsystem mit GaussDB:
Auf der Appliance:
Anmeldedaten mit dem Benutzernamen
gauss
und einem Passwort, konfiguriert in jeder genutzten Scan-Konfiguration
Auf dem Zielsystem:
Öffentlich zugänglicher Datenbankserver-Port
10.4 Einen CVE-Scan konfigurieren¶
Nicht jede Schwachstelle rechtfertigt einen neuen Scan des Netzwerks oder einzelner Systeme. Falls der GSM durch frühere Scans bereits Informationen über Schwachstellen erhalten hat, kann er eine Prognose darüber erstellen, welche Sicherheitsrisiken derzeit bestehen könnten.
Die Verwendung des CVE-Scanners ermöglicht eine schnelle Vorhersage möglicher Sicherheitsrisiken, ohne dass ein weiterer Schwachstellenscan erforderlich ist. Dies ist vor allem für Umgebungen interessant, in denen die meisten Schwachstellen durch den Einsatz der Appliance beseitigt oder behoben worden sind. Falls neue Sicherheitsrisiken vorhergesagt werden, kann ein tatsächlicher Schwachstellenscan durchgeführt werden, um die Prognose zu überprüfen.
Der CVE-Scanner überprüft die CPEs der Zielhosts, die im letzten Bericht für dieselbe IP-Adresse vorhanden sind, auf zugewiesene CVEs in den aktuellen Sicherheitsinfos (siehe Kapitel 14). Es werden nur Berichte von Aufgaben berücksichtigt, bei denen die Einstellung Ergebnisse zu Assets hinzufügen aktiviert ist. Dabei ist es irrelevant, ob die Einstellung vor oder nach dem Scan aktiviert wurde.
Bemerkung
Der CVE-Scanner kann aus den folgenden Gründen Falsch-Positiv-Meldungen anzeigen:
Der Scanner prüft nicht, ob die Schwachstelle tatsächlich vorhanden ist.
Der Scanner ist nicht in der Lage, „rückportierte“ Sicherheitskorrekturen, z. B. auf Unix-ähnlichen Systemen, zu erkennen, da er von der National Vulnerability Database (NVD) abhängig ist, die diesen Korrekturstatus nicht pflegt und da der Korrekturstatus in der Produktversion nicht vermerkt ist.
Bemerkung
Es gibt einige Voraussetzungen für einen erfolgreichen CVE-Scan:
Um erkannt zu werden, muss der CVE in der National Vulnerability Database (NVD) eine CPE zugewiesen sein.
Solange die CVE noch nicht analysiert wurde (siehe den entsprechenden Eintrag in der NVD, sind keine Ergebnisse für eine CVE zu erwarten, wenn ein CVE-Scan durchgeführt wird.
Außerdem muss der CVE in der NVD eine korrekte CPE zugewiesen sein. Im Zweifelsfall sollte die CPE-CVE-Zuordnung manuell auf der/den entsprechenden NVD-Webseite(n) überprüft werden.
Die Assetdatenbank benötigt aktuelle Daten für den CVE-Scanner. Um die Produkte zu erkennen, muss vor der Ausführung des CVE-Scans ein vollständiger Scan durchgeführt werden, z. B. mit der Scan-Konfiguration Full and fast.
Ob ein Produkt gefunden wurde, kann im Register Anwendungen des Berichts des vollständigen Scans überprüft werden.
Für den vollständigen Scan muss die Option Ergebnisse zu Assets hinzufügen für die Aufgabe aktiviert sein, damit die Ergebnisse zur Assetdatenbank hinzugefügt werden und dem CVE-Scanner zur Verfügung stehen.
Die Ausführung eines vollständigen Scans mit Authentifizierung kann die vom CVE-Scan gefundenen Ergebnisse erhöhen.
Ein vollständiger Scan der Systeme sollte regelmäßig erfolgen.
Ein CVE-Scan kann wie folgt ausgeführt werden:
Einen vollständigen Scan ausführen (siehe Kapitel 10.2).
Bemerkung
Eine „Full“-Scan-Konfiguration muss gewählt werden, z. B. Full and fast.
Zusätzlich muss der Radiobutton Ja für Ergebnisse zu Assets hinzufügen gewählt werden.
Scans > Aufgaben in der Menüleiste wählen.
Neue Aufgabe durch Bewegen der Maus über und Klicken auf Neue Aufgabe erstellen.
Aufgabe definieren (siehe Kapitel 10.2.2).
CVE in der Drop-down-Liste Scanner wählen.
Auf Speichern klicken.
In der Zeile der Aufgabe auf klicken.
→ Der Scan wird ausgeführt. Für den Status einer Aufgabe siehe Kapitel 10.8.
Tipp
Sobald eine Aufgabe gestartet wurde, kann der Bericht der Aufgabe durch Klicken auf den Balken in der Spalte Status dargestellt werden. Für das Lesen, Verwalten und Herunterladen von Berichten siehe Kapitel 11.
Sobald sich der Status zu Abgeschlossen ändert, ist der gesamte Bericht verfügbar. Zu jeder Zeit können Zwischenergebnisse angesehen werden (siehe Kapitel 11.2.1).
Bemerkung
Die Fertigstellung des Scans kann einige Zeit in Anspruch nehmen. Die Seite aktualisiert automatisch, falls neue Daten verfügbar sind.
Wenn der Scan abgschlossen ist, Scans > Berichte in der Menüleiste wählen.
Ergebnisse durch Klicken auf das Datum des Berichts anzeigen lassen.
→ Der Bericht zeigt jede gefundene CVE als Schwachstelle (siehe Abb. 10.21).
Auf eine Schwachstelle und anschließend auf klicken.
→ Die Detailseite der Schwachstelle wird geöffnet.
Der VT, zu dem das Ergebnis zugeordnet ist, wird im Abschnitt Erkennungsmethode angezeigt (siehe Abb. 10.22). Durch Klicken auf den VT wird die Detailseite des zugehörigen VTs geöffnet.
Tipp
Für auf dieser Seite verfügbare Aktionen siehe Kapitel 11.2.1.
10.5 Container-Aufgaben nutzen¶
10.5.1 Eine Container-Aufgabe erstellen¶
Eine Container-Aufgabe kann zum Importieren und Bereitstellen von Berichten, die auf anderen Appliances erstellt wurden, genutzt werden.
Eine Container-Aufgabe kann wie folgt erstellt werden:
Scans > Aufgaben in der Menüleiste wählen.
Neue Container-Aufgabe durch Bewegen der Maus über und Klicken auf Neue Container-Aufgabe erstellen.
Namen der Container-Aufgabe in das Eingabefeld Name eingeben (siehe Abb. 10.23).
Auf Speichern klicken.
In der Zeile der Container-Aufgabe auf klicken, um einen Bericht zur Container-Aufgabe hinzuzufügen.
Auf Browse… klicken und die XML-Datei des Berichts wählen (siehe Abb. 10.24).
Radiobutton Ja wählen, um den Bericht zu den Assets hinzuzufügen (siehe Kapitel 13).
Auf Importieren klicken.
10.5.2 Container-Aufgaben verwalten¶
Listenseite
Alle vorhandenen Container-Aufgaben können angezeigt werden, indem Scans > Aufgaben in der Menüleiste gewählt wird.
Für alle Container-Aufgaben sind die folgenden Aktionen verfügbar:
Bemerkung
Durch Klicken auf oder unterhalb der Liste von Aufgaben können mehrere Aufgaben zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Aufgaben in den Papierkorb verschoben oder exportiert werden.
Detailseite
Durch Klicken auf den Namen einer Container-Aufgabe werden Details der Container-Aufgabe angezeigt. Durch Klicken auf wird die Detailseite der Container-Aufgabe geöffnet.
Die folgenden Register sind verfügbar:
- Informationen
Allgemeine Informationen über die Container-Aufgabe.
- Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.4).
- Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).
Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:
10.6 Ziele verwalten¶
Listenseite
Alle vorhandenen Ziele können angezeigt werden, indem Konfiguration > Ziele in der Menüleiste gewählt wird.
Für alle Ziele werden die folgenden Informationen angezeigt:
- Name
Name des Ziels.
- Hosts
Hosts, die gescannt werden, falls das Ziel für einen Scan genutzt wird (siehe Kapitel 10.2.2).
- IPs
Anzahl gescannter Hosts.
- Portliste
Portliste, die genutzt wird, falls das Ziel für einen Scan genutzt wird (siehe Kapitel 10.2.2).
- Anmeldedaten
Anmeldedaten, die für das Ziel konfiguriert wurden.
Für alle Ziele sind die folgenden Aktionen verfügbar:
Das Ziel in den Papierkorb verschieben. Nur Ziele, die aktuell nicht genutzt werden, können in den Papierkorb verschoben werden.
Bemerkung
Durch Klicken auf oder unterhalb der Liste von Zielen können mehrere Ziele zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Ziele in den Papierkorb verschoben oder exportiert werden.
Detailseite
Durch Klicken auf den Namen eines Ziels werden Details des Ziels angezeigt. Durch Klicken auf wird die Detailseite des Ziels geöffnet.
Die folgenden Register sind verfügbar:
- Informationen
Allgemeine Informationen über das Ziel.
- Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.4).
- Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).
Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:
Ein neues Ziel erstellen (siehe Kapitel 10.2.1).
Das Ziel in den Papierkorb verschieben. Nur Ziele, die aktuell nicht genutzt werden, können in den Papierkorb verschoben werden.
10.7 Portlisten erstellen und verwalten¶
Falls Anwendungen auf unüblichen Ports laufen und mit der Appliance überwacht und geprüft werden sollen, sollten die standardmäßigen Portlisten angepasst werden. Falls nötig, kann eine individuelle Portliste, die die gewünschten Ports enthält, erstellt werden.
Alle Standardportlisten von Greenbone sind Datenobjekte, die über den Feed verteilt werden. Sie werden mit jedem Feed-Update heruntergeladen und aktualisiert.
Falls keine Standardportlisten verfügbar sind, ist möglicherweise ein Feed-Update nötig oder der Feed Import Owner muss festgelegt werden (siehe Kapitel 7.2.1.10.1).
Standardportlisten können nicht bearbeitet werden. Außerdem können sie nur temporär vom Feed Import Owner oder von einem Super-Administrator gelöscht werden. Während des nächsten Feed-Updates werden sie wieder heruntergeladen.
Bemerkung
Um eine Standardportliste dauerhaft zu löschen, muss der Feed Import Owner sie löschen. Anschließend muss der Feed Import Owner auf (Unset) geändert werden (siehe Kapitel 7.2.1.10.1).
Zusätzlich zu den Standardportlisten können benutzerdefinierte Portlisten erstellt (siehe Kapitel 10.7.1) oder importiert (siehe Kapitel 10.7.2) werden.
10.7.1 Eine Portliste erstellen¶
Eine neue Portliste kann wie folgt erstellt werden:
Konfiguration > Portlisten in der Menüleiste wählen.
Portliste definieren (siehe Abb. 10.25).
Auf Speichern klicken.
Die folgenden Details der Portliste können festgelegt werden:
- Name
Festlegung des Namens. Der Name kann frei gewählt werden.
- Kommentar
Ein optionaler Kommentar kann zusätzliche Informationen enthalten.
- Portbereiche
Manuelle Eingabe des Portbereichs oder Importieren einer Liste von Portbereichen. Falls sie manuell eingegeben werden, werden die Portbereiche durch Kommas getrennt. Falls eine Datei importiert wird, können die Einträge durch Kommas oder durch Zeilenumbrüche getrennt werden. Die Datei muss die ASCII-Zeichenkodierung verwenden.
Jeder Wert in der Liste kann ein einzelner Port (z. B.
7
) oder ein Portbereich (z. B.9-11
) sein. Diese Optionen können gemischt werden (z. B.5, 7, 9-11, 13
).Einem Eintrag in der Liste kann eine Protokollbezeichnung vorangestellt sein (
T:
für TCP,U:
für UDP), z. B.T:1-3, U:7, 9-11
(TCP-Ports 1, 2 und 3, UDP-Ports 7, 9, 10 und 11). Falls keine Bezeichnung angegeben ist, wird TCP angenommen.
10.7.2 Eine Portliste importieren¶
Eine Portliste kann wie folgt importiert werden:
10.7.3 Portlisten verwalten¶
Listenseite
Alle vorhandenen Portlisten können angezeigt werden, indem Konfiguration > Portlisten in der Menüleiste gewählt wird.
Für alle Portlisten werden die folgenden Informationen angezeigt:
- Name
Name der Portliste.
- Portanzahlen – Summe
Gesamte Anzahl an Ports in der Portliste.
- Portanzahlen – TCP
Anzahl an TCP-Ports in der Portliste.
- Portanzahlen – UDP
Anzahl an UDP-Ports in der Portliste.
Für alle Portlisten sind die folgenden Aktionen verfügbar:
Die Portliste in den Papierkorb verschieben. Nur Portlisten, die aktuell nicht genutzt werden, können in den Papierkorb verschoben werden. Solange die Portliste nicht aus dem Papierkorb gelöscht wird, wird sie beim nächsten Feed-Update nicht neu heruntergeladen.
Die Portliste bearbeiten. Nur selbst erstellte Portlisten, die aktuell nicht genutzt werden, können bearbeitet werden.
Bemerkung
Durch Klicken auf oder unterhalb der Liste von Portlisten können mehrere Portlisten zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Portlisten in den Papierkorb verschoben oder exportiert werden.
Detailseite
Durch Klicken auf den Namen einer Portliste werden Details der Portliste angezeigt. Durch Klicken auf wird die Detailseite der Portliste geöffnet.
Die folgenden Register sind verfügbar:
- Informationen
Allgemeine Informationen über die Portliste.
- Portbereiche
Alle Portbereiche in dieser Portliste. Der erste und letzte Port des Bereichs sowie die Protokollbezeichnung werden angezeigt.
- Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.4).
- Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).
Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:
Eine neue Portliste erstellen (siehe Kapitel 10.7.1).
Die Portliste bearbeiten. Nur selbst erstellte Portlisten, die aktuell nicht genutzt werden, können bearbeitet werden.
Die Portliste in den Papierkorb verschieben. Nur Portlisten, die aktuell nicht genutzt werden, können in den Papierkorb verschoben werden. Solange die Portliste nicht aus dem Papierkorb gelöscht wird, wird sie beim nächsten Feed-Update nicht neu heruntergeladen.
10.8 Aufgaben verwalten¶
Listenseite
Alle vorhandenen Aufgaben können angezeigt werden, indem Scans > Aufgaben in der Menüleiste gewählt wird.
Für alle Aufgaben werden die folgenden Informationen angezeigt:
- Name
Name der Aufgabe. Die folgenden Icons könnten angezeigt werden:
Die Aufgabe ist als änderbar gekennzeichnet. Scan-Ziel(e), Scanner und Scan-Konfiguration der Aufgabe können bearbeitet werden, auch wenn bereits Berichte erstellt wurden.
Die Aufgabe ist für die Durchführung auf einem Remote-Scanner konfiguriert (siehe Kapitel 16).
Die Aufgabe ist für einen oder mehrere andere Benutzer sichtbar.
- Status
Aktueller Status der Aufgabe. Die folgenden Statusbalken sind möglich:
Es gibt keine Ausführungen/Berichte für die Aufgabe.
Die Aufgabe wurde gerade gestartet. Die Appliance bereitet den Scan vor. Aufgaben mit diesem Status können nicht gestoppt, fortgesetzt oder gelöscht werden.
Die Aufgabe wurde zur Warteschlange hinzugefügt. In einigen Fällen kann sie in der Warteschlange bleiben. Weitere Informationen befinden sich in Kapitel 17.3.
Die Aufgabe wird gerade ausgeführt. Die Prozentangabe basiert auf der Anzahl ausgeführter VTs auf den gewählten Hosts. Aus diesem Grund hängt der Wert nicht zwingend mit der bereits verstrichenen Zeit zusammen.
Der Scanvorgang bzw. der Upload in die Container-Aufgabe ist abgeschlossen und die Appliance verarbeitet Daten. Aufgaben mit diesem Status können nicht gestoppt, fortgesetzt oder gelöscht werden.
Die Aufgabe wurde erfolgreich abgeschlossen.
Die Aufgabe wurde vor Kurzem aufgefordert, zu stoppen. Die Scanmaschine hat noch nicht auf die Anfrage reagiert. Aufgaben mit diesem Status können nicht gestoppt, fortgesetzt oder gelöscht werden.
Die Aufgabe wurde gestoppt. Der neueste Bericht ist möglicherweise noch nicht komplett. Andere Gründe für diesen Status können der Reboot der Appliance oder ein Stromausfall sein. Nach dem Neustart des Scanners wird die Aufgabe automatisch fortgesetzt.
Die Aufgabe wurde gerade fortgesetzt. Die Appliance bereitet den Scan vor. Aufgaben mit diesem Status können nicht gestoppt, fortgesetzt oder gelöscht werden.
Beim Fortsetzen eines Scans werden alle nicht abgeschlossenen Hosts komplett aufs Neue gescannt. Die Daten der bereits vollständig gescannten Hosts bleiben erhalten.
Die Aufgabe wurde gelöscht. Der tatsächliche Löschvorgang kann einige Zeit in Anspruch nehmen, da Berichte ebenfalls gelöscht werden müssen. Aufgaben mit diesem Status können nicht gestoppt, fortgesetzt oder gelöscht werden.
Ein Fehler ist aufgetreten und die Aufgabe wurde unterbrochen. Der neueste Bericht ist möglicherweise noch nicht komplett oder fehlt vollständig.
Die Aufgabe ist eine Container-Aufgabe.
Der Bericht wird gerade in die Container-Aufgabe hochgeladen.
- Berichte
Anzahl der Berichte für die Aufgabe. Durch Klicken auf die Anzahl der Berichte wird die Seite Berichte geöffnet. Ein Filter ist angewendet, um nur die Berichte für die gewählte Aufgabe anzuzeigen.
- Letzter Bericht
Datum und Zeit des neuesten Berichts. Durch Klicken auf die Angabe wird die Detailseite des neuesten Berichts geöffnet.
- Schweregrad
Qualitatives Maß für den Schweregrad einer Sicherheitslücke nach dem Common Vulnerability Scoring System (CVSS) (siehe Kapitel 14.2.3). Dazu gehören ein Schweregrad, der eine Zahl zwischen 0.0 und 10.0 ist, wobei 10.0 der höchste Schweregrad ist, und eine auf dem Wert basierende Schwereklasse:
Hoch: 7.0–10.0
Mittel: 4.0–6.9
Niedrig: 0.1–3.9
Log: 0.0
Angezeigt wird der höchste Schweregrad, der bei einem Scan der Aufgabe gefunden wurde.
- Trend
Änderung der Schwachstellen zwischen dem neuesten und dem zweitneuesten Bericht (siehe Kapitel 11.5).
Für alle Aufgaben sind die folgenden Aktionen verfügbar:
Die Aufgabe starten. Nur Aufgaben, die aktuell nicht ausgeführt werden, können gestartet werden.
Die aktuell ausgeführte Aufgabe stoppen. Alle gefundenen Ergebnisse werden in der Datenbank gespeichert.
Die Details des zugewiesenen Zeitplans anzeigen (nur für Aufgaben mit Zeitplan verfügbar, siehe Kapitel 10.10).
Die gestoppte Aufgabe fortsetzen. Alle nicht abgeschlossenen Hosts werden komplett aufs Neue gescannt. Die Daten der bereits vollständig gescannten Hosts bleiben erhalten.
Bemerkung
Durch Klicken auf oder unterhalb der Liste von Aufgaben können mehrere Aufgaben zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Aufgaben in den Papierkorb verschoben oder exportiert werden.
Detailseite
Durch Klicken auf den Namen einer Aufgabe werden Details der Aufgabe angezeigt. Durch Klicken auf wird die Detailseite der Aufgabe geöffnet.
Die folgenden Register sind verfügbar:
- Informationen
Allgemeine Informationen über die Aufgabe.
- Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.4).
- Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).
Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:
Eine neue Aufgabe (siehe Kapitel 10.2.2) oder Container-Aufgabe (siehe Kapitel 10.5) erstellen.
Die Aufgabe starten. Nur Aufgaben, die aktuell nicht ausgeführt werden, können gestartet werden.
Die aktuell ausgeführte Aufgabe stoppen. Alle gefundenen Ergebnisse werden in der Datenbank gespeichert.
Die gestoppte Aufgabe fortsetzen. Alle nicht abgeschlossenen Hosts werden komplett aufs Neue gescannt. Die Daten der bereits vollständig gescannten Hosts bleiben erhalten.
Den letzten Bericht der Aufgabe oder alle Berichte der Aufgabe anzeigen.
10.8.1 Berechtigungen für eine Aufgabe erteilen¶
Auf der Detailseite einer Aufgabe können die Berechtigungen für die Aufgabe wie folgt verwaltet werden:
Bemerkung
Standardmäßig können normale Nutzer keine Berechtigungen für andere Nutzer erstellen, da sie keinen Zugriff auf die Nutzerdatenbank haben. Um in der Lage zu sein, Berechtigungen für andere Nutzer zu erstellen, benötigt ein Nutzer die globale und die spezifische get_users-Berechtigung (siehe Kapitel 9.4.3).
Scans > Aufgaben in der Menüleiste wählen.
Durch Klicken auf den Namen einer Aufgabe werden Details der Aufgabe angezeigt. Durch Klicken auf wird die Detailseite der Aufgabe geöffnet.
Auf den Register Berechtigungen klicken.
Berechtigungsart in der Drop-down-Liste Gewähre wählen.
Radiobutton Benutzer, Gruppe oder Rolle wählen und Benutzer/Gruppe/Rolle in der entsprechenden Drop-down-Liste wählen (siehe Abb. 10.27).
Auf Speichern klicken.
→ Die Berechtigung wird auf der Detailseite der Aufgabe angezeigt (siehe Abb. 10.28).
Nach dem Einloggen kann der Benutzer die Aufgaben sehen und auf die entsprechenden Berichte zugreifen.
10.9 Scan-Konfigurationen konfigurieren und verwalten¶
Eine Scan-Konfiguration definiert den Satz von VTs, die während eines Scans ausgeführt werden. Sie enthält außerdem allgemeine und sehr spezifische (Experten-)Parameter für den Scanserver und für einige der VTs.
Die Appliance bietet einige vordefinierte Scan-Konfigurationen. Diese können angepasst werden und neue Scan-Konfigurationen können erstellt werden.
10.9.1 Standard-Scan-Konfigurationen¶
Alle Standard-Scan-Konfigurationen von Greenbone sind Datenobjekte, die über den Feed verteilt werden. Sie werden mit jedem Feed-Update heruntergeladen und aktualisiert.
Falls keine Standard-Scan-Konfigurationen verfügbar sind, ist möglicherweise ein Feed-Update nötig oder der Feed Import Owner muss festgelegt werden (siehe Kapitel 7.2.1.10.1).
Standard-Scan-Konfigurationen können nicht bearbeitet werden. Außerdem können sie nur temporär vom Feed Import Owner oder von einem Super-Administrator gelöscht werden. Während des nächsten Feed-Updates werden sie wieder heruntergeladen.
Bemerkung
Um eine Standard-Scan-Konfiguration dauerhaft zu löschen, muss der Feed Import Owner sie löschen. Anschließend muss der Feed Import Owner auf (Unset) geändert werden (siehe Kapitel 7.2.1.10.1).
Bemerkung
Zusätzlich zu den Standard-Scan-Konfigurationen können benutzerdefinierte Scan-Konfigurationen erstellt (siehe Kapitel 10.9.2) oder importiert (siehe Kapitel 10.9.3) werden.
Die folgenden Scan-Konfigurationen sind standardmäßig verfügbar:
- Empty
Diese Scan-Konfiguration ist ein leeres Template und enthält keine VTs. Sie kann geklont werden und damit als Vorlage für komplett individuell erstellte Scan-Konfigurationen dienen.
Die VT-Familien sind statisch, das heißt neue VTs der gewählten VT-Familien werden nicht automatisch hinzugefügt und berücksichtigt.
- Base
Diese Scan-Konfiguration nutzt nur VTs, die Informationen über das Zielsystem sammeln. Dabei werden keine Schwachstellen erkannt. Sie kann geklont werden und damit als Vorlage für komplett individuell erstellte Scan-Konfigurationen dienen.
Es wird der Portscanner Ping Host genutzt, welcher erkennt, ob ein Host erreichbar ist. Außerdem werden Informationen über das Betriebssystem gesammelt.
Die VT-Familien sind statisch, das heißt neue VTs der gewählten VT-Familien werden nicht automatisch hinzugefügt und berücksichtigt.
- Discovery
Diese Scan-Konfiguration nutzt nur VTs, die Informationen über das Zielsystem sammeln. Dabei werden keine Schwachstellen erkannt.
Zu den gesammelten Informationen gehören unter anderem Informationen über offene Ports, genutzte Hardware, Firewalls, genutzte Dienste, installierte Software und Zertifikate. Das System wird komplett inventarisiert.
Die VT-Familien sind dynamisch, das heißt neue VTs der gewählten VT-Familien werden automatisch hinzugefügt und berücksichtigt.
- Host Discovery
Diese Scan-Konfiguration wird nur zum Erkennen der Zielsysteme genutzt. Dabei werden keine Schwachstellen erkannt.
Es wird der Portscanner Ping Host genutzt, welcher erkennt, ob ein Host erreichbar ist.
Die VT-Familien sind statisch, das heißt neue VTs der gewählten VT-Familien werden nicht automatisch hinzugefügt und berücksichtigt.
- System Discovery
Diese Scan-Konfiguration wird nur zum Erkennen der Zielsysteme, der Betriebssysteme und der verwendeten Hardware genutzt. Dabei werden keine Schwachstellen erkannt.
Es wird der Portscanner Ping Host genutzt, welcher erkennt, ob ein Host erreichbar ist.
Die VT-Familien sind statisch, das heißt neue VTs der gewählten VT-Familien werden nicht automatisch hinzugefügt und berücksichtigt.
- Full and fast
Für viele Umgebungen ist das für den Anfang die beste Option.
Diese Scan-Konfiguration basiert auf den Informationen, die in einem vorherigen Portscan gesammelt wurden und nutzt fast alle VTs. Nur VTs, die das Zielsystem nicht beschädigen, werden genutzt. VTs sind bestmöglich optimiert, um die potentielle Falsch-Positiv-Rate besonders niedrig zu halten. Die anderen „Full“-Konfigurationen bieten nur in selten Fällen einen Mehrwert bei höherem Aufwand.
Die VT-Familien sind dynamisch, das heißt neue VTs der gewählten VT-Familien werden automatisch hinzugefügt und berücksichtigt.
- Full and fast ultimate
Diese Scan-Konfiguration erweitert die Scan-Konfiguration Full and fast mit VTs, die Dienst- oder Systemstörungen oder sogar Abstürze hervorrufen könnten.
Die VT-Familien sind dynamisch, das heißt neue VTs der gewählten VT-Familien werden automatisch hinzugefügt und berücksichtigt.
Diese Scan-Konfiguration ist je nach Umgebungsbedingungen möglicherweise nicht immer absolut zuverlässig, was sich in einer erhöhten Falsch-positiv-Rate zeigen kann. Die Eingrenzung der vermuteten falsch-positiven Sonderfälle kann eine manuelle Analyse und das Einrichten von Übersteuerungen erfordern (siehe Kapitel 11.8).
- Full and very deep
Diese Scan-Konfiguration basiert auf der Scan-Konfiguration Full and fast, allerdings haben die Ergebnisse des Portscans oder der Anwendungs-/Diensterkennung keinen Einfluss auf die Auswahl der VTs. Deshalb werden VTs genutzt, die auf einen Timeout warten oder die nach Schwachstellen einer Anwendung/eines Diensts suchen, die vorher nicht entdeckt wurden. Ein Scan mit dieser Scan-Konfiguration ist sehr langsam.
Die VT-Familien sind dynamisch, das heißt neue VTs der gewählten VT-Familien werden automatisch hinzugefügt und berücksichtigt.
- Full and very deep ultimate
Diese Scan-Konfiguration erweitert die Scan-Konfiguration Full and very deep mit gefährlichen VTs, die Dienst- und Systemstörungen hervorrufen können. Ein Scan mit dieser Scan-Konfiguration ist sehr langsam.
Die VT-Familien sind dynamisch, das heißt neue VTs der gewählten VT-Familien werden automatisch hinzugefügt und berücksichtigt.
Diese Scan-Konfiguration ist je nach Umgebungsbedingungen möglicherweise nicht immer absolut zuverlässig, was sich in einer erhöhten Falsch-positiv-Rate zeigen kann. Die Eingrenzung der vermuteten falsch-positiven Sonderfälle kann eine manuelle Analyse und das Einrichten von Übersteuerungen erfordern (siehe Kapitel 11.8).
10.9.2 Eine Scan-Konfiguration erstellen¶
Bemerkung
Jede benutzerdefinierte Scan-Konfiguration, bei der die Scanner-Vorgabe safe_checks auf no gesetzt ist (siehe Kapitel 10.9.4.1), ist je nach Umgebungsbedingungen möglicherweise nicht immer absolut zuverlässig, was sich in einer erhöhten Falsch-positiv-Rate zeigen kann. Die Eingrenzung der vermuteten falsch-positiven Sonderfälle kann eine manuelle Analyse und das Einrichten von Übersteuerungen erfordern (siehe Kapitel 11.8).
Eine neue Scan-Konfiguration kann wie folgt erstellt werden:
Konfiguration > Scan-Konfigurationen in der Menüleiste wählen.
Neue Scan-Konfiguration durch Klicken auf erstellen.
Bemerkung
Alternativ kann eine Scan-Konfiguration importiert werden (siehe Kapitel 10.9.3).
Namen der Scan-Konfiguration in das Eingabefeld Name eingeben (siehe Abb. 10.29).
Radiobutton der Basis, die genutzt werden soll, wählen.
Es kann zwischen Base with a minimum set of NVTs, Empty, static and fast, Full and fast und einer bereits erstellten Scan-Konfiguration gewählt werden.
Auf Speichern klicken.
→ Die Scan-Konfiguration wird erstellt und auf der Seite Scan-Konfigurationen angezeigt.
Im Abschnitt Familien von Network Vulnerability Tests bearbeiten den Radiobutton wählen, falls neue VT-Familien automatisch hinzugefügt und aktiviert werden sollen (siehe Abb. 10.30).
Im Abschnitt Familien von Network Vulnerability Tests bearbeiten die Checkboxen Alle NVTs auswählen aktivieren, falls alle VTs einer Familie aktiviert werden sollen.
Für eine VT-Familie auf klicken, um sie zu bearbeiten (siehe Abb. 10.31).
Bemerkung
Die folgenden VT-Familien können nicht bearbeitet werden:
AIX Local Security Checks
AlmaLinux Local Security Checks
Amazon Linux Local Security Checks
CentOS Local Security Checks
Debian Local Security Checks
Fedora Local Security Checks
FreeBSD Local Security Checks
Gentoo Local Security Checks
HP-UX Local Security Checks
Huawei EulerOS Local Security Checks
Mageia Linux Local Security Checks
Mandrake Local Security Checks
Oracle Linux Local Security Checks
Red Hat Local Security Checks
Rocky Linux Local Security Checks
Slackware Local Security Checks
Solaris Local Security Checks
SuSE Local Security Checks
Ubuntu Local Security Checks
Mehr Informationen befinden sich in Kapitel 6.1.1.
Die Checkboxen der VTs, die aktiviert werden sollen, in der Spalte Ausgewählt aktivieren.
Bemerkung
Damit der Notus-Scanner (siehe Kapitel 6.1.1) funktioniert, muss der VT Determine OS and list of installed packages via SSH login (OID: 1.3.6.1.4.1.25623.1.0.50282) aktiviert sein.
Für einen VT auf klicken, um ihn zu bearbeiten (siehe Abb. 10.32).
Bemerkung
Falls das Bearbeiten eines VT das Hochladen einer Textdatei beinhaltet, sollte die Datei mit UTF-8 codiert sein.
Auf Speichern klicken, um den VT zu speichern.
Auf Speichern klicken, um die VT-Familie zu speichern.
Optional: Scanner-Vorgaben bearbeiten (siehe Kapitel 10.9.4).
Optional: VT-Vorgaben bearbeiten (siehe Kapitel 10.9.5).
Auf Speichern klicken, um die Scan-Konfiguration zu speichern.
10.9.3 Eine Scan-Konfiguration importieren¶
Bemerkung
Es sollten nur Scan-Konfigurationen importiert werden, die mit der aktuell verwendeten GOS-Version erstellt wurden. Der Import von Scan-Konfigurationen aus anderen GOS-Versionen kann zu einer Fehlermeldung oder unerwartetem Verhalten führen.
Jede benutzerdefinierte Scan-Konfiguration, bei der die Scanner-Vorgabe safe_checks auf no gesetzt ist (siehe Kapitel 10.9.4.1), ist je nach Umgebungsbedingungen möglicherweise nicht immer absolut zuverlässig, was sich in einer erhöhten Falsch-positiv-Rate zeigen kann. Die Eingrenzung der vermuteten falsch-positiven Sonderfälle kann eine manuelle Analyse und das Einrichten von Übersteuerungen erfordern (siehe Kapitel 11.8).
Eine Scan-Konfiguration kann wie folgt importiert werden:
Konfiguration > Scan-Konfigurationen in der Menüleiste wählen.
Auf Browse klicken und die XML-Datei der Scan-Konfiguration wählen.
Auf Importieren klicken.
Bemerkung
Falls der Name der importierten Scan-Konfiguration bereits vorhanden ist, wird ein Zusatz an den Namen angehängt.
→ Die importierte Scan-Konfiguration wird auf der Seite Scan-Konfigurationen angezeigt.
Schritte 6 bis 16 aus Kapitel 10.9.2 durchführen, um die Scan-Konfiguration zu bearbeiten.
10.9.4 Die Scanner-Vorgaben bearbeiten¶
Die Scanner-Vorgaben können wie folgt bearbeitet werden:
Konfiguration > Scan-Konfigurationen in der Menüleiste wählen.
Im Abschnitt Scanner-Vorgaben bearbeiten auf klicken, um die Scanner-Vorgaben zu bearbeiten (siehe Abb. 10.33).
Nach dem Bearbeiten der Scanner-Vorgaben auf Speichern klicken, um die Scan-Konfiguration zu speichern.
10.9.4.1 Beschreibung der Scanner-Vorgaben¶
Bemerkung
Das Dokumentieren aller Scanner-Vorgaben wäre für dieses Handbuch zu umfangreich. Nur die wichtigsten Vorgaben der Scanner werden abgedeckt.
Nicht dokumentierte Vorgaben könnten auch veraltet sein, obwohl sie noch sichtbar sind. Diese Vorgaben werden vom Scanner ignoriert und sollten nicht beachtet werden.
alive_test_ports: TCP-Ports, die vom Boreas-Erreichbarkeitsscanner für die Erreichbarkeitstests verwendet werden. Diese Einstellung betrifft nur die Erreichbarkeitstest-Methoden TCP-ACK Service Ping und TCP-SYN Service Ping. Es dürfen nur gültige Ports (Portbereich 0–65535) konfiguriert werden. Wenn ein ungültiger Wert konfiguriert wird, verwendet der Boreas-Erreichbarkeitsscanner die Standard-Ports.
auto_enable_dependencies: Dies legt fest, ob VTs, die von anderen VTs benötigt werden, automatisch aktiviert werden.
cgi_path: Pfad, der von den VTs genutzt wird, um auf CGI-Skripte zuzugreifen.
checks_read_timeout: Timeout für die Netzwerksockets während eines Scans.
test_alive_wait_timeout: Timeout für den Boreas-Erreichbarkeitsscanner, um auf Antworten zu warten, nachdem das letzte Paket gesendet wurde. Zugelassen sind Werte zwischen 1 und 20.
test_empty_vhost: Der Scanner scannt das Ziel auch unter Nutzung leerer vHost-Werte, zusätzlich zu den dem Ziel zugewiesenen vHost-Werten.
max_sysload: Maximale Last auf der Appliance. Wenn diese Last erreicht wird, werden keine weiteren VTs gestartet, bis die Last wieder unter den angegebenen Wert sinkt.
min_free_mem: Minimal verfügbarer Speicher (in MB), der auf der Appliance freigehalten werden sollte. Wenn dieses Limit erreicht wird, werden keine weiteren VTs gestartet, bis wieder ausreichend Speicher verfügbar ist.
non_simult_ports: Diese Ports werden nicht gleichzeitig von VTs geprüft.
optimize_test: VTs werden nur gestartet, falls bestimmte Voraussetzungen erfüllt werden (z. B. offene Ports oder erkannte Anwendungen).
plugins_timeout: Maximale Laufzeit eines VTs.
safe_checks: Einige VTs können Schaden am Hostsystem anrichten. Diese Einstellung deaktiviert die entsprechenden VTs.
scanner_plugins_timeout: Maximale Laufzeit (in Sekunden) für alle VTs der VT-Familie Port scanners. Falls ein VT länger läuft, wird er abgebrochen.
expand_vhosts: Die Hostliste des Ziels wird mit Werten erweitert, die durch Quellen wie Invers-Lookup-Anfragen und VT-Prüfungen für SSL/TLS-Zertifikate erhalten wurden.
time_between_request: Wartezeit (in Millisekunden) zwischen zwei Aktionen wie dem Öffnen eines TCP-Sockets, dem Senden einer Anfrage durch das offene TCP-Socket und dem Schließen des TCP-Sockets.
timeout_retry: Anzahl an neuen Versuchen, falls eine Socketverbindung einen Timeout hat.
unscanned_closed: Dies legt fest, ob TCP-Ports, die nicht gescannt wurden, wie geschlossene Ports behandelt werden sollen.
unscanned_closed_udp: Dies legt fest, ob UDP-Ports, die nicht gescannt wurden, wie geschlossene Ports behandelt werden sollen.
10.9.5 Die VT-Vorgaben bearbeiten¶
Konfiguration > Scan-Konfigurationen in der Menüleiste wählen.
Im Abschnitt Vorgaben für Network Vulnerability Tests auf klicken, um die Vorgaben für jeden VT anzuzeigen.
VT-Vorgabe bearbeiten.
Auf Speichern klicken, um die VT-Vorgabe zu speichern.
Auf Speichern klicken, um die Scan-Konfiguration zu speichern.
10.9.5.1 Beschreibung der VT-Vorgaben¶
Bemerkung
Das Dokumentieren aller VT-Vorgaben wäre für dieses Handbuch zu umfangreich. Nur die VT-Vorgaben der Portscanner Nmap und Ping Host werden abgedeckt.
10.9.5.1.1 Vorgaben des VT Ping Host¶
Bemerkung
Die meisten der Ping Host-Parameter werden in GOS 22.04 nicht mehr unterstützt, da sie mit dem neuen Boreas-Erreichbarkeitsscanner inkompatibel sind. Parameter, die hier nicht dokumentiert sind, werden nicht unterstützt und sind möglicherweise nicht funktionsfähig.
Der VT Ping Host in der VT-Familie Port scanners enthält den folgenden Konfigurationsparameter:
Report about reachable Hosts: Dies legt fest, ob ein Host, der von diesem VT gefunden wurde, gelistet werden soll.
10.9.5.1.2 Vorgaben des VT Nmap (NASL wrapper)¶
Die folgenden Optionen des VT Nmap (NASL wrapper) der VT-Familie Port scanners werden direkt in Optionen für die Ausführung des Nmap-Befehls übersetzt. Zusätzliche Informationen können in der Dokumentation für Nmap gefunden werden.
Do not randomize the order in which ports are scanned: Nmap scannt die Ports in aufsteigender Reihenfolge.
Do not scan targets not in the file: Siehe File containing grepable results.
Fragment IP packets: Nmap teilt die Pakete für die Angriffe. Dies erlaubt es, einfache Paketfilter zu umgehen.
Identify the remote OS: Nmap versucht, das Betriebssystem zu identifizieren.
RPC port scan: Nmap prüft das System auf Sun-RPC-Ports.
Run dangerous ports even if safe checks are set: UDP- und RPC-Scans können Probleme verursachen und sind normalerweise durch die Einstellung safe_checks deaktiviert. Mit dieser Einstellung können sie trotzdem aktiviert werden.
Service scan: Nmap versucht, Dienste zu identifizieren.
Use hidden option to identify the remote OS: Nmap führt die Identifikationen aggressiver durch.
Data length: Nmap fügt zufällige Daten bestimmter Länger zum Paket hinzu.
Host Timeout: Host-Timeout.
Initial RTT timeout: Ursprünglicher Timeout der Paketumlaufzeit. Nmap kann diesen Timeout, abhängig von der Ergebnissen, anpassen.
Max RTT timeout: Maximale Paketumlaufzeit.
Min RTT timeout: Minimale Paketumlaufzeit.
Max Retries: Maximale Anzahl an neuen Versuchen.
Maximum wait between probes: Dies steuert die Geschwindigkeit des Scans.
Minimum wait between probes: Dies steuert die Geschwindigkeit des Scans.
Ports scanned in parallel (max): Dies legt fest, wie viele Ports maximal gleichzeitig gescannt werden sollten.
Ports scanned in parallel (min): Dies legt fest, wie viele Ports minimal gleichzeitig gescannt werden sollten.
Source port: Dies ist der Quellport. Dies ist von Interesse, wenn durch eine Firewall gescannt wird, falls Verbindungen von einem bestimmten Port allgemein erlaubt sind.
File containing grepable results: Ermöglicht die Festlegung einer Datei, die Zeilen in der Form
Host: IP address
enthält. Falls die Option Do not scan targets not in the file zur gleichen Zeit aktiviert ist, werden nur Systeme, die in dieser Datei enthalten sind, gescannt.TCP scanning technique: Tatsächliche Scantechnik.
Timing policy: Statt die Zeitwerte einzeln zu ändern, kann auch die Timing-Richtlinie verändert werden.
Die Timing-Richtlinie nutzt folgende Werte:
Paranoid |
Sneaky |
Polite |
Normal |
Aggressive |
Insane |
|
---|---|---|---|---|---|---|
initial_rtt_timeout |
5 min |
15 s |
1 s |
1 s |
500 ms |
250 ms |
min_rtt_timeout |
100 ms |
100 ms |
100 ms |
100 ms |
100 ms |
50 ms |
max_rtt_timeout |
10 s |
10 s |
10 s |
10 s |
1250 ms |
300 ms |
max_parallelism |
seriell |
seriell |
seriell |
parallel |
parallel |
parallel |
scan_delay |
5 min |
15 s |
400 ms |
0 s |
0 s |
0 s |
max_scan_delay |
1 s |
1 s |
1 s |
1 s |
10 ms |
5 ms |
10.9.6 Scan-Konfigurationen verwalten¶
Listenseite
Alle vorhandenen Scan-Konfigurationen können angezeigt werden, indem Konfiguration > Scan-Konfigurationen in der Menüleiste gewählt wird (siehe Abb. 10.34).
Für alle Scan-Konfigurationen werden die folgenden Informationen angezeigt:
- Name
Name der Scan-Konfiguration.
- Typ
Art der Scan-Konfiguration.
- Familie – Summe
Anzahl der aktivierten VT-Familien für die Scan-Konfiguration.
- Familie – Trend
Trend der VT-Familien
Nach einem Feed-Update werden neue VT-Familien automatisch hinzugefügt und aktiviert. Dies stellt sicher, dass neue VTs sofort und ohne durch den Administrator notwendige Handlungen verfügbar sind.
Nach einem Feed-Update werden neue VT-Familien nicht automatisch hinzugefügt.
- NVTs – Summe
Anzahl der aktivierten VTs für die Scan-Konfiguration.
- NVTs – Trend
Trend der VTs.
Nach einem Feed-Update werden neue VTs der aktivierten VT-Familien automatisch hinzugefügt und aktiviert. Dies stellt sicher, dass neue VTs sofort und ohne durch den Administrator notwendige Handlungen verfügbar sind.
Nach einem Feed-Update werden neue VTs nicht automatisch hinzugefügt.
Bemerkung
Greenbone veröffentlich regelmäßig neue VTs. Neue VT-Familien können ebenfalls durch den Greenbone Enterprise Feed hinzugefügt werden.
Für alle Scan-Konfigurationen sind die folgenden Aktionen verfügbar:
Die Scan-Konfiguration in den Papierkorb verschieben. Nur Scan-Konfigurationen, die aktuell nicht genutzt werden, können in den Papierkorb verschoben werden. Solange die Scan-Konfiguration nicht aus dem Papierkorb gelöscht wird, wird sie beim nächsten Feed-Update nicht neu heruntergeladen.
Die Scan-Konfiguration bearbeiten. Nur selbst erstellte Scan-Konfigurationen, die aktuell nicht genutzt werden, können bearbeitet werden.
Bemerkung
Durch Klicken auf oder unterhalb der Liste von Scan-Konfigurationen können mehrere Scan-Konfigurationen zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Scan-Konfigurationen in den Papierkorb verschoben oder exportiert werden.
Detailseite
Durch Klicken auf den Namen einer Scan-Konfiguration werden Details der Scan-Konfiguration angezeigt. Durch Klicken auf wird die Detailseite der Scan-Konfiguration geöffnet.
Die folgenden Register sind verfügbar:
- Scanner-Vorgaben
Alle Scanner-Vorgaben für die Scan-Konfiguration mit aktuellen und Standardwerten (siehe Kapitel 10.9.4.1).
- NVT-Familien
Alle VT-Familien für die Scan-Konfiguration mit der Anzahl aktivierter VTs und dem Trend.
- NVT-Vorgaben
Alle VT-Vorgaben für die Scan-Konfiguration (siehe Kapitel 10.9.5.1).
- Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.4).
- Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).
Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:
Eine neue Scan-Konfiguration erstellen (siehe Kapitel 10.9.2).
Die Scan-Konfiguration bearbeiten. Nur selbst erstellte Scan-Konfigurationen, die aktuell nicht genutzt werden, können bearbeitet werden.
Die Scan-Konfiguration in den Papierkorb verschieben. Nur Scan-Konfigurationen, die aktuell nicht genutzt werden, können in den Papierkorb verschoben werden. Solange die Scan-Konfiguration nicht aus dem Papierkorb gelöscht wird, wird sie beim nächsten Feed-Update nicht neu heruntergeladen.
Eine Scan-Konfiguration importieren (siehe Kapitel 10.9.3).
10.10 Einen geplanten Scan ausführen¶
Für ein durchgehendes Schwachstellenmanagement ist das manuelle Ausführen von Aufgaben umständlich. Die Appliance unterstützt zur Automatisierung die Zeitplanung von Aufgaben und bezeichnet automatische Scans zu festgelegten Zeiten als Zeitpläne. Sie können einmalig oder wiederholt ausgeführt werden.
Die Appliance stellt standardmäßig keine Zeitpläne bereit.
10.10.1 Einen Zeitplan erstellen¶
Ein neuer Zeitplan kann wie folgt erstellt werden:
Konfiguration > Zeitpläne in der Menüleiste wählen.
Zeitplan definieren (siehe Abb. 10.35).
Auf Speichern klicken.
→ Der Zeitplan wird erstellt und kann beim Erstellen einer neuen Aufgabe gewählt werden (siehe Kapitel 10.2.2).
Die folgenden Details des Zeitplans können festgelegt werden:
- Name
Festlegung des Namens. Der Name kann frei gewählt werden.
- Kommentar
Ein optionaler Kommentar kann zusätzliche Informationen enthalten.
- Zeitzone
Festlegen der Zeitzone, auf die sich die Zeit bezieht. UTC±00:00 ist standardmäßig eingestellt.
Bemerkung
Da die Appliance intern in der Zeitzone UTC±00:00 läuft, ist die gewählte Zeitzone sehr wichtig. Für Eastern Standard Time (EST) muss America/New York gewählt werden.
- Erste Ausführung
Festlegen des Datums und der Uhrzeit für den Start des ersten Scans.
Durch Klicken auf kann das Datum gewählt werden. Durch Klicken auf Now werden das aktuelle Datum und die aktuelle Zeit für den ersten Durchlauf festgelegt.
- Endet am
Festlegen des Datums und der Uhrzeit für das Ende des ersten Scans. Aufgaben mit einer festgelegten Endzeit können nicht manuell gestartet werden.
Durch Klicken auf kann das Datum gewählt werden. Durch Aktivieren der Checkbox Offenes Ende kann die Endzeit offen gelassen werden.
- Laufzeit
Festlegen der maximalen Laufzeit, die eine Aufgabe für ihre Ausführung andauern kann. Die Dauer hängt von der angegebenen Start- und Endzeit ab. Falls eine Endzeit festgelegt wurde und diese Zeit abläuft, wird die Aufgabe abgebrochen und ausgesetzt, bis das nächste planmäßige Zeitfenster verfügbar ist. So kann sichergestellt werden, dass der Scan immer in einem bestimmten (Wartungs-)Zeitfenster ausgeführt wird.
- Wiederholung
Festlegen der Wiederholrate der Aufgabe. Es kann zwischen Einmalig, Stündlich, Täglich, Wöchentlich, Monatlich, Jährlich, Werktage (Montag bis Freitag) oder Benutzerdefiniert… gewählt werden. Falls die Option Benutzerdefiniert… gewählt wird, können die Wiederholrate und die Tage, an denen die Aufgabe ausgeführt werden soll, gewählt werden.
10.10.2 Zeitpläne verwalten¶
Listenseite
Alle vorhandenen Zeitpläne können angezeigt werden, indem Konfiguration > Zeitpläne in der Menüleiste gewählt wird.
Für alle Zeitpläne werden die folgenden Informationen angezeigt:
- Name
Name des Zeitplans.
- Erste Ausführung
Startzeit der ersten Ausführung der Aufgabe.
- Nächste Ausführung
Nächste Ausführung der Aufgabe gemäß des aktuellen Datums und der aktuellen Zeit.
- Wiederholung
Wiederholrate der Aufgabe.
- Laufzeit
Maximalen Laufzeit, die eine Aufgabe für ihre Ausführung andauern kann. Die Dauer hängt von der angegebenen Start- und Endzeit ab. Falls eine Endzeit festgelegt wurde und diese Zeit abläuft, wird die Aufgabe abgebrochen und ausgesetzt, bis das nächste planmäßige Zeitfenster verfügbar ist. So kann sichergestellt werden, dass der Scan immer in einem bestimmten (Wartungs-)Zeitfenster ausgeführt wird.
Für alle Zeitpläne sind die folgenden Aktionen verfügbar:
Den Zeitplan in den Papierkorb verschieben. Nur Zeitpläne, die aktuell nicht genutzt werden, können in den Papierkorb verschoben werden.
Bemerkung
Durch Klicken auf oder unterhalb der Liste von Zeitplänen können mehrere Zeitpläne zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Zeitpläne in den Papierkorb verschoben oder exportiert werden.
Detailseite
Durch Klicken auf den Namen eines Zeitplans werden Details des Zeitplans angezeigt. Durch Klicken auf wird die Detailseite des Zeitplans geöffnet.
Die folgenden Register sind verfügbar:
- Informationen
Allgemeine Informationen über den Zeitplan.
- Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.4).
- Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).
Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:
Einen neuen Zeitplan erstellen (siehe Kapitel 10.10.1).
Den Zeitplan in den Papierkorb verschieben. Nur Zeitpläne, die aktuell nicht genutzt werden, können in den Papierkorb verschoben werden.
10.11 Scanner erstellen und verwalten¶
Die Appliance bietet zwei voreingestellte Scanner. Diese können verwaltet werden und neue Scanner können erstellt werden.
Die folgenden Scanner sind bereits verfügbar:
OpenVAS Default
CVE: Der CVE-Scanner ermöglicht das Vorhersagen eventueller Sicherheitsrisiken, basierend auf aktuellen Informationen über bekannte Schwachstellen aus den Sicherheitsinfos (siehe Kapitel 14), ohne dass ein neuer Scan nötig ist (siehe Kapitel 10.4).
Bemerkung
Der gewünschte Scanner für eine Aufgabe kann beim Erstellen der Aufgabe gewählt werden (siehe Kapitel 10.2.2).
10.11.1 Einen Scanner erstellen¶
Bemerkung
Das Erstellen eines neuen Scanners wird nur für das Erstellen eines neuen Remote-Scanners genutzt (siehe Kapitel 16.4).
10.11.2 Scanner verwalten¶
Listenseite
Alle vorhandenen Scanner können angezeigt werden, indem Konfiguration > Scanner in der Menüleiste gewählt wird (siehe Abb. 10.36).
Für alle Scanner sind die folgenden Aktionen verfügbar:
Den Scanner in den Papierkorb verschieben. Nur selbst erstellte Scanner können in den Papierkorb verschoben werden.
Den Scanner bearbeiten. Nur selbst erstellte Scanner können bearbeitet werden.
Den Scanner klonen. Nur selbst erstellte Scanner können geklont werden.
Verifizieren, dass der Scanner online ist und dass sich der Manager mithilfe der bereitgestellten Zertifikate und Anmeldedaten mit ihm verbinden kann.
Das Zertifikat oder das Zertifikat der Zertifizierungsstelle herunterladen. Das Zertifikat oder das Zertifikat der Zertifizierungsstelle kann nur für selbst erstellte Scanner heruntergeladen werden.
Bemerkung
Durch Klicken auf oder unterhalb der Liste von Scannern können mehrere Scanner zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Scanner in den Papierkorb verschoben oder exportiert werden.
Detailseite
Durch Klicken auf den Namen eines Scanners werden Details des Scanners angezeigt. Durch Klicken auf wird die Detailseite des Scanners geöffnet.
Die folgenden Register sind verfügbar:
- Informationen
Allgemeine Informationen über den Scanner.
- Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.4).
- Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).
Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:
Einen neuen Scanner erstellen (siehe Kapitel 10.11.1).
Den Scanner klonen. Nur selbst erstellte Scanner können geklont werden.
Den Scanner bearbeiten. Nur selbst erstellte Scanner können bearbeitet werden.
Den Scanner in den Papierkorb verschieben. Nur selbst erstellte Scanner können in den Papierkorb verschoben werden.
Verifizieren, dass der Scanner online ist und dass sich der Manager mithilfe der bereitgestellten Zertifikate mit ihm verbinden kann.
10.12 Benachrichtigungen nutzen¶
Benachrichtigungen sind im System verankert. Falls ein konfiguriertes Ereignis (z. B. eine Aufgabe ist abgeschlossen) geschieht, wird eine festgelegte Bedingung (z. B. es wurde eine Schwachstelle mit hohem Schweregrad gefunden) geprüft. Falls die Bedingung erfüllt wird, wird eine Aktion ausgeführt (z. B. eine E-Mail wird an eine bestimmte Adresse gesendet).
10.12.1 Eine Benachrichtigung erstellen¶
Eine neue Benachrichtigung kann wie folgt erstellt werden:
Konfiguration > Benachrichtigungen in der Menüleiste wählen.
Benachrichtigung definieren (siehe Abb. 10.37).
Auf Speichern klicken.
Die folgenden Details der Benachrichtigung können festgelegt werden:
- Name
Festlegung des Namens. Der Name kann frei gewählt werden.
- Kommentar
Ein optionaler Kommentar kann zusätzliche Informationen enthalten.
- Ereignis
Festlegen des Ereignisses, für das die Benachrichtigung gesendet wird. Benachrichtigungen können gesendet werden, falls sich der Status einer Aufgabe ändert, Sicherheitsinfos (VTs, CVEs, CPEs, CERT-Bund-Advisories, DFN-CERT-Advisories) hinzugefügt werden oder ein Ticket zugewiesen oder geändert wird (siehe Kapitel 11.6).
- Bedingung
Festlegen der zusätzlichen Bedingungen, die erfüllt werden müssen.
Bemerkung
Die Optionen unterscheiden sich für Benachrichtigungen in Verbindung mit Aufgaben, Sicherheitsinfos und Tickets.
Die Benachrichtigung kann auftreten, wenn:
Immer
Falls ein bestimmter Schweregrad erreicht wird.
Falls der Schweregrad sich ändert, erhöht oder sinkt.
Falls der Powerfilter mindestens der angegebenen Anzahl von Ergebnissen mehr im Vergleich zum vorherigen Scan entspricht.
- Berichtinhalt (nur für Benachrichtigungen in Verbindung mit Aufgaben)
Der Berichtinhalt kann mit einem zusätzlichen Filter beschränkt werden. Durch Klicken auf kann der Inhalt des Berichts zusammengestellt und ein Powerfilter gewählt werden (siehe Kapitel 11.2.2). Der Filter muss zuvor erstellt werden (siehe Kapitel 8.3). Für Einfügen die Checkbox Notizen aktivieren, um Notizen hinzuzufügen und die Checkbox Übersteuerungen aktivieren, um aktivierte Übersteuerungen zu kennzeichnen und den Inhalt ihrer Textfelder einzufügen. Für Seitenadressierung die Checkbox Ignorieren aktivieren, damit die Filtereinstellungen für die Ergebnisse, die pro Seite auf der Web-Oberfläche angezeigt werden, nicht für die Ergebnisse im gesendeten Bericht übernommen werden.
- Details-URL (nur für Benachrichtigungen in Verbindung mit Sicherheitsinfos)
Festlegen der URL, von der die Sicherheitsinfos erhalten werden.
- Delta-Bericht (nur für Benachrichtigungen in Verbindung mit Aufgaben)
Optional kann ein Delta-Bericht erstellt werden, entweder als Vergleich mit einem vorherigen Bericht oder mit einem Bericht mit einer bestimmten ID.
- Methode
Wählen der Methode der Benachrichtigung. Nur eine Methode kann pro Benachrichtigung gewählt werden. Falls unterschiedliche Benachrichtigungen für das gleiche Ereignis ausgelöst werden soll, müssen mehrere Benachrichtigungen erstellt und mit dem gleichen Ereignis verknüpft werden.
Bemerkung
Einige Methoden können nicht für Benachrichtigungen in Verbindung mit Sicherheitsinfos oder Tickets genutzt werden.
Die folgenden Methoden sind möglich:
Der Bericht wird an eine angegebene E-Mail-Adresse gesendet.
Um diese Methode nutzen zu können, muss der verwendete Mailhub mithilfe des GOS-Administrationsmenüs konfiguriert sein (siehe Kapitel 7.2.11).
Die Einstellungen Empfängeradresse, Senderadresse und Inhalte müssen konfiguriert werden, damit die E-Mail-Benachrichtigung funktioniert. Die E-Mail-Verschlüsselung ist optional.
- Empfängeradresse
E-Mail-Adresse, an die die E-Mail gesendet wird.
- Senderadresse
E-Mail-Adresse, die als E-Mail-Absender genutzt wird.
- Subjekt
Für den Betreff können die folgenden Platzhalter genutzt werden:
$d: Datum der letzten Prüfung der Sicherheitsinfos oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
$e: Beschreibung des Ereignisses.
$n: Name der Aufgabe oder leer für Benachrichtigungen in Verbindung mit Sicherheitsinfos/Tickets.
$N: Name der Benachrichtigung.
$q: Art des Ereignisses für Sicherheitsinfos (Neu, Aktualisiert) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
$s: Art der Sicherheitsinfos (z. B. NVT, CERT-Bund-Advisory) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
$S: Siehe $s, aber pluralisiert (z. B. NVTs, CERT-Bund-Advisories) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
$T: Gesamtanzahl der Objekte in der Liste für Benachrichtigungen in Verbindung mit Sicherheitsinfos oder 0 für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
$u: Besitzer der Benachrichtigung oder aktuell eingeloggter Benutzer, falls die Benachrichtigung manuell ausgelöst wird.
$U: UUID der Benachrichtigung.
$$: Dollarzeichen ($).
- E-Mail-Verschlüsselung
Die E-Mail kann mithilfe eines konfigurierbaren S/MIME- oder PGP-Schlüssels verschlüsselt werden. Der Schlüssel kann in der Drop-down-Liste E-Mail-Verschlüsselung gewählt oder durch Klicken auf erstellt werden. Die Zertifikatdatei muss die folgenden Bedingungen erfüllen:
PEM-kodiert (eine binäre DER-Datei kann nicht genutzt werden)
Nutzung des X.509-Formats
Ausgestellt für die E-Mail-Adresse des Empfängers (Empfängeradresse) und gültig (nicht abgelaufen)
Falls das Zertifikat ursprünglich in gebündeltem Format vorlag, das auch den privaten Schlüssel enthielt, muss nur das unverschlüsselte Zertifikat hochgeladen werden.
Im Falle von S/MIME-Anmeldedaten muss die Zertifikatdatei zusätzlich die folgende Bedingung erfüllen:
Kombiniert alle Zertifikate der Kette (root-Zertifikate und alle zwischenliegende Zertifikate)
- Inhalte
Der Inhalt der E-Mail kann eine einfache Notiz, ein eingefügter oder ein angehängter Bericht sein.
- Bericht einfügen
Der Bericht kann direkt in die E-Mail eingefügt werden. Jedes Berichtformat, das einen Inhaltstyp beginnend mit text/ nutzt, kann gewählt werden, da E-Mails binären Inhalt nicht direkt unterstützen.
- Bericht anhängen
Der Bericht kann an die E-Mail angehängt werden. Jedes Berichtformat kann gewählt werden. Der Bericht wird in seinem korrekten MIME-Typ an die generierte E-Mail angehängt.
Der Inhalt der E-Mail-Nachricht kann sowohl für den eingefügten als auch für den angehängten Bericht bearbeitet werden. Für die Nachricht können die folgenden Platzhalter genutzt werden:
$c: Beschreibung der Bedingung.
$d: Datum der letzten Prüfung der Sicherheitsinfos oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
$e: Beschreibung des Ereignisses.
$F: Name des Filters.
$f: Filterausdruck.
$H: Zusammenfassung der Hosts.
$i: Berichttext oder Liste von Sicherheitsinfo-Objekten (nur, falls der Bericht/die Liste eingefügt wird).
$n: Name der Aufgabe oder leer für Benachrichtigungen in Verbindung mit Sicherheitsinfos/Tickets.
$N: Name der Benachrichtigung.
$q: Art des Ereignisses für Sicherheitsinfos (Neu, Aktualisiert) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
$r: Name des Berichtformats.
$s: Art der Sicherheitsinfos (z. B. NVT, CERT-Bund-Advisory) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
$S: Siehe $s, aber pluralisiert (z. B. NVTs, CERT-Bund-Advisories) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
$t: Notiz, falls der Bericht gekürzt wurde.
$T: Gesamtanzahl der Objekte in der Liste für Benachrichtigungen in Verbindung mit Sicherheitsinfos oder 0 für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
$u: Besitzer der Benachrichtigung oder aktuell eingeloggter Benutzer, falls die Benachrichtigung manuell ausgelöst wird.
$U: UUID der Benachrichtigung.
$z: Die genutzte Zeitzone.
$$: Dollarzeichen ($).
- HTTP-Get
Die URL wird als HTTP Get ausgegeben. Beispielsweise kann eine SMS-Textnachricht via HTTP-Get-Gateway gesendet oder ein Bug-Bericht in einem Problemtracker erstellt werden. Für die URL können die folgenden Platzhalter genutzt werden:
$n: Name der Aufgabe oder leer für Benachrichtigungen in Verbindung mit Sicherheitsinfos/Tickets.
$e: Beschreibung des Ereignisses.
$c: Beschreibung der Bedingung.
$$: Dollarzeichen ($).
Beispiel:
https://example.com/$n
→https://example.com/Scan_Aufgabe_1
- SCP
Der Bericht wird über das Secure Copy Protocol (SCP) unter Nutzung der angegebenen Anmeldedaten für die Authentifizierung auf das festgelegte Ziel kopiert.
Alle Einstellungen (Anmeldedaten, Host, Bekannte Hosts und Pfad) müssen konfiguriert werden, damit die SCP-Benachrichtigung funktioniert.
- Anmeldedaten
Benutzername und Passwort oder Benutzername und SSH-Schlüssel, welche gültige Logininformationen für das Zielsystem enthalten.
- Host
Der Hostname oder die IP-Adresse des Zielsystems. Pro SCP-Benachrichtigung wird nur ein Zielsystem unterstützt.
- Port
Der Port, der für die Verbindung mit dem Zielsystem verwendet wird. Standardmäßig wird Port 22 verwendet. Es werden nur Werte unterstützt, die der Liste der standardisierten Ports (zwischen 1 und 65535) entsprechen. Wird ein nicht unterstützter Wert gespeichert, wird stattdessen entweder der Standardwert
22
verwendet oder der eingegebene Wert gekürzt, z. B.70000
wird zu7000
.
- Bekannte Hosts
Der öffentliche SSH-Schlüssel des Zielsystems im Format „Host Protokoll öffentlicher_Schlüssel“, z. B.
localhost ssh-rsa AAAAB3NzaC1y...P3pCquVb
. Der „Host“-Teil muss entsprechend mit dem Hostnamen oder der IP-Adresse übereinstimmen.
- Pfad
Der vollständige Pfad des Zielverzeichnisses und der Zieldatei, z. B.
/home/user/Downloads/report.xml
. Das Verkürzen des Pfads, z. B. durch Nutzen von~
wird nicht unterstützt. Für den Dateinamen können die folgenden Platzhalter genutzt werden:$$: Dollarzeichen ($).
$n: Name der Aufgabe.
- Bericht
Format des kopierten Berichts.
- Sende an Host
Der Bericht wird via TCP an eine beliebige Host-Port-Kombination gesendet. Die IP-Adresse oder der Hostname ist zulässig.
Das Format des Berichts kann aus den installierten Berichtformaten gewählt werden.
- SMB
Der Bericht wird über Server Message Block (SMB) unter Nutzung der angegebenen Anmeldedaten für die Authentifizierung auf das festgelegte Ziel kopiert.
Die Einstellungen Anmeldedaten, Freigabepfad und Dateipfad müssen konfiguriert werden, damit die SMB-Benachrichtigung funktioniert. Die Wahl eines Berichtformats ist optional.
- Anmeldedaten
Benutzername und Passwort, welche gültige Logininformationen für das Zielsystem enthalten.
- Freigabepfad
Der Freigabepfad enthält den Teil des UNC-Pfads, der den Host und den Freigabenamen enthält, z. B.
\\host\share
. Der Freigabepfad muss auf dem Zielsystem angelegt werden, bevor die Benachrichtigung genutzt werden kann.
- Dateipfad
Ort des Berichts im Freigabeordner, der durch den Freigabepfad festgelegt wird.
Bemerkung
Falls der Dateipfad Unterordner enthält, die nicht existieren, werden die benötigten Unterordner erstellt.
Die Dateiendung wird dem in der Drop-down-Liste Berichtformat gewählten Format entsprechend angehängt.
Der Standardname für exportierte Berichte (siehe Kapitel 8.7) wird an den Dateipfad angehängt, falls dieser mit
\
endet.Bemerkung
Falls eine Aufgabe den Tag
smb-alert:file_path
mit einem Wert nutzt, wird der Wert als Dateipfad genutzt und nicht der Pfad, der mit der Benachrichtigung konfiguriert wurde (siehe Kapitel 8.4). Beispiel:smb-alert:file_path=alert_1
weist den Dateipfadalert_1
zu.Für den Dateipfad können die folgenden Platzhalter genutzt werden:
%C: Erstellungsdatum im Format YYYYMMDD. Wird zum aktuellen Datum geändert, falls kein Erstellungsdatum verfügbar ist.
%C: Erstellungszeit im Format HHMMSS. Wird zur aktuellen Zeit geändert, falls keine Erstellungszeit verfügbar ist.
%D: Aktuelles Datum im Format YYYYMMDD.
%F: Name des genutzten Berichtformats (XML für Listen und andere Typen als Berichte).
%M: Modifizierungsdatum im Format YYYYMMDD. Wird zum Erstellungsdatum oder zum aktuellen Datum geändert, falls kein Modifizierungsdatum verfügbar ist.
%m: Modifizierungszeit im Format HHMMSS. Wird zur Erstellungszeit oder zur aktuellen Zeit geändert, falls keine Modifizierungszeit verfügbar ist.
%N: Name des Objekts oder, im Falle von Berichten, der zugehörigen Aufgabe. Listen und Typen ohne Namen nutzen den Typen (siehe %T).
%T: Objekttyp, z. B. „task“, „port_list“. Pluralisiert für Listenseiten.
%t: Aktuelle Zeit im Format HHMMSS.
%U: Eindeutige ID des Objekts oder „list“ für Listen aus mehreren Objekten.
%u: Name des aktuell eingeloggten Benutzers.
%%: Prozentzeichen (%).
- Berichtformat
Format des kopierten Berichts. Falls kein Berichtformat festgelegt wird, wird standardmäßig XML genutzt.
- Max Protocol
SMB-Version, falls der SMB-Server nur eine bestimmte Version unterstützt. Die folgenden Optionen können gewählt werden:
Standard
SMB3
SMB2
NT1 (für SMBv1)
Falls keine SMB-Version oder Standard gewählt wird, wird die aktuellste unterstützte Version verwendet.
- SNMP
Ein SNMP-Trap wird an den angegebenen Agenten gesendet. Der festgelegte Community-String wird genutzt, um den SNMP-Trap zu authentifizieren. Der Agent ist der als Ziel gesetzte SNMP-Trap-Empfänger. Für die Nachricht können die folgenden Platzhalter genutzt werden:
$$: Dollarzeichen ($).
$d: Datum der letzten Prüfung der Sicherheitsinfos oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
$e: Beschreibung des Ereignisses.
$n: Name der Aufgabe oder leer für Benachrichtigungen in Verbindung mit Sicherheitsinfos/Tickets.
$q: Art des Ereignisses für Sicherheitsinfos (Neu, Aktualisiert) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
$s: Art der Sicherheitsinfos (z. B. NVT, CERT-Bund-Advisory) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
$S: Siehe $s, aber pluralisiert (z. B. NVTs, CERT-Bund-Advisories) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
$T: Gesamtanzahl der Objekte in der Liste für Benachrichtigungen in Verbindung mit Sicherheitsinfos oder 0 für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
- Sourcefire-Schnittstelle
Die Daten können automatisch an das Cisco Firepower Management Center (früher als Sourcefire Defense Center bekannt) gesendet werden. Für mehr Informationen siehe Kapitel 18.3.
- Aufgabe starten
Die Benachrichtigung kann eine zusätzliche Aufgabe starten. Die Aufgabe wird in der Drop-down-Liste Aufgabe starten gewählt.
- System-Logger
Die Benachrichtigung wird an einen Syslog-Daemon gesendet. Der Syslog-Server wird mithilfe des GOS-Administrationsmenüs festgelegt (siehe Kapitel 7.2.12).
Bemerkung
Die Zeitzone der Appliance (UTC±00:00) wird für die Zeitstempel der Protokolle verwendet, sofern dies nicht auf dem Syslog-Server angepasst wurde.
- verinice.PRO-Konnektor
Die Daten können automatisch an eine verinice.PRO-Installation gesendet werden. Für mehr Informationen siehe Kapitel 18.1.
- TippingPoint SMS
Eine HTTPS-API wird verwendet, um einen Bericht im CSV-Format in das TippingPoint Security Management System (SMS) hochzuladen.
- Hostname / IP
Hostname oder IP-Adresse des TippingPoint SMS. Der CSV-Bericht wird dann an
https://<address>/vulnscanner/import
gesendet, wobei<address>
der/die eingegebene Hostname/IP-Adresse ist.
- Anmeldedaten
Benutzername und Passwort, welche gültige Logininformationen für das TippingPoint SMS enthalten.
- SSL / TLS Certificate
Ein CA-Zertifikat zur Überprüfung, ob es sich bei dem Host, mit dem sich die Benachrichtigung verbindet, um das TippingPoint SMS handelt. Die Zertifikatdatei muss die folgenden Bedingungen erfüllen:
PEM-kodiert (eine binäre DER-Datei kann nicht genutzt werden)
Nutzung des X.509-Formats
- Problemumgehung für Standard-Zertifikat verwenden
Standardmäßig verwendet das Zertifikat Tippingpoint als Common Name (CN), der in den meisten Fällen nicht mit dem Hostnamen/der IP-Adresse des TippingPoint SMS übereinstimmt. Falls aktiviert, ändert der Workaround den CN vorübergehend und löst ihn innerhalb des internen Konnektorskripts in den tatsächlichen Hostnamen/die IP-Adresse auf.
- Alemba vFire
In der Anwendung zur Dienstverwaltung vFire wird ein neues Ticket erstellt. Der Bericht kann in einem oder mehreren Formaten angehängt werden. Für mehr Informationen siehe Kapitel 18.4.
10.12.2 Eine Benachrichtigung einer Aufgabe zuweisen¶
Falls eine Benachrichtigung genutzt werden soll, muss die Benachrichtigung wie folgt für eine bestimmte Aufgabe festgelegt werden:
Bemerkung
Bereits definierte und genutzte Aufgaben können ebenfalls bearbeitet werden, da dies keinen Einfluss auf bereits erstellte Berichte hat.
Scans > Aufgaben in der Menüleiste wählen.
Benachrichtigung in der Drop-down-Liste Benachrichtigungen wählen (siehe Abb. 10.38).
Auf Speichern klicken.
→ Anschließend wird die Aufgabe, die die Benachrichtigung nutzt, auf der Detailseite der Benachrichtigung angezeigt (siehe Abb. 10.39).
10.12.3 Benachrichtigungen verwalten¶
Listenseite
Alle vorhandenen Benachrichtigungen können angezeigt werden, indem Konfiguration > Benachrichtigungen in der Menüleiste gewählt wird.
Für alle Benachrichtigungen werden die folgenden Informationen angezeigt:
- Name
Name der Benachrichtigung.
- Ereignis
Ereignis, für das die Benachrichtigung ausgelöst wird.
- Bedingung
Bedingung, die erfüllt werden muss, um die Benachrichtigung auszulösen.
- Methode
Gewählte Benachrichtigungsmethode mit zusätzlichen Informationen, z. B. an welche IP- oder E-Mail-Adresse die Benachrichtigung gesendet wird.
- Filter (nur für Benachrichtigungen in Verbindung mit Aufgaben)
Filter, der auf den Inhalt des Berichts angewendet wird.
- Aktiv
Hinweis, ob die Benachrichtigung aktiviert oder deaktiviert ist.
Für alle Benachrichtigungen sind die folgenden Aktionen verfügbar:
Die Benachrichtigung in den Papierkorb verschieben. Nur Benachrichtigungen, die aktuell nicht genutzt werden, können in den Papierkorb verschoben werden.
Bemerkung
Durch Klicken auf oder unterhalb der Liste von Benachrichtigungen können mehrere Benachrichtigungen zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Benachrichtigungen in den Papierkorb verschoben oder exportiert werden.
Detailseite
Durch Klicken auf den Namen einer Benachrichtigung werden Details der Benachrichtigung angezeigt. Durch Klicken auf wird die Detailseite der Benachrichtigungen geöffnet.
Die folgenden Register sind verfügbar:
- Informationen
Allgemeine Informationen über die Benachrichtigung.
- Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.4).
- Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).
Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:
Eine neue Benachrichtigungen erstellen (siehe Kapitel 10.12.1).
Die Benachrichtigung in den Papierkorb verschieben. Nur Benachrichtigungen, die aktuell nicht genutzt werden, können in den Papierkorb verschoben werden.
10.13 Hindernisse beim Scannen¶
Es gibt eine Reihe typischer Probleme, welche während eines Scans mit den Standardwerte der Appliance auftreten können. Während die Standardwerte der Appliance für die meisten Umgebungen und Nutzenden passend sind, benötigen sie möglicherweise etwas Optimierung, abhängig von der tatsächlichen Umgebung und der Konfiguration der gescannten Hosts.
10.13.1 Hosts nicht gefunden¶
Während eines typischen Scans (entweder Discovery oder Full and fast) nutzt die Appliance standardmäßig zuerst den Pingbefehl, um die Verfügbarkeit der konfigurierten Ziele zu prüfen. Falls ein Ziel nicht auf die Pinganfrage antwortet, wird es als tot angenommen und nicht vom Portscanner oder einem VT gescannt.
In den meisten LAN-Umgebungen stellt dies kein Problem dar, da alle Geräte auf eine Pinganfrage antworten. Allerdings unterdrücken (lokale) Firewalls oder andere Konfigurationen manchmal die Pingantwort. Falls dies passiert, wird das Ziel nicht gescannt und ist nicht in den Ergebnissen und im Bericht enthalten.
Um dieses Problem zu beseitigen, müssen sowohl die Konfiguration des Ziels als auch die Scan-Konfiguration die Einstellung des Erreichbarkeitstest unterstützen (siehe Alive Test).
Falls das Ziel nicht auf die Pinganfrage reagiert, könnte ein TCP-Ping getestet werden. Falls sich das Ziel in derselben Übertragungsdomäne befindet, könnte auch ein ARP-Ping genutzt werden.
10.13.2 Lang andauernde Scans¶
Wenn mithilfe des Pingbefehls erkannt wurde, dass das Ziel erreichbar ist, nutzt die Appliance einen Portscanner, um das Ziel zu scannen. Standardmäßig wird eine TCP-Portliste mit ungefähr 5000 Ports genutzt. Falls das Ziel durch eine (lokale) Firewalls geschützt wird, die die meisten dieser Pakete weglässt, muss der Portscan auf das Timeout jedes einzelnen Ports warten. Falls die Hosts durch (lokale) Firewalls geschützt werden, müssen die Portlisten oder die Firewalls angepasst werden. Falls die Firewall die Anfrage nicht fallen lässt, aber sie ablehnt, muss der Portscanner nicht auf das Timeout warten. Dies gilt insbesonders für UDP-Ports, die im Scan enthalten sind.
10.13.3 VT nicht genutzt¶
Dies geschieht besonders häufig, falls UDP-basierte VTs wie solche, die SNMP nutzen, verwendet werden. Falls die Standardkonfiguration Full and fast genutzt wird, werden die SNMP-VTs eingeschlossen. Falls das Ziel allerdings so konfiguriert ist, dass es die Standardportliste nutzt, werden die VTs nicht ausgeführt. Dies liegt daran, dass die Standardportliste keine UDP-Ports beinhaltet. Deshalb wird der Port 161/UDP (SNMP) nicht gefunden und von späteren Scans ausgeschlossen. Der Discovery-Scan und die empfohlene Scan-Konfiguration Full and fast optimieren den Scan basierend auf den gefundenen Diensten. Falls der UDP-Port nicht erkannt wird, werden keine SNMP-VTs ausgeführt.
Es sollten nicht alle Ports in der Portliste standardmäßig aktiviert sein. Dies verlängert den Scan wesentlich. Die bewährte Methode ist es, die Portliste auf die Ports einzustellen, die in der Umgebung genutzt werden und von den Firewalls unterstützt werden.
10.13.4 vHosts scannen¶
Der Scanner ist in der Lage, alle Beziehungen zwischen Hostnamen und IP-Adressen zu finden, ohne dass zusätzliches Input durch den Benutzer nötig ist.
In Umgebungen mit virtuellen Hosts (vHosts) haben die Scanberichte weniger Ergebnisse, da Duplikate vermieden werden.
Zwei Scanner-Vorgaben steuern das Scannen von vHosts (siehe Kapitel 10.9.4):
- test_empty_vhost
Falls diese Vorgabe aktiviert ist, scannt der Scanner das Ziel auch unter Nutzung leerer vHost-Werte, zusätzlich zu den dem Ziel zugewiesenen vHost-Werten.
- expand_vhosts
Falls diese Vorgabe aktiviert ist, wird die Hostliste des Ziels mit Werten erweitert, die durch Quellen wie Invers-Lookup-Anfragen und VT-Prüfungen für SSL/TLS-Zertifikate erhalten wurden.