19. Architektur

19.1. Protokolle

Es gibt obligatorische und optionale Protokolle. Einige Protokolle werden nur in bestimmten Setups genutzt.

Der GSM benötigt einige Protokolle um voll funktionsfähig zu sein. Diese Protokolle stellen Feed-Updates, die Domain-Name-System-Auflösung (DNS-Auflösung), die Zeit etc. bereit.

19.1.1. GSM als Client

_images/GSM_acting_as_client.png

Abb. 19.1 GSM als Client

Die folgenden Protokolle werden von eigenständigen Systemen oder einem GSM-Master genutzt, um Verbindungen als Client zu initiieren:

DNS – Namensauflösung

  • Verbindet zu 53/udp und 53/tcp
  • Obligatorisch
  • Nicht verschlüsselt
  • Kann interne DNS-Server nutzen

NTP – Zeitsynchronisierung

  • Verbindet zu 123/udp
  • Obligatorisch
  • Nicht verschlüsselt
  • Kann interne NTP-Server nutzen

Feeds (siehe unten)

  • Direkt
    • Verbindet zu 24/tcp oder 443/tcp
    • Direkter Internetzugang erforderlich
  • Über Proxy
    • Verbindet zu internem HTTP-Proxy, der CONNECT-Methode auf konfigurierbarem Port unterstützt
  • Verbindet zu apt.greenbone.net und feed.greenbone.net
  • Obligatorisch auf eigenständigen und Master-Appliances
  • Genutztes Protokoll ist SSH
  • Verschlüsselt und in beide Richtungen authentifiziert über SSH
    • Server: öffentlicher Schlüssel
    • Client: öffentlicher Schlüssel

DHCP

  • Verbindet zu 67/udp und 68/udp
  • Optional
  • Nicht verschlüsselt

LDAPS – Benutzerauthentifizierung

  • Verbindet zu 636/tcp
  • Optional
  • Verschlüsselt und authentifiziert über SSL/TLS
    • Server: Zertifikat
    • Client: Benutzername/Passwort

Syslog – Remote-Protokollierung und -Benachrichtigungen

  • Verbindet zu 512/udp oder 512/tcp
  • Optional
  • Nicht verschlüsselt

SNMP-Traps für Benachrichtigungen

  • Verbindet zu 162/udp
  • Optional
  • Nur SNMPv1
  • Nicht verschlüsselt

SMTP für E-Mail-Benachrichtigungen

  • Verbindet standardmäßig zu 25/tcp, verbindet alternativ zu 587/tcp
  • Optional
  • Verschlüsselt über STARTTLS, falls möglich
  • Nicht verschlüsselt, falls Verschlüsselung über STARTTLS nicht möglich ist

SSH für Backups

  • Verbindet zu 22/tcp
  • Optional
  • Verschlüsselt und in beide Richtungen authentifiziert über SSH
    • Server: öffentlicher Schlüssel
    • Client: öffentlicher Schlüssel

Cisco Firepower (Sourcefire) für IPS-Integration

  • Verbindet zu 8307/tcp
  • Optional
  • Verschlüsselt und in beide Richtungen authentifiziert über SSL/TLS
    • Server: Zertifikat
    • Client: Zertifikat

verinice.PRO

  • Verbindet zu 443/tcp
  • Optional
  • Verschlüsselt über SSL/TLS
    • Server: optional über Zertifikat
    • Client: Benutzername/Passwort

TippingPoint SMS

  • Verbindet zu 443/tcp
  • Optional
  • Verschlüsselt über SSL/TLS
    • Server: Zertifikat
    • Client: Zertifikat, Benutzername/Passwort

19.1.2. GSM als Server

_images/GSM_acting_as_a_server.png

Abb. 19.2 GSM handelt als Server

Die folgenden Verbindungen werden von einem GSM, der als Server agiert, genutzt:

HTTPS – Web-Oberfläche

  • 443/tcp
  • Obligatorisch auf eigenständigen und Master-Appliances
  • Verschlüsselt und authentifiziert über SSL/TLS
    • Server: optional über Zertifikat
    • Client: Benutzername/Passwort

SSH – CLI-Zugang und GMP

  • 22/tcp
  • Optional
  • Verschlüsselt und authentifiziert über SSH
    • Server: öffentlicher Schlüssel
    • Client: Benutzername/Passwort

SNMP

  • 161/udp
  • Optional
  • Optional verschlüsselt, falls SNMPv3 genutzt wird

19.1.3. Master-Sensor-Setup

_images/Master_Sensor_Communication.png

Abb. 19.3 GSM-Master und -Sensor

In einem Master-Sensor-Setup gelten die folgenden zusätzlichen Anforderungen. Der Master (Server) veranlasst bis zu drei zusätzliche Verbindungen zum Sensor (Client):

SSH für GOS-Upgrades, Feed-Updates und GMP

  • 22/tcp
  • Obligatorisch
  • Verschlüsselt und in beide Richtungen authentifiziert über SSH
    • Server: öffentlicher Schlüssel
    • Client: öffentlicher Schlüssel

19.2. Hinweise zur Nutzung eines Sicherheitsgateways

Viele Unternehmen setzen Sicherheitsgateways ein, um den Internetzugang zu beschränken. Diese Sicherheitsgateways können als Paketfilter oder Gateways auf der Anwendungsebene wirken.

Einige Produkte unterstützen tiefgreifende Untersuchungen und versuchen das tatsächlich in den Kommunikationskanälen genutzte Protokoll zu bestimmen. Sie versuchen möglicherweise sogar, jede verschlüsselte Kommunikation zu entschlüsseln und zu analysieren.

19.2.1. Eigenständiger oder Master-GSM

Während viele Kommunikationsprotokolle, die der GSM unterstützt, nur intern verwendet werden, benötigen manche Protokolle Zugang zum Internet. Diese Protokolle können möglicherweise durch solche Sicherheitsgateways gefiltert werden.

Beim Einsetzen eines GSMs als eigenständige Appliance oder als Master, muss der GSM in der Lage sein, auf den Greenbone Security Feed zuzugreifen. Der Greenbone Security Feed kann direkt über die Ports 24/tcp oder 443/tcp oder durch Nutzung eines Proxys erreicht werden.

Bemerkung

In allen Fällen ist das genutzte Protokoll SSH, auch wenn der Port 443/tcp oder ein HTTP-Proxy genutzt wird.

Eine Deep-Inspection-Firewall könnte die Nutzung des SSH-Protokolls auf Port 443/tcp entdecken und den Verkehrt abbrechen oder blockieren.

Falls das Sicherheitsgateway versucht, den Verkehr mithilfe von Man-in-the-Middle-Techniken zu entschlüsseln, fällt die Kommunikation zwischen dem GSM und dem Feedserver aus. Das SSH-Protokoll, das eine doppeltgerichtete Authentifizierung basierend auf öffentlichen Schlüsseln nutzt, verhindert jeden Man-in-the-Middle-Angriff, indem es die Kommunikation beendet.

Zusätzliche Protokolle, die Internetzugang benötigen, sind DNS und NTP. Sowohl DNS als auch NTP können für die Nutzung von internen DNS- und NTP-Servern konfiguriert werden.

19.2.2. Sensor-GSM

Falls Sicherheitsgateways zwischen dem Master und dem Sensor eingesetzt werden, muss das Sicherheitsgateway SSH-Verbindungen (22/tcp) vom Master zum Sensor erlauben.