14. Compliance-Scans und besondere Scans durchführen

In der Informationstechnologie (IT) ist die Compliance der Hauptansatz für Unternehmen, um ihre Informationen und Vermögenswerte geschützt und sicher zu verwahren.

Mit zunehmender Cyberkriminalität sehen Regierungen die Notwendigkeit, die Identitäten und Vermögen ihrer Bürger zu schützen. Dazu werden Vorschriften und Verordnungen zum Schutz der Privatsphäre und der IT-Sicherheit aufgestellt. Einrichtungen für die Informationssicherheit, wie die Information Systems Audit and Control Association (ISACA) und die Internationale Organisation für Normung (ISO) veröffentlichen IT-Sicherheitsstandards, -rahmenpläne und -leitfäden.

Für diese Standards, Rahmenpläne und Leitfäden müssen Unternehmen entsprechende Schutzmaßnahmen einrichten, um sich selbst und ihre Informationsbestände vor Angriffen zu schützen. Für die Implementierung muss das Unternehmen einen IT-Sicherheitsrahmenplan erstellen, der Richtlinien, Standards, Baselines, Leitfäden und detaillierte Vorgänge enthält.

Schwachstellenbewertungssysteme wie der Greenbone Security Manager (GSM) können IT-Sicherheitsexperten dabei unterstützen, ihre Schutzmaßnahmen auf die oben genannten Standards, Rahmenpläne und Leitfäden zu prüfen.

14.1. Allgemeine Richtlinienscans

Beim Durchführen von Richtlinienscans gibt es vier Gruppen von NVTs in der NVT-Familie Policy, die entsprechend konfiguriert werden können.

Mindestens zwei dieser vier Richtlinien-NVTs werden benötigt, um einen Richtlinienscan durchzuführen.

Die vier NVT-Arten sind:

Basis

Dieser NVT führt den eigentlichen Scan der Richtlinie durch.

Errors

Dieser NVT fasst alle Elemente zusammen, in denen beim Durchführen des Basis-NVTs Fehler auftraten.

Matches

Dieser NVT fasst alle Elemente zusammen, auf die die vom Basis-NVT durchgeführten Prüfungen zutreffen.

Violations

Dieser NVT fasst alle Elemente zusammen, auf die die vom Basis-NVT durchgeführten Prüfungen nicht zutreffen.

Bemerkung

Der Basis-NVT muss für eine Richtlinienprüfung immer gewählt werden, da er die eigentliche Prüfung durchführt. Die anderen drei NVTs können entsprechend der Anforderungen gewählt werden. Falls beispielsweise das Erkennen von Mustern nicht von Bedeutung ist, sollte zusätzlich nur ein NVT der Art Violations gewählt werden.

14.1.1. Dateiinhalt prüfen

Prüfungen des Dateiinhalts gehören zu den Richtlinienprüfungen, die nicht explizit nach Schwachstellen suchen, sondern die Erfüllung von Dateiinhalten (z. B. Konfigurationsdateien) bezüglich bestimmter Vorgaben kontrollieren.

Der GSM stellt ein Richtlinienmodul bereit, um zu prüfen, ob der Dateiinhalt mit einer gegebenen Richtlinie übereinstimmt.

Im Allgemeinen ist dies ein authentifizierter Scan, was bedeutet, dass sich die Scanmaschine in das Zielsystem einloggen muss, um die Prüfung durchzuführen (siehe Kapitel 10.3).

Die Prüfung des Dateiinhalts kann nur auf Systemen durchgeführt werden, die den Befehl grep unterstützen. Dabei handelt es sich meist um Linux oder Linux-ähnliche Systeme.

Vier unterschiedliche NVTs der NVT-Familie Policy bieten die Prüfung des Dateiinhalts:

• File Content: Dieser NVT führt die eigentliche Prüfung des Dateiinhalts durch.
• File Content: Errors: Dieser NVT zeigt die Dateien, in denen Fehler auftraten (z. B. die Datei wurde nicht auf dem Zielsystem gefunden).
• File Content: Matches: Dieser NVT zeigt die Muster und Dateien, die die Prüfung des Dateiinhalts bestanden haben (die vorgegebenen Muster stimmen in der Datei überein).
• File Content: Violations: Dieser NVT zeigt die Muster und Dateien, die die Prüfung des Dateiinhalts nicht bestanden haben (die vorgegebenen Muster stimmen in der Datei nicht überein).

14.1.1.1. Muster des Dateiinhalts prüfen

1. Referenzdatei mit den zu prüfenden Mustern erstellen. Folgend ist ein Beispiel:

filename|pattern|presence/absence
/tmp/filecontent_test|^paramter1=true.*$|presence
/tmp/filecontent_test|^paramter2=true.*$|presence
/tmp/filecontent_test|^paramter3=true.*$|absence
/tmp/filecontent_test_notthere|^paramter3=true.*$|absence

Bemerkung

Die Datei muss die Zeile filename|pattern|presence/absence enthalten.

Die nachfolgenden Zeilen enthalten jeweils einen Prüfeintrag.

Jede Zeile enthält drei Felder, die durch | getrennt sind.

Das erste Feld enthält den Pfad und Dateinamen, das zweite Feld enthält das zu prüfende Muster (als regulären Ausdruck) und das dritte Feld gibt an, ob das Muster vorhanden sein muss oder nicht vorhanden sein darf.

2. In der Zeile der entsprechenden Scan-Konfiguration auf klicken.

3. Im Abschnitt Familien von Network Vulnerability Tests bearbeiten für die NVT-Familie Policy auf klicken.

   → Alle NVTs, die eine besondere Konfiguration erlauben, werden aufgelistet (siehe Abb. 14.1).

   

   Abb. 14.1 Bearbeiten einer NVT-Familie

4. Für File Content auf klicken.

5. Checkbox Datei hochladen aktivieren (siehe Abb. 14.2).

   Tipp

   Falls bereits eine Referenzdatei hochgeladen wurde, wird stattdessen die Checkbox Existierende Datei ersetzen angezeigt. Die Referenzdatei kann nur geändert werden, falls die Scan-Konfiguration aktuell nicht genutzt wird.

   

   Abb. 14.2 Hochladen der Referenzdatei

6. Auf Browse… klicken und die zuvor erstellte Referenzdatei wählen.

7. Auf Speichern klicken, um den NVT zu speichern.

8. Auf Speichern klicken, um die NVT-Familie zu speichern.

9. Auf Speichern klicken, um die Scan-Konfiguration zu speichern.

14.1.1.2. Den Schweregrad ändern

Die Schweregrade der NVTs hängen von der genutzten GOS-Version ab. Seit GOS 4.2 haben NVTs der Art Violations einen standardmäßigen Schweregrad von 10.

Früher hatten diese NVTs einen standardmäßigen Schweregrad von 0 (Logmeldung) und Übersteuerungen wurden für andere Schweregrade benötigt. Der neue Standard von 10 kann ebenfalls durch Übersteuerungen geändert werde (siehe Kapitel 11.8).

Durch das Aufteilen in drei unterschiedlichen NVTs ist es möglich, abhängig von den Anforderungen, verschiedene Übersteuerungen für den Schweregrad zu erstellen.

Im folgenden Beispiel wurden die Schweregrade von File Content: Violations und File Content: Errors geändert, was entsprechend in den Berichten angezeigt wird (siehe Abb. 14.3).

Abb. 14.3 Ändern des Schweregrads durch Übersteuerungen

14.1.1.3. Beispiel

Bemerkung

Die Übersteuerungen können entweder vor oder nach dem Scan erstellt werden. Letzteres ist einfacher, da die geeignete Übersteuerung über die Ergebnisseite erstellt werden kann (siehe Kapitel 11.8.1.1).

1. policy_file_content_example.xml und die zugehörige Prüfdatei filecontent_test herunterladen.

   Wichtig

   Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

   Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

2. Prüfdatei in das /tmp/-Verzeichnis des Zielsystems extrahieren.

3. Scans > Aufgaben in der Menüleiste wählen.

4. Aufgabe für das Ziel, auf dem die Prüfdatei gespeichert wurde, durch Bewegen der Maus über und Klicken auf Neue Aufgabe erstellen.

   Bemerkung

   Der Scan muss ein authentifizierter Scan mit geeigneten SSH-Anmeldedaten sein (siehe Kapitel 10.3.2).

5. In der Zeile der neu erstellen Aufgabe auf klicken.

14.1.2. Registryinhalt prüfen

Die Registrierungsdatenbank (Registry) ist eine Datenbank in Microsoft Windows, die wichtige Informationen über Systemhardware, installierte Programme und Benutzeraccounts auf dem Computer enthält. Microsoft Windows verweist kontinuierlich auf die Informationen in der Registry.

Aufgrund der Beschaffenheit der Microsoft-Windows-Registry trägt sich jedes Programm und jede Anwendung unter Microsoft Windows selbst in die Registry ein. Sogar Malware und anderer schädlicher Code hinterlassen normalerweise Spuren in der Registry.

Die Registry kann genutzt werden, um nach bestimmten Anwendungen oder mit Malware verbundenen Informationen wie Versionslevel und -nummer zu suchen. Außerdem können fehlende oder veränderte Registryeinstellungen auf potentielle Verletzungen der Sicherheitsrichtlinie an einem Endpunkt hinweisen.

Der GSM stellt ein Richtlinienmodul bereit, um Registryeinträge auf dem Zielsystem zu verifizieren. Dieses Modul prüft sowohl die An- oder Abwesenheit von Registryeinstellungen als auch Registryverletzungen.

Da die Registry auf Microsoft-Windows-Systeme beschränkt ist, kann diese Prüfung nur auf diesen Systemen durchgeführt werden.

Um auf die Regsitry des Zielsystems zuzugreifen, muss ein authentifizierter Scan durchgeführt werden.

Vier unterschiedliche NVTs der NVT-Familie Policy bieten die Prüfung des Registryinhalts:

• Windows Registry Check: Dieser NVT führt die eigentliche Prüfung des Registryinhalts auf den Dateien durch.
• Windows Registry Check: Errors: Dieser NVT zeigt die Dateien, in denen Fehler auftraten (z. B. der Registryinhalt wurde nicht auf dem Zielsystem gefunden).
• Windows Registry Check: OK: Dieser NVT zeigt die Registryeinstellungen, die die Prüfung der Registry bestanden haben (korrekter Registryinhalt).
• Windows Registry Check: Violations: Dieser NVT zeigt den Registryinhalt, der die Prüfung der Registry nicht bestanden haben (fehlerhafter Registryinhalt).

14.1.2.1. Muster des Registryinhalts prüfen

1. Referenzdatei mit dem Referenzinhalt erstellen. Folgend ist ein Beispiel:

Present|Hive|Key|Value|ValueType|ValueContent
TRUE|HKLM|SOFTWARE\Macromedia\FlashPlayer\SafeVersions|8.0|REG_DWORD|33
TRUE|HKLM|SOFTWARE\Microsoft\Internet Explorer
TRUE|HKLM|SOFTWARE\Microsoft\Internet Explorer|Version|REG_SZ|9.11.10240.16384
TRUE|HKLM|SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
 System|LocalAccountTokenFilterPolicy|REG_DWORD|1
FALSE|HKLM|SOFTWARE\Virus
TRUE|HKLM|SOFTWARE\ShouldNotBeHere
TRUE|HKLM|SOFTWARE\Macromedia\FlashPlayer\SafeVersions|8.0|REG_DWORD|*

Bemerkung

Die Datei muss die Zeile Present|Hive|Key|Value|ValueType|ValueContent enthalten.

Die nachfolgenden Zeilen enthalten jeweils einen Prüfeintrag.

Jede Zeile enthält sechs Felder, die durch | getrennt sind.

Das erste Feld gibt an, ob ein Registryeintrag vorhanden sein muss oder nicht, das zweite enthält die logische Untereinheit, in der sich der Registryinhalt befindet, das dritte den Schlüssel, das vierte den Wert, das fünfte den Werttyp und das sechste den Wertinhalt. Falls ein Sternchen * in der letzten Spalte genutzt wird, ist jeder Wert gültig und wird akzeptiert.

2. In der Zeile der entsprechenden Scan-Konfiguration auf klicken.

3. Im Abschnitt Familien von Network Vulnerability Tests bearbeiten für die NVT-Familie Policy auf klicken.

   → Alle NVTs, die eine besondere Konfiguration erlauben, werden aufgelistet (siehe Abb. 14.4).

   

   Abb. 14.4 Bearbeiten einer NVT-Familie

4. Für Windows Registry Check auf klicken.

5. Checkbox Datei hochladen aktivieren (siehe Abb. 14.5).

   Tipp

   Falls bereits eine Referenzdatei hochgeladen wurde, wird stattdessen die Checkbox Existierende Datei ersetzen angezeigt. Die Referenzdatei kann nur geändert werden, falls die Scan-Konfiguration aktuell nicht genutzt wird.

   

   Abb. 14.5 Hochladen der Referenzdatei

6. Auf Browse… klicken und die zuvor erstellte Referenzdatei wählen.

7. Auf Speichern klicken, um den NVT zu speichern.

8. Auf Speichern klicken, um die NVT-Familie zu speichern.

9. Auf Speichern klicken, um die Scan-Konfiguration zu speichern.

14.1.2.2. Den Schweregrad ändern

Die Schweregrade der NVTs hängen von der genutzten GOS-Version ab. Seit GOS 4.2 haben NVTs der Art Violations einen standardmäßigen Schweregrad von 10.

Früher hatten diese NVTs einen standardmäßigen Schweregrad von 0 (Logmeldung) und Übersteuerungen wurden für andere Schweregrade benötigt. Der neue Standard von 10 kann ebenfalls durch Übersteuerungen geändert werde (siehe Kapitel 11.8).

Durch das Aufteilen in drei unterschiedlichen NVTs ist es möglich, abhängig von den Anforderungen, verschiedene Übersteuerungen für den Schweregrad zu erstellen.

Im folgenden Beispiel wurden die Schweregrade von Windows Registry Check: Violations und Windows Registry Check: Errors geändert, was entsprechend in den Berichten angezeigt wird (siehe Abb. 14.6).

Abb. 14.6 Ändern des Schweregrads durch Übersteuerungen

14.1.2.3. Beispiel

Bemerkung

Die Übersteuerungen können entweder vor oder nach dem Scan erstellt werden. Letzteres ist einfacher, da die geeignete Übersteuerung über die Ergebnisseite erstellt werden kann (siehe Kapitel 11.8.1.1).

1. policy_registry_ScanConfig.xml und die zugehörige Prüfdatei registry_test herunterladen.

   Wichtig

   Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

   Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

2. Prüfdatei in das /tmp/-Verzeichnis des Zielsystems extrahieren.

3. Scans > Aufgaben in der Menüleiste wählen.

4. Aufgabe für das Ziel, auf dem die Prüfdatei gespeichert wurde, durch Bewegen der Maus über und Klicken auf Neue Aufgabe erstellen.

   Bemerkung

   Der Scan muss ein authentifizierter Scan mit geeigneten SSH-Anmeldedaten sein (siehe Kapitel 10.3.2).

5. In der Zeile der neu erstellen Aufgabe auf klicken.

14.1.3. Datei-Prüfsummen prüfen

Prüfungen der Datei-Prüfsummen gehören zu Richtlinienaudits, die nicht ausdrücklich auf Schwachstellen prüfen, sondern stattdessen auf Integrität einer Datei.

Der GSM stellt ein Richtlinienmodul bereit, um die Dateiintegrität auf dem Zielsystem zu verifizieren. Dieses Modul prüft den Dateiinhalt durch MD5- oder SHA1-Prüfsummen.

Im Allgemeinen ist dies ein authentifizierter Scan, was bedeutet, dass sich die Scanmaschine in das Zielsystem einloggen muss, um die Prüfung durchzuführen.

Die Prüfung von Prüfsummen kann nur auf Systemen durchgeführt werden, die Prüfsummen unterstützen. Normalerweise sind dies Linux- oder Linux-ähnliche Systeme. Trotzdem bietet der GSM auch ein Modul für die Prüfung von Prüfsummen auf Microsoft-Windows-Systemen (siehe Kapitel 14.1.3.4).

Vier unterschiedliche NVTs der NVT-Familie Policy stellen die Prüfung der Datei-Prüfsummen bereit:

• File Checksums: Dieser NVT führt die eigentliche Prüfung der Prüfsummen auf den Dateien durch.
• File Checksums: Errors: Dieser NVT zeigt die Dateien, in denen Fehler auftraten (z. B. die Datei wurde nicht auf dem Zielsystem gefunden).
• File Checksums: Matches: Dieser NVT zeigt die Dateien, die die Prüfung der Prüfsummen bestanden haben (übereinstimmende Prüfsummen).
• File Checksums: Violations: Dieser NVT zeigt die Dateien, die die Prüfung der Prüfsummen nicht bestanden haben (falsche Prüfsummen).

14.1.3.1. Muster der Datei-Prüfsummen prüfen

1. Referenzdatei mit den zu prüfenden Prüfsummen erstellen. Folgend ist ein Beispiel:

   Checksum|File|Checksumtype
   6597ecf8208cf64b2b0eaa52d8169c07|/bin/login|md5
   ed3ed98cb2efa9256817948cd27e5a4d9be2bdb8|/bin/bash|sha1
   7c59061203b2b67f2b5c51e0d0d01c0d|/bin/pwd|md5
   

Bemerkung

Die Datei muss die Zeile Checksum|File|Checksumtype enthalten.

Die nachfolgenden Zeilen enthalten jeweils einen Prüfeintrag.

Jede Zeile enthält drei Felder, die durch | getrennt sind.

Das erste Feld enthält die Prüfsumme in hexadezimaler Schreibweise, das zweite den Pfad und den Dateinamen und das dritte den Prüfsummentyp. Aktuell werden MD5 und SHA1 unterstützt.

Wichtig

Prüfsummen und Prüfsummentypen müssen in Kleinbuchstaben geschrieben werden.

2. In der Zeile der entsprechenden Scan-Konfiguration auf klicken.

3. Im Abschnitt Familien von Network Vulnerability Tests bearbeiten für die NVT-Familie Policy auf klicken.

   → Alle NVTs, die eine besondere Konfiguration erlauben, werden aufgelistet (siehe Abb. 14.7).

   

   Abb. 14.7 Bearbeiten einer NVT-Familie

4. Für File Checksums auf klicken.

5. Checkbox Datei hochladen aktivieren (siehe Abb. 14.8).

   Tipp

   Falls bereits eine Referenzdatei hochgeladen wurde, wird stattdessen die Checkbox Existierende Datei ersetzen angezeigt. Die Referenzdatei kann nur geändert werden, falls die Scan-Konfiguration aktuell nicht genutzt wird.

   

   Abb. 14.8 Hochladen der Referenzdatei

6. Auf Browse… klicken und die zuvor erstellte Referenzdatei wählen.

7. Auf Speichern klicken, um den NVT zu speichern.

8. Auf Speichern klicken, um die NVT-Familie zu speichern.

9. Auf Speichern klicken, um die Scan-Konfiguration zu speichern.

14.1.3.2. Den Schweregrad ändern

Die Schweregrade der NVTs hängen von der genutzten GOS-Version ab. Seit GOS 4.2 haben NVTs der Art Violations einen standardmäßigen Schweregrad von 10.

Früher hatten diese NVTs einen standardmäßigen Schweregrad von 0 (Logmeldung) und Übersteuerungen wurden für andere Schweregrade benötigt. Der neue Standard von 10 kann ebenfalls durch Übersteuerungen geändert werde (siehe Kapitel 11.8).

Durch das Aufteilen in drei unterschiedlichen NVTs ist es möglich, abhängig von den Anforderungen, verschiedene Übersteuerungen für den Schweregrad zu erstellen.

Im folgenden Beispiel wurden die Schweregrade von File Checksum: Violations und File Checksum: Errors geändert, was entsprechend in den Berichten angezeigt wird (siehe Abb. 14.9).

Abb. 14.9 Ändern des Schweregrads durch Übersteuerungen

14.1.3.3. Beispiel

Bemerkung

Die Übersteuerungen können entweder vor oder nach dem Scan erstellt werden. Letzteres ist einfacher, da die geeignete Übersteuerung über die Ergebnisseite erstellt werden kann (siehe Kapitel 11.8.1.1).

1. policy_file_checksums_example.xml und die zugehörige Prüfdatei policy_file_checksums_testfiles herunterladen.

   Wichtig

   Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

   Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

2. Prüfdatei in das /tmp/-Verzeichnis des Zielsystems extrahieren.

3. Scans > Aufgaben in der Menüleiste wählen.

4. Aufgabe für das Ziel, auf dem die Prüfdatei gespeichert wurde, durch Bewegen der Maus über und Klicken auf Neue Aufgabe erstellen.

   Bemerkung

   Der Scan muss ein authentifizierter Scan mit geeigneten SSH-Anmeldedaten sein (siehe Kapitel 10.3.2).

5. In der Zeile der neu erstellen Aufgabe auf klicken.

14.1.3.4. Muster der Datei-Prüfsummen für Microsoft Windows prüfen

Der GSM stellt ein ähnliches Modul für Microsoft-Windows-Systeme für die Prüfung der Datei-Prüfsummen bereit.

Da Microsoft Windows kein internes Programm für das Erstellen von Prüfsummen anbietet, muss ein solches entweder manuell oder automatisch durch den NVT erstellt werden. Der GSM nutzt ReHash zum Erstellen von Prüfsummen auf Microsoft-Windows-Systemen.

Bemerkung

Es gibt zwei Betriebsarten für diese Prüfungen:

• Nutzung eines Tools, das manuell auf dem Zielsystem installiert wurde.
• Falls gewünscht, wird das Tool ReHash während der Prüfroutine auch automatisch auf dem Zielsystem installiert und deinstalliert.

Wie für Linuxsysteme befinden sich die NVTs für die Prüfung der Prüfsummen in der NVT-Familie Policy.

1. Referenzdatei mit den zu prüfenden Mustern erstellen. Folgend ist ein Beispiel:

   Checksum|File|Checksumtype
   6597ecf8208cf64b2b0eaa52d8169c07|/bin/login|md5
   ed3ed98cb2efa9256817948cd27e5a4d9be2bdb8|/bin/bash|sha1
   7c59061203b2b67f2b5c51e0d0d01c0d|/bin/pwd|md5
   

2. In der Zeile der entsprechenden Scan-Konfiguration auf klicken.

3. Im Abschnitt Familien von Network Vulnerability Tests bearbeiten für die NVT-Familie Policy auf klicken.

   → Alle NVTs, die eine besondere Konfiguration erlauben, werden aufgelistet (siehe Abb. 14.10).

   

   Abb. 14.10 Bearbeiten einer NVT-Familie

4. Für Windows file Checksums auf klicken.

5. Für Delete hash test Programm after the test den Radiobutton Ja wählen, falls das Prüfsummenprogramm ReHash nach der Prüfung gelöscht werden soll (siehe Abb. 14.11).

   Tipp

   Das Programm kann auf dem Zielsystem verbleiben, z. B. um nachfolgende Prüfungen zu beschleunigen, und muss deshalb nicht jedes Mal übertragen werden.

   

   Abb. 14.11 Hochladen der Referenzdatei

6. Für Install hash test Programm on the Target den Radiobutton Ja wählen, falls das Prüfsummenprogramm ReHash automatisch auf dem Zielsystem installiert werden soll.

   Bemerkung

   Falls es nicht automatisch installiert wird, muss es manuell unter C:\\Windows\\system32 (auf 32-Bit-Systemen) oder C:\\Windows\\SysWOW64 (auf 64-Bit-Systemen) installiert werden und für den authentifizierten Benutzer ausführbar sein.

7. Checkbox Datei hochladen aktivieren.

   Tipp

   Falls bereits eine Referenzdatei hochgeladen wurde, wird stattdessen die Checkbox Existierende Datei ersetzen angezeigt. Die Referenzdatei kann nur geändert werden, falls die Scan-Konfiguration aktuell nicht genutzt wird.

8. Auf Browse… klicken und die zuvor erstellte Referenzdatei wählen.

9. Auf Speichern klicken, um den NVT zu speichern.

10. Auf Speichern klicken, um die NVT-Familie zu speichern.

11. Auf Speichern klicken, um die Scan-Konfiguration zu speichern.

14.1.3.5. Beispiel für Microsoft Windows

Bemerkung

Die Übersteuerungen können entweder vor oder nach dem Scan erstellt werden. Letzteres ist einfacher, da die geeignete Übersteuerung über die Ergebnisseite erstellt werden kann (siehe Kapitel 11.8.1.1).

1. sample_config-Windows_file_Policy.xml und zugehörige Prüfdatei windows_checksums_testfiles.zip herunterladen.

   Wichtig

   Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

   Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

2. Prüfdatei in das C:\-Verzeichnis des Zielsystems extrahieren.

3. Scans > Aufgaben in der Menüleiste wählen.

4. Aufgabe für das Ziel, auf dem die Prüfdatei gespeichert wurde, durch Bewegen der Maus über und Klicken auf Neue Aufgabe erstellen.

   Bemerkung

   Der Scan muss ein authentifizierter Scan mit geeigneten SSH-Anmeldedaten sein (siehe Kapitel 10.3.2).

5. In der Zeile der neu erstellen Aufgabe auf klicken.

14.1.4. CPE-basierte Prüfungen durchführen

Für detaillierte Informationen über Common Platform Enumeration (CPE) siehe Kapitel 13.2.2.

14.1.4.1. Einfache CPE-basierte Prüfungen für Sicherheitsrichtlinien

Mit jedem ausgeführten Scan werden CPEs für die gefundenen Produkte gespeichert. Dies geschieht unabhängig davon, ob das Produkt tatsächlich ein Sicherheitsproblem darstellt oder nicht. Auf dieser Basis ist es möglich, einfache Sicherheitsrichtlinien und die Prüfungen für die Compliance mit diesen zu beschreiben.

Mit dem Greenbone Security Manager ist es möglich, Richtlinien zu beschreiben, die sowohl das Vorhandensein als auch das Fehlen eines Produkt prüfen. Diese Fälle können mit einem Schweregrad in Verbindung gebracht werden, um im Scanbericht zu erscheinen.

Die Beispiele zeigen, wie die Compliance einer Richtlinie bezüglich bestimmter Produkte in einer IT-Infrastruktur geprüft wird und wie das Melden mit den entsprechenden Schweregraden durchgeführt wird.

Die Informationen darüber, ob ein bestimmtes Produkt auf dem Zielsystem vorhanden ist, wird von einem einzigen Network Vulnerability Test (NVT) oder sogar unabhängig von einer Anzahl besonderer NVTs gesammelt. Dies bedeutet, dass für ein bestimmtes Produkt eine optimierte Scan-Konfiguration bestimmt werden kann, die sich nur auf dieses Produkt konzentriert und keinerlei andere Scanaktivität durchführt.

Vorteile

Der Vorteil einer solchen besonderen Scan-Konfiguration ist die deutlich schnellere Ausführung des Scans im Vergleich zu einer umfassenden Scan-Konfiguration wie z. B. Full and fast.

Nachteile

Der Nachteil einer besonderen Scan-Konfiguration ist, dass Erfahrung nötig ist, um die richtigen NVTs zum Erhöhen der Erfolgswahrscheinlichkeit auszuwählen. Anfänglich ist es einfacher, eine umfassende Scan-Konfiguration anzuwenden. In diesem Fall ist es nicht nötig, die Produktmerkmale zu beachten, nur der CPE-Bezeichner wird eingegeben.

14.1.4.2. Das Vorhandensein problematischer Produkte entdecken

Dieses Beispiel zeigt, wie das Vorhandensein eines problematischen Produkts in einer IT-Infrastruktur als schwerwiegendes Problem klassifiziert und als solches gemeldet wird.

1. Konfiguration > Scan-Konfigurationen in der Menüleiste wählen.

2. Neue Scan-Konfiguration durch Klicken auf erstellen.

3. Name der Scan-Konfiguration festlegen (siehe Abb. 14.12).

4. Radiobutton Full and fast wählen.

   Bemerkung

   Dies ist nötig, da Full and fast eine vorkonfigurierte Scan-Konfiguration ist und nicht verändert werden kann.

   Beim Wählen einer allgemeinen Scan-Konfiguration wie Full and fast werden das Vorhandensein eines Produkts als laufender Dienst und das Fehlen eines Produkts auf einer Festplatte gleich behandelt.

   Dies bedeutet grundsätzlich, falls sichergestellt werden soll, dass das gewünschte Programm als Dienst läuft, sollten NVTs vermieden werden, die das einfache Vorhandensein auf dem Dateisystem oder in einer Registry prüfen.

   Falls diese Details gerade nicht von Interesse sind, können die Berichtdetails trotzdem auf Falsch-Positiv- und Falsch-Negativ-Meldungen geprüft werden.

   

   Abb. 14.12 Erstellen einer neuen Scan-Konfiguration

5. Auf Speichern klicken.

   → Die Scan-Konfiguration wird erstellt und auf der Seite Scan-Konfigurationen angezeigt.

6. In der Zeile der Scan-Konfiguration auf klicken.

7. Im Abschnitt Vorgaben für Network Vulnerability Tests auf klicken.

   → Alle NVTs, die eine besondere Konfiguration erlauben, werden aufgelistet (siehe Abb. 14.13).

   

   Abb. 14.13 Überblick über NVTs

8. Es wird nach einer einzelnen CPE (Internet Explorer 6) gesucht.

   Für den NVT CPE Policy Check — Single CPE auf klicken.

   Tipp

   Diese Vorgehensweise vermeidet das Klicken durch die Familienstruktur im Abschnitt Familien von Network Vulnerability Tests bearbeiten, um zum gewünschten NVT zu gelangen (der hier genutzte NVT gehört zur NVT-Familie Policy).

9. cpe:/a:microsoft:ie:6 in das Eingabefeld Single CPE eingeben (siehe Abb. 14.14).

10. Für dieses Beispiel müssen die angegebenen CPEs vorhanden sein, um die Prüfung zu bestehen.

    Radiobutton present wählen.

    

    Abb. 14.14 Bearbeiten von CPE Policy Check – Single CPE

11. Auf Speichern klicken, um den NVT zu speichern.

12. Auf Speichern klicken, um die Scan-Konfiguration zu speichern.

    Bemerkung

    Die Schweregrade der NVTs hängen von der genutzten GOS-Version ab. Seit GOS 4.2 haben NVTs der Art Violations einen standardmäßigen Schweregrad von 10.

    Früher hatten diese NVTs einen standardmäßigen Schweregrad von 0 (Logmeldung) und Übersteuerungen wurden für andere Schweregrade benötigt. Der neue Standard von 10 kann ebenfalls durch Übersteuerungen geändert werde (siehe Kapitel 11.8).

    Bemerkung

    Falls die bloße Verfügbarkeit eines Produkts betrachtet werden soll, muss ein Remotezugriff mit Anmeldedaten konfiguriert werden, um lokale Sicherheitstests anzuwenden (siehe Kapitel 10.3.2). Falls nur nach laufenden Netzwerkdiensten gesucht werden soll, hilft dies normalerweise nicht, sondern erhöht stattdessen die Anzahl an Falsch-Positiv-Meldungen.

13. Neues Ziel erstellen, neue Aufgabe erstellen und Aufgabe ausführen wie in Kapitel 10.2 beschrieben.

    Beim Erstellen der Aufgabe die zuvor erstellte Scan-Konfiguration nutzen.

14. Wenn der Scan abgschlossen ist, Scans > Berichte in der Menüleiste wählen.

    Tipp

    Um nur die Ergebnisse der CPE-basierten Richtlinienprüfungen anzuzeigen, kann ein passender Filter angewendet werden.

15. cpe in das Eingabefeld Filter eingeben.

    → Die Berichte für die CPE-basierten Richtlinienprüfungen werden angezeigt.

16. Auf das Datum eines Berichts klicken.

    → Der Bericht für die CPE-basierten Richtlinienprüfungen wird angezeigt.

    Der Bericht kann wie in Kapitel 11.2.1 beschrieben genutzt werden.

    In diesem Beispiel: Falls Internet Explorer 6 auf einem der Zielsysteme gefunden wurde, wird es als Problem gemeldet.

14.1.4.3. Das Fehlen wichtiger Produkte entdecken

Dieses Beispiel zeigt, wie das Fehlen eines bestimmten Produkts in einer IT-Infrastruktur festgelegt und als schwerwiegendes Problem gemeldet wird.

1. Konfiguration > Scan-Konfigurationen in der Menüleiste wählen.

2. Neue Scan-Konfiguration durch Klicken auf erstellen.

3. Name der Scan-Konfiguration festlegen (siehe Abb. 14.15).

4. Radiobutton Full and fast wählen.

   Bemerkung

   Dies ist nötig, da Full and fast eine vorkonfigurierte Scan-Konfiguration ist und nicht verändert werden kann.

   Beim Wählen einer allgemeinen Scan-Konfiguration wie Full and fast werden das Vorhandensein eines Produkts als laufender Dienst und das Fehlen eines Produkts auf einer Festplatte gleich behandelt.

   Dies bedeutet grundsätzlich, falls sichergestellt werden soll, dass das gewünschte Programm als Dienst läuft, sollten NVTs vermieden werden, die das einfache Vorhandensein auf dem Dateisystem oder in einer Registry prüfen.

   Falls diese Details gerade nicht von Interesse sind, können die Berichtdetails trotzdem auf Falsch-Positiv- und Falsch-Negativ-Meldungen geprüft werden.

   

   Abb. 14.15 Erstellen einer neuen Scan-Konfiguration

5. Auf Speichern klicken.

   → Die Scan-Konfiguration wird erstellt und auf der Seite Scan-Konfigurationen angezeigt.

6. In der Zeile der Scan-Konfiguration auf klicken.

7. Im Abschnitt Vorgaben für Network Vulnerability Tests auf klicken.

   → Alle NVTs, die eine besondere Konfiguration erlauben, werden aufgelistet (siehe Abb. 14.16).

   

   Abb. 14.16 Überblick über NVTs

8. Es wird nach einer einzelnen CPE (Norton Antivirus) gesucht.

   Für den NVT CPE Policy Check — Single CPE auf klicken.

   Tipp

   Diese Vorgehensweise vermeidet das Klicken durch die Familienstruktur im Abschnitt Familien von Network Vulnerability Tests bearbeiten, um zum gewünschten NVT zu gelangen (der hier genutzte NVT gehört zur NVT-Familie Policy).

9. cpe:/a:symantec:norton_antivirus in das Eingabefeld Single CPE eingeben (siehe Abb. 14.17).

10. Für dieses Beispiel müssen die angegebenen CPEs fehlen, um die Prüfung zu bestehen.

    Radiobutton missing wählen.

    

    Abb. 14.17 Bearbeiten von CPE Policy Check – Single CPE

11. Auf Speichern klicken, um den NVT zu speichern.

12. Auf Speichern klicken, um die Scan-Konfiguration zu speichern.

    Bemerkung

    Die Schweregrade der NVTs hängen von der genutzten GOS-Version ab. Seit GOS 4.2 haben NVTs der Art Violations einen standardmäßigen Schweregrad von 10.

    Früher hatten diese NVTs einen standardmäßigen Schweregrad von 0 (Logmeldung) und Übersteuerungen wurden für andere Schweregrade benötigt. Der neue Standard von 10 kann ebenfalls durch Übersteuerungen geändert werde (siehe Kapitel 11.8).

    Bemerkung

    Falls die bloße Verfügbarkeit eines Produkts betrachtet werden soll, muss ein Remotezugriff mit Anmeldedaten konfiguriert werden, um lokale Sicherheitstests anzuwenden (siehe Kapitel 10.3.2). Falls nur nach laufenden Netzwerkdiensten gesucht werden soll, hilft dies normalerweise nicht, sondern erhöht stattdessen die Anzahl an Falsch-Positiv-Meldungen.

13. Neues Ziel erstellen, neue Aufgabe erstellen und Aufgabe ausführen wie in Kapitel 10.2 beschrieben.

    Beim Erstellen der Aufgabe die zuvor erstellte Scan-Konfiguration nutzen.

14. Wenn der Scan abgschlossen ist, Scans > Berichte in der Menüleiste wählen.

    Tipp

    Um nur die Ergebnisse der CPE-basierten Richtlinienprüfungen anzuzeigen, kann ein passender Filter angewendet werden.

15. cpe in das Eingabefeld Filter eingeben.

    → Die Berichte für die CPE-basierten Richtlinienprüfungen werden angezeigt.

16. Auf das Datum eines Berichts klicken.

    → Der Bericht für die CPE-basierten Richtlinienprüfungen wird angezeigt.

    Der Bericht kann wie in Kapitel 11.2.1 beschrieben genutzt werden.

    In diesem Beispiel: Falls Norton Antivirus auf einem der Zielsysteme nicht gefunden wurde, wird es als fehlend gemeldet.

14.2. Standardrichtlinien prüfen

14.2.1. IT-Grundschutz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht die IT-Grundschutz-Kataloge, eine Sammlung von Dokumenten, die nützliche Informationen für das Erkennen von Schwachstellen und das Bekämpfen von Angriffen auf IT-Umgebungen bereitstellen.

Der Greenbone Security Manager (GSM) kann genutzt werden, um automatisch die IT-Grundschutz-Kataloge oder das modernisierte IT-Grundschutz-Kompendium zu prüfen.

Die aktuelle „15. Ergänzungslieferung“ mit Tests für über 80 Maßnahmen wird für die IT-Grundschutz-Kataloge unterstützt. Dies ist die maximale Anzahl von Maßnahmen, die mit automatischen Tests unterstützt werden kann.

Einige Maßnahmen sind sehr umfassend und bestehen aus mehreren einzelnen Tests. Einige Maßnahmen betreffen bestimmte Betriebssysteme und werden deshalb nur auf diesen angewendet. Die Anzahl und Art der geprüften Systeme ist für den GSM nicht relevant.

Eine Prüfung kann als dauerhafter Hintergrundprozess für Verletzungen installiert werden.

14.2.1.1. IT-Grundschutz prüfen

Ein IT-Grundschutz-Scan (IT-Grundschutz-Kataloge oder IT-Grundschutz-Kompendium) kann wie folgt durchgeführt werden:

1. Scan-Konfiguration IT-Grundschutz Scan herunterladen.

   Für die Integration in verinice die Scan-Konfiguration IT-Grundschutz Scan incl. Discovery for verinice nutzen.

   Wichtig

   Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

   Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

2. Konfiguration > Scan-Konfigurationen in der Menüleiste wählen.

3. Auf klicken.

4. Auf Browse… klicken und die zuvor heruntergeladene Scan-Konfiguration wählen (siehe Abb. 14.18).

5. Auf Importieren klicken.

   → Die importierte Scan-Konfiguration wird auf der Seite Scan-Konfigurationen angezeigt.

   

   Abb. 14.18 Importieren einer Scan-Konfiguration

   Bemerkung

   Dies deckt das Ausführen aller Prüfungen ab. Die tatsächlichen Prüfungen werden nicht ausdrücklich gewählt, sodass eher eine Zusammenfassung der Ergebnisse erstellt wird.

6. In der Zeile der Scan-Konfiguration auf klicken.

Prüfung für IT-Grundschutz-Kataloge

1. Im Abschnitt Familien von Network Vulnerability Tests bearbeiten für die NVT-Familie Compliance auf klicken.

   → Alle NVTs, die eine besondere Konfiguration erlauben, werden aufgelistet. Zwei NVTs sind standardmäßig ausgewählt: Compliance Tests und IT-Grundschutz, 15. EL (siehe Abb. 14.19).

   

   Abb. 14.19 NVTs der Familie Compliance

2. Für Compliance Tests auf klicken.

3. Für Launch IT-Grundschutz (15. EL) den Radiobutton Ja wählen.

4. Auf Speichern klicken, um den NVT zu speichern.

5. Für IT-Grundschutz, 15. EL auf klicken.

6. Für Berichtformat den Radiobutton des gewünschten Berichtformats wählen (siehe Abb. 14.20).

   • Text
   • Tabellarisch
   • Text und Tabellarisch
   

   Abb. 14.20 Wählen des Berichtformats

7. Auf Speichern klicken, um den NVT zu speichern.

8. Auf Speichern klicken, um die NVT-Familie zu speichern.

9. Auf Speichern klicken, um die Scan-Konfiguration zu speichern.

Prüfung für das IT-Grundschutz-Kompendium

1. Im Abschnitt Familien von Network Vulnerability Tests bearbeiten für die NVT-Familie Compliance auf klicken.

   → Alle NVTs, die eine besondere Konfiguration erlauben, werden aufgelistet (siehe Abb. 14.21).

   

   Abb. 14.21 NVTs der Familie Compliance

2. Checkboxen für Compliance Tests und IT-Grundschutz, Kompendium aktivieren. Checkbox für IT-Grundschutz, 15. EL deaktivieren.

3. Für Compliance Tests auf klicken.

4. Für Launch latest IT-Grundschutz version den Radiobutton Ja wählen.

5. Für Level of Security (IT-Grundschutz) den Radiobutton des Levels wählen, das im modernisierten IT-Grundschutz-Kompendium eingeführt wurde.

6. Auf Speichern klicken, um den NVT zu speichern.

7. Für IT-Grundschutz, Kompendium auf klicken.

8. Für Berichtformat den Radiobutton des gewünschten Berichtformats wählen (siehe Abb. 14.22).

   • Text
   • Tabellarisch
   • Text und Tabellarisch
   

   Abb. 14.22 Wählen des Berichtformats

9. Auf Speichern klicken, um den NVT zu speichern.

10. Auf Speichern klicken, um die NVT-Familie zu speichern.

11. Auf Speichern klicken, um die Scan-Konfiguration zu speichern.

    Bemerkung

    Die Mehrheit der Prüfungen für die Maßnahmen basiert auf lokalen Sicherheitstests. Dafür müssen entsprechende Zugänge konfiguriert werden (siehe Kapitel 10.3.2).

16. Neues Ziel erstellen, neue Aufgabe erstellen und Aufgabe ausführen wie in Kapitel 10.2 beschrieben.

    Beim Erstellen der Aufgabe die zuvor importierte Scan-Konfiguration nutzen.

17. Wenn der Scan abgschlossen ist, Scans > Berichte in der Menüleiste wählen.

18. Auf das Datum eines Berichts klicken (siehe Abb. 14.23).

    → Der Bericht für den IT-Grundschutz-Scan wird angezeigt.

    Der Bericht kann wie in Kapitel 11.2.1 beschrieben genutzt werden.

    

    Abb. 14.23 Bericht für den IT-Grundschutz-Scan

    Bemerkung

    Für die Textform des Berichts muss der Schweregrad Niedrig im Filter aktiviert werden. Für die Tabellenform des Berichts muss der Schweregrad Log im Filter aktiviert werden.

19. Dazu auf in der Filterleiste klicken.

    → Das Fenster zum Bearbeiten des Filters wird geöffnet.

20. Für Schweregrad (Klasse) die Checkbox Niedrig oder Log aktivieren.

21. Auf Aktualisieren klicken.

Bemerkung

Die Anzahl der Berichte hängt vom gewählten Berichtformat ab. Der Eintrag in der Spalte Ort ist general/IT-Grundschutz für Berichte in Textform und general/IT-Grundschutz-T für Berichte in Tabellenform.

Falls beide Berichtformate gewählt wurden, erscheinen beide mit dem gleichen Namen, aber mit dem entsprechenden Eintrag in der Spalte Ort (siehe Abb. 14.24).

Abb. 14.24 Bericht für den IT-Grundschutz-Scan mit beiden Berichtformaten

14.2.1.2. Ergebnisse in eine Anwendung zur Tabellenkalkulation importieren

Die Ergebnisse können wie folgt in eine Anwendung zur Tabellenkalkulation, z. B. Microsoft Excel, Apache OpenOffice Calc oder LibreOffice Calc, importiert werden:

1. Scans > Berichte in der Menüleiste wählen.

2. Auf das Datum des Berichts klicken.

   → Der Bericht für den IT-Grundschutz-Scan wird angezeigt.

3. Auf klicken.

4. Notizen durch Aktivieren der Checkbox Notizen hinzufügen und Übersteuerungen durch Aktivieren der Checkbox Übersteuerungen kennzeichnen und ihr Textfeld einfügen (siehe Kapitel 11.2.2).

5. ITG in der Drop-down-Liste Berichtformat wählen.

6. Auf OK klicken und die CSV-Datei herunterladen.

7. Anwendung zur Tabellenkalkulation öffnen und zuvor exportierte CSV-Datei öffnen.

   Bemerkung

   Dieses Beispiel zeigt den Import mit LibreOffice Calc 5.2.7.2.

8. Unicode (UTF-8) in der Drop-down-Liste Character set wählen.

9. Radiobutton Separated by wählen, Checkbox Other aktivieren und | (vertikale Linie) in das Eingabefeld eingeben.

10. „ in der Drop-down-Liste Text delimiter wählen.

11. Letzte Spalte in der Vorschau markieren und Text in der Drop-down-Liste Column type wählen.

    

    Abb. 14.25 Anpassen der Importeinstellungen

12. Auf OK klicken.

    → Der Bericht wird in der Anwendung geöffnet und kann für weitere Untersuchungen genutzt werden.

14.2.1.3. Ergebnisse in IT-Grundschutz-Tools importieren

Es gibt eine Anzahl an Tools, die die Durchführung von IT-Grundschutz-Prozessen unterstützen und einen strukturierten Ansatz für die Datenerfassung und -verwaltung bieten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet einen Überblick über IT-Grundschutz-Tools auf seiner Website.

Bemerkung

Für das Importieren der Ergebnisse eines IT-Grundschutz-Scans in eines dieser Tools kann der Anbieter des entsprechenden Tools kontaktiert werden. Für zusätzliche Fragen kann auch der Greenbone Networks Support hinzugezogen werden.

14.2.1.4. Ergebnisklassen von IT-Grundschutz-Prüfungen

Die folgenden Ergebnisklassen können bei der Prüfung entstehen:

• Nicht erfüllt (FAIL)

  Es wurde festgestellt, dass das Zielsystem die Maßnahme nicht erfüllt.

• Erfüllt (OK)

  Es wurde festgestellt, dass das Zielsystem die Maßnahme erfüllt.

• Fehler (ERR)

  Es war nicht möglich, die Prüfroutine korrekt durchzuführen.

  Beispiel: Einige Prüfungen benötigen Anmeldedaten. Falls die Anmeldedaten fehlen, kann die Prüfung aus technischen Gründen nicht durchgeführt werden. Falls keine Anmeldedaten bereitgestellt werden, haben viele Prüfungen diesen Status.

• Prüfung dieser Maßnahme ist nicht verfügbar (NA)

  Im Allgemeinen wird angenommen, dass diese Maßnahme automatisch geprüft wird, aber eine Implementierung ist noch nicht verfügbar. Für neu veröffentlichte Ergänzungslieferungen gilt dies anfangs für einige Maßnahmen. Allerdings wird der Greenbone Security Feed regelmäßig aktualisiert und schlussendlich sind alle Maßnahmen implementiert.

• Prüfung dieser Maßnahme ist nicht implementiert (NI)

  Einige Maßnahmen der IT-Grundschutz-Kataloge sind zu allgemein gehalten, um eine eindeutige, automatische Prüfung zu erstellen. Andere Maßnahmen beschreiben Prüfungen, die nur physisch durchgeführt und gar nicht implementiert werden können.

• Prüfung ist nicht passend für das Zielsystem (NS)

  Einige Maßnahmen beziehen sich ausschließlich auf eine bestimmte Art Betriebssystem. Falls das Zielsystem auf einem anderen Betriebssystem läuft, wird die Maßnahme nicht angewendet.

• Maßnahme ist veraltet (DEP)

  Einige Updates (Ergänzungslieferungen) entfernen Maßnahmen ersatzlos. Alte IDs solcher entfernten Maßnahmen werden nicht neu verwendet. Die Ergebnisse, die als DEP markiert sind, können ignoriert werden, aber die Einträge bleiben aus Gründen der Vollständigkeit erhalten.

14.2.1.5. Unterstützte Maßnahmen

Dieser Überblick bezieht sich auf die aktuelle Ergänzungslieferung vom Bundesamt für Sicherheit in der Informationstechnik.

Die folgenden Prüfarten werden unterschieden:

• Remote: Für die Prüfung ist nur eine Netzwerkverbindung zum Zielsystem nötig.
• Anmeldedaten: Für die Prüfung ist ein Account auf dem Zielsystem nötig.

M 4 Hardware und Software

BSI-Referenz	Titel	Prüfart	Hinweis
M 4.2	Bildschirmsperre	Anmeldedaten	Microsoft Windows: nur Prüfung für lokale Accounts. Linux: nur Standardbildschirmschoner in Gnome und KDE.
M 4.3	Einsatz von Viren-Schutzprogrammen	Anmeldedaten
M 4.4	Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern	Anmeldedaten
M 4.5	Protokollierung bei TK-Anlagen	Anmeldedaten
M 4.7	Änderung voreingestellter Passwörter	Remote	Prüfung nur über SSH oder Telnet.
M 4.9	Einsatz der Sicherheitsmechanismen von X-Window	Anmeldedaten
M 4.14	Obligatorischer Passwortschutz unter Unix	Anmeldedaten
M 4.15	Gesichertes Login	Anmeldedaten
M 4.16	Zugangsbeschränkungen für Benutzer-Kennungen und/oder Terminals	Anmeldedaten
M 4.17	Sperren und Löschen nicht benötigter Accounts und Terminals	Anmeldedaten
M 4.18	Administrative und technische Absicherung des Zugangs zum Monitor- und Single-User-Modus	Anmeldedaten
M 4.19	Restriktive Attributvergabe bei Unix-Systemdateien und -verzeichnissen	Anmeldedaten
M 4.20	Restriktive Attributvergabe bei Unix-Benutzerdateien und -verzeichnissen	Anmeldedaten
M 4.21	Verhinderung des unautorisierten Erlangens von Administratorrechten	Anmeldedaten
M 4.22	Verhinderung des Vertraulichkeitsverlusts schutzbedürftiger Daten im Unix-System	Anmeldedaten
M 4.23	Sicherer Aufruf ausführbarer Dateien	Anmeldedaten
M 4.33	Einsatz eines Viren-Suchprogramms bei Datenträgeraustausch und Datenübertragung	Anmeldedaten
M 4.36	Sperren bestimmter Faxempfänger-Rufnummern	Anmeldedaten	Cisco-Geräte können nur über Telnet getestet werden, da sie SSH-blowfish-cbc-Verschlüsselung nicht unterstützen.
M 4.37	Sperren bestimmter Absender-Faxnummern	Anmeldedaten	Cisco-Geräte können nur über Telnet getestet werden, da sie SSH-blowfish-cbc-Verschlüsselung nicht unterstützen.
M 4.40	Verhinderung der unautorisierten Nutzung von Rechnermikrofonen und Kameras	Anmeldedaten	Nur für Linux implementiert. Es ist nicht möglich, den Zustand des Mikrofons über die Registry/WMI auf Microsoft Windows zu bestimmen.
M 4.48	Passwortschutz unter Windows-Systemen	Anmeldedaten
M 4.49	Absicherung des Boot-Vorgangs für ein Windows-System	Anmeldedaten
M 4.52	Geräteschutz unter NT-basierten Windows-Systemen	Anmeldedaten
M 4.57	Deaktivieren der automatischen CD-ROM-Erkennung	Anmeldedaten
M 4.80	Sichere Zugriffsmechanismen bei Fernadministration	Remote
M 4.94	Schutz der Webserver-Dateien	Remote
M 4.96	Abschaltung von DNS	Anmeldedaten
M 4.97	Ein Dienst pro Server	Remote
M 4.98	Kommunikation durch Paketfilter auf Minimum beschränken	Anmeldedaten	Microsoft Windows: Firewall wird getestet. Für Microsoft Windows Vista oder höher jede Firewall, die entsprechend dem System installiert ist.
M 4.106	Aktivieren der Systemprotokollierung	Anmeldedaten
M 4.135	Restriktive Vergabe von Zugriffsrechten auf Systemdateien	Anmeldedaten
M 4.147	Sichere Nutzung von EFS unter Windows	Anmeldedaten
M 4.200	Umgang mit USB-Speichermedien	Anmeldedaten
M 4.227	Einsatz eines lokalen NTP-Servers zur Zeitsynchronisation	Anmeldedaten
M 4.238	Einsatz eines lokalen Paketfilters	Anmeldedaten	Microsoft Windows: Firewall wird getestet. Für Microsoft Windows Vista oder höher jede Firewall, die entsprechend dem System installiert ist.
M 4.244	Sichere Systemkonfiguration von Windows Client-Betriebssystemen	Anmeldedaten
M 4.277	Absicherung der SMB-, LDAP-und RPC-Kommunikation unter Windows-Servern	Anmeldedaten
M 4.284	Umgang mit Diensten ab Windows Server 2003	Anmeldedaten
M 4.285	Deinstallation nicht benötigter Client-Funktionen von Windows Server 2003	Anmeldedaten
M 4.287	Sichere Administration der VoIP-Middleware	Remote
M 4.300	Informationsschutz bei Druckern, Kopierern und Multifunktionsgeräten	Remote
M 4.305	Einsatz von Speicherbeschränkungen (Quotas)	Anmeldedaten
M 4.310	Einrichtung des LDAP-Zugriffs auf Verzeichnisdienste	Remote
M 4.313	Bereitstellung von sicheren Domänen-Controllern	Anmeldedaten
M 4.325	Löschen von Auslagerungsdateien	Anmeldedaten
M 4.326	Sicherstellung der NTFS-Eigenschaften auf einem Samba-Dateiserver	Anmeldedaten
M 4.328	Sichere Grundkonfiguration eines Samba-Servers	Anmeldedaten
M 4.331	Sichere Konfiguration des Betriebssystems für einen Samba-Server	Anmeldedaten
M 4.332	Sichere Konfiguration der Zugriffssteuerung bei einem Samba-Server	Anmeldedaten
M 4.333	Sichere Konfiguration von Winbind unter Samba	Anmeldedaten
M 4.334	SMB Message Signing und Samba	Anmeldedaten
M 4.338	Einsatz von File und Registry Virtualization bei Clients ab Windows Vista	Anmeldedaten	Nur eine allgemeine Prüfung, ob File und Registry Virtualization aktiviert ist.
M 4.339	Verhindern unautorisierter Nutzung von Wechselmedien unter Windows-Clients ab Windows Vista	Anmeldedaten
M 4.340	Einsatz der Windows-Benutzerkontensteuerung UAC ab Windows Vista	Anmeldedaten
M 4.341	Integritätsschutz ab Windows Vista	Anmeldedaten	Soweit technisch möglich umgesetzt (aktiviertes UAC und geschützter Modus in verschiedenen Zonen).
M 4.342	Aktivierung des Last Access Zeitstempels ab Windows Vista	Anmeldedaten
M 4.344	Überwachung von Windows-Systemen ab Windows Vista und Windows Server 2008	Anmeldedaten
M 4.368	Regelmäßige Audits einer Terminalserver Umgebung	Anmeldedaten

M 5 Kommunikation

BSI-Referenz	Titel	Prüfart	Hinweis
M 5.8	Regelmäßiger Sicherheitscheck des Netzes	Remote	Es wird nur eine Meldung angezeigt, die den Benutzer darüber informiert, dass Prüfungen mit aktuellen Plug-ins durchgeführt werden sollen.
M 5.17	Einsatz der Sicherheitsmechanismen von NFS	Anmeldedaten
M 5.18	Einsatz der Sicherheitsmechanismen von NIS	Anmeldedaten
M 5.19	Einsatz der Sicherheitsmechanismen von sendmail	Remote, Anmeldedaten
M 5.20	Einsatz der Sicherheitsmechanismen von rlogin, rsh und rcp	Anmeldedaten
M 5.21	Sicherer Einsatz von telnet, ftp, tftp und rexec	Anmeldedaten
M 5.34	Einsatz von Einmalpasswörtern	Anmeldedaten
M 5.59	Schutz vor DNS-Spoofing bei Authentisierungsmechanismen	Anmeldedaten
M 5.63	Einsatz von GnuPG oder PGP	Anmeldedaten
M 5.64	Secure Shell	Remote
M 5.66	Clientseitige Verwendung von SSL/TLS	Remote
M 5.72	Deaktivieren nicht benötigter Netzdienste	Anmeldedaten	Lediglich Anzeige der in Frage kommenden Dienste.
M 5.90	Einsatz von IPSec unter Windows	Anmeldedaten
M 5.91	Verwendung von lokalen Firewalls auf Clientsystemen	Anmeldedaten	Microsoft Windows: Firewall wird getestet. Für Microsoft Windows Vista oder höher jede Firewall, die entsprechend dem System installiert ist. Linux-Systeme: Anzeigen der iptables rules, falls möglich.
M 5.109	Einsatz eines E-Mail-Scanners auf dem Mailserver	Remote
M 5.123	Absicherung der Netzkommunikation unter Windows	Anmeldedaten
M 5.131	Absicherung von IP-Protokollen unter Windows Server 2003	Anmeldedaten
M 5.145	Sicherer Einsatz von CUPS	Anmeldedaten
M 5.147	Absicherung der Kommunikation mit Verzeichnisdiensten	Remote

14.2.2. BSI TR-03116: Kryptographische Vorgaben für Projekte der Bundesregierung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht eine technische Richtlinie „TR-03116: Kryptographische Vorgaben für Projekte der Bundesregierung“. Teil 4 dieser Richtlinie beschreibt die Sicherheitsanforderungen für Dienste der Bundesregierung unter Nutzung der kryptografischen Protokolle SSL/TLS, S/MIME und OpenPGP.

Die Anforderungen basieren auf Vorhersagen für die Sicherheit der Algorithmen und Schlüssellängen für die nächsten sieben Jahre, einschließlich 2022.

Greenbone Networks stellt eine Scan-Konfiguration bereit, die die Compliance der Dienste mit der technischen Richlinie „TR-03116“ prüft. Diese Scan-Konfiguration muss nachträglich in den Greenbone Security Manager importiert werden.

Die Scan-Konfiguration prüft, ob die gescannten Hosts und Dienste SSL/TLS nutzen. Falls dies der Fall ist, wird die Compliance mit der Richtlinie getestet.

Mindestens die folgenden Verschlüsselungsalgorithmen müssen für das Bestehen der Prüfung unterstützt werden:

• TLS_ECDHE_ECDSA-WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Falls ein geteilter Schlüssel von der Appliance genutzt wird, wird zusätzlich zu den SSL-/TLS-Algorithmen einer der folgenden Verschlüsselungsalgorithmen benötigt:

• TLS_RSA_PSK_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

Ein BSI-TR-03116-Scan kann wie folgt durchgeführt werden:

1. Scan-Konfiguration BSI TR-03116 Scan Config herunterladen.

   Wichtig

   Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

   Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

2. Konfiguration > Scan-Konfigurationen in der Menüleiste wählen.

3. Auf klicken.

4. Auf Browse… klicken und die zuvor heruntergeladene Scan-Konfiguration wählen (siehe Abb. 14.26).

5. Auf Importieren klicken.

   → Die importierte Scan-Konfiguration wird auf der Seite Scan-Konfigurationen angezeigt.

   

   Abb. 14.26 Importieren einer Scan-Konfiguration

6. In der Zeile der Scan-Konfiguration auf klicken.

7. Im Abschnitt Familien von Network Vulnerability Tests bearbeiten für die NVT-Familie Policy auf klicken.

   → Alle NVTs, die eine besondere Konfiguration erlauben, werden aufgelistet.

8. Für den NVT BSI-TR-03116-4 Policy auf klicken.

9. Für Perform check den Radiobutton Ja wählen (siehe Abb. 14.27).

   

   Abb. 14.27 Bearbeiten eines NVTs

10. Auf Speichern klicken, um den NVT zu speichern.

11. Auf Speichern klicken, um die NVT-Familie zu speichern.

12. Auf Speichern klicken, um die Scan-Konfiguration zu speichern.

13. Neues Ziel erstellen, neue Aufgabe erstellen und Aufgabe ausführen wie in Kapitel 10.2 beschrieben.

    Beim Erstellen der Aufgabe die zuvor importierte Scan-Konfiguration nutzen.

14. Wenn der Scan abgschlossen ist, Scans > Berichte in der Menüleiste wählen.

15. Auf das Datum des Berichts klicken.

    → Der Bericht für den BSI-TR-03116-Scan wird angezeigt.

    Der Bericht kann wie in Kapitel 11.2.1 beschrieben genutzt werden.

Bemerkung

Die Schweregrade der NVTs hängen von der genutzten GOS-Version ab. Seit GOS 4.2 haben NVTs der Art Violations einen standardmäßigen Schweregrad von 10.

Früher hatten diese NVTs einen standardmäßigen Schweregrad von 0 (Logmeldung) und Übersteuerungen wurden für andere Schweregrade benötigt. Der neue Standard von 10 kann ebenfalls durch Übersteuerungen geändert werde (siehe Kapitel 11.8).

14.2.3. Cyber-Essentials

Die Cyber-Essentials sind einfache, aber effektive Anforderungen, um Unternehmen jeder Größe gegen die meisten Cyberangriffe zu schützen. Dieses Schema der britischen Regierung, das im Jahr 2004 eingeführt wurde, befasst sich mit internetbasierten Bedrohungen der Cybersicherheit (Hacken, Phishing und Passwortraten). Es reduziert das Risiko erfolgreicher Angriffe, die weitgehend bekannte Werkzeuge nutzen und wenig Können erfordern.

Die Cyber-Essentials unterteilen die Anforderungen in fünf technische Überwachungsthemen:

• Firewalls (grenzen- und/oder hostbasiert)
• Sichere Konfiguration
• Verwaltung des Benutzerzugriffs
• Malwareschutz
• Patchverwaltung

Die Anforderungen jedes technischen Überwachungsthemas können hier gefunden werden.

Ein Cyber-Essentials-Scan kann wie folgt durchgeführt werden:

1. Scan-Konfiguration Cyber Essentials Scan Config herunterladen.

   Wichtig

   Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

   Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

2. Konfiguration > Scan-Konfigurationen in der Menüleiste wählen.

3. Auf klicken.

4. Auf Browse… klicken und die zuvor heruntergeladene Scan-Konfiguration wählen (siehe Abb. 14.28).

5. Auf Importieren klicken.

   → Die importierte Scan-Konfiguration wird auf der Seite Scan-Konfigurationen angezeigt.

   

   Abb. 14.28 Importieren einer Scan-Konfiguration

6. Neues Ziel erstellen, neue Aufgabe erstellen und Aufgabe ausführen wie in Kapitel 10.2 beschrieben.

   Beim Erstellen der Aufgabe die zuvor importierte Scan-Konfiguration nutzen.

7. Wenn der Scan abgschlossen ist, Scans > Berichte in der Menüleiste wählen.

8. Auf das Datum des Berichts klicken.

   → Der Bericht für den Cyber-Essentials-Scan wird angezeigt.

   Der Bericht kann wie in Kapitel 11.2.1 beschrieben genutzt werden.

   Die Ergebnisse sind unterteilt:

   • Cyber Essentials: erscheint nur, falls der Test aus irgendeinem Grund nicht auf einem Hosts durchgeführt werden kann.
   • Cyber Essentials: Error: fasst Anforderungen mit Fehlern zusammen (falls vorhanden).
   • Cyber Essentials: Fail: fasst Anforderungen zusammen, die der Host nicht erfüllt (falls vorhanden).
   • Cyber Essentials: Ok: fasst Anforderungen zusammen, die der Host erfüllt (falls vorhanden).

Bemerkung

Das technische Überwachungsthema Malware Protection enthält Anforderungen für das Whitelisting von Anwendungen. Dies kann mit CPE-basierten Scans durchgeführt werden (siehe Kapitel 14.1.4).

14.2.4. Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO) regelt die Verarbeitung persönlicher Daten (Einzelpersonen in der EU betreffend) durch eine andere Einzelperson, eine Gesellschaft oder ein Unternehmen für jede Nutzung außerhalb der Persönlichkeitssphäre. Sie gilt beispielsweise für finanzielle Aktivitäten.

Persönliche Daten sind alle Informationen, die sich auf ein identifiziertes oder identifizierbares, lebendes Individuum beziehen, z. B.:

• (Nach-)Name
• E-Mail-Adresse, die zu einer Einzelperson gehört
• IP Adresse
• Privatadresse

Da sich die Verordnung auf keine Technologie bezieht, gilt sie gleichermaßen für das digitale und analoge Verarbeiten und Speichern persönlicher Daten. Mehr Informationen über die DSGVO (engl. General Data Protection Regulation) finden sich auf der Website der Europäischen Kommission.

Es gibt keine offiziellen technischen Anforderungen für die DSGVO. Wie in Art. 32 der DSGVO angegeben „treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Es sind einige Checklisten für die DSGVO-Compliance verfügbar, die Faktoren für die Passwortverwaltung, das Auditing/Logging und den Umgang mit entnehmbaren Mediengeräten enthalten.

Die folgenden technischen Einstellungen können automatisch mit dem Greenbone Security Manager geprüft werden:

• Minimale Passwortlänge
• Maximales Passwortalter
• Passwortkomplexität
• Behandeln von Wechselmedien
• Richtlinie für das Logging

Ein DSGVO-Scan kann wie folgt durchgeführt werden:

1. Scan-Konfiguration GDPR Scan Config herunterladen.

   Wichtig

   Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

   Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

2. Konfiguration > Scan-Konfigurationen in der Menüleiste wählen.

3. Auf klicken.

4. Auf Browse… klicken und die zuvor heruntergeladene Scan-Konfiguration wählen (siehe Abb. 14.29).

5. Auf Importieren klicken.

   → Die importierte Scan-Konfiguration wird auf der Seite Scan-Konfigurationen angezeigt.

   

   Abb. 14.29 Importieren einer Scan-Konfiguration

6. Neues Ziel erstellen, neue Aufgabe erstellen und Aufgabe ausführen wie in Kapitel 10.2 beschrieben.

   Beim Erstellen der Aufgabe die zuvor importierte Scan-Konfiguration nutzen.

7. Wenn der Scan abgschlossen ist, Scans > Berichte in der Menüleiste wählen.

8. Auf das Datum des Berichts klicken.

   → Der Bericht für den DSGVO-Scan wird angezeigt.

   Der Bericht kann wie in Kapitel 11.2.1 beschrieben genutzt werden.

Wichtig

Die Einstellungen, die auf dem Host gefunden wurden, müssen mit den Richtlinien des Unternehmens übereinstimmen.

14.3. Eine Mailserver-Onlineprüfung durchführen

Im September 2014 führte das Bayerisches Landesamt für Datenschutzaufsicht die Onlineprüfung Mailserver: STARTTLS & Perfect Forward Secrecy. Die betroffenen Unternehmen wurden aufgefordert, die Sicherheitslücken zu beseitigen.

Ein Unternehmen kann mithilfe des Greenbone Security Managers selbst prüfen, ob seine Mailserver den Sicherheitskriterien entsprechen. Die Prüfung kann wie folgt durchgeführt werden:

1. Scan-Konfiguration Mailserver Online Test Scan Config herunterladen.

   Wichtig

   Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

   Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

2. Konfiguration > Scan-Konfigurationen in der Menüleiste wählen.

3. Auf klicken.

4. Auf Browse… klicken und die zuvor heruntergeladene Scan-Konfiguration wählen.

5. Auf Importieren klicken.

   → Die importierte Scan-Konfiguration wird auf der Seite Scan-Konfigurationen angezeigt.

6. Konfiguration > Portlisten in der Menüleiste wählen.

7. Neue Portliste durch Klicken auf erstellen.

8. Portliste definieren und T:25 in das Eingabefeld Portbereiche – Manuell eingeben.

9. Auf Speichern klicken.

10. Neues Ziel erstellen, neue Aufgabe erstellen und Aufgabe ausführen wie in Kapitel 10.2 beschrieben.

    Beim Erstellen des Ziels den Mailserver nutzen, der getestet werden soll, und die zuvor erstellte Portliste im Drop-down-Menü Portliste wählen. Abhängig von den Netzwerkeintellungen kann es sinnvoll sein, Consider Alive in der Drop-down-Liste Erreichbarkeitstest zu wählen.

    Beim Erstellen der Aufgabe die zuvor importierte Scan-Konfiguration nutzen.

11. Wenn der Scan abgschlossen ist, Scans > Berichte in der Menüleiste wählen.

12. Auf das Datum des Berichts klicken.

    → Der Bericht für die Mailserver-Onlineprüfung wird angezeigt.

    Der Bericht kann wie in Kapitel 11.2.1 beschrieben genutzt werden.

    Der Bericht enthält unterschiedliche Log-Einträge für jeden Mailserver.

Tipp

Das fehlende StartTLS wird anfänglich nur als Log-Nachricht angezeigt, da es eine Frage der Richtlinie ist, wie es behandelt werden soll. Es kann beispielsweise eine Übersteuerung für diesen NVT erstellt werden, um es als hohes Risiko festzulegen (siehe Kapitel 11.8). Die Übersteuerung kann dann auf alle Hosts und möglicherweise auf alle Aufgaben ausgeweitet werden.

Bemerkung

Falls eine Überwachung eingerichtet werden soll, kann sowohl ein Zeitplan (z. B. jede Woche sonntags) als auch eine Benachrichtigung (z. B. eine E-Mail) für diese Aufgabe erstellt werden. Kombiniert mit der entsprechenden Übersteuerung entsteht im Hintergrund ein automatisiertes Warnsystem.

14.4. Einen TLS-Map-Scan durchführen

Das Protokoll Transport Layer Security (TLS) stellt die Vertraulichkeit, Authentizität und Integrität der Kommunikation in unsicheren Netzwerken sicher. Es richtet eine vertrauliche Kommunikation zwischen Sender und Empfänger, z. B. Webserver und Webbrowser, ein.

Mit dem Greenbone Security Manager (GSM) können Systeme gefunden werden, die Dienste anbieten, die SSL-/TLS-Protokolle nutzen. Zusätzlich erkennt der GSM die Protokollversionen und bietet Verschlüsselungsalgorithmen. Weiterführende Details eines Diensts können gewonnen werden, falls er korrekt identifiziert werden kann.

14.4.1. Den Scan vorbereiten

Für einen vereinfachten Export der Scanergebnisse stellt Greenbone Networks ein besonderes Berichtformat-Plug-in bereit. Die entstehende Datei ermöglicht auf einfache Weise das weitere Verarbeiten der Daten.

1. Das TLS-Map Report Format Plug-in herunterladen.

   Wichtig

   Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

   Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

2. Konfiguration > Berichtformate in der Menüleiste wählen.

3. Auf klicken.

4. Auf Browse… klicken und das zuvor heruntergeladene Berichtformat-Plug-in wählen.

5. Auf Speichern klicken.

   → Das importierte Berichtformat wird auf der Seite Berichtformate angezeigt.

6. In der Zeile des Berichtformats auf klicken, um das Berichtformat zu verifizieren.

7. In der Zeile des Berichtformats auf klicken.

8. Für Aktiv den Radiobutton Ja wählen.

9. Auf Speichern klicken.

14.4.2. Auf TLS prüfen und die Scanergebnisse exportieren

Für einen Überblick über die TLS-Verwendung im Netzwerk oder auf einzelnen Systemen, empfiehlt Greenbone Networks die Nutzung einer der folgenden Scan-Konfigurationen:

• TLS-Map Scan-Konfiguration

  Diese Scan-Konfiguration erkennt die genutzten Protokollversionen und die angebotenen Verschlüsselungsalgorithmen, aber versucht nicht, tiefergehende Details des Diensts zu identifizieren.

• TLS-Map mit Erkennung von Diensten

  Diese Scan-Konfiguration erkennt die genutzten Protokollversionen und die angebotenen Verschlüsselungsalgorithmen. Zusätzlich versucht sie, tiefergehende Details des Diensts zu identifizieren. Diese Identifizierung ist zeitaufwendiger und erzeugt mehr Netzwerkverkehr als die oben genannte, einfache Scan-Konfiguration.

Wichtig

Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

1. Eine der Scan-Konfigurationen, abhängig von den Anforderungen, herunterladen.

2. Konfiguration > Scan-Konfigurationen in der Menüleiste wählen.

3. Auf klicken.

4. Auf Browse… klicken und die zuvor heruntergeladene Scan-Konfiguration wählen.

5. Auf Importieren klicken.

   → Die importierte Scan-Konfiguration wird auf der Seite Scan-Konfigurationen angezeigt.

6. Konfiguration > Portlisten in der Menüleiste wählen, um die vorkonfigurierten Portlisten anzusehen.

   Bemerkung

   Durch Klicken auf können eigene Portlisten erstellt werden (siehe Kapitel 10.7.1).

7. Passende Portliste, die gescannt werden soll, wählen

   Bemerkung

   Es muss darauf geachtet werden, dass alle Ports von Interesse durch die Liste abgedeckt werden.

   Je umfangreicher die Liste ist, desto länger dauert der Scan. Allerdings werden möglicherweise auch Dienste auf unüblichen Ports gefunden.

   Es muss beachtet werden, dass das TLS-Protokoll auf TCP basiert. Eine Portliste mit UDP-Ports verlangsamt den Scan, ohne gleichzeitig Vorteile zu bringen. Falls TCP-Ports abgedeckt werden sollen, sollte All TCP gewählt werden.

8. Neues Ziel erstellen, neue Aufgabe erstellen und Aufgabe ausführen wie in Kapitel 10.2 beschrieben.

   Beim Erstellen der Aufgabe die zuvor importierte Scan-Konfiguration nutzen.

9. Wenn der Scan abgschlossen ist, Scans > Berichte in der Menüleiste wählen.

10. Auf das Datum des Berichts klicken.

    → Der Bericht für den TLS-Map-Scan wird angezeigt.

    Der Bericht kann wie in Kapitel 11.2.1 beschrieben genutzt werden.

11. Auf klicken, um den Bericht herunterzuladen.

12. Notizen durch Aktivieren der Checkbox Notizen hinzufügen und Übersteuerungen durch Aktivieren der Checkbox Übersteuerungen kennzeichnen und ihr Textfeld einfügen (siehe Kapitel 11.2.2).

13. TLS Map in der Drop-down-Liste Berichtformat wählen.

14. Auf OK klicken und die CSV-Datei herunterladen.

    → Der Bericht kann in Anwendungen zur Tabellenkalkulation genutzt werden.

Die Datei enthält jeweils eine Zeile pro Port und System, auf dem ein Dienst unter Verwendung eines SSL-/TLS-Protokolls angeboten wird:

IP,Host,Port,TLS-Version,Ciphers,Application-CPE
192.168.12.34,www.local,443,TLSv1.0;SSLv3,SSL3_RSA_RC4_128_SHA;TLS1_RSA_RC4_128_SHA,
  cpe:/a:apache:http_server:2.2.22;cpe:/a:php:php:5.4.4
192.168.56.78,www2.local,443,TLSv1.0;SSLv3,SSL3_RSA_RC4_128_SHA;TLS1_RSA_RC4_128_SHA,
  cpe:/a:apache:http_server:2.2.22

Jede Zeile enhält die folgenden, kommagetrennten Informationen:

• IP

  Die IP-Adresse des Systems, auf dem der Dienst gefunden wurde.

• Host

  Falls verfügbar, der DNS-Name des Systems.

• Port

  Der Port, auf dem der Dienst gefunden wurde.

• TLS-Version

  Die Protokollversion, die vom Dienst angeboten wird. Falls mehr als eine Version angeboten wird, werden die Versionen durch Semikolons getrennt.

• Ciphers

  Die Verschlüsselungsalgorithmen, die vom Dienst angeboten werden. Falls mehr als ein Algorithmus angeboten wird, werden die Algorithmen durch Semikolons getrennt.

• Application-CPE

  Die gefundene Anwendung im CPE-Format. Falls mehr als eine Anwendung gefunden wird, werden die Anwendungen durch Semikolons getrennt.

14.5. Einen OVAL-System-Characteristics-Scan durchführen

Die Open Vulnerability and Assessment Language (OVAL) ist ein Ansatz für die standardisierte Beschreibung von (Sicherheits-)Zuständen von IT-Systemen. OVAL-Dateien beschreiben eine Schwachstelle und legen Prüfungen fest, mit denen festgestellt werden kann, in welchem Zustand das System verwundbar ist. Sie beziehen sich normalerweise auf bestimmte Versionen von Softwareprodukten, für die eine bekannte Schwachstelle existiert.

Um nach Schwachstellen zu suchen, die in einer OVAL-Definition beschrieben werden, werden Informationen über den aktuellen Zustand des Systems benötigt. Diese Informationen werden auch in einem standardisierten Format gesammelt: den OVAL System Characteristics (SC).

Es gibt eine Reihe Lösungen, welche Prüfungen basierend auf OVAL-Definitionen und SC-Dateien durchführen. OVAL-Definitionen werden von verschiedenen Anbietern bereitgestellt. MITRE bietet das OVAL-Repository mit mehr als 13.000 Einträgen.

14.5.1. Den Scan vorbereiten

Jede OVAL-SC-Datei enthält Informationen über nur ein System. Mit dem Greenbone Security Manager (GSM) ist es möglich, eine große Anzahl an SCs für viele unterschiedliche Systeme in einem Schritt zu sammeln.

Greenbone Networks bietet zwei Berichtformat-Plug-ins an:

• OVAL-System-Characteristics: erstellt eine einzelne SC-Datei im XML-Format
• OVAL-System-Characteristics-Archiv: kann für eine beliebige Anzahl an SCs genutzt werden, die in einem ZIP-Ordner gesammelt werden. Die Namen der einzelnen SC-Dateien enthalten die IP-Adresse des Zielsystems.

1. Gewünschtes Berichtformat-Plug-in herunterladen.

   Wichtig

   Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

   Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

2. Konfiguration > Berichtformate in der Menüleiste wählen.

3. Auf klicken.

4. Auf Browse… klicken und das zuvor heruntergeladene Berichtformat-Plug-in wählen.

5. Auf Speichern klicken.

   → Das importierte Berichtformat wird auf der Seite Berichtformate angezeigt (siehe Abb. 14.30).

   

   Abb. 14.30 Importierte Berichtformate

6. In der Zeile des Berichtformats auf klicken, um das Berichtformat zu verifizieren.

7. In der Zeile des Berichtformats auf klicken.

8. Für Aktiv den Radiobutton Ja wählen.

9. Auf Speichern klicken.

14.5.2. Scanergebnisse als OVAL-SCs sammeln und exportieren

Während eines Scans sammelt der GSM große Mengen an Daten über das Zielsystem. Diese Informationen werden in einem optimierten Datenpool verwaltet. Teile der Informationen sind als Komponenten einer OVAL-SC nutzbar.

Die Erstellung von OVAL-SC-Dateien ist standardmäßig nicht aktiviert. Zum Aktivieren kann eine Scan-Konfiguration genutzt werden.

1. Scan-Konfiguration Collect OVAL SC Scan Config herunterladen.

   Wichtig

   Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

   Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

2. Konfiguration > Scan-Konfigurationen in der Menüleiste wählen.

3. Auf klicken.

4. Auf Browse… klicken und die zuvor heruntergeladene Scan-Konfiguration wählen (siehe Abb. 14.31).

5. Auf Importieren klicken.

   → Die importierte Scan-Konfiguration wird auf der Seite Scan-Konfigurationen angezeigt.

   

   Abb. 14.31 Importieren einer Scan-Konfiguration

   Bemerkung

   Die umfangreichsten Ergebnisse eines Zielsystems können mit einem authentifizierten Scan gesammelt werden. Die Nutzung von Anmeldedaten ist nötig, um lokale Sicherheitstests anzuwenden (siehe Kapitel 10.3.2).

   Es muss sichergestellt werden, dass der Account die nötigen Privilegien hat. Für unixartige Systeme ist ein Account mit wenigen Privilegien normalerweise ausreichend, für Windows-Systeme werden administrative Privilegien benötigt.

6. Neues Ziel erstellen, neue Aufgabe erstellen und Aufgabe ausführen wie in Kapitel 10.2 beschrieben.

   Beim Erstellen der Aufgabe die zuvor importierte Scan-Konfiguration nutzen.

7. Wenn der Scan abgeschlossen ist, Scans > Berichte in der Menüleiste wählen.

8. Auf das Datum des Berichts klicken.

   → Der Bericht für den OVAL-SC-Scan wird angezeigt.

   Der Bericht kann wie in Kapitel 11.2.1 beschrieben genutzt werden.

   Bemerkung

   Die Ergebnisse werden mit dem Schweregrad Log ausgegeben. Standardmäßig wird der Schweregrad Log nicht angezeigt und muss deshalb mithilfe des Filters aktiviert werden (siehe Kapitel 8.4).

9. Dazu auf in der Filterleiste klicken.

10. Für Schweregrad (Klasse) Checkboxe Log aktivieren.

11. Auf Aktualisieren klicken.

12. Auf klicken, um den Bericht herunterzuladen.

13. Notizen durch Aktivieren der Checkbox Notizen hinzufügen und Übersteuerungen durch Aktivieren der Checkbox Übersteuerungen kennzeichnen und ihr Textfeld einfügen (siehe Kapitel 11.2.2).

14. OVAL-SC oder OVAL-SC Archive in der Drop-down-Liste Berichtformat wählen.

15. Auf OK klicken.

    → Der Bericht wird als XML-Datei oder als ZIP-Ordner mit enthaltenen XML-Dateien exportiert.

14.6. Einen Richtlinienkontrollen-Scan durchführen

Mit dem Greenbone Security Manager ist es möglich, eine bestimmte Einstellung zu testen, um eine gewünschte Konfiguration mit der aktuellen Konfiguration zu vergleichen.

1. Scan-Konfiguration Policy Controls Scan-Konfiguration herunterladen

   Wichtig

   Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

   Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

2. Konfiguration > Scan-Konfigurationen in der Menüleiste wählen.

3. Auf klicken.

4. Auf Browse… klicken und die zuvor heruntergeladene Scan-Konfiguration wählen (siehe Abb. 14.32).

5. Auf Importieren klicken.

   → Die importierte Scan-Konfiguration wird auf der Seite Scan-Konfigurationen angezeigt.

   

   Abb. 14.32 Importieren einer Scan-Konfiguration

6. In der Zeile der Scan-Konfiguration auf klicken.

7. Im Abschnitt Familien von Network Vulnerability Tests bearbeiten für die NVT-Familie Policy auf klicken.

8. Checkboxen der NVTs wählen, die ausgeführt werden sollen.

9. Auf Speichern klicken, um die NVT-Familie zu speichern.

10. Auf Speichern klicken, um die Scan-Konfiguration zu speichern.

11. Neues Ziel erstellen, neue Aufgabe erstellen und Aufgabe ausführen wie in Kapitel 10.2 beschrieben.

12. Wenn der Scan abgeschlossen ist, Scans > Berichte in der Menüleiste wählen.

13. Auf das Datum des Berichts klicken.

    → Der Bericht für den Richtlinienkontrollen-Scan wird angezeigt.

    Der Bericht kann wie in Kapitel 11.2.1 beschrieben genutzt werden.

    Bemerkung

    Die Ergebnisse werden mit dem Schweregrad Log ausgegeben. Standardmäßig wird der Schweregrad Log nicht angezeigt und muss deshalb mithilfe des Filters aktiviert werden (siehe Kapitel 8.4).

14. Dazu auf in der Filterleiste klicken.

15. Für Schweregrad (Klasse) Checkboxe Log aktivieren.

16. Auf Aktualisieren klicken.