3. Greenbone Security Manager – Überblick

_images/gsm_overview_physical.png
_images/gsm_overview_virtual.png

Der Greenbone Security Manager (GSM) ist eine Appliance für das Schwachstellenscanning und -management. Er wird in unterschiedlichen Leistungsstufen angeboten.

3.1. Physische Appliances

3.1.1. Enterprise-Klasse – GSM 5400/6500

Die Modelle GSM 6500 und GSM 5400 sind für den Einsatz in großen Unternehmen und Behörden ausgelegt.

Die Appliances der Enterprise-Klasse können andere Appliances als Sensoren steuern. Die Appliances selbst können als Remote-Scanner von anderen Appliances gesteuert werden.

_images/GSM_5400.png

Abb. 3.1 GSM der Enterprise-Klasse

Die Appliances der Enterprise-Klasse werden zur einfachen Integration in das Rechenzentrum in einem 2U-19“-Gehäuse geliefert. Zur leichten Installation und Überwachung sind sie mit einem zweizeiligen LC-Display, mit 16 Zeichen pro Zeile, ausgestattet. Für den unterbrechungsfreien Betrieb haben sie redundante Netzteile, Festplatten und Lüfter, die während des Betriebs gewechselt werden können.

Um die Appliance zu verwalten, ist zusätzlich zu einem Out-of-Band-Ethernet-Port ein serieller Port vorhanden. Der serielle Port ist als ein mit Cisco kompatibler Konsolenport eingerichtet.

Für die Verbindung zum gescannten System kann die Appliance mit drei Modulen ausgestattet werden. Die folgenden Module können in beliebiger Reihenfolge genutzt werden:

  • 8 Ports Gigabit Ethernet 10/100/1000 Base-TX (Kupfer)
  • 8 Ports Gigabit Ethernet SFP (Small Form-factor Pluggable)
  • 2 Ports 10-Gigabit Ethernet XFP

3.1.2. Midrange-Klasse – GSM 400/450/600/650

Die Modelle GSM 400, GSM 450, GSM 600 und GSM 650 sind für den Einsatz in mittleren Unternehmen und Behörden sowie in größeren Zweigstellen ausgelegt.

Die Appliances der Midrange-Klasse können andere Appliances als Sensoren steuern. Die Appliances selbst können als Remote-Scanner von anderen Appliances gesteuert werden.

_images/GSM_400.png

Abb. 3.2 GSM der Midrange-Klasse

Die Appliances der Enterprise-Klasse werden zur einfachen Integration in das Rechenzentrum in einem 1U-19“-Gehäuse geliefert. Zur leichten Installation und Überwachung sind sie mit einem zweizeiligen LC-Display, mit 16 Zeichen pro Zeile, ausgestattet. Für den unterbrechungsfreien Betrieb haben sie redundante Lüfter, die während des Betriebs gewechselt werden können.

Um die Appliances zu verwalten, ist zusätzlich zu einem Ethernet-Port ein serieller Port vorhanden. Der serielle Port ist als ein mit Cisco kompatibler Konsolenport eingerichtet.

Für die Verbindung zum gescannten System sind die Appliances mit insgesamt acht vorkonfigurierten und -eingestellten Ports ausgestattet:

  • 6 Ports Gigabit Ethernet 10/100/1000 Base-TX (Kupfer)
  • 2 Ports Gigabit Ethernet SFP (Small Form-factor Pluggable)

Eine modulare Konfiguration der Ports ist nicht möglich. Einer der Ports wird ebenfalls als Management-Port genutzt.

3.1.3. SME-Klasse (Small-Enterprise-Klasse) – GSM 150

Das Modell GSM 150 ist für den Einsatz in kleinen Unternehmen und Behörden sowie in kleinen bis mittleren Zweigstellen ausgelegt. Das Steuern anderer Appliances als Sensoren wird nicht unterstützt. Allerdings kann der GSM 150 selbst als Remote-Scanner von anderen Appliances gesteuert werden.

_images/GSM_150.png

Abb. 3.3 GSM der SME-Klasse

Die Appliance wird in einem 1U-Stahlgehäuse geliefert. Zur einfachen Integration in das Rechenzentrum kann ein zusätzliches Rackmount-Kit genutzt werden. Die Appliance besitzt kein Display.

Um die Appliances zu verwalten, ist zusätzlich zu einem Ethernet-Port ein serieller Port vorhanden. Der serielle Port ist als ein mit Cisco kompatibler Konsolenport eingerichtet.

Für die Verbindung zum gescannten System ist die Appliance mit vier Gigabit Ethernet-Ports 10/100/1000 Base-TX (Kupfer) ausgestattet. Einer der Ports wird ebenfalls als Management-Port genutzt.

3.1.4. Sensor – GSM 35

Das Modell GSM 35 ist als Sensor für den Einsatz in kleinen Unternehmen und Behörden sowie in kleineren Zweigstellen ausgelegt.

Der GSM 35 benötigt die Steuerung einer zusätzlichen Appliance im Master-Modus. GSMs der Midrange- und der Enterprise-Klasse (GSM 400 und höher) können als Master für den GSM 35 verwendet werden.

Die Appliance wird in einem 1U-Stahlgehäuse geliefert. Zur einfachen Integration in das Rechenzentrum kann ein zusätzliches Rackmount-Kit genutzt werden. Die Appliance besitzt kein Display.

_images/GSM_35.png

Abb. 3.4 Physischer Sensor

Um die Appliances zu verwalten, ist zusätzlich zu einem Ethernet-Port ein serieller Port vorhanden. Der serielle Port ist als ein mit Cisco kompatibler Konsolenport eingerichtet.

Für die Verbindung zum gescannten System ist die Appliance mit vier Gigabit Ethernet-Ports 10/100/1000 Base-TX (Kupfer) ausgestattet. Einer der Ports wird ebenfalls als Management-Port genutzt.

3.2. Virtuelle Appliances

3.2.1. Midrange-Klasse – GSM DECA/TERA/PETA/EXA

Die Modelle GSM DECA, GSM TERA, GSM PETA und GSM EXA sind für den Einsatz in mittleren Unternehmen und Behörden sowie in größeren Zweigstellen ausgelegt.

Die Appliances der Midrange-Klasse können andere Appliances als Sensoren steuern. Die Appliances selbst können als Remote-Scanner von anderen Appliances gesteuert werden.

Die Appliances der Midrange-Klasse können mithilfe von VMware ESXi auf Microsoft Windows, MacOS und Linux-Systemen eingesetzt werden.

_images/GSM_EXA.png

Abb. 3.5 GSM der virtuellen Midrange-Klasse

Für die Verbindung zum gescannten System sind die Modelle GSM TERA, GSM PETA und GSM EXA mit insgesamt acht dynamischen, virtuellen Ports und das Modell GSM DECA mit insgesamt vier dynamischen, virtuellen Ports ausgestattet.

Einer der Ports wird ebenfalls als Management-Port genutzt.

3.2.2. SME-Klasse (Small-Enterprise-Klasse) – GSM 150V/CENO

Das Modell GSM150V/CENO ist für den Einsatz in kleinen Unternehmen und Behörden sowie in kleinen bis mittleren Zweigstellen ausgelegt. Das Steuern anderer Appliances als Sensoren wird nicht unterstützt. Allerdings kann der GSM 150V/CENO selbst als Remote-Sensor von anderen Appliances gesteuert werden.

Der GSM 150V/CENO kann mithilfe von VMware ESXi auf Microsoft Windows, MacOS und Linux-Systemen eingesetzt werden.

_images/GSM_CENO.png

Abb. 3.6 GSM der virtuellen SME-Klasse

Für die Verbindung zum gescannten System ist die Appliance mit insgesamt vier dynamischen, virtuellen Ports ausgestattet.

Einer der Ports wird ebenfalls als Management-Port genutzt.

3.2.3. Sensor – GSM 25V

Das Modell GSM 25V ist als virtueller Sensor für den Einsatz in kleinen Unternehmen und Behörden sowie in kleineren Zweigstellen ausgelegt. Es bietet eine einfache und kostengünstige Möglichkeit, virtuelle Infrastrukturen zu überwachen.

Der GSM 25V kann mithilfe von VMware ESXi auf Microsoft Windows, MacOS und Linux-Systemen eingesetzt werden.

Der GSM 25V benötigt die Steuerung einer zusätzlichen Appliance im Master-Modus. GSMs der Midrange- und der Enterprise-Klasse (GSM 400 und höher) können als Master für den GSM 25V verwendet werden.

_images/GSM_25V.png

Abb. 3.7 Virtueller Sensor

Für die Verbindung zum gescannten System ist die Appliance mit insgesamt vier dynamischen, virtuellen Ports ausgestattet.

Einer der Ports wird ebenfalls als Management-Port genutzt.

3.2.4. Einstiegsklasse – GSM ONE

Das Modell GSM ONE ist für spezielle Anforderungen wie Prüfungen mit einem Laptop oder Bildungszwecke ausgelegt. Es kann weder andere Appliances als Sensoren steuern noch selbst als Sensor von einer anderen Appliance gesteuert werden.

Der GSM ONE kann mithilfe vieler Virtualisierungsumgebungen eingerichtet werden. Die empfohlene und unterstützte Umgebung ist Oracle VirtualBox.

_images/gsm-ONE.png

Abb. 3.8 GSM ONE

Der GSM ONE ist mit einem virtuellen Port für Management, Scans und Updates ausgestattet.

Der GSM ONE besitzt alle Funktionen der Midrange- und Enterprise-Klassen, abgesehen von den folgenden:

  • Master-Modus: Der GSM ONE kann andere Appliances nicht als Sensoren steuern.
  • Sensor-Modus: Der GSM ONE kann nicht als Remote-Scanner von einer anderen Appliance gesteuert werden.
  • Benachrichtigungen: Der GSM ONE kann keine Benachrichtigungen über SMTP, SNMP, Syslog oder HTTP versenden.
  • VLANs: Der GSM ONE unterstützt keine VLANs auf virtuellen Ports.

Bemerkung

Der GSM ONE ist für die Verwendung auf mobilen Computern optimiert. Features, die für das Schwachstellenmanagement von Unternehmen benötigt werden wie Zeitpläne, Benachrichtigungen und Remote-Scanner sind nur auf voll ausgestatteten Appliances verfügbar.

3.2.5. Einstiegsklasse – GSM MAVEN

Das Modell GSM MAVEN ist für den Einsatz in Mikro-Büros sowie kleinen Zweigstellen ausgelegt. Es kann weder andere Appliances als Sensoren steuern noch selbst als Sensor von einer anderen Appliance gesteuert werden.

Der GSM MAVEN kann mithilfe vieler Virtualisierungsumgebungen eingerichtet werden. Die empfohlene und unterstützte Umgebung ist Oracle VirtualBox.

_images/GSM_MAVEN.png

Abb. 3.9 GSM MAVEN

Der GSM MAVEN ist mit einem virtuellen Port für Management, Scans und Updates ausgestattet.

Der GSM MAVEN besitzt alle Funktionen der Midrange- und Enterprise-Klassen, abgesehen von den folgenden:

  • Master-Modus: Der GSM MAVEN kann andere Appliances nicht als Sensoren steuern.
  • Sensor-Modus: Der GSM MAVEN kann nicht als Remote-Scanner von einer anderen Appliance gesteuert werden.
  • Benachrichtigungen: Der GSM MAVEN kann keine Benachrichtigungen über SMTP, SNMP, Syslog oder HTTP versenden.
  • VLANs: Der GSM MAVEN unterstützt keine VLANs auf virtuellen Ports.

Bemerkung

Der GSM MAVEN ist für die Verwendung auf mobilen Computern optimiert. Features, die für das Schwachstellenmanagement von Unternehmen benötigt werden wie Zeitpläne, Benachrichtigungen und Remote-Scanner sind nur auf voll ausgestatteten Appliances verfügbar.