10. Ein System scannen

Bemerkung

Dieses Kapitel dokumentiert alle möglichen Menüoptionen.

Allerdings unterstützen nicht alle GSM-Typen alle Menüoptionen. Um festzustellen, ob ein bestimmtes Feature für den genutzten GSM-Typ verfügbar ist, können die Tabellen in Kapitel 3 überprüft werden.

10.1. Den Aufgaben-Wizard für einen ersten Scan nutzen

Der Aufgaben-Wizard kann einen Basisscan mit minimalem Input vom Benutzer konfigurieren und starten.

10.1.1. Den Aufgaben-Wizard nutzen

Beim ersten Einloggen in die Web-Oberfläche der GSM-Appliance nach einem anfänglichen Setup wird ein leeres Dashboard dargestellt (siehe Abb. 10.1).

_images/dashboard_empty-de.png

Abb. 10.1 Leeres Standard-Dashboard

Mit dem Aufgaben-Wizard kann eine neue Aufgabe wie folgt konfiguriert werden:

  1. Scans > Aufgaben in der Menüleiste wählen.

  2. Wizard durch Bewegen der Maus über wizard und Klicken auf Aufgaben-Wizard starten.

  3. IP-Adresse oder Hostnamen des Zielsystems in das Eingabefeld eingeben (siehe Abb. 10.2).

    Bemerkung

    Beim Nutzen eines DNS-Namens muss der GSM in der Lage sein, diesen Namen aufzuschlüsseln.

    _images/task_wizard-de.png

    Abb. 10.2 Den Aufgaben-Wizard konfigurieren

  4. Auf Scan starten klicken.

    → Der Aufgaben-Wizard führt die folgenden Schritte automatisch aus:

    1. Erstellen eines neuen Scanziels auf dem GSM.
    2. Erstellen einer neuen Scanaufgabe auf dem GSM.
    3. Unmittelbares Starten der Scanaufgabe.
    4. Anzeigen der Seite Aufgaben.

Nachdem die Aufgabe gestartet wurde, kann der Fortschritt überwacht werden (siehe Abb. 10.3).

_images/task_wizard_run-de.png

Abb. 10.3 Seite Aufgaben mit Fortschritt der Aufgabe

Für den Status einer Aufgabe siehe Kapitel 10.8.

Tipp

Sobald eine Aufgabe gestartet wurde, kann der Bericht der Aufgabe durch Klicken auf den Balken in der Spalte Status angezeigt werden. Für das Lesen, Verwalten und Herunterladen von Berichten siehe Kapitel 11.

Sobald sich der Status zu Abgeschlossen ändert, ist der gesamte Bericht verfügbar. Zu jeder Zeit können Zwischenergebnisse angesehen werden (siehe Kapitel 11.2.1).

Bemerkung

Die Fertigstellung des Scans kann einige Zeit in Anspruch nehmen. Die Seite aktualisiert sich automatisch, falls neue Daten verfügbar sind.

10.1.2. Den erweiterten Aufgaben-Wizard nutzen

Neben dem einfachen Aufgaben-Wizard stellt der GSM auch einen erweiterten Aufgaben-Wizard mit mehr Konfigurationsmöglichkeiten bereit.

Eine neue Aufgabe kann wie folgt mit dem erweiterten Aufgaben-Wizard konfiguriert werden:

  1. Scans > Aufgaben in der Menüleiste wählen.

  2. Wizard durch Bewegen der Maus über wizard und Klicken auf Erweiterter Aufgaben-Wizard starten.

  3. Aufgabe festlegen (siehe Abb. 10.4).

    Tipp

    Für die Informationen, die in die Eingabefelder eingegeben werden müssen, siehe Kapitel 10.2.1 und 10.2.2.

    Falls eine E-Mail-Adresse in das Eingabefeld E-Mail-Bericht an eingegeben wird, wird eine Benachrichtigung erstellt, die eine E-Mail versendet, sobald die Aufgabe abgeschlossen ist (siehe Kapitel 10.12).

    _images/adv_task_wizard-de.png

    Abb. 10.4 Konfigurieren des erweiterten Aufgaben-Wizards

  4. Auf Erstellen klicken.

    → Der erweiterte Aufgaben-Wizard führt die folgenden Schritte automatisch aus:

    1. Unmittelbares Starten der Scanaufgabe.
    2. Anzeigen der Seite Aufgaben.

Für den Status einer Aufgabe siehe Kapitel 10.8.

Tipp

Sobald eine Aufgabe gestartet wurde, kann der Bericht der Aufgabe durch Klicken auf den Balken in der Spalte Status angezeigt werden. Für das Lesen, Verwalten und Herunterladen von Berichten siehe Kapitel 11.

Sobald sich der Status zu Abgeschlossen ändert, ist der gesamte Bericht verfügbar. Zu jeder Zeit können Zwischenergebnisse angesehen werden (siehe Kapitel 11.2.1).

Bemerkung

Die Fertigstellung des Scans kann einige Zeit in Anspruch nehmen. Die Seite aktualisiert sich automatisch, falls neue Daten verfügbar sind.

10.1.3. Den Wizard zum Verändern einer Aufgabe nutzen

Ein weiterer Wizard kann eine vorhandene Aufgabe verändern:

  1. Scans > Aufgaben in der Menüleiste wählen.

  2. Wizard durch Bewegen der Maus über wizard und Klicken auf Aufgabe-Bearbeiten-Wizard starten.

  3. Aufgabe, die verändert werden soll, in der Drop-down-Liste Aufgabe wählen (siehe Abb. 10.5).

  4. Zeitplan für die Aufgabe durch Wählen des Radiobuttons Zeitplan erstellen erstellen (siehe Kapitel 10.10).

    Das Datum des ersten Scans kann duch Klicken auf calendar gewählt und die Zeit kann mithilfe der Eingabefelder festgelegt werden.

  5. E-Mail-Adresse, an die ein Bericht gesendet werden soll, in das Eingabefeld E-Mail-Bericht an eingeben.

  6. Auf Aufgabe bearbeiten klicken.

    _images/modify_task_wizard-de.png

    Abb. 10.5 Verändern einer Aufgabe mithilfe des Wizards

10.2. Einen einfachen Scan manuell konfigurieren

Im Allgemeinen kann der GSM zwei unterschiedliche Vorgehensweisen nutzen, um ein Ziel zu scannen:

  • Einfacher Scan
  • Authentifizierter Scan mithilfe lokaler Sicherheitstests

gb_video Die Schritte eines einfachen Scans werden in einem Video basierend auf GOS 3.1 unter https://docs.greenbone.net/Videos/gos-3.1/en/GSM-FirstScan-GOS-3.1-en-20150716.mp4 erklärt.

Die folgenden Schritte müssen ausgeführt werden, um einen einfachen Scan zu konfigurieren:

  • Erstellen eines Ziels
  • Erstellen einer Aufgabe
  • Durchführen der Aufgabe

10.2.1. Ein Ziel erstellen

Der erste Schritt ist es, ein Scanziel wie folgt zu erstellen:

  1. Konfiguration > Ziele in der Menüleiste wählen.

  2. Neues Ziel durch Klicken auf new erstellen.

  3. Ziel definieren (siehe Abb. 10.6).

    _images/target_new-de.png

    Abb. 10.6 Erstellen eines neuen Ziels

  4. Auf Speichern klicken.

Die folgenden Informationen können eingegeben werden:

Name
Der Name kann frei gewählt werden. Falls möglich, sollte ein aussagekräftiger Name gewählt werden. Möglichkeiten sind Mailserver, ClientNetwork, Webserverfarm, DMZ oder eine nähere Beschreibung des Systems.
Kommentar
Der optionale Kommentar erlaubt es, Hintergrundinformationen festzulegen. Diese erleichtern später das Verständnis des konfigurierten Ziels.
Hosts

Manuelle Eingabe der Hosts, die gescannt werden sollen, getrennt durch Kommas oder Importieren einer Hostliste.

Bemerkung

Die IP-Adresse oder der Hostname wird benötigt. In beiden Fällen ist es nötig, dass sich der GSM mit dem System verbinden kann. Falls der Hostname verwendet wird, muss der GSM in der Lage sein, den Namen aufzuschlüsseln.

Für die manuelle Eingabe sind die folgenden Optionen möglich:

  • Einzelne IP-Adresse, z. B. 192.168.15.5
  • Hostname, z. B. mail.example.com
  • IPv4-Adressbereich in langem Format, z. B. 192.168.15.5-192.168.15.27
  • IPv4-Adressbereich in kurzem Format, z. B. 192.168.55.5-27
  • IPv4-Adressbereich in CIDR-Schreibweise, z. B. 192.168.15.0/24 1 (höchstens 4096 IP-Adressen)
  • Einzelne IPv6-Adresse, z. B. fe80::222:64ff:fe76:4cea
  • IPv6-Adressbereich in langem Format, z. B. ::12:fe5:fb50-::12:fe6:100
  • IPv6-Adressbereich in kurzem Format, z. B. ::13:fe5:fb50-fb80
  • IPv6-Adressbereich in CIDR-Schreibweise, z. B. fe80::222:64ff:fe76:4cea/120 (höchstens 4096 IP-Adressen)

Mehrere Optionen können gemischt werden. Falls eine Datei importiert wird, muss dieselbe Syntax genutzt werden. Einträge können durch Kommas oder durch Zeilenumbrüche getrennt werden. Falls mehrere Systeme gescannt werden müssen, ist es einfacher eine Datei mit den Hosts zu nutzen, statt alle Hosts manuell einzugeben. Die Datei sollte mit UTF-8 codiert sein.

Alternativ kann das System aus der Host-Assetdatenbank importiert werden.

Bemerkung

Das Importieren eines Hosts aus der Assetdatenbank ist nur möglich, falls das Ziel von der Seite Hosts aus erstellt wurde (siehe Kapitel 12.1.3).

Hosts ausschließen

Manuelle Eingabe der Hosts, die vom Scan ausgeschlossen werden sollen, getrennt durch Kommas oder Importieren einer Hostliste.

Es gelten die gleichen Vorgaben wie für Hosts.

Portliste

Portliste, die für den Scan genutzt wird (siehe Kapitel 10.7).

Bemerkung

Eine Portliste kann durch Klicken auf new neben der Drop-down-Liste erstellt werden.

Erreichbarkeitstest

Diese Option legt die Methode fest, mit der geprüft wird, ob ein Ziel erreichbar ist. Die Möglichkeiten sind:

  • Scan Config Default (nutzt Erreichbarkeitstest-Methode(n), die im NVT Ping Host (OID: 1.3.6.1.4.1.25623.1.0.100315) der NVT-Familie Port scanners konfiguriert wurde(n))
  • ICMP Ping
  • TCP-ACK Service Ping
  • TCP-SYN Service Ping
  • ARP Ping
  • ICMP & TCP-ACK Service Ping
  • ICMP & ARP Ping
  • TCP-ACK Service & ARP Ping
  • ICMP, TCP-ACK Service & ARP Ping
  • Consider Alive

Manchmal gibt es Probleme mit diesem Test. In einigen Umgebungen antworten Router- und Firewallsysteme auf einen TCP-Serviceping mit einem TCP-RST, obwohl der Host in Wirklichkeit nicht erreichbar ist (siehe Kapitel 10.13).

Es gibt Netzwerkkomponenten, die Proxy-ARP unterstützen und auf einen ARP-Ping antworten. Deshalb benötigt dieser Test oft lokale Anpassungen an die Umgebung.

SSH-Anmeldedaten
Auswahl eines Benutzers, der sich in das Zielsystem einloggen kann, falls dieses ein Linux- oder Unix-System ist. Dies ermöglicht einen authentifizierten Scan mit lokalen Sicherheitstests (siehe Kapitel 10.3.2 und 10.3).
SMB-Anmeldedaten
Auswahl eines Benutzers, der sich in das Zielsystem einloggen kann, falls dieses ein Microsoft-Windows-System ist. Dies ermöglicht einen authentifizierten Scan mit lokalen Sicherheitstests (siehe Kapitel 10.3.2 und 10.3).
ESXi-Anmeldedaten
Auswahl eines Benutzers, der sich in das Zielsystem einloggen kann, falls dieses ein VMware-ESXi-System ist. Dies ermöglicht einen authentifizierten Scan mit lokalen Sicherheitstests (siehe Kapitel 10.3.2 und 10.3).
SNMP-Anmeldedaten

Auswahl eines Benutzers, der sich in das Zielsystem einloggen kann, falls dieses ein SNMP-Aware-System ist. Dies ermöglicht einen authentifizierten Scan mit lokalen Sicherheitstests (siehe Kapitel 10.3.2 und 10.3).

Bemerkung

Alle Anmeldedaten können durch Klicken auf new neben den Anmeldedaten erstellt werden.

Nur Invers-Lookup
Nur IP-Adressen scannen, die sich in einen DNS-Namen auflösen können.
Invers-Lookup-Vereinheitlichung

Falls sich mehrere IP-Adressen zum gleichen DNS-Namen auflösen, wird der DNS-Name nur einmal gescannt.

Bemerkung

Für die Invers-Lookup-Vereinheitlichung werden alle Zieladressen vor dem Scan geprüft, um die Anzahl tatsächlich gescannter Adressen zu reduzieren. Für große Ziele und für Netzwerke, in denen Invers-Lookups Verzögerungen verursachen, führt dies zu einer langen Phase, in der die Aufgabe bei 1 % Fortschritt steht.

Diese Option wird nicht für große Netzwerke oder Netzwerke, in denen Invers-Lookups Verzögerungen verursachen, empfohlen.

10.2.2. Eine Aufgabe erstellen

Der zweite Schritt ist das Erstellen einer Aufgabe.

Der GSM steuert die Ausführung von Scans mithilfe von Aufgaben. Diese Aufgaben können regelmäßig wiederholt oder zu bestimmten Zeiten durchgeführt werden (siehe Kapitel 10.10).

Eine Aufgabe kann wie folgt erstellt werden:

  1. Scans > Aufgaben in der Menüleiste wählen.

  2. Neue Aufgabe durch Bewegen der Maus über new und Klicken auf Neue Aufgabe erstellen.

  3. Aufgabe definieren (siehe Abb. 10.7).

    _images/task_new-de.png

    Abb. 10.7 Erstellen einer neuen Aufgabe

  4. Auf Speichern klicken.

    → Die Aufgabe wird erstellt und auf der Seite Aufgaben angezeigt.

Die folgenden Informationen können eingegeben werden:

Name
Der Name kann frei gewählt werden. Falls möglich, sollte ein aussagekräftiger Name gewählt werden. Möglichkeiten sind Mailserver, ClientNetwork, Webserverfarm, DMZ oder eine nähere Beschreibung des Systems.
Kommentar
Der optionale Kommentar erlaubt es, Hintergrundinformationen festzuhalten. Diese erleichtern später das Verständnis der konfigurierten Aufgabe.
Scan-Ziele

Zuvor konfiguriertes Ziel von der Drop-down-Liste wählen (siehe Kapitel 10.2.1).

Zusätzlich kann das Ziel durch Klicken auf new neben der Drop-down-Liste erstellt werden.

Benachrichtigungen

Zuvor konfigurierte Benachrichtigung wählen (siehe Kapitel 10.12). Statusänderungen der Aufgabe können über E-Mail, System-Logger, HTTP oder einen Konnektor mitgeteilt werden.

Zusätzlich kann die Benachrichtigung durch Klicken auf new neben der Drop-down-Liste erstellt werden.

Zeitplan

Zuvor erstellten Zeitplan aus der Drop-down-Liste wählen (siehe Kapitel 10.10). Die Aufgabe kann einmalig oder wiederholt zu einer festgelegten Zeit, z. B. jeden Montagmorgen um 6:00, durchgeführt werden.

Zusätzlich kann ein Zeitplan durch Klicken auf new neben der Drop-down-Liste erstellt werden.

Ergebnisse zu Assets hinzufügen
Das Auswählen dieser Option macht die Systeme automatisch für die Assetverwaltung des GSMs verfügbar (siehe Kapitel 12). Diese Auswahl kann später geändert werden.
Übersteuerungen anwenden
Übersteuerungen können direkt angewendet werden, wenn die Ergebnisse zur Assetdatenbank hinzugefügt werden (siehe Kapitel 11.8).
Min QdE
Hier kann die minimale Qualität der Entdeckung für das Hinzufügen der Ergebnisse zur Assetdatenbank festgelegt werden.
Änderbare Aufgabe
Verändern der Aufgabe erlauben, auch wenn bereits Berichte erstellt wurden. Die Übereinstimmung zwischen den Berichten kann nicht garantiert werden, falls Aufgaben verändert werden.
Berichte automatisch löschen
Diese Option löscht alte Berichte automatisch. Die maximale Anzahl an gespeicherten Berichten kann konfiguriert werden. Falls das Maximum überschritten wird, wird der älteste Bericht automatisch gelöscht. Die Werkseinstellung ist Berichte nicht automatisch löschen.
Scanner
Standardmäßig werden nur die beiden integrierten Scanner OpenVAS und CVE unterstützt (siehe Kapitel 10.11). Sensoren können als zusätzliche Scanmaschinen genutzt werden, müssen jedoch erst konfiguriert werden (siehe Kapitel 16).

Bemerkung

Die folgenden Optionen sind nur für den OpenVAS-Scanner relevant. Der CVE-Scanner unterstützt keine dieser Optionen.

Scan-Konfiguration
Der GSM besitzt standardmäßig sieben vorkonfigurierte Scan-Konfigurationen für den OpenVAS-Scanner (siehe Kapitel 10.9).
Netzwerk-Quell-Interface
Hier kann der Name eines Quell-Interfaces eingegeben werden, um den Scan mit dem Interface zu verknüpfen. Nur Nutzer, die Zugriff auf dieses Interface haben, sind berechtigt, den Scan zu nutzen und durchzuführen. Diese Einstellung hat keinen Einfluss auf das tatsächliche Routing des Scans. Das Routing kann nur durch Konfigurieren der Netzwerkeinstellungen beeinflusst werden (siehe Kapitel 7.2.2).
Reihenfolge der Ziel-Hosts

Auswählen, wie der angegebene Netzwerkbereich gescannt werden soll. Die Möglichkeiten sind:

  • Sequenziell
  • Zufällig
  • Rückwärts

Dies ist beispielsweise interessant, falls ein Netzwerk, z. B. 192.168.0.0/24, gescannt wird, welches viele Systeme am Anfang oder am Ende des IP-Adressbereichs hat. Mit der Auswahl von Random ist die Anzeige des Fortschritts aussagekräftiger.

Maximal gleichzeitig ausgeführte NVTs pro Host/Maximal gleichzeitig gescannte Hosts
Auswahl der Geschwindigkeit des Scans auf einem Host. Die Standardwerte sind bewusst gewählt. Falls mehrere NTVs gleichzeitig auf einem System laufen oder mehrere Systeme zur gleichen Zeit gescannt werden, könnte der Scan negative Auswirkungen auf die Leistung der gescannten Systeme, des Netzwerks oder des GSMs selbst haben. Die Werte „maxhosts“ und „maxchecks“ können optimiert werden.

10.2.3. Die Aufgabe starten

In der Zeile der neu erstellen Aufgabe auf start klicken.

Bemerkung

Für Aufgaben mit Zeitplan wird schedule angezeigt. Die Aufgabe startet zu der Zeit, die im Zeitplan festgelegt wurde (siehe Kapitel 10.10).

→ Der Scan wird durchgeführt. Für den Status einer Aufgabe siehe Kapitel 10.8.

Tipp

Sobald eine Aufgabe gestartet wurde, kann der Bericht der Aufgabe durch Klicken auf den Balken in der Spalte Status angezeigt werden. Für das Lesen, Verwalten und Herunterladen von Berichten siehe Kapitel 11.

Sobald sich der Status zu Abgeschlossen ändert, ist der gesamte Bericht verfügbar. Zu jeder Zeit können Zwischenergebnisse angesehen werden (siehe Kapitel 11.2.1).

Bemerkung

Die Fertigstellung des Scans kann einige Zeit in Anspruch nehmen. Die Seite aktualisiert sich automatisch, falls neue Daten verfügbar sind.

10.3. Einen authentifizierten Scan mit lokalen Sicherheitstests konfigurieren

Ein authentifizierter Scan kann mehr Details über Schwachstellen auf dem gescannten System bereitstellen. Während eines authentifizierten Scans wird das Ziel sowohl von außen über das Netzwerk als auch von innen mithilfe eines gültigen Benutzerlogins gescannt.

Während eines authentifizierten Scans loggt sich der GSM in das Zielsystem ein, um lokale Sicherheitstests (engl. local security checks, LSC) durchzuführen. Der Scan benötigt die vorherige Erstellung von Anmeldedaten. Diese Anmeldedaten werden für die Authentifizierung auf unterschiedlichen Diensten auf dem Zielsystem genutzt. Unter Umständen können die Ergebnisse durch die Berechtigungen des Benutzers eingeschränkt werden.

Die NVTs in der entsprechenden NVT-Familie (local security checks) werden nur ausgeführt, falls sich der GSM in das Zielsystem einloggen konnte. Die NVTs der lokalen Sicherheitstests im resultierenden Scan sind minimalinvasiv.

Der GSM bestimmt nur die Risikostufe, aber nimmt keine Änderungen am Zielsystem vor. Trotzdem wird der Login des GSMs wahrscheinlich in den Protokollen des Zielsystems vermerkt.

Der GSM kann unterschiedliche Anmeldedaten, basierend auf den Eigenschaften des Ziels, nutzen. Die wichtigsten sind:

  • SMB
    Auf Microsoft-Windows-Systemen kann der GSM das Patchlevel und lokal installierte Software wie Adobe Acrobat Reader oder die Java-Suite prüfen.
  • SSH
    Dieser Zugang wird für das Prüfen des Patchlevels von Unix- und Linuxsystemen genutzt.
  • ESXi
    Dieser Zugang wird für das lokale Prüfen von VMware-ESXi-Servern genutzt.
  • SNMP
    Netzwerkkomponenten wie Router und Switches können mithilfe von SNMP geprüft werden.

10.3.1. Vorteile und Nachteile authentifizierter Scans

Der Umfang und Erfolg der Prüfroutinen für authentifizierte Scans hängen stark von den Berechtigungen des genutzten Benutzeraccounts ab.

Auf Linux-Systemen ist ein unprivilegierter Benutzer ausreichend und kann auf die meisten relevanten Informationen zugreifen, während ein unprivilegierter Benutzer auf Microsoft-Windows-Systemen sehr eingeschränkt ist und ein administrativer Benutzer mehr Ergebnisse liefert. Ein unprivilegierter Benutzer hat keinen Zugriff auf die Microsoft-Windows-Registrierungsdatenbank (Registry) und den Microsoft-Windows-Systemorder \windows, welcher Informationen zu Updates und Patchlevels enthält.

Lokale Sicherheitstests sind die schonendste Methode, um nach Schwachstellendetails zu suchen. Während Remote-Sicherheitsheitstests ebenfalls versuchen, möglichst nicht-invasiv zu sein, haben sie einige Auswirkungen.

Einfach gesagt ähnelt ein authentifizierter Scan einem Whitebox-Ansatz. Der GSM hat Zugriff auf frühere Informationen und kann von innen auf das Ziel zugreifen. Insbesondere sind die Registry, Softwareversionen und Patchlevels zugänglich.

Ein Remotescan ähnelt einem Blackbox-Ansatz. Der GSM nutzt die gleichen Techniken und Protokolle wie ein potentieller Angreifer, um von außen auf das Ziel zuzugreifen. Die einzigen verfügbaren Informationen werden vom GSM selbst gesammelt. Während einer Prüfung kann der GSM Fehlfunktionen auslösen, um Informationen über die genutzte Software zu erhalten, z. B. kann der Scanner eine fehlerhafte Anfrage an einen Dienst senden, um eine Antwort auszulösen, die weitere Informationen über das eingesetzte Produkt enthält.

Während eines Remotescans mit der Scan-Konfiguration Full and fast sind alle Remoteprüfungen sicher. Die genutzten NVTs haben möglicherweise einige invasive Komponenten, aber keiner der genutzten NVTs versucht, einen Defekt oder eine Fehlfunktion auf dem Ziel auszulösen (siehe Beispiel unten). Dies wird durch die Scanner-Vorgabe safe_checks=yes in der Scan-Konfiguration sichergestellt (siehe Kapitel 10.9.5). Alle NVTs mit sehr invasiven Komponenten oder solche, die einen Denial of Service (DoS) auslösen, werden automatisch von der Prüfung ausgeschlossen.

Beispiel für eine invasive NVT

Ein Beispiel für einen invasiven, aber sicheren NVT ist der Heartbleed-NVT. Er wird sogar ausgeführt, wenn safe_checks aktiviert ist, da der NVT keine negativen Auswirkungen auf das Ziel hat.

Der NVT ist trotzdem invasiv, da er die Speicherlecks des Ziels prüft. Falls das Ziel angreifbar ist, wird tatsächlicher Speicher des Ziels geleaked. Der GSM bewertet die geleakten Informationen nicht. Die Informationen werden umgehend gelöscht.

10.3.2. Anmeldedaten nutzen

Anmeldedaten für lokale Sicherheitstests werden benötigt, um NVTs das Einloggen in ein Zielsystem zu ermöglichen, z. B. um das Vorhandensein aller Sicherheitspatches des Herstellers lokal zu prüfen.

10.3.2.1. Anmeldedaten erstellen

Neue Anmeldedaten können wie folgt erstellt werden:

  1. Konfiguration > Anmeldedaten in der Menüleiste wählen.

  2. Neue Anmeldedaten durch Klicken auf new erstellen.

  3. Anmeldedaten definieren (siehe Abb. 10.8).

  4. Auf Speichern klicken.

    _images/credential_new-de.png

    Abb. 10.8 Erstellen neuer Anmeldedaten

Die folgenden Details der Anmeldedaten können festgelegt werden:

Bemerkung

Falls die Details deutsche Umlaute enthalten, funktioniert der Login nicht. Die Umlaute müssen wie folgt ersetzt werden:

  • „ß“ → „ss“
  • „ä“ → „a“
  • „ö“ → „o“
  • „ü“ → „u“
Name
Festlegung des Namens. Der Name kann frei gewählt werden.
Kommentar
Ein optionaler Kommentar kann zusätzliche Informationen enthalten.
Typ

Festlegung des Typs der Anmeldedaten. Die folgenden Typen sind möglich:

  • Benutzername + Passwort
  • Benutzername + SSH-Schlüssel
  • Benutzerzertifikat
  • SNMP
  • S/MIME-Zertifikat
  • PGP-Verschlüsselungsschlüssel
  • Nur Passwort
Unsichere Verwendung zulassen
Wahl, ob der GSM die Anmeldedaten für unverschlüsselte oder andersweitig unsichere Authentifizierungsmethoden nutzen kann.

Abhängig vom gewählten Typen werden weitere Optionen angezeigt:

Benutzername + Passwort
  • Auto-generieren

    Wahl, ob der GSM ein zufällig Passwort erstellt.

    Bemerkung

    Falls der Radiobutton Ja gewählt wird, ist es nicht möglich, im Eingabefeld Passwort ein Passwort festzulegen.

  • Benutzername

    Festlegung des Loginnamens, der vom GSM genutzt wird, um sich auf dem gescannten Zielsystem zu authentifizieren.

  • Passwort

    Festlegung des Passworts, das vom GSM genutzt wird, um sich auf dem gescannten Zielsystem zu authentifizieren.

Benutzername + SSH-Schlüssel
  • Auto-generieren

    Wahl, ob der GSM ein zufällig Passwort erstellt.

    Bemerkung

    Falls der Radiobutton Ja gewählt wird, ist es nicht möglich, im Eingabefeld Passwort ein Passwort festzulegen.

  • Benutzername

    Festlegung des Loginnamens, der vom GSM genutzt wird, um sich auf dem gescannten Zielsystem zu authentifizieren.

  • Passphrase

    Festlegung der Passphrase des privaten SSH-Schlüssels.

  • Privater Schlüssel

    Hochladen des privaten SSH-Schlüssels.

Benutzerzertifikat
  • Passphrase
    Festlegung der Passphrase des privaten SSH-Schlüssels.
  • Zertifikat
    Hochladen der Zertifikatdatei.
  • Privater Schlüssel
    Hochladen des zugehörigen privaten Schlüssels.
SNMP
  • SNMP-Community
    Festlegung der Community für SNMPv1 oder SNMPv2c.
  • Benutzername
    Festlegung des Benutzernamens für SNMPv3.
  • Passwort
    Festlegung des Passworts für SNMPv3.
  • Privacy-Passwort
    Festlegung des Passworts für die Verschlüsselung für SNMPv3.
  • Auth-Algorithmus
    Wahl des Authentifizierungsalgorithmus (MD5 oder SHA1).
  • Privacy-Algorithmus
    Wahl des Verschlüsselungsalgorithmus (AES, DES oder keiner).
S/MIME-Zertifikat
  • S/MIME-Zertifikat
    Hochladen der Zertifikatdatei.
PGP-Verschlüsselungsschlüssel
  • Öffentlicher PGP-Schlüssel
    Hochladen der Schlüsseldatei.
Nur Passwort
  • Passwort
    Festlegung des Passworts, das vom GSM genutzt wird, um sich auf dem gescannten Zielsystem zu authentifizieren.

Bemerkung

Die Anmeldedaten müssen mit mindestens einem Ziel verknüpft sein. Dies erlaubt es der Scanmaschine, die Anmeldedaten anzuwenden.

10.3.2.2. Anmeldedaten verwalten

Listenseite

Alle vorhandenen Anmeldedaten können angezeigt werden, indem Konfiguration > Anmeldedaten in der Menüleiste gewählt wird.

Für alle Anmeldedaten werden die folgenden Informationen angezeigt:

Name
Name der Anmeldedaten.
Typ
Gewählter Anmeldedatentyp.
Unsichere Verwendung zulassen
Hinweis, ob der GSM die Anmeldedaten für unverschlüsselte oder andersweitig unsichere Authentifizierungsmethoden nutzen kann.
Login
Benutzername für die Anmeldedaten, falls ein Anmeldedatentyp gewählt wurde, der einen Benutzernamen erfordert.

Für alle Anmeldedaten sind die folgenden Aktionen verfügbar:

  • trashcan Die Anmeldedaten löschen. Nur Anmeldedaten, die aktuell nicht genutzt werden, können gelöscht werden.
  • edit Die Anmeldedaten bearbeiten.
  • clone Die Anmeldedaten klonen.
  • export Die Anmeldedaten als XML-Datei exportieren.

Abhängig vom gewählten Anmeldedatentyp (siehe Kapitel 10.3.2.1) sind mehr Aktionen verfügbar:

  • download_exe Ein EXE-Paket für Microsoft Windows herunterladen. Diese Aktion ist verfügbar, falls Benutzername + Passwort gewählt wurde.
  • download_rpm Ein RPM-Paket für Red Hat Enterprise Linux und dessen Derivate herunterladen. Diese Aktion ist verfügbar, falls Benutzername + SSH-Schlüssel gewählt wurde.
  • download_deb Ein Debian-Paket für Debian GNU/Linux und dessen Derivate herunterladen. Diese Aktion ist verfügbar, falls Benutzername + SSH-Schlüssel gewählt wurde.
  • download_key Einen öffentlichen Schlüssel herunterladen. Diese Aktion ist verfügbar, falls Benutzername + SSH-Schlüssel oder Benutzerzertifikat gewählt wurde.

Diese Installationspakete vereinfachen die Installation und das Erstellen von Accounts für authentifizierte Scans. Sie erstellen den Benutzer und die wichtigsten Berechtigungen für den authentifizierten Scan und setzen diese während der Deinstallation wieder zurück.

Bemerkung

Falls die automatische Generierung eines Passworts aktiviert ist (siehe Kapitel 10.3.2.1), müssen die Pakete genutzt werden. Andernfalls ist die Nutzung optional.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Anmeldedaten können mehrere Anmeldedaten zur gleichen Zeit gelöscht oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Anmeldedaten gelöscht oder exportiert werden.

Detailseite

Durch Klicken auf den Namen von Anmeldedaten werden Details der Anmeldedaten angezeigt. Durch Klicken auf details wird die Detailseite der Anmeldedaten geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über die Anmeldedaten.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).
Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Anmeldedaten anzeigen.
  • new Neue Anmeldedaten erstellen (siehe Kapitel 10.3.2.1).
  • clone Die Anmeldedaten klonen.
  • edit Die Anmeldedaten bearbeiten.
  • trashcan Die Anmeldedaten löschen. Nur Anmeldedaten, die aktuell nicht genutzt werden, können gelöscht werden.
  • export Die Anmeldedaten als XML-Datei exportieren.

Abhängig vom gewählten Anmeldedatentyp (siehe Kapitel 10.3.2.1) sind mehr Aktionen verfügbar:

  • download_exe Ein EXE-Paket für Microsoft Windows herunterladen. Diese Aktion ist verfügbar, falls Benutzername + Passwort gewählt wurde.
  • download_rpm Ein RPM-Paket für Red Hat Enterprise Linux und dessen Derivate herunterladen. Diese Aktion ist verfügbar, falls Benutzername + SSH-Schlüssel gewählt wurde.
  • download_deb Ein Debian-Paket für Debian GNU/Linux und dessen Derivate herunterladen. Diese Aktion ist verfügbar, falls Benutzername + SSH-Schlüssel gewählt wurde.
  • download_key Einen öffentlichen Schlüssel herunterladen. Diese Aktion ist verfügbar, falls Benutzername + SSH-Schlüssel oder Benutzerzertifikat gewählt wurde.

10.3.3. Anforderungen auf Zielsystemen mit Microsoft Windows

10.3.3.1. Allgemeine Hinweise zur Konfiguration

  • Der Dienst der Remote-Registry muss gestartet werden, um auf die Registry zuzugreifen.

    Dies wird erreicht, indem das automatischte Starten des Diensts eingestellt wird. Falls ein automatischer Start nicht gewünscht wird, kann ein manueller Start konfiguriert werden. In diesem Fall wird der Dienst, während das System vom GSM gescannt wird, gestartet und anschließend wieder deaktiviert. Um dieses Verhalten sicherzustellen, muss der folgende Punkt über LocalAccountTokenFilterPolicy beachetet werden.

  • Es ist notwendig, dass für alle gescannten Systeme der Datei- und Druckerzugriff aktiviert ist. Falls Microsoft Windows XP genutzt wird, muss die Einstellung Einfache Dateifreigabe verwenden deaktiviert sein.

  • Für einzelne Systeme, die nicht mit einer Domäne verbunden sind, muss der folgende Registryschlüssel festgelegt werden:

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
    DWORD: LocalAccountTokenFilterPolicy = 1
    
  • Auf Systemen mit Domänencontroller muss der genutzte Benutzeraccount Mitglied der Gruppe Domänen-Admins sein, um die bestmöglichen Ergebnisse zu erhalten. Aufgrund des Berechtigungskonzepts ist es nicht möglich, alle Schwachstellen zu erkennen, wenn der Lokale Administrator oder der von der Domäne zugewiesene Administrator genutzt wird. Alternativ können die Anweisungen in Kapitel 10.3.3.2 befolgt werden.

  • Sollte ein Lokaler Administrator gewählt werden – was ausdrücklich nicht empfohlen wird – ist es auch notwendig, den folgenden Registryschlüssel festzulegen:

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
    DWORD: LocalAccountTokenFilterPolicy = 1
    
  • Generiertes Installationspaket für Anmeldedaten: Das Installationsprogramm stellt den Remote-Registrydienst auf automatisches Starten ein. Falls das Installationsprogramm auf einem Domänencontroller ausgeführt wird, wird der Benutzeraccount der Gruppe BUILTIN/Administratoren (SID S-1-5-32-544) zugeordnet.

  • Auf der Microsoft-Windows-Firewall muss eine Ausnahmeregel für den GSM erstellt werden. Zusätzlich muss auf XP-Systemen der Dienst Datei- und Druckerfreigabe aktiviert werden.

  • Generiertes Installationspaket für Anmeldedaten: Während der Installation bietet das Installationsprogramm einen Dialog, um die IP-Adresse des GSMs einzugeben. Wenn die Eingabe bestätigt wird, wird eine Regel für die Firewall konfiguriert. Der Dienst Datei- und Druckerfreigabe wird in den Regeln der Firewall aktiviert.

10.3.3.2. Einen Domänenaccount für authentifiziert Scans konfigurieren

Für authentifizierte Scans von Microsoft-Windows-Zielsystemen wird die Nutzung eines Domänenaccounts mit einer Domänenrichtlinie, die lokale Administratorprivilegien erteilt, empfohlen. Dies hat mehrere Vorteile:

  • Eine Domänenrichtlinie muss nur einmal erstellt werden und kann dann für unterschiedliche Benutzer angewendet oder widerrufen werden.
  • Das lokale Bearbeiten der Registry von Microsoft Windows ist nicht länger nötig. Die Benutzerverwaltung ist somit zentralisiert, was auf lange Sicht Zeit spart und mögliche Konfigurationsfehler reduziert.
  • Aus Sicht der Schwachstellenbewertung ermöglicht nur ein Domänenaccount die Erkennung domänenzugehöriger Scanergebnisse. Diese Ergebnisse fehlen, falls ein ein lokaler Benutzeraccount genutzt wird.
  • Es gibt auch einige Sicherheitsvorteile beim Nutzen eines Domänenaccounts mit einer Domänenrichtlinie, die von Greenbone Networks emfohlen wird: Der zugehörige Benutzer kann sich möglicherweise nicht lokal oder über die Remotedesktopverbindung einloggen, was mögliche Angriffsvektoren begrenzt. Zusätzlich werden die Anmeldedaten via Kerberos geschützt, während bei einem Passwort eines lokalen Benutzers ein höheres Risiko des Ausnutzens besteht.

Um einen Domänenaccount für hostbasierte Remote-Audits auf einem Microsoft-Windows-Ziel zu nutzen, muss die folgende Konfiguration unter Windows XP Professional, Windows Vista, Windows Server 2003, Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows 7, Windows 8, Windows 8.1 oder Windows 10 geschehen. Das System muss auch Teil der Domäne sein.

Eine Sicherheitsgruppe erstellen

  1. In einen Domänencontroller einloggen und Active Directory Benutzer und Computer öffnen.
  2. Aktion > Neu > Gruppe in der Menüleiste wählen.
  3. Greenbone Local Scan in das Eingabefeld Gruppenname eingeben.
  4. Global für Gruppenbereich und Sicherheit für Gruppentyp wählen.
  5. Account, der unter Microsoft Windows für die lokalen authentifizierten Scans vom GSM genutzt wird, zur Gruppe hinzufügen.
  6. Auf OK klicken.

Ein Gruppenrichtlinienobjekt erstellen

  1. Im linken Panel die Konsole Gruppenrichtlinienverwaltung öffnen.

  2. Auf Gruppenrichtlinienobjekte rechtsklicken und Neu wählen.

  3. Greenbone Local SecRights in das Eingabefeld Name eingeben (siehe Abb. 10.9).

    _images/win_group_policy-de.png

    Abb. 10.9 Erstellen eines neuen Microsoft-Windows-Gruppenrichtlinienobjekts für Scans durch Greenbone Networks

  4. Auf OK klicken.

Konfigurieren der Richtlinie

  1. Auf die Richtlinie Greenbone Local SecRights klicken und Bearbeiten wählen.

  2. Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen im linken Panel wählen.

  3. Auf Eingeschränkte Gruppen klicken und Gruppe hinzufügen wählen.

  4. Auf Durchsuchen… klicken und Greenbone Local Scan in das Eingabefeld eingeben (siehe Abb. 10.10).

  5. Auf Namen überprüfen klicken.

    _images/win_group_policy_check-de.png

    Abb. 10.10 Prüfen der Microsoft-Windows-Gruppennamen

  6. Zweimal auf OK klicken, um die offenen Fenster zu schließen.

  7. Bei Diese Gruppe ist Mitglied von auf Hinzufügen klicken.

  8. Administratoren in das Eingabefeld Gruppe eingeben (siehe Abb. 10.11) und zweimal auf OK klicken, um die offenen Fenster zu schließen.

    Bemerkung

    Auf nicht-englischsprachigen Systemen den entsprechenden Namen der lokalen Administratorengruppe eingeben.

    _images/win_group_policy_member2-de.png

    Abb. 10.11 Hinzufügen einer Gruppenmitgliedschaft

Konfigurieren der Richtlinie, sodass der Gruppe Greenbone Local Scan das lokale Einloggen in das System verweigert wird

  1. Auf die Richtlinie Greenbone Local SecRights klicken und Bearbeiten wählen.

  2. Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten im linken Panel wählen.

  3. Im rechten Panel auf Lokal anmelden verweigern doppelklicken.

  4. Checkbox Diese Richtlinieneinstellungen definieren aktivieren und auf Benutzer oder Gruppe hinzufügen klicken.

  5. Auf Durchsuchen… klicken und Greenbone Local Scan in das Eingabefeld eingeben (siehe Abb. 10.12).

  6. Auf Namen überprüfen klicken.

    _images/win_group_policy_deny-de.png

    Abb. 10.12 Bearbeiten der Richtlinie

  7. Dreimal auf OK klicken, um die offenen Fenster zu schließen.

Konfigurieren der Richtlinie, sodass der Gruppe Greenbone Local Scan das remote Einloggen in das System verweigert wird

  1. Auf die Richtlinie Greenbone Local SecRights klicken und Bearbeiten wählen.

  2. Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten im linken Panel wählen.

  3. Im rechten Panel auf Anmelden über Remotedesktopdienst verweigern doppelklicken.

  4. Checkbox Diese Richtlinieneinstellungen definieren aktivieren und auf Benutzer oder Gruppe hinzufügen klicken.

  5. Auf Durchsuchen… klicken und Greenbone Local Scan in das Eingabefeld eingeben (siehe Abb. 10.13).

  6. Auf Namen überprüfen klicken.

    _images/win_group_policy_deny2-de.png

    Abb. 10.13 Bearbeiten der Richtlinie

  7. Dreimal auf OK klicken, um die offenen Fenster zu schließen.

Konfigurieren der Richtlinie, sodass die Gruppe Greenbone Local Scan an der Registry nur Leserechte hat

Wichtig

Diese Einstellung ist auch nach Entfernen des Gruppenrichtlinienobjekts vorhanden („tattooing GPO“).

Dies ändert grundlegende Privilegien, welche nicht einfach durch Entfernen des Gruppenrichtlinienobjekts rückgängig gemacht werden können.

Es muss geprüft werden, ob die Einstellungen mit der Umgebung kompatibel sind.

Bemerkung

Die folgenden Schritte sind optional.

  1. Im linken Panel auf Registrierung klicken und Schlüssel hinzufügen wählen.

  2. USERS wählen und auf OK klicken (siehe Abb. 10.14).

    _images/win_group_policy_reg-de.png

    Abb. 10.14 Wählen des Registrierungsschlüssels

  3. Auf Erweitert und Hinzufügen klicken.

  4. Greenbone Local Scan in das Eingabefeld eingeben und auf OK klicken (siehe Abb. 10.15).

    _images/win_group_policy_reg2-de.png

    Abb. 10.15 Wählen der Gruppe Greenbone Local Scan

  5. Dieses Objekt und untergeordnete Objekte in der Drop-down-Liste Übernehmen für wählen.

  6. Alle Checkboxen für Zulassen deaktivieren und Checkboxen Wert festlegen, Unterschlüssel erstellen, Link erstellen, Löschen, Berechtigungen ändern und Besitz übernehmen für Verweigern aktivieren (siehe Abb. 10.16).

    _images/win_group_policy_reg3-de.png

    Abb. 10.16 Verweigern der Bearbeitung der Registry

  7. Zweimal auf OK klicken und Warnung durch Klicken auf Ja bestätigen.

  8. Auf OK klicken.

  9. Radiobuttons Diesen Schlüssel konfigurieren und Vererbbare Berechtigungen an alle Unterschlüssel verteilen wählen und auf OK klicken (siehe Abb. 10.17).

    _images/win_group_policy_reg4-de.png

    Abb. 10.17 Rekursivmachen der Berechtigungen

  10. Schritte 2 bis 9 für MACHINE und CLASSES_ROOT wiederholen.

Das Gruppenrichtlinienobjekt verbinden

  1. Im rechten Panel auf die Domäne rechtsklicken und Vorhandenes Gruppenrichtlinienobjekt verknüpfen wählen.

  2. Greenbone Local SecRights im Abschnitt Gruppenrichtlinienobjekte wählen und auf OK klicken (siehe Abb. 10.18).

    _images/win_group_policy_link-de.png

    Abb. 10.18 Verbinden der Richtlinie

10.3.3.3. Einschränkungen

Da Schreibrechte auf der Registrierungsdatenbank und dem Systemlaufwerk entfernt wurden, funktionieren die beiden folgenden NVTs nicht mehr:

  • Leave information on scanned Windows hosts OID 1.3.6.1.4.1.25623.1.0.96171

    Falls gewünscht, erstellt dieser Test Informationen über den Start und das Ende eines Scans unter HKLM\Software\VulScanInfo. Da HKLM die Schreibrechte verweigert werden, ist dies nicht länger möglich. Falls der Test durchgeführt werden soll, muss das Gruppenrichtlinienobjekt entsprechend angepasst werden.

  • Windows file Checksums OID 1.3.6.1.4.1.25623.1.0.96180

    Falls gewünscht, speichert dieser Test das Tool ReHash unter C:\Windows\system32 (auf 32-Bit-Systemen) oder C:\Windows\SysWOW64 (auf 64-Bit-Systemen). Da die Schreibrechte verweigert werden, ist dies nicht länger möglich. Falls der Test durchgeführt werden soll, muss das Tool separat gespeichert werden oder das Gruppenrichtlinienobjekt entsprechend angepasst werden.

    Mehr Informationen finden sich in Kapitel 14.1.3.

10.3.3.4. Scannen ohne Domänenadministrator und lokale Administratorberechtigungen

Es ist möglich, ein Gruppenrichtlinienobjekt zu erstellen, in dem der Benutzer keine lokalen Administratorberechtigungen hat. Allerdings ist der Aufwand, die entsprechenden Leserechte zu jedem Zweig und Ordner der Registrierungsdatenbank hinzuzufügen, sehr hoch. Leider ist das Vererben von Berechtigungen für viele Ordner und Zweige deaktiviert. Außerdem können diese Änderungen zwar durch das Gruppenrichtlinienobjekt festgelegt werden, aber nicht wieder entfernt werden („tattooing GPO“). Bestimmte Berechtigungen könnten überschrieben werden, sodass zusätzliche Probleme auftreten.

Das Erstellen eines Gruppenrichtlinienobjekts, in der der Benutzer keinerlei Administratorberechtigungen hat, ist aus technischer und administrativer Sicht nicht sinnvoll.

10.3.4. Anforderungen auf Zielsystemen mit Linux/Unix

  • Für authentifizierte Scans auf Linux- oder Unix-Systemen ist normalerweise der reguläre Benutzerzugang ausreichend. Der Login wird mithilfe von SSH vorgenommen. Die Authentifizierung wird entweder mit Passwörtern oder einem auf dem GSM gespeicherten privaten SSH-Schlüssel durchgeführt.

  • Generiertes Installationspaket für Anmeldedaten: Das Installationspaket für Linux Debian oder Linux RedHat ist eine DEB- oder ein RPM-Datei, die einen neuen Benutzer ohne besondere Berechtigungen erstellt. Ein öffentlicher SSH-Schlüssel, der auf dem GSM erstellt wird, wird im Home-Verzeichnis des Benutzers gespeichert. Für Benutzer anderer Linux-Distributionen oder Unix-Derivaten, wird der öffentliche Schlüssel zum Herunterladen angeboten. Das Erstellen eines Benutzers und Speichern des öffentlichen Schlüssels mit den korrekten Dateiberechtigungen liegt in der Verantwortung des Benutzers.

  • In beiden Fällen muss sichergestellt werden, dass die Authentifizierung mithilfe des öffentlichen Schlüssels nicht durch den SSH-Daemon verhindert wird. Die Zeile PubkeyAuthentication no darf nicht vorhanden sein.

  • Anmeldedaten, die als DEB-Datei heruntergeladen wurden, können mithilfe des Befehls dpkg --install anmeldedaten_dateiname.deb installiert werden.

  • Vorhandene SSH-Schlüsselpaare können auch genutzt werden. SSH-Schlüsselpaare können mithilfe des Befehls ssh-keygen auf Linux oder puttygen.exe beim Nutzen von PuTTY auf Microsoft Windows generiert werden. Um ein vorhandenes SSH-Schlüsselpaar nutzen zu können, muss der private Schlüssel beim Erstellen der Anmeldedaten hinterlegt werden. Der private SSH-Schlüssel muss im PEM-Format vorliegen. Die Schlüsselarten Ed25519, ECDSA, RSA und DSA werden unterstützt.

  • Für Scans, die das Prüfen von Richtlinien beinhalten, sind möglicherweise root-Berechtigungen oder die Mitgliedschaft in bestimmten Gruppen (oft wheel) nötig. Aus Sicherheitsgründen sind einige Konfigurationsdateien nur von Super-Benutzern oder Mitgliedern bestimmter Gruppen lesbar.

  • Je mehr Berechtigungen ein Nutzer hat, desto mehr Ergebnisse und Einstellungen können auf einem System erkannt werden. In einigen Fällen ist möglicherweise ein Root-Zugang nötig.

  • Die folgenden Befehle werden während eines authentifizierten Scans mit einem Root-Account ausgeführt:

    Wichtig

    • Diese Liste ist nicht statisch. Neue oder geänderte VTs könnten jederzeit neue Befehle hinzufügen.
    • Abhängig von der gefundenen Software könnten zusätzliche Befehle ausgeführt werden.
    • Die ausgeführten Befehle hängen von der Linux-Distribution und der gewählten Scan-Konfiguration ab.
    • bash
    • cat
    • date
    • dpkg
    • egrep
    • find
    • grep
    • host
    • id
    • ifconfig
    • lastlog
    • locate
    • ls
    • md5sum
    • mlocate
    • netstat
    • perl
    • ps
    • rpm
    • sh
    • sha1sum
    • slocate
    • uname
    • uptime
    • whereis
    • which
  • Die Installation des Pakets locate (alternativ mlocate), um den Befehl locate/mlocate auf dem Zielsystem verfügbar zu machen, wird empfohlen. Die Nutzung dieses Befehls reduziert Aufrufe des Befehls find, der für die Suche nach Dateien genutzt wird, und verbessert somit die Scanleistung und verringert die Ressourcennutzung auf dem Zielsystem.

    Damit die Befehle funktionieren, müssen möglicherweise die entsprechenden Datenbank-Berechtigungen und regelmäßige Datenbank-Updates, z. B. mithilfe eines Cronjobs, konfiguriert werden.

10.3.5. Anforderungen auf Zielsystemen mit ESXi

Standardmäßig sind lokale ESXi-Benutzer auf Rollen ohne Schreibrechte beschränkt. Es muss entweder ein administrativer Account oder eine solche Rolle mit Berechtigungen für globale Einstellungen genutzt werden. Dies kann wie folgt eingestellt werden:

  1. Vsphere-Client starten.

  2. Verwaltung > Rollen in der Menüleiste wählen (siehe Abb. 10.19).

    _images/vsphere1-de.png

    Abb. 10.19 Vsphere-Client bitet Zugang zu den Rollen

    → Die Rollen werden angezeigt.

  3. Auf Nur Lesen rechtsklicken und Klonen wählen (siehe Abb. 10.20).

    _images/vsphere3-de.png

    Abb. 10.20 Anzeigen der Rollen

    → Die geklonte Rolle wird ebenfalls angezeigt.

  4. Auf die geklonte Rolle rechtsklicken und Umbenennen wählen.

  5. Neuen Namen der geklonten Rolle in das Eingabefeld eingeben und auf OK klicken.

  6. Auf die geklonte Rolle rechtsklicken und Rolle bearbeiten… wählen.

  7. Global ausklappen und Checkbox Einstellungen aktivieren (siehe Abb. 10.21).

    _images/vsphere6-de.png

    Abb. 10.21 Bearbeiten der Rolle

  8. Auf OK klicken.

  9. Bestandsliste > Bestandsliste in der Menüleiste wählen.

  10. Register Berechtigungen öffnen.

  11. In die leere Fläche rechtsklicken und Berechtigung hinzufügen… wählen (siehe Abb. 10.22).

    _images/vsphere8-de.png

    Abb. 10.22 Hinzufügen einer Berechtigung zu einem Benutzer

  12. Scan-Benutzer, der vom GSM genutzt wird, im linken Abschnitt wählen (siehe Abb. 10.23).

  13. Erstellte Rolle in der Drop-down-Liste im rechten Abschnitt wählen (siehe Abb. 10.23).

  14. Auf OK klicken.

    _images/vsphere9-de.png

    Abb. 10.23 Zuweisen der Rolle an den Scan-Benutzer

10.3.6. Anforderungen auf Zielsystemen mit Cisco OS

Der GSM kann auch Netzwerkkomponenten wie Router und Switches auf Schwachstellen prüfen. Während die üblichen Netzwerkdienste über das Netzwerk gefunden und geprüft werden, können einige Schwachstellen nur durch einen authentifizierten Scan entdeckt werden. Für einen authentifizierten Scan kann der GSM entweder SNMP oder SSH nutzen.

10.3.6.1. SNMP

Der GSM kann das Protokoll SNMP nutzen, um auf die Cisco-Netzwerkkomponenten zuzugreifen. Der GSM unterstützt SNMPv1, v2c und v3. SNMP nutzt den Port 161/udp. Die standardmäßige Portliste enthält keine UDP-Ports. Deshalb wird dieser Port während eines Schwachstellentests mit der Scan-Konfiguration Full and fast ignoriert und keine SNMP-Prüfung durchgeführt. Um Netzwerkkomponenten zu scannen, sollte die Portliste bearbeitet werden, sodass mindestens die folgenden Ports enthalten sind:

  • 22/tcp SSH
  • 80/tcp 8080/tcp HTTP
  • 443/tcp 8443/tcp HTTPS
  • 2000/tcp SCCP
  • 2443/tcp SCCPS
  • 5060/tcp 5060/udp SIP
  • 5061/tcp 5061/udp SIPS
  • 67/udp DHCP-Server
  • 69/udp TFTP
  • 123/udp NTP
  • 161/udp SNMP
  • 162/udp SNMP-Traps
  • 500/udp IKE
  • 514/udp Syslog
  • 546/udp DHCPv6
  • 6161/udp 6162/udp Unified CM

Der Administrator kann besondere Portlisten erstellen, die nur für solche Netzwerkkomponenten genutzt werden.

Der GSM benötigt zu sehr wenigen Objekten des SNMP-Baums Zugriff. Für einen weniger privilegierten Zugriff sollte eine SNMP-Sicht genutzt werden, um die Sichtbarkeit des SNMP-Baums für den GSM einzuschränken. Die folgenden zwei Beispiele erklären, wie solch eine Sicht mithilfe eines Community-Strings oder eines SNMPv3-Benutzers eingestellt wird.

Um den SNMP-Community-String zu nutzen, werden die folgenden Befehle auf dem Ziel benötigt:

# configure terminal

Mithilfe einer Zugriffsliste kann die Nutzung der Community beschränkt werden. Die IP-Adresse des GSMs ist in diesem Beispiel 192.168.222.74:

(config) # access-list 99 permit 192.168.222.74

Die Sicht gsm sollte nur den Zugriff auf die Systembeschreibung erlauben:

(config) # snmp-server view gsm system included
(config) # snmp-server view gsm system.9 excluded

Der letzte Befehl verbindet die Community gsm-community mit der Sicht gsm und der Zugriffsliste 99:

(config) # snmp-server community gsm-community view gsm RO 99

Falls ein SNMPv3-Benutzer mit Verschlüsselung genutzt wird, werden die folgenden Konfigurationszeilen auf dem Ziel benötigt:

# configure terminal
(config) # access-list 99 permit 192.168.222.74
(config) # snmp-server view gsm system included
(config) # snmp-server view gsm system.9 excluded

SNMPv3 benötigt zuerst das Einrichten einer Gruppe. Hier wird die Gruppe gsmgroup mit der Sicht gsm und der Zugriffsliste 99 verbunden:

(config) # snmp-server group gsmgroup v3 priv read gsm access 99

Nun kann der Benutzer mit dem Passwort gsm-password und dem Verschlüsselungsschlüssel gsm-encrypt erstellt werden. Die Authentifizierung wird durch MD5 und die Verschlüsselung durch AE128 durchgeführt:

(config) # snmp-server user gsm-user gsm-group v3 auth md5 gsm-password priv
aes 128 gsm-encrypt

Um entweder die Community oder den SNMPv3-Benutzer im GSM zu konfigurieren, als Administrator Konfiguration > Anmeldedaten in der Menüleiste wählen (siehe Kapitel 10.3.2).

10.3.6.2. SSH

Der authentifizierte Scan kann auch über SSH durchgeführt werden. Falls SSH genutzt wird, wird die Nutzung besonderer unprivilegierter Benutzer empfohlen. Der GSM benötigt aktuell nur den Befehl show version, um die aktuelle Version der Firmware des Geräts zu erhalten.

Um einen weniger privilegierten Benutzer einzurichten, der nur diesen Befehl ausführen darf, sind verschiedene Ansätze möglich. Das folgende Beispiel nutzt die rollenbasierte Zugriffskontrollenfunktionalität.

Tipp

Bevor eines der folgenden Beispiele genutzt wird, muss sichergestellt werden, dass alle Nebeneffekte der Konfiguration verstanden werden. Falls sie ohne Verifizierung genutzt wird, beschränkt das System möglicherweise weitere Logins über SSH oder die Konsole.

Um die rollenbasierte Zugriffskontrolle zu nutzen, müssen AAA und Views aktiviert werden:

> enable
# configure terminal
(config)# aaa new-model
(config)# exit
> enable view
# configure terminal

Der folgende Befehl erstellt eine eingeschränkte Sicht, die nur den Befehl show version beinhaltet. Das gelieferte Passwort view-pw ist nicht kritisch:

(config)# parser view gsm-view
(config-view)# secret 0 view-pw
(config-view)# commands exec include show version
(config-view)# exit

Nun wird der Benutzer gsm-user mit dem Passwort gsm-pw erstellt und mit der Sicht gsm-view verknüpft:

(config)# username gsm-user view gsm-view password 0 gsm-pw
(config)# aaa authorization console
(config)# aaa authorization exec default local

Falls SSH noch nicht aktiviert ist, erledigt dies der folgende Befehl. Der entsprechende Hostname und die entsprechende Domäne müssen genutzt werden:

(config)# hostname switch
(config)# ip domain-name greenbone.net
(config)# crypto key generate rsa general-keys modulus 2048

SSH-Logins mithilfe des folgenden Befehls aktivieren:

(config)# line vty 0 4
(config-line)# transport input ssh
(config-line)# Crtl-Z

Die Anmeldedaten des Benutzers müssen auf dem GSM eingegebene werden. Konfiguration > Anmeldedaten in der Menüleiste wählen und den entsprechenden Benutzer erstellen (siehe Kapitel 10.3.2).

Anmeldedaten mit dem Ziel verbinden, damit sie als SSH-Anmeldedaten genutzt werden können.

10.4. Einen Prognosescan konfigurieren

Nicht jede Schwachstelle rechtfertigt einen neuen Scan des Netzwerks oder einzelner Systeme. Falls der GSM durch frühere Scans bereits Informationen über Schwachstellen gesammelt hat, kann er eine Prognose darüber erstellen, welche Sicherheitsrisiken vorhanden sein könnten.

Das Nutzen des CVE-Scanners ermöglicht das Vorhersagen möglicher Sicherheitsrisiken, basierend auf aktuellen Informationen über bekannte Risiken aus den Sicherheitsinfos (see Kapitel 13), ohne dass ein neuer Scan nötig ist. Dies ist insbesondere für Umgebungen interessant, in denen die meisten Schwachstellen mithilfe des GSMs beseitigt wurden.

Falls Sicherheitsrisiken bekannt werden, kann ein tatsächlicher Scan durchgeführt werden, um die Prognose zu verifizieren.

Bemerkung

Die Assetdatenbank benötigt aktuelle Daten für den CVE-Scanner. Ein vollständiger Scan, z. B. mit der Scan-Konfiguration Full and fast, muss durchgeführt werden und die Ergebnisse müssen zu den Assets hinzugefügt werden.

Die Ergebnisse eines Prognosescans hängen von der Verfügbarkeit selbstberichteter Versionen ungeschützter Software ab, die während eines vollständigen Scans gefunden wurden. Die Nutzung eines authentifizierten Scans kann die Anzahl der durch den Prognosescan gefundenen Ergebnisse möglicherweise erhöhen.

Ein vollständiger Scan des Systems sollte regelmäßig in wöchentlichen oder monatlichen Intervallen stattfinden.

Ein Prognosescan kann wie folgt durchgeführt werden:

  1. Einen vollständigen Scan durchführen (siehe Kapitel 10.2).

    Bemerkung

    Eine „Full“-Scan-Konfiguration muss gewählt werden, z. B. Full and fast.

    Zusätzlich muss der Radiobutton Ja für Ergebnisse zu Assets hinzufügen gewählt werden.

  2. Scans > Aufgaben in der Menüleiste wählen.

  3. Neue Aufgabe durch Bewegen der Maus über new und Klicken auf Neue Aufgabe erstellen.

  4. Aufgabe definieren (siehe Kapitel 10.2.2).

  5. CVE in der Drop-down-Liste Scanner wählen.

  6. Auf Speichern klicken.

  7. In der Zeile der Aufgabe auf start klicken.

    → Der Scan wird durchgeführt. Für den Status einer Aufgabe siehe Kapitel 10.8.

    Tipp

    Sobald eine Aufgabe gestartet wurde, kann der Bericht der Aufgabe durch Klicken auf den Balken in der Spalte Status angezeigt werden. Für das Lesen, Verwalten und Herunterladen von Berichten siehe Kapitel 11.

    Sobald sich der Status zu Abgeschlossen ändert, ist der gesamte Bericht verfügbar. Zu jeder Zeit können Zwischenergebnisse angesehen werden (siehe Kapitel 11.2.1).

    Bemerkung

    Die Fertigstellung des Scans kann einige Zeit in Anspruch nehmen. Die Seite aktualisiert sich automatisch, falls neue Daten verfügbar sind.

  8. Wenn der Scan abgschlossen ist, Scans > Berichte in der Menüleiste wählen.

  9. Ergebnisse durch Klicken auf das Datum des Berichts anzeigen lassen.

    → Der Bericht zeigt jede gefundene CVE als Schwachstelle (siehe Abb. 10.24).

    _images/prognosis_scan_report-de.png

    Abb. 10.24 Ergebnisse eines Prognosescans

  10. Auf eine Schwachstelle und anschließend auf details klicken.

    → Die Detailseite der Schwachstelle wird geöffnet.

    Der NVT, zu dem das Ergebnis zugeordnet ist, wird im Abschnitt Erkennungsmethode angezeigt (siehe Abb. 10.25). Durch Klicken auf den NVT wird die Detailseite des zugehörigen NVTs geöffnet.

    Tipp

    Für auf dieser Seite verfügbare Aktionen siehe Kapitel 11.2.1.

    _images/prognosis_scan_result-de.png

    Abb. 10.25 Details der gefundenen CVE

Bemerkung

Der CVE-Scanner zeigt möglicherweise Falsch-Positiv-Meldungen, da er nicht prüft, ob eine Schwachstelle wirklich vorhanden ist.

10.5. Eine Container-Aufgabe erstellen

Eine Container-Aufgabe kann zum Importieren und Bereitstellen von Berichten, die auf anderen GSMs erstellt wurden, genutzt werden.

Eine Container-Aufgabe kann wie folgt erstellt werden:

  1. Scans > Aufgaben in der Menüleiste wählen.

  2. Neue Container-Aufgabe durch Bewegen der Maus über new und Klicken auf Neue Container-Aufgabe erstellen.

  3. Namen der Container-Aufgabe in das Eingabefeld Name eingeben (siehe Abb. 10.26).

    _images/container_new-de.png

    Abb. 10.26 Erstellen einer Container-Aufgabe

  4. Auf Speichern klicken.

  5. In der Zeile der Container-Aufgabe auf import klicken, um einen Bericht zur Container-Aufgabe hinzuzufügen.

  6. Auf Browse… klicken und die XML-Datei des Berichts wählen (siehe Abb. 10.27).

    _images/container_import-de.png

    Abb. 10.27 Hinzufügen eines Berichts zu einer Container-Aufgabe

  7. Radiobutton Ja wählen, um den Bericht zu den Assets hinzuzufügen (siehe Kapitel 12).

  8. Auf Importieren klicken.

Listenseite

Alle vorhandenen Container-Aufgaben können angezeigt werden, indem Scans > Aufgaben in der Menüleiste gewählt wird.

Bemerkung

Container-Aufgaben sind durch status-container in der Spalte Status gekennzeichnet.

Für alle Container-Aufgaben sind die folgenden Aktionen verfügbar:

  • import Berichte in die Container-Aufgabe importieren.
  • trashcan Die Container-Aufgabe löschen.
  • edit Die Container-Aufgabe bearbeiten.
  • clone Die Container-Aufgabe klonen.
  • export Die Container-Aufgabe als XML-Datei exportieren.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Aufgaben können mehrere Aufgaben zur gleichen Zeit gelöscht oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Aufgaben gelöscht oder exportiert werden.

Detailseite

Durch Klicken auf den Namen einer Container-Aufgabe werden Details der Container-Aufgabe angezeigt. Durch Klicken auf details wird die Detailseite der Container-Aufgabe geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über die Container-Aufgabe.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).
Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Container-Aufgaben anzeigen
  • new Eine neue Aufgabe (siehe Kapitel 10.2.2) oder Container-Aufgabe (siehe Kapitel 10.5) erstellen.
  • clone Die Container-Aufgabe klonen.
  • edit Die Container-Aufgabe bearbeiten.
  • trashcan Die Container-Aufgabe löschen.
  • export Die Container-Aufgabe als XML-Datei exportieren.
  • import Berichte in die Container-Aufgabe importieren.
  • report Den letzten Bericht der Container-Aufgabe oder alle Berichte der Container-Aufgabe anzeigen.
  • results Die Ergebnisse der Container-Aufgabe anzeigen.
  • note Die Notizen der Container-Aufgabe anzeigen.
  • results Die Übersteuerungen der Container-Aufgabe anzeigen.

10.6. Ziele verwalten

Listenseite

Alle vorhandenen Ziele können angezeigt werden, indem Konfiguration > Ziele in der Menüleiste gewählt wird.

Für alle Ziele werden die folgenden Informationen angezeigt:

Name
Name des Ziels.
Hosts
Hosts, die gescannt werden, falls das Ziel für einen Scan genutzt wird (siehe Kapitel 10.2.2).
IPs
Anzahl gescannter Hosts.
Portliste
Portliste, die genutzt wird, falls das Ziel für einen Scan genutzt wird (siehe Kapitel 10.2.2).
Anmeldedaten
Anmeldedaten, die für das Ziel konfiguriert wurden.

Für alle Ziele sind die folgenden Aktionen verfügbar:

  • trashcan Das Ziel löschen. Nur Ziele, die aktuell nicht genutzt werden, können gelöscht werden.
  • edit Das Ziel bearbeiten.
  • clone Das Ziel klonen.
  • export Das Ziel als XML-Datei exportieren.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Zielen können mehrere Ziele zur gleichen Zeit gelöscht oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Ziele gelöscht oder exportiert werden.

Detailseite

Durch Klicken auf den Namen eines Ziels werden Details des Ziels angezeigt. Durch Klicken auf details wird die Detailseite des Ziels geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über das Ziel.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).
Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Zielen anzeigen.
  • new Ein neues Ziel erstellen (siehe Kapitel 10.2.1).
  • clone Das Ziel klonen.
  • edit Das Ziel bearbeiten.
  • trashcan Das Ziel löschen. Nur Ziele, die aktuell nicht genutzt werden, können gelöscht werden.
  • export Das Ziel als XML-Datei exportieren.

10.7. Portlisten erstellen und verwalten

Falls Anwendungen auf unüblichen Ports laufen und mit dem GSM überwacht und geprüft werden sollen, sollten die standardmäßigen Portlisten angepasst werden. Falls nötig, kann eine individuelle Portliste, die die gewünschten Ports enthält, erstellt werden.

10.7.1. Eine Portliste erstellen

Eine neue Portliste kann wie folgt erstellt werden:

  1. Konfiguration > Portlisten in der Menüleiste wählen.

  2. Neue Portliste durch Klicken auf new erstellen.

  3. Portliste definieren (siehe Abb. 10.28).

    _images/port_list_new-de.png

    Abb. 10.28 Erstellen einer neuen Portliste

  4. Auf Speichern klicken.

Die folgenden Details der Portliste können festgelegt werden:

Name
Festlegung des Namens. Der Name kann frei gewählt werden.
Kommentar
Ein optionaler Kommentar kann zusätzliche Informationen enthalten.
Portbereiche

Manuelle Eingabe des Portbereichs oder Importieren einer Liste von Portbereichen. Falls sie manuell eingegeben werden, werden die Portbereiche durch Kommas getrennt. Falls eine Datei importiert wird, können die Einträge durch Kommas oder durch Zeilenumbrüche getrennt werden. Die Datei sollte mit UTF-8 codiert sein.

Jeder Wert in der Liste kann ein einzelner Port (z. B. 7) oder ein Portbereich (z. B. 9-11) sein. Diese Optionen können gemischt werden (z. B. 5, 7, 9-11, 13).

Einem Eintrag in der Liste kann eine Protokollbezeichnung vorangestellt sein (T: für TCP, U: für UDP), z. B. T:1-3, U:7, 9-11 (TCP-Ports 1, 2 und 3, UDP-Ports 7, 9, 10 und 11). Falls keine Bezeichnung angegeben ist, wird TCP angenommen.

10.7.2. Portlisten verwalten

Listenseite

Alle vorhandenen Portlisten können angezeigt werden, indem Konfiguration > Portlisten in der Menüleiste gewählt wird.

Für alle Portlisten werden die folgenden Informationen angezeigt:

Name
Name der Portliste. Eine globale Portliste ist mit view_other gekennzeichnet.
Summe
Gesamte Anzahl an Ports in der Portliste.
TCP
Anzahl an TCP-Ports in der Portliste.
UDP
Anzahl an UDP-Ports in der Portliste.

Für alle Portlisten sind die folgenden Aktionen verfügbar:

  • trashcan Die Portliste löschen. Nur Portlisten, die aktuell nicht genutzt werden, können gelöscht werden.
  • edit Die Portliste bearbeiten. Nur Portlisten, die aktuell nicht genutzt werden, können bearbeitet werden.
  • clone Die Portliste klonen.
  • export Die Portliste als XML-Datei exportieren.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Portlisten können mehrere Portlisten zur gleichen Zeit gelöscht oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Portlisten gelöscht oder exportiert werden.

Detailseite

Durch Klicken auf den Namen einer Portliste werden Details der Portliste angezeigt. Durch Klicken auf details wird die Detailseite der Portliste geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über die Portliste.
Portbereiche
Alle Portbereiche in dieser Portliste. Der erste und letzte Port des Bereichs sowie die Protokollbezeichnung werden angezeigt.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).
Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Portlisten anzeigen.
  • new Eine neue Portliste erstellen (siehe Kapitel 10.7.1).
  • clone Die Portliste klonen.
  • edit Die Portliste bearbeiten. Nur Portlisten, die aktuell nicht genutzt werden, können bearbeitet werden.
  • trashcan Die Portliste löschen. Nur Portlisten, die aktuell nicht genutzt werden, können gelöscht werden.
  • export Die Portliste als XML-Datei exportieren.

10.8. Aufgaben verwalten

Listenseite

Alle vorhandenen Aufgaben können angezeigt werden, indem Scans > Aufgaben in der Menüleiste gewählt wird.

_images/task_overview-de.png

Abb. 10.29 Seite Aufgaben mit allen vorhandenen Aufgaben

Für alle Aufgaben werden die folgenden Informationen angezeigt:

Name

Name der Aufgabe. Die folgenden Icons könnten angezeigt werden:

alterable_task Die Aufgabe ist als änderbar gekennzeichnet. Einige Einstellungen, die sonst gesperrt wären, sobald ein Bericht vorhanden ist, können bearbeitet werden.

sensor Die Aufgabe ist für die Durchführung auf einem Remote-Scanner konfiguriert (siehe Kapitel 16).

provide_view Die Aufgabe ist für einen oder mehrere andere Benutzer sichtbar.

view_other Die Aufgabe gehört einem anderen Benutzer.

Status

Aktueller Status der Aufgabe. Die folgenden Statusbalken sind möglich:

status-new-de Die Aufgabe wurde noch nicht ausgeführt, seitdem sie erstellt wurde.

status-requested-de Die Aufgabe wurde gerade gestartet. Der GSM bereitet den Scan vor.

status-run Die Aufgabe wird gerade ausgeführt. Die Prozentangabe basiert auf der Anzahl ausgeführter NVTs auf den gewählten Hosts. Aus diesem Grund hängt der Wert nicht zwingend mit der bereits verstrichenen Zeit zusammen.

status-delete-de Die Aufgabe wurde gelöscht. Der tatsächliche Löschvorgang kann einige Zeit in Anspruch nehmen, da Berichte ebenfalls gelöscht werden müssen.

status-stopr-de Die Aufgabe wurde vor Kurzem aufgefordert, zu stoppen. Die Scanmaschine hat noch nicht auf die Anfrage reagiert.

status-stop-de Die Aufgabe wurde gestoppt. Der neueste Bericht ist möglicherweise noch nicht komplett. Andere Gründe für diesen Status können der Reboot des GSMs oder ein Stromausfall sein. Nach dem Neustart des Scanners wird die Aufgabe automatisch fortgesetzt.

status-resumereq-de Die Aufgabe wurde gerade fortgesetzt. Der GSM bereitet den Scan vor.

Beim Fortsetzen eines Scans werden alle nicht abgeschlossenen Hosts komplett aufs Neue gescannt. Die Daten der bereits vollständig gescannten Hosts bleiben erhalten.

status-error-de Ein Fehler ist aufgetreten und die Aufgabe wurde unterbrochen. Der neueste Bericht ist möglicherweise noch nicht komplett oder fehlt vollständig.

status-done-de Die Aufgabe wurde erfolgreich abgeschlossen.

status-container Die Aufgabe ist eine Container-Aufgabe.

status-upload-de Der Bericht wird gerade in die Container-Aufgabe hochgeladen.

Berichte
Anzahl der Berichte für die Aufgabe. Durch Klicken auf die Anzahl der Berichte wird die Seite Berichte geöffnet. Ein Filter ist angewendet, um nur die Berichte für die gewählte Aufgabe anzuzeigen.
Letzter Bericht
Datum und Zeit des neuesten Berichts. Durch Klicken auf die Angabe wird die Detailseite des neuesten Berichts geöffnet.
Schweregrad
Höchster Schweregrad, der durch den Scan gefunden wurde.
Trend
Änderung der Schwachstellen zwischen dem neuesten und dem zweitneuesten Bericht (siehe Kapitel 11.5).

Für alle Aufgaben sind die folgenden Aktionen verfügbar:

  • start Die Aufgabe starten. Nur Aufgaben, die aktuell nicht ausgeführt werden, können gestartet werden.
  • stop Die aktuell ausgeführte Aufgabe stoppen. Alle gefundenen Ergebnisse werden in der Datenbank gespeichert.
  • schedule Die Details des zugewiesenen Zeitplans anzeigen (nur für Aufgaben mit Zeitplan verfügbar, siehe Kapitel 10.10).
  • resume Die gestoppte Aufgabe fortsetzen. Alle nicht abgeschlossenen Hosts werden komplett aufs Neue gescannt. Die Daten der bereits vollständig gescannten Hosts bleiben erhalten.
  • trashcan Die Aufgabe löschen.
  • edit Die Aufgabe bearbeiten.
  • clone Die Aufgabe klonen.
  • export Die Aufgabe als XML-Datei exportieren.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Aufgaben können mehrere Aufgaben zur gleichen Zeit gelöscht oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Aufgaben gelöscht oder exportiert werden.

Detailseite

Durch Klicken auf den Namen einer Aufgabe werden Details der Aufgabe angezeigt. Durch Klicken auf details wird die Detailseite der Aufgabe geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über die Aufgabe.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).
Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Aufgaben anzeigen
  • new Eine neue Aufgabe (siehe Kapitel 10.2.2) oder Container-Aufgabe (siehe Kapitel 10.5) erstellen.
  • clone Die Aufgabe klonen.
  • edit Die Aufgabe bearbeiten.
  • trashcan Die Aufgabe löschen.
  • export Die Aufgabe als XML-Datei exportieren.
  • start Die Aufgabe starten. Nur Aufgaben, die aktuell nicht ausgeführt werden, können gestartet werden.
  • stop Die aktuell ausgeführte Aufgabe stoppen. Alle gefundenen Ergebnisse werden in der Datenbank gespeichert.
  • resume Die gestoppte Aufgabe fortsetzen. Alle nicht abgeschlossenen Hosts werden komplett aufs Neue gescannt. Die Daten der bereits vollständig gescannten Hosts bleiben erhalten.
  • report Den letzten Bericht der Aufgabe oder alle Berichte der Aufgabe anzeigen.
  • results Die Ergebnisse der Aufgabe anzeigen.
  • note Die Notizen der Aufgabe anzeigen.
  • results Die Übersteuerungen der Aufgabe anzeigen.

10.8.1. Berechtigungen für eine Aufgabe erteilen

Auf der Detailseite einer Aufgabe können die Berechtigungen für die Aufgabe wie folgt verwaltet werden:

Bemerkung

Standardmäßig können normale Nutzer keine Berechtigungen für andere Nutzer erstellen, da sie keinen Zugriff auf die Nutzerdatenbank haben. Um in der Lage zu sein, Berechtigungen für andere Nutzer zu erstellen, benötigt ein Nutzer die globale und die spezifische get_users-Berechtigung (siehe Kapitel 9.4.3).

  1. Scans > Aufgaben in der Menüleiste wählen.
  2. Durch Klicken auf den Namen einer Aufgabe werden Details der Aufgabe angezeigt. Durch Klicken auf details wird die Detailseite der Aufgabe geöffnet.
  3. Auf den Register Berechtigungen klicken.
  4. Im Abschnitt Berechtigungen auf new klicken.
  5. Berechtigungsart in der Drop-down-Liste Gewähre wählen.
  6. Radiobutton Benutzer, Gruppe oder Rolle wählen und Benutzer/Gruppe/Rolle in der entsprechenden Drop-down-Liste wählen (siehe Abb. 10.30).
_images/task_permission-de.png

Abb. 10.30 Erstellen einer neuen Berechtigung

  1. Auf Speichern klicken.

    → Die Berechtigung wird auf der Detailseite der Aufgabe angezeigt (siehe Abb. 10.31).

    _images/task_permission_detailspage-de.png

    Abb. 10.31 Berechtigung auf der Detailseite der Aufgabe

Nach dem Einloggen kann der Benutzer die Aufgaben sehen und auf die entsprechenden Berichte zugreifen.

10.9. Scan-Konfigurationen konfigurieren und verwalten

Die GSM-Appliance bietet einige vordefinierte Scan-Konfigurationen. Diese können angepasst werden und neue Scan-Konfigurationen können erstellt werden.

10.9.1. Standard-Scan-Konfigurationen

Die folgenden Rollen sind standardmäßig verfügbar:

Empty
Dies ist eine leere Vorlage.
Discovery
Es werden nur NVTs genutzt, die Informationen über das Zielsystem liefern. Es werden keine Schwachstellen erkannt.
Host Discovery
Es werden nur NVTs genutzt, die Zielsysteme finden. Der Scan meldet nur die Liste entdeckter Systeme.
System Discovery
Es werden nur NVTs genutzt, die Zielsysteme, einschließlich installierter Betriebssysteme und genutzter Hardware, finden.
Full and fast

Für viele Umgebungen ist das für den Anfang die beste Option.

Diese Scan-Konfiguration basiert auf den Informationen, die in einem vorherigen Portscan gesammelt wurden und nutzt fast alle NVTs. Nur NVTs, die das Zielsystem nicht beschädigen, werden genutzt. NVTs sind bestmöglich optimiert, um die Anzahl von Falsch-Positiv-Meldungen besonders niedrig zu halten. Die anderen Konfigurationen bieten nur in seltenen Fällen einen Mehrwert, verbunden mit einem höheren Aufwand.

Full and fast ultimate
Diese Scan-Konfiguration erweitert die Scan-Konfiguration Full and fast mit NVTs, die Dienst- oder Systemstörungen oder sogar Abstürze hervorrufen könnten.
Full and very deep
Diese Scan-Konfiguration basiert auf der Scan-Konfiguration Full and fast, allerdings haben die Ergebnisse des Portscans oder der Anwendungs-/Diensterkennung keinen Einfluss auf die Auswahl der NVTs. Deshalb werden NVTs genutzt, die auf einen Timeout warten oder die nach Schwachstellen einer Anwendung/eines Diensts suchen, die vorher nicht entdeckt wurden. Ein Scan mit dieser Scan-Konfiguration ist sehr langsam.
Full and very deep ultimate
Diese Scan-Konfiguration erweitert die Scan-Konfiguration Full and very deep mit gefährlichen NVTs, die Dienst- und Systemstörungen hervorrufen können. Ein Scan mit dieser Scan-Konfiguration ist sehr langsam.

10.9.2. Scan-Konfigurationen verwalten

Alle vorhandenen Scan-Konfigurationen können angezeigt werden, indem Konfiguration > Scan-Konfigurationen in der Menüleiste gewählt wird.

_images/scan_configs_all-de.png

Abb. 10.32 Seite Scan-Konfigurationen mit allen verfügbaren Scan-Konfigurationen

Für alle Scan-Konfigurationen werden die folgenden Informationen angezeigt:

Name
Name der Scan-Konfiguration. Eine globale Scan-Konfiguration ist mit view_other gekennzeichnet.
Typ
Art der Scan-Konfiguration.
Familie – Summe
Anzahl der aktivierten NVT-Familien für die Scan-Konfiguration.
Familie – Trend

Trend der NVT-Familien.

trend_more Nach einem NVT-Feed-Update werden neue NVT-Familien automatisch hinzugefügt und aktiviert. Dies stellt sicher, dass neue NVTs sofort und ohne durch den Administrator notwendige Handlungen, verfügbar sind.

trend_nochange Nach einem NVT-Feed-Update werden neue NVT-Familien nicht automatisch hinzugefügt.

NVTs – Summe
Anzahl der aktivierten NVTs für die Scan-Konfiguration.
NVTs – Trend

Trend der NVTs.

trend_more Nach einem NVT-Feed-Update werden neue NVTs der aktivierten NVT-Familien automatisch hinzugefügt und aktiviert. Dies stellt sicher, dass neue NVTs sofort und ohne durch den Administrator notwendige Handlungen, verfügbar sind.

trend_nochange Nach einem NVT-Feed-Update werden neue NVTs nicht automatisch hinzugefügt.

Bemerkung

Greenbone Networks veröffentlich regelmäßig neue NVTs. Neue NVT-Familien können ebenfalls durch den Greenbone Security Feed hinzugefügt werden.

Für alle Scan-Konfigurationen sind die folgenden Aktionen verfügbar:

  • trashcan Die Scan-Konfiguration löschen. Nur selbst erstellte Scan-Konfigurationen, die aktuell nicht genutzt werden, können gelöscht werden.
  • edit Die Scan-Konfiguration bearbeiten. Nur selbst erstellte Scan-Konfigurationen, die aktuell nicht genutzt werden, können bearbeitet werden.
  • clone Die Scan-Konfiguration klonen.
  • export Die Scan-Konfiguration als XML-Datei exportieren.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Scan-Konfigurationen können mehrere Scan-Konfigurationen zur gleichen Zeit gelöscht oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Scan-Konfigurationen gelöscht oder exportiert werden.

Durch Klicken auf den Namen einer Scan-Konfiguration werden Details der Scan-Konfiguration angezeigt. Durch Klicken auf details wird die Detailseite der Scan-Konfiguration geöffnet.

Die folgenden Register sind verfügbar:

Scanner-Vorgaben
Alle Scanner-Vorgaben für die Scan-Konfiguration mit aktuellen und Standardwerten (siehe Kapitel 10.9.5.1).
NVT-Familien
Alle NVT-Familien für die Scan-Konfiguration mit der Anzahl aktivierter NVTs und dem Trend.
NVT-Vorgaben
Alle NVT-Vorgaben für die Scan-Konfiguration (siehe Kapitel 10.9.6.1).
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).
Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Scan-Konfigurationen anzeigen.
  • new Eine neue Scan-Konfiguration erstellen (siehe Kapitel 10.9.3).
  • clone Die Scan-Konfiguration klonen.
  • edit Die Scan-Konfiguration bearbeiten. Nur selbst erstellte Scan-Konfigurationen, die aktuell nicht genutzt werden, können bearbeitet werden.
  • trashcan Die Scan-Konfiguration löschen. Nur selbst erstellte Scan-Konfigurationen, die aktuell nicht genutzt werden, können gelöscht werden.
  • export Die Scan-Konfiguration als XML-Datei exportieren.
  • upload Eine Scan-Konfiguration importieren (siehe Kapitel 10.9.4).

10.9.3. Eine Scan-Konfiguration erstellen

Tipp

Greenbone Networks bietet unterschiedliche Scan-Konfigurationen auf seiner Website (siehe Kapitel 14).

Eine neue Scan-Konfiguration kann wie folgt erstellt werden:

  1. Konfiguration > Scan-Konfigurationen in der Menüleiste wählen.

  2. Neue Scan-Konfiguration durch Klicken auf new erstellen.

    Bemerkung

    Alternativ kann eine Scan-Konfiguration importiert werden (siehe Kapitel 10.9.4).

  3. Namen der Scan-Konfiguration in das Eingabefeld Name eingeben (siehe Abb. 10.33).

  4. Radiobutton der Basis, die genutzt werden soll, wählen.

    Es kann zwischen Empty, static and fast und Full and fast gewählt werden.

    _images/scan_config_new-de.png

    Abb. 10.33 Erstellen einer neuen Scan-Konfiguration

  5. Auf Speichern klicken.

    → Die Scan-Konfiguration wird erstellt und auf der Seite Scan-Konfigurationen angezeigt.

  6. In der Zeile der Scan-Konfiguration auf edit klicken.

  7. Im Abschnitt Familien von Network Vulnerability Tests bearbeiten den Radiobutton trend_more wählen, falls neue NVT-Familien automatisch hinzugefügt und aktiviert werden sollen (siehe Abb. 10.34).

    _images/scan_config_edit-de.png

    Abb. 10.34 Bearbeiten der neuen Scan-Konfiguration

  8. Im Abschnitt Familien von Network Vulnerability Tests bearbeiten die Checkboxen Alle NVTs auswählen aktivieren, falls alle NVTs einer Familie aktiviert werden sollen.

  9. Für eine NVT-Familie auf edit klicken, um sie zu bearbeiten (siehe Abb. 10.35).

    _images/scan_config_edit_family-de.png

    Abb. 10.35 Eine NVT-Familie bearbeiten.

  10. Die Checkboxen der NVTs, die aktiviert werden sollen, in der Spalte Ausgewählt aktivieren.

  11. Für einen NVT auf edit klicken, um ihn zu bearbeiten (siehe Abb. 10.36).

    Bemerkung

    Falls das Bearbeiten eines NVT das Hochladen einer Textdatei beinhaltet, sollte die Datei mit UTF-8 codiert sein.

    _images/scan_config_edit_nvt-de.png

    Abb. 10.36 Bearbeiten eines NVTs

  12. Auf Speichern klicken, um den NVT zu speichern.

  13. Auf Speichern klicken, um die NVT-Familie zu speichern.

  14. Optional: Scanner-Vorgaben bearbeiten (siehe Kapitel 10.9.5).

  15. Optional: NVT-Vorgaben bearbeiten (siehe Kapitel 10.9.6).

  16. Auf Speichern klicken, um die Scan-Konfiguration zu speichern.

10.9.4. Eine Scan-Konfiguration importieren

Eine Scan-Konfiguration kann wie folgt importiert werden:

  1. Konfiguration > Scan-Konfigurationen in der Menüleiste wählen.

  2. Auf upload klicken.

  3. Auf Browse klicken und die XML-Datei der Scan-Konfiguration wählen.

  4. Auf Erstellen klicken.

    Bemerkung

    Falls der Name der importierten Scan-Konfiguration bereits vorhanden ist, wird ein Zusatz an den Namen angehängt.

    → Die importierte Scan-Konfiguration wird auf der Seite Scan-Konfigurationen angezeigt.

  5. Schritte 6 bis 16 aus Kapitel 10.9.3 durchführen, um die Scan-Konfiguration zu bearbeiten.

10.9.5. Die Scanner-Vorgaben bearbeiten

Die Scanner-Vorgaben können wie folgt bearbeitet werden:

  1. Konfiguration > Scan-Konfigurationen in der Menüleiste wählen.

  2. In der Zeile der Scan-Konfiguration auf edit klicken.

  3. Im Abschnitt Scanner-Vorgaben bearbeiten auf fold klicken, um die Scanner-Vorgaben zu bearbeiten (siehe Abb. 10.37).

    _images/scan_config_edit_scannerpref-de.png

    Abb. 10.37 Bearbeiten der Scanner-Vorgaben

  4. Nach dem Bearbeiten der Scanner-Vorgaben auf Speichern klicken, um die Scan-Konfiguration zu speichern.

10.9.5.1. Beschreibung der Scanner-Vorgaben

Bemerkung

Das Dokumentieren aller Scanner-Vorgaben wäre für dieses Handbuch zu umfangreich. Nur die wichtigsten Vorgaben der Scanner werden abgedeckt.

Nicht dokumentierte Vorgaben könnten auch veraltet sein, obwohl sie noch sichtbar sind. Diese Vorgaben werden vom Scanner ignoriert und sollten nicht beachtet werden.

  • auto_enable_dependencies: Dies legt fest, ob NVTs, die von anderen NVTs benötigt werden, automatisch aktiviert werden.
  • cgi_path: Pfad, der von den NVTs genutzt wird, um auf CGI-Skripte zuzugreifen.
  • checks_read_timeout: Timeout für die Netzwerksockets während eines Scans.
  • drop_privileges: Mit diesem Parameter gibt der OpenVAS-Scanner die Root-Rechte ab, bevor die NVTs gestartet werden. Dies erhöht die Sicherheit, führt aber zu weniger Ergebnissen mit einigen NVTs.
  • test_empty_vhost: Der Scanner scannt das Ziel auch unter Nutzung leerer vhost-Werte, zusätzlich zu den dem Ziel zugewiesenen vhost-Werten.
  • max_sysload: Maximale Last auf dem GSM. Wenn diese Last erreicht wird, werden keine weiteren NVTs gestartet, bis die Last wieder unter den angegebenen Wert sinkt.
  • min_free_mem: Minimal verfügbarer Speicher (in MB), der auf dem GSM freigehalten werden sollte. Wenn dieses Limit erreicht wird, werden keine weiteren NVTs gestartet, bis wieder ausreichend Speicher verfügbar ist.
  • network_scan: Dies ist eine experimentelle Option, die das gesamte Netzwerk auf einmal scannt, statt Nmap für jeden individuellen Host zu starten. Dies kann in bestimmten Umgebungen Zeit sparen.
  • non_simult_ports: Diese Ports werden nicht gleichzeitig von NVTs geprüft.
  • optimize_test: NVTs werden nur gestartet, falls bestimmte Voraussetzungen erfüllt werden (z. B. offene Ports oder erkannte Anwendungen).
  • plugins_timeout: Maximale Laufzeit eines NVTs.
  • safe_checks: Einige NVTs können Schaden am Hostsystem anrichten. Diese Einstellung deaktiviert die entsprechenden NVTs.
  • scanner_plugins_timeout: Maximale Laufzeit (in Sekunden) für alle NVTs der NVT-Familie Port scanners. Falls ein NVT länger läuft, wird er abgebrochen.
  • expand_vhosts: Die Hostliste des Ziels wird mit Werten erweitert, die durch Quellen wie Invers-Lookup-Anfragen und VT-Prüfungen für SSL/TLS-Zertifikate erhalten wurden.
  • time_between_request: Wartezeit (in Millisekunden) zwischen zwei Aktionen wie dem Öffnen eines TCP-Sockets, em Senden einer Anfrage durch das offene TCP-Socket und dem Schließen des TCP-Sockets.
  • timeout_retry: Anzahl an neuen Versuchen, falls eine Socketverbindung einen Timeout hat.
  • unscanned_closed: Dies legt fest, ob TCP-Ports, die nicht gescannt wurden, wie geschlossene Ports behandelt werden sollen.
  • unscanned_closed_udp: Dies legt fest, ob UDP-Ports, die nicht gescannt wurden, wie geschlossene Ports behandelt werden sollen.

10.9.6. Die NVT-Vorgaben bearbeiten

  1. Konfiguration > Scan-Konfigurationen in der Menüleiste wählen.
  2. In der Zeile der Scan-Konfiguration auf edit klicken.
  3. Im Abschnitt Vorgaben für Network Vulnerability Tests auf fold klicken, um die Vorgaben für jeden NVT anzuzeigen.
  4. In der Zeile der NVT-Vorgabe auf edit klicken.
  5. NVT-Vorgabe bearbeiten.
  6. Auf Speichern klicken, um die NVT-Vorgabe zu speichern.
  7. Auf Speichern klicken, um die Scan-Konfiguration zu speichern.

10.9.6.1. Beschreibung der NVT-Vorgaben

Bemerkung

Das Dokumentieren aller NVT-Vorgaben wäre für dieses Handbuch zu umfangreich. Nur die NVT-Vorgaben der Portscanner Nmap und Ping Host werden abgedeckt.

10.9.6.1.1. Vorgaben des NVT Ping Host

Der NVT Ping Host in der NVT-Familie Port scanners enthält die folgenden Konfigurationsparameter:

Bemerkung

Die Einstellungen für Erreichbarkeitstests eines Ziels können einige Einstellungen des Ping-Scanners überschreiben.

  • Do a TCP ping: Dies legt fest, ob die Erreichbarkeit der Hosts mit TCP getestet werden soll. In diesem Fall werden die folgenden Ports getestet: 21,22,23,25,53,80,135,137,139,143,443,445.
  • Do an ICMP ping: Dies legt fest, ob die Erreichbarkeit der Hosts mit ICMP getestet werden soll.
  • Mark unreachable Hosts as dead: Dies legt fest, ob ein Host, der nicht von dieser NVT gefunden wurde, später von anderen NVTs geprüft werden soll.
  • Report about reachable Hosts: Dies legt fest, ob ein Host, der von dieser NVT gefunden wurde, gelistet werden soll.
  • Report about unreachable Hosts: Dies legt fest, ob ein Host, der nicht von dieser NVT gefunden wurde, gelistet werden soll.
  • TCP ping tries also TCP-SYN ping: Der TCP-Ping nutzt standardmäßig ein TCP-ACK-Paket. Ein TCP-SYN-Paket kann zusätzlich genutzt werden.
  • Use ARP: Dies legt fest, ob mithilfe des Protokolls ARP im lokalen Netzwerk nach Hosts gesucht werden soll.
  • Use Nmap: Dies legt fest, ob der Ping-NVT Nmap nutzen soll.
  • nmap: try also with only –sP: Falls Nmap genutzt wird, wird der Pingscan mithilfe der –sP-Option durchgeführt.
  • nmap additional ports for –PA: Zusätzliche Ports für den TCP-Pingtest. Dies ist nur der Fall, falls Do a TCP ping gewählt wurde.
10.9.6.1.2. Vorgaben des NVT Nmap (NASL wrapper)

Die folgenden Optionen der NVT Nmap (NASL wrapper) der NVT-Familie Port scanners werden direkt in Optionen für die Ausführung des Nmap-Befehls übersetzt. Zusätzliche Informationen können in der Dokumentation für Nmap gefunden werden.

  • Do not randomize the order in which ports are scanned: Nmap scannt die Ports in aufsteigender Reihenfolge.
  • Do not scan targets not in the file: Siehe File containing grepable results.
  • Fragment IP packets: Nmap teilt die Pakete für die Angriffe. Dies erlaubt es, einfache Paketfilter zu umgehen.
  • Identify the remote OS: Nmap versucht, das Betriebssystem zu identifizieren.
  • RPC port scan: Nmap prüft das System auf Sun-RPC-Ports.
  • Run dangerous ports even if safe checks are set: UDP- und RPC-Scans können Probleme verursachen und sind normalerweise durch die Einstellung safe_checks deaktiviert. Mit dieser Einstellung können sie trotzdem aktiviert werden.
  • Service scan: Nmap versucht, Dienste zu identifizieren.
  • Use hidden option to identify the remote OS: Nmap führt die Identifikationen aggressiver durch.
  • Data length: Nmap fügt zufällige Daten bestimmter Länger zum Paket hinzu.
  • Host Timeout: Host-Timeout.
  • Initial RTT timeout: Ursprünglicher Timeout der Paketumlaufzeit. Nmap kann diesen Timeout, abhängig von der Ergebnissen, anpassen.
  • Max RTT timeout: Maximale Paketumlaufzeit.
  • Min RTT timeout: Minimale Paketumlaufzeit.
  • Max Retries: Maximale Anzahl neuer Versuche.
  • Maximum wait between probes: Dies steuert die Geschwindigkeit des Scans.
  • Minimum wait between probes: Dies steuert die Geschwindigkeit des Scans.
  • Ports scanned in parallel (max): Dies legt fest, wie viele Ports maximal gleichzeitig gescannt werden sollten.
  • Ports scanned in parallel (min): Dies legt fest, wie viele Ports minimal gleichzeitig gescannt werden sollten.
  • Source port: Dies ist der Quellport. Dies ist von Interesse, wenn durch eine Firewall gescannt wird, falls Verbindungen von einem bestimmten Port allgemein erlaubt sind.
  • File containing grepable results: Ermöglicht die Festlegung einer Datei, die Zeilen in der Form Host: IP address enthält. Falls die Option Do not scan targets not in the file zur gleichen Zeit aktiviert ist, werden nur Systeme, die in dieser Datei enthalten sind, gescannt.
  • TCP scanning technique: Tatsächliche Scantechnik.
  • Timing policy: Statt die Zeitwerte einzeln zu ändern, kann auch die Timing-Richtlinie verändert werden.

Die Timing-Richtlinie nutzt folgende Werte:

Paranoid Sneaky Polite Normal Aggressive Insane
initial_rtt_timeout 5 min 15 s 1 s 1 s 500 ms 250 ms
min_rtt_timeout 100 ms 100 ms 100 ms 100 ms 100 ms 50 ms
max_rtt_timeout 10 s 10 s 10 s 10 s 1250 ms 300 ms
max_parallelism seriell seriell seriell parallel parallel parallel
scan_delay 5 min 15 s 400 ms 0 s 0 s 0 s
max_scan_delay 1 s 1 s 1 s 1 s 10 ms 5 ms

10.10. Einen Scan zeitlich planen

Für ein durchgehendes Schwachstellenmanagement ist das manuelle Durchführen von Aufgaben umständlich. Der GSM unterstützt zur Automatisierung die Zeitplanung von Aufgaben und bezeichnet automatische Scans zu festgelegten Zeiten als Zeitpläne. Sie können einmalig oder wiederholt ausgeführt werden.

Der GSM stellt standardmäßig keine Zeitpläne bereit.

10.10.1. Einen Zeitplan erstellen

Ein neuer Zeitplan kann wie folgt erstellt werden:

  1. Konfiguration > Zeitpläne in der Menüleiste wählen.

  2. Neuen Zeitplan durch Klicken auf new erstellen.

  3. Zeitplan definieren (see Abb. 10.38).

  4. Auf Speichern klicken.

    → Der Zeitplan wird erstellt und kann beim Erstellen einer neuen Aufgabe gewählt werden (siehe Kapitel 10.2.2).

    _images/schedule_new-de.png

    Abb. 10.38 Erstellen eines neuen Zeitplans

Die folgenden Details des Zeitplans können festgelegt werden:

Name
Festlegung des Namens. Der Name kann frei gewählt werden.
Kommentar
Ein optionaler Kommentar kann zusätzliche Informationen enthalten.
Zeitzone

Festlegen der Zeitzone, auf die sich die Zeit bezieht. UTC ist standardmäßig eingestellt.

Bemerkung

Da der GSM intern in der Zeitzone UTC läuft, ist die gewählte Zeitzone sehr wichtig. Für Eastern Standard Time (EST) muss America/New York gewählt werden.

Erste Ausführung

Festlegen des Datums und der Uhrzeit für den Start des ersten Scans.

Durch Klicken auf calendar kann das Datum gewählt werden. Durch Klicken auf Now werden das aktuelle Datum und die aktuelle Zeit für den ersten Durchlauf festgelegt.

Endet am

Festlegen des Datums und der Uhrzeit für das Ende des ersten Scans.

Durch Klicken auf calendar kann das Datum gewählt werden. Durch Aktivieren der Checkbox Offenes Ende kann die Endzeit offen gelassen werden.

Laufzeit
Festlegen der maximalen Laufzeit, die eine Aufgabe für ihre Ausführung andauern kann. Die Dauer hängt von der angegebenen Start- und Endzeit ab. Falls eine Endzeit festgelegt wurde und diese Zeit abläuft, wird die Aufgabe abgebrochen und ausgesetzt, bis das nächste planmäßige Zeitfenster verfügbar ist. So kann sichergestellt werden, dass der Scan immer in einem bestimmten (Wartungs-)Zeitfenster ausgeführt wird.
Wiederholung
Festlegen der Wiederholrate der Aufgabe. Es kann zwischen Einmalig, Stündlich, Täglich, Wöchentlich, Monatlich, Jährlich, Werktage (Montag bis Freitag) oder Benutzerdefiniert… gewählt werden. Falls die Option Benutzerdefiniert… gewählt wird, können die Wiederholrate und die Tage, an denen die Aufgabe ausgeführt werden soll, gewählt werden.

10.10.2. Zeitpläne verwalten

Listenseite

Alle vorhandenen Zeitpläne können angezeigt werden, indem Konfiguration > Zeitpläne in der Menüleiste gewählt wird.

Für alle Zeitpläne werden die folgenden Informationen angezeigt:

Name
Name des Zeitplans.
Erste Ausführung
Startzeit der ersten Ausführung der Aufgabe.
Nächste Ausführung
Nächste Ausführung der Aufgabe gemäß des aktuellen Datums und der aktuellen Zeit.
Wiederholung
Wiederholrate der Aufgabe.
Laufzeit
Maximalen Laufzeit, die eine Aufgabe für ihre Ausführung andauern kann. Die Dauer hängt von der angegebenen Start- und Endzeit ab. Falls eine Endzeit festgelegt wurde und diese Zeit abläuft, wird die Aufgabe abgebrochen und ausgesetzt, bis das nächste planmäßige Zeitfenster verfügbar ist. So kann sichergestellt werden, dass der Scan immer in einem bestimmten (Wartungs-)Zeitfenster auseführt wird.

Für alle Zeitpläne sind die folgenden Aktionen verfügbar:

  • trashcan Den Zeitplan löschen. Nur Zeitpläne, die aktuell nicht genutzt werden, können gelöscht werden.
  • edit Den Zeitplan bearbeiten.
  • clone Den Zeitplan klonen.
  • export Den Zeitplan als XML-Datei exportieren.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Zeitplänen können mehrere Zeitpläne zur gleichen Zeit gelöscht oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Zeitpläne gelöscht oder exportiert werden.

Detailseite

Durch Klicken auf den Namen eines Zeitplans werden Details des Zeitplans angezeigt. Durch Klicken auf details wird die Detailseite des Zeitplans geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über den Zeitplan.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).
Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Zeitplänen anzeigen.
  • new Einen neuen Zeitplan erstellen (siehe Kapitel 10.10.1).
  • clone Den Zeitplan klonen.
  • edit Den Zeitplan bearbeiten.
  • delete Den Zeitplan löschen. Nur Zeitpläne, die aktuell nicht genutzt werden, können gelöscht werden.
  • export Den Zeitplan als XML-Datei exportieren.

10.11. Scanner erstellen und verwalten

Die GSM-Appliance wird mit zwei voreingestellten Scannern geliefert. Diese können verwaltet werden und neue Scanner können erstellt werden.

Die folgenden Scanner sind bereits verfügbar:

  • OpenVAS Default
  • CVE: Der CVE-Scanner ermöglicht das Vorhersagen eventueller Sicherheitsrisiken, basierend auf aktuellen Informationen über bekannte Schwachstellen aus den Sicherheitsinfos (siehe Kapitel 13), ohne dass ein neuer Scan nötig ist (siehe Kapitel 10.4).

Bemerkung

Der gewünschte Scanner für eine Aufgabe kann beim Erstellen der Aufgabe gewählt werden (siehe Kapitel 10.2.2).

10.11.1. Einen Scanner erstellen

Bemerkung

Das Erstellen eines neuen Scanners ist nur in den folgenden Fällen möglich:

  • Erstellen eines neuen Remote-Scanners (siehe Kapitel 16.3)
  • Erstellen eines OSP-Scanners (siehe Kapitel 18.1)

10.11.2. Scanner verwalten

Listenseite

Alle vorhandenen Scanner können angezeigt werden, indem Konfiguration > Scanner in der Menüleiste gewählt wird (siehe Abb. 10.39).

_images/scanner_listpage-de.png

Abb. 10.39 Seite Scanner mit allen vorhandenen Scannern

Für alle Scanner sind die folgenden Aktionen verfügbar:

  • trashcan Den Scanner löschen. Nur selbst erstellte Scanner können gelöscht werden.
  • edit Den Scanner bearbeiten. Nur selbst erstellte Scanner können bearbeitet werden.
  • clone Den Scanner klonen. Nur selbst erstellte Scanner können geklont werden.
  • export Den Scanner als XML-Datei exportieren.
  • verify Verifizieren, dass der Scanner online ist und dass sich der Manager mithilfe der bereitgestellten Zertifikate mit ihm verbinden kann.
  • download_key Das Zertifikat oder das Zertifikat der Zertifizierungsstelle herunterladen. Das Zertifikat oder das Zertifikat der Zertifizierungsstelle kann nur für selbst erstellte Scanner heruntergeladen werden.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Scannern können mehrere Scanner zur gleichen Zeit gelöscht oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Scanner gelöscht oder exportiert werden.

Detailseite

Durch Klicken auf den Namen eines Scanners werden Details des Scanners angezeigt. Durch Klicken auf details wird die Detailseite des Scanners geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über den Scanner.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).
Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Scannern anzeigen.
  • new Einen neuen Scanner erstellen (siehe Kapitel 10.11.1).
  • clone Den Scanner klonen. Nur selbst erstellte Scanner können geklont werden.
  • edit Den Scanner bearbeiten. Nur selbst erstellte Scanner können bearbeitet werden.
  • trashcan Den Scanner löschen. Nur selbst erstellte Scanner können gelöscht werden.
  • export Den Scanner als XML-Datei exportieren.
  • verify Verifizieren, dass der Scanner online ist und dass sich der Manager mithilfe der bereitgestellten Zertifikate mit ihm verbinden kann.

10.12. Benachrichtigungen nutzen

Benachrichtigungen sind im System verankert. Falls ein konfiguriertes Ereignis (z. B. eine Aufgabe ist abgeschlossen) geschieht, wird eine festgelegte Bedingung (z. B. es wurde eine Schwachstelle mit hohem Schweregrad gefunden) geprüft. Falls die Bedingung erfüllt wird, wird eine Aktion durchgeführt (z. B. eine E-Mail wird an eine bestimmte Adresse gesendet).

10.12.1. Eine Benachrichtigung erstellen

Eine neue Benachrichtigung kann wie folgt erstellt werden:

  1. Konfiguration > Benachrichtigungen in der Menüleiste wählen.

  2. Neue Benachrichtigung durch Klicken auf new erstellen.

  3. Benachrichtigung definieren (siehe Abb. 10.40).

  4. Auf Speichern klicken.

    _images/alert_new-de.png

    Abb. 10.40 Erstellen einer neuen Benachrichtigung

Die folgenden Details der Benachrichtigung können festgelegt werden:

Name
Festlegung des Namens. Der Name kann frei gewählt werden.
Kommentar
Ein optionaler Kommentar kann zusätzliche Informationen enthalten.
Ereignis
Festlegen des Ereignisses, für das die Benachrichtigung gesendet wird. Benachrichtigungen können gesendet werden, falls sich der Status einer Aufgabe ändert, Sicherheitsinfos (NVTs, CVEs, CPEs, CERT-Bund-Advisories, DFN-CERT-Advisories, OVAL-Definitionen) hinzugefügt werden oder ein Ticket zugewiesen oder geändert wird (siehe Kapitel 11.6).
Bedingung

Festlegen der zusätzlichen Bedingungen, die erfüllt werden müssen.

Bemerkung

Die Optionen unterscheiden sich für Benachrichtigungen in Verbindung mit Aufgaben, Sicherheitsinfos und Tickets.

Die Benachrichtigung kann auftreten, wenn:

  • Immer
  • Falls ein bestimmter Schweregrad erreicht wird
  • Falls der Schweregrad sich ändert, erhöht oder sinkt.
  • Falls der Powerfilter mindestens der angegebenen Anzahl von Ergebnissen mehr im Vergleich zum vorherigen Scan entspricht.
Berichtinhalt (nur für Benachrichtigungen in Verbindung mit Aufgaben)
Der Berichtinhalt kann mit einem zusätzlichen Filter beschränkt werden. Durch Klicken auf report kann der Inhalt des Berichts zusammengestellt und ein Powerfilter gewählt werden (siehe Kapitel 11.2.2). Der Filter muss zuvor erstellt werden (siehe Kapitel 8.4).
Details-URL (nur für Benachrichtigungen in Verbindung mit Sicherheitsinfos)
Festlegen der URL, von der die Sicherheitsinfos erhalten werden.
Delta-Bericht (nur für Benachrichtigungen in Verbindung mit Aufgaben)
Optional kann ein Delta-Bericht erstellt werden, entweder als Vergleich mit einem vorherigen Bericht oder mit einem Bericht mit einer bestimmten ID.
Methode

Wählen der Methode der Benachrichtigung. Nur eine Methode kann pro Benachrichtigung gewählt werden. Falls unterschiedliche Benachrichtigungen für das gleiche Ereignis ausgelöst werden soll, müssen mehrere Benachrichtigungen erstellt und mit dem gleichen Ereignis verknüpft werden.

Bemerkung

Einige Methoden können nicht für Benachrichtigungen in Verbindung mit Sicherheitsinfos oder Tickets genutzt werden.

Die folgenden Methoden sind möglich:

E-Mail

Der Bericht wird an eine angegebene E-Mail-Adresse gesendet.

Um diese Methode nutzen zu können, muss der verwendete Mailserver mithilfe des GOS-Administrationsmenüs konfiguriert sein (siehe Kapitel 7.2.10).

Die Einstellungen Empfängeradresse, Senderadresse und Inhalte müssen konfiguriert werden, damit die E-Mail-Benachrichtigung funktioniert. Die E-Mail-Verschlüsselung ist optional.

  • Empfängeradresse

    E-Mail-Adresse, an die die E-Mail gesendet wird.

  • Senderadresse

    E-Mail-Adresse, die als E-Mail-Absender genutzt wird.

  • Subjekt

    Für den Betreff können die folgenden Platzhalter genutzt werden:

    • $d: Datum der letzten Prüfung der Sicherheitsinfos oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
    • $e: Beschreibung des Ereignisses.
    • $n: Name der Aufgabe oder leer für Benachrichtigungen in Verbindung mit Sicherheitsinfos/Tickets.
    • $N: Name der Benachrichtigung.
    • $q: Art des Ereignisses für Sicherheitsinfos (Neu, Aktualisiert) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
    • $s: Art der Sicherheitsinfos (z. B. NVT, CERT-Bund-Advisory) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
    • $S: Siehe $s, aber pluralisiert (z. B. NVTs, CERT-Bund-Advisories) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
    • $T: Gesamtanzahl der Objekte in der Liste für Benachrichtigungen in Verbindung mit Sicherheitsinfos oder 0 für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
    • $u: Besitzer der Benachrichtigung oder aktuell eingeloggter Benutzer, falls die Benachrichtigung manuell ausgelöst wird.
    • $U: UUID der Benachrichtigung.
    • $$: Dollarzeichen ($).
  • E-Mail-Verschlüsselung

    Die E-Mail kann mithilfe eines konfigurierbaren S/MIME- oder GPG-Schlüssels verschlüsselt werden. Der Schlüssel kann in der Drop-down-Liste E-Mail-Verschlüsselung gewählt oder durch Klicken auf new erstellt werden. Die Zertifikatdatei muss die folgenden Bedingungen erfüllen:

    • PEM-kodiert (eine binäre DER-Datei kann nicht genutzt werden)
    • Nutzung des X.509-Formats
    • Ausgestellt für die E-Mail-Adresse des Empfängers (Empfängeradresse) und gültig (nicht abgelaufen)
    • Falls das Zertifikat ursprünglich in gebündeltem Format vorlag, das auch den privaten Schlüssel enthielt, muss nur das unverschlüsselte Zertifikat hochgeladen werden.

    Im Falle von S/MIME-Anmeldedaten muss die Zertifikatdatei zusätzlich die folgende Bedingung erfüllen:

    • Kombiniert alle Zertifikate der Kette (root-Zertifikate und alle zwischenliegende Zertifikate)
  • Inhalte

    Der Inhalt der E-Mail kann eine einfache Notiz, ein eingefügter oder ein angehängter Bericht sein.

    Bemerkung

    Die maximale Größe (in Bytes) von enthaltenen oder angehängten Berichten kann begrenzt werden (siehe Kapitel 7.2.10.2).

    • Bericht einfügen
      Der Bericht kann direkt in die E-Mail eingefügt werden. Jedes Berichtformat, das einen Inhaltstyp beginnend mit text/ nutzt, kann gewählt werden, da E-Mails binären Inhalt nicht direkt unterstützen.
    • Bericht anhängen
      Der Bericht kann an die E-Mail angehängt werden. Jedes Berichtformat kann gewählt werden. Der Bericht wird in seinem korrekten MIME-Typ an die generierte E-Mail angehängt.

    Der Inhalt der E-Mail-Nachricht kann sowohl für den eingefügten als auch für den angehängten Bericht bearbeitet werden. Für die Nachricht können die folgenden Platzhalter genutzt werden:

    • $c: Beschreibung der Bedingung.
    • $d: Datum der letzten Prüfung der Sicherheitsinfos oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
    • $e: Beschreibung des Ereignisses.
    • $F: Name des Filters.
    • $f: Filterausdruck.
    • $H: Zusammenfassung der Hosts.
    • $i: Berichttext oder Liste von Sicherheitsinfo-Objekten (nur falls, der Bericht/die Liste eingefügt wird).
    • $n: Name der Aufgabe oder leer für Benachrichtigungen in Verbindung mit Sicherheitsinfos/Tickets.
    • $N: Name der Benachrichtigung.
    • $q: Art des Ereignisses für Sicherheitsinfos (Neu, Aktualisiert) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
    • $r: Name des Berichtformats.
    • $s: Art der Sicherheitsinfos (z. B. NVT, CERT-Bund-Advisory) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
    • $S: Siehe $s, aber pluralisiert (z. B. NVTs, CERT-Bund-Advisories) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
    • $t: Notiz, falls der Bericht gekürzt wurde.
    • $T: Gesamtanzahl der Objekte in der Liste für Benachrichtigungen in Verbindung mit Sicherheitsinfos oder 0 für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
    • $u: Besitzer der Benachrichtigung oder aktuell eingeloggter Benutzer, falls die Benachrichtigung manuell ausgelöst wird.
    • $U: UUID der Benachrichtigung.
    • $z: Die genutzte Zeitzone.
    • $$: Dollarzeichen ($).
HTTP-Get

Die URL wird als HTTP Get ausgegeben. Beispielsweise kann eine SMS-Textnachricht via HTTP-Get-Gateway gesendet oder ein Bug-Bericht in einem Problemtracker erstellt werden. Für die URL können die folgenden Platzhalter genutzt werden:

  • $n: Name der Aufgabe oder leer für Benachrichtigungen in Verbindung mit Sicherheitsinfos/Tickets.
  • $e: Beschreibung des Ereignisses.
  • $c: Beschreibung der Bedingung.
  • $$: Dollarzeichen ($).
SCP

Der Bericht wird über das Secure Copy Protocol (SCP) unter Nutzung der angegebenen Anmeldedaten für die Authentifizierung an das festgelegte Ziel kopiert.

Alle Einstellungen (Anmeldedaten, Host, bekannte Hosts und Pfad) müssen konfiguriert werden, damit die SCP-Benachrichtigung funktioniert.

  • Anmeldedaten
    Benutzername und Passwort oder Benutzername und SSH-Schlüssel, welche gültige Logininformationen für das Zielsystem enthalten.
  • Host
    Der Hostname oder die IP-Adresse des Zielsystems. Pro SCP-Benachrichtigung wird nur ein Zielsystem unterstützt.
  • Bekannte Hosts
    Der öffentliche SSH-Schlüssel des Zielsystems im Format „Host Protokoll öffentlicher_Schlüssel“, z. B. localhost ssh-rsa AAAAB3NzaC1y...P3pCquVb. Der „Host“-Teil muss entsprechend mit dem Hostnamen oder der IP-Adresse übereinstimmen.
  • Pfad
    Der vollständige Pfad des Zielverzeichnisses und der Zieldatei, z. B. /home/user/Downloads/report.xml. Das Verkürzen des Pfads, z. B. durch Nutzen von ~ wird nicht unterstützt. Für den Dateinamen können die folgenden Platzhalter genutzt werden:
    • $$: Dollarzeichen ($).
    • $n: Name der Aufgabe
Sende an Host
Der Bericht wird via TCP an eine beliebige Host-Port-Kombination gesendet. Das Format des Berichts kann aus den installierten Berichtformaten gewählt werden.
SMB

Der Bericht wird mithilfe des SMB-Protokolls und den angegebenen Anmeldedaten an das festgelegte Ziel kopiert.

Der Freigabepfad und der Dateipfad müssen festgelegt werden. Der Freigabepfad enthält den Teil des UNC-Pfads, der den Host und den Freigabenamen enthält, z. B. „hostshare“.

Bemerkung

Falls der Dateipfad Unterordner enthält, die nicht existieren, werden die benötigten Unterordner erstellt.

Für den Dateipfad können die folgenden Platzhalter genutzt werden:

  • %C: Erstellungsdatum im Format YYYYMMDD. Wird zum aktuellen Datum geändert, falls kein Erstellungsdatum verfügbar ist.
  • %C: Erstellungszeit im Format HHMMSS. Wird zur aktuellen Zeit geändert, falls keine Erstellungszeit verfügbar ist.
  • %D: Aktuelles Datum im Format YYYYMMDD.
  • %F: Name des genutzten Berichtformats (XML für Listen und andere Typen als Berichte).
  • %M: Modifizierungsdatum im Format YYYYMMDD. Wird zum Erstellungsdatum oder zum aktuellen Datum geändert, falls kein Modifizierungsdatum verfügbar ist.
  • %m: Modifizierungszeit im Format HHMMSS. Wird zur Erstellungszeit oder zur aktuellen Zeit geändert, falls keine Modifizierungszeit verfügbar ist.
  • %N: Name des Objekts oder, im Falle von Berichten, der zugehörigen Aufgabe. Listen und Typen ohne Namen nutzen den Typen (siehe %T).
  • %T: Objekttyp, z. B. „task“, „port_list“. Pluralisiert für Listenseiten.
  • %t: Aktuelle Zeit im Format HHMMSS.
  • %U: Eindeutige ID des Objekts oder „list“ für Listen aus mehreren Objekten.
  • %u: Name des aktuell eingeloggten Benutzers.
  • %%: Prozentzeichen (%).

Bemerkung

Die Dateiendung wird dem in der Drop-down-Liste Berichtformat gewählten Format entsprechend angehängt.

Der Standardname für exportierte Berichte (siehe Kapitel 8.7) wird an den Dateipfad angehängt, falls dieser mit \ endet.

Bemerkung

Falls eine Aufgabe den Tag smb-alert:file_path mit einem Wert nutzt, wird der Wert als Dateipfad genutzt und nicht der Pfad, der mit der Benachrichtigung konfiguriert wurde (siehe Kapitel 8.5).

Beispiel: smb-alert:file_path=alert_1 weist den Dateipfad alert_1 zu.

SNMP

Ein SNMP-Trap wird an den angegebenen Agenten gesendet. Die festgelegte Community wird genutzt, um den SNMP-Trap zu authentifizieren und der Agent ist der als Ziel gesetzte SNMP-Trap-Empfänger. Für die Nachricht können die folgenden Platzhalter genutzt werden:

  • $d: Datum der letzten Prüfung der Sicherheitsinfos oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
  • $e: Beschreibung des Ereignisses.
  • $n: Name der Aufgabe oder leer für Benachrichtigungen in Verbindung mit Sicherheitsinfos/Tickets.
  • $q: Art des Ereignisses für Sicherheitsinfos (Neu, Aktualisiert) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
  • $s: Art der Sicherheitsinfos (z. B. NVT, CERT-Bund-Advisory) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
  • $S: Siehe $s, aber pluralisiert (z. B. NVTs, CERT-Bund-Advisories) oder leer für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
  • $T: Gesamtanzahl der Objekte in der Liste für Benachrichtigungen in Verbindung mit Sicherheitsinfos oder 0 für Benachrichtigungen in Verbindung mit Aufgaben/Tickets.
Sourcefire-Schnittstelle
Die Daten können automatisch an das Cisco Firepower Management Center (früher als Sourcefire Defense Center bekannt) gesendet werden. Für mehr Informationen siehe Kapitel 18.4.
Aufgabe starten
Die Benachrichtigung kann eine zusätzliche Aufgabe starten. Die Aufgabe wird in der Drop-down-Liste Aufgabe starten gewählt.
System-Logger
Die Benachrichtigung wird an einen Syslog-Daemon gesendet. Der Syslog-Server wird mithilfe des GOS-Administrationsmenüs festgelegt (siehe Kapitel 7.2.11).
verinice.PRO-Konnektor
Die Daten können automatisch an eine verinice.PRO-Installation gesendet werden. Für mehr Informationen siehe Kapitel 18.2.
TippingPoint SMS

Eine HTTPS-API wird verwendet, um einen Bericht im CSV-Format in das TippingPoint Security Management System (SMS) hochzuladen.

  • Hostname/IP
    Der CSV-Bericht wird an https://$SMS_ADDRESS/vulnscanner/import gesendet, wobei $SMS_ADDRESS durch den Hostnamen/die IP-Adresse aus dem Eingabefeld ersetzt wird.
  • Anmeldedaten
    Benutzername und Passwort, welche gültige Logininformationen für das TippingPoint SMS enthalten.
  • SSL-/TLS-Zertifikat
    Ein CA-Zertifikat zur Überprüfung, ob es sich bei dem Host, mit dem sich die Benachrichtigung verbindet, um das TippingPoint SMS handelt.
  • Problemumgehung für Standard-Zertifikat verwenden
    Standardmäßig verwendet das Zertifikat Tippingpoint als Common Name (CN), der in den meisten Fällen nicht mit dem Hostnamen/der IP-Adresse des TippingPoint SMS übereinstimmt. Falls aktiviert, ändert der Workaround den CN vorübergehend und löst ihn innerhalb des internen Konnektorskripts in den tatsächlichen Hostnamen/die IP-Adresse auf.
Alemba vFire
In der Anwendung zur Dienstverwaltung vFire wird ein neues Ticket erstellt. Der Bericht kann in einem oder mehreren Formaten angehängt werden. Für mehr Informationen siehe Kapitel 18.5.

10.12.2. Eine Benachrichtigung einer Aufgabe zuweisen

Falls eine Benachrichtigung genutzt werden soll, muss die Benachrichtigung wie folgt für eine bestimmte Aufgabe festgelegt werden:

Bemerkung

Bereits definierte und genutzte Aufgaben können ebenfalls bearbeitet werden, da dies keinen Einfluss auf bereits erstellte Berichte hat.

  1. Scans > Aufgaben in der Menüleiste wählen.

  2. In der Zeile der Aufgabe auf edit klicken.

  3. Benachrichtigung in der Drop-down-Liste Benachrichtigungen wählen (siehe Abb. 10.41).

    Bemerkung

    Eine neue Benachrichtigung kann durch Klicken auf new erstellt werden.

    _images/alert_assign_task-de.png

    Abb. 10.41 Konfigurieren einer Aufgabe mit einer Benachrichtigung

  4. Auf Speichern klicken.

    → Anschließend wird die Aufgabe, die die Benachrichtigung nutzt, auf der Detailseite der Benachrichtigung angezeigt (siehe Abb. 10.42).

    _images/alert_task_using-de.png

    Abb. 10.42 Aufgabe, die eine bestimmte Benachrichtigung nutzt

10.12.3. Benachrichtigungen verwalten

Listenseite

Alle vorhandenen Benachrichtigungen können angezeigt werden, indem Konfiguration > Benachrichtigungen in der Menüleiste gewählt wird.

Für alle Benachrichtigungen werden die folgenden Informationen angezeigt:

Name
Name der Benachrichtigung.
Ereignis
Ereignis, für das die Benachrichtigung ausgelöst wird.
Bedingung
Bedingung, die erfüllt werden muss, um die Benachrichtigung auszulösen.
Methode
Gewählte Benachrichtigungsmethode mit zusätzlichen Informationen, z. B. an welche IP- oder E-Mail-Adresse die Benachrichtigung gesendet wird.
Filter (nur für Benachrichtigungen in Verbindung mit Aufgaben)
Filter, der auf den Inhalt des Berichts angewendet wird.
Aktiv
Hinweis, ob die Benachrichtigung aktiviert oder deaktiviert ist.

Für alle Benachrichtigungen sind die folgenden Aktionen verfügbar:

  • trashcan Die Benachrichtigung löschen. Nur Benachrichtigungen, die aktuell nicht genutzt werden, können gelöscht werden.
  • edit Die Benachrichtigung bearbeiten.
  • clone Die Benachrichtigung klonen.
  • export Die Benachrichtigung als XML-Datei exportieren.
  • start Die Benachrichtigung testen.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Benachrichtigungen können mehrere Benachrichtigungen zur gleichen Zeit gelöscht oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Benachrichtigungen gelöscht oder exportiert werden.

Detailseite

Durch Klicken auf den Namen einer Benachrichtigung werden Details der Benachrichtigung angezeigt. Durch Klicken auf details wird die Detailseite der Benachrichtigungen geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über die Benachrichtigung.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.5).
Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Benachrichtigungen anzeigen.
  • new Eine neue Benachrichtigungen erstellen (siehe Kapitel 10.12.1).
  • clone Die Benachrichtigung klonen.
  • edit Die Benachrichtigung bearbeiten.
  • trashcan Die Benachrichtigung löschen. Nur Benachrichtigungen, die aktuell nicht genutzt werden, können gelöscht werden.
  • export Die Benachrichtigung als XML-Datei exportieren.

10.13. Hindernisse beim Scannen

Es gibt eine Reihe typischer Probleme, welche während eines Scans mit den Standardwerte des GSMs auftreten können. Während die Standardwerte des GSMs für die meisten Umgebungen und Kunden passend sind, benötigen sie möglicherweise etwas Optimierung, abhängig von der tatsächlichen Umgebung und der Konfiguration der gescannten Hosts.

10.13.1. Hosts nicht gefunden

Während eines typischen Scans (entweder Discovery oder Full and fast) nutzt der GSM standardmäßig zuerst den Pingbefehl, um die Verfügbarkeit der konfigurierten Ziele zu prüfen. Falls ein Ziel nicht auf die Pinganfrage antwortet, wird es als tot angenommen und nicht vom Portscanner oder einem NVT gescannt.

In den meisten LAN-Umgebungen stellt dies kein Problem dar, da alle Geräte auf eine Pinganfrage antworten. Allerdings unterdrücken (lokale) Firewalls oder andere Konfigurationen manchmal die Pingantwort. Falls dies passiert, wird das Ziel nicht gescannt und ist nicht in den Ergebnissen und im Bericht enthalten.

Um dieses Problem zu beseitigen, müssen sowohl die Konfiguration des Ziels als auch die Scan-Konfiguration die Einstellung des Erreichbarkeitstest unterstützen (siehe Alive Test).

Falls das Ziel nicht auf die Pinganfrage reagiert, könnte ein TCP-Ping getestet werden. Falls sich das Ziel in derselben Übertragungsdomäne befindet, könnte auch ein ARP-Ping genutzt werden.

10.13.2. Lang andauernde Scans

Wenn mithilfe des Pingbefehls erkannt wurde, dass das Ziel erreichbar ist, nutzt der GSM einen Portscanner, um das Ziel zu scannen. Standardmäßig wird eine TCP-Portliste mit ungefähr 5000 Ports genutzt. Falls das Ziel durch eine (lokale) Firewalls geschützt wird, die die meisten dieser Pakete weglässt, muss der Portscan auf das Timeout jedes einzelnen Ports warten. Falls die Hosts durch (lokale) Firewalls geschützt werden, müssen die Portlisten oder die Firewalls angepasst werden. Falls die Firewall die Anfrage nicht fallen lässt, aber sie ablehnt, muss der Portscanner nicht auf das Timeout warten. Dies gilt insbesonders für UDP-Ports, die im Scan enthalten sind.

10.13.3. NVT nicht genutzt

Dies passiert besonders oft, falls UDP-basierte NVTs wie die, die SNMP nutzen, verwendet werden. Falls die Standardkonfiguration Full and fast genutzt wird, werden die SNMP-NVTs eingeschlossen. Falls das Ziel allerdings so konfiguriert ist, dass es die Standardportliste nutzt, werden die NVTs nicht ausgeführt. Dies geschieht, da die Standardportliste keine UDP-Ports beinhaltet. Deshalb wird der Port 161/udp (SNMP) nicht gefunden und von späteren Scans ausgeschlossen. Der Discoveryscan und die empfohlene Scan-Konfiguration Full and fast optimieren den Scan basierend auf den gefundenen Diensten. Falls der UDP-Port nicht entdeckt wird, werden keine SNMP-NVTs ausgeführt.

Es sollten nicht alle Ports in der Portliste standardmäßig aktiviert sein. Dies verlängert den Scan wesentlich. Die bewährte Methode ist es, die Portliste auf die Ports einzustellen, die in der Umgebung genutzt werden und von den Firewalls unterstützt werden.

10.13.4. vhosts scannen

Der Scanner ist in der Lage, alle Beziehungen zwischen Hostnamen und IP-Adressen zu finden, ohne dass zusätzliches Input durch den Benutzer nötig ist.

In Umgebungen mit virtuellen Hosts haben die Scanberichte weniger Ergebnisse, da Duplikate vermieden werden.

Zwei Scanner-Vorgaben steuern das Scannen von vhosts (siehe Kapitel 10.9.5):

test_empty_vhost
Falls diese Vorgabe aktiviert ist, scannt der Scanner Scanner das Ziel auch unter Nutzung leerer vhost-Werte, zusätzlich zu den dem Ziel zugewiesenen vhost-Werten.
expand_vhosts
Falls diese Vorgabe aktiviert ist, wird die Hostliste des Ziels wird mit Werten erweitert, die durch Quellen wie Invers-Lookup-Anfragen und VT-Prüfungen für SSL/TLS-Zertifikate erhalten wurden.

Fußnoten

[1]Die maximale Netzmaske beträgt /20. Dies entspricht 4096 Adressen.