12. Compliance-Scans und besondere Scans durchführen

In der Informationstechnologie (IT) ist die Compliance der Hauptansatz für Unternehmen, um ihre Informationen und Vermögenswerte geschützt und sicher zu verwahren.

Mit zunehmender Cyberkriminalität sehen Regierungen die Notwendigkeit, die Identitäten und Vermögen ihrer Bürger zu schützen. Dazu werden Vorschriften und Verordnungen zum Schutz der Privatsphäre und der IT-Sicherheit aufgestellt. Einrichtungen für die Informationssicherheit, wie die Information Systems Audit and Control Association (ISACA) und die Internationale Organisation für Normung (ISO) veröffentlichen IT-Sicherheitsstandards, -rahmenpläne und -leitfäden.

Für diese Standards, Rahmenpläne und Richtlinien müssen Unternehmen entsprechende Schutzmaßnahmen einrichten, um sich selbst und ihre Informationsbestände vor Angriffen zu schützen. Für die Implementierung muss das Unternehmen einen IT-Sicherheitsrahmenplan erstellen, der Richtlinien, Standards, Baselines, Leitfäden und detaillierte Vorgänge enthält.

Schwachstellenbewertungssysteme wie der Greenbone Security Manager (GSM) können IT-Sicherheitsexperten dabei unterstützen, ihre Schutzmaßnahmen auf die oben genannten Standards, Rahmenpläne und Leitfäden zu prüfen.

Der GSM unterstützt das Durchführen von Audits, basierend auf Richtlinien

Die Kapitel 12.4, 12.5, 12.6, 12.7, 12.8 und 12.9 zeigen einige Beispiele für Richtlinienaudits.

Die in diesen Kapiteln genutzten Richtlinien können unter https://download.greenbone.net/scanconfigs/ heruntergeladen werden.

Bemerkung

Falls eine Richtlinie nicht verfügbar ist, kann der Greenbone Networks Support (support@greenbone.net) kontaktiert werden.

12.1. Richtlinien konfigurieren und verwalten

Richtlinien sind Scan-Konfigurationen mit der Kennzeichnung Richtlinie.

Einige Richtlinien stehen unter https://download.greenbone.net/scanconfigs/ zum Herunterladen zur Verfügung. Anschließend können diese Richtlinien importiert werden (siehe Kapitel 12.1.2).

12.1.1. Eine Richtlinie erstellen

Eine neue Richtlinie kann wie folgt erstellt werden:

  1. Resilience > Compliance Richtlinien in der Menüleiste wählen.

  2. Neue Richtlinie durch Klicken auf new erstellen.

    Bemerkung

    Alternativ kann eine Richtlinie importiert werden (siehe Kapitel 12.1.2).

  3. Namen der Richtlinie in das Eingabefeld Name eingeben (siehe Abb. 12.1).

    _images/policy_new-de.png

    Abb. 12.1 Erstellen einer neuen Richtlinie

  4. Auf Speichern klicken.

    → Die Richtlinie wird erstellt und auf der Seite Richtlinien angezeigt.

  5. In der Zeile der Richtlinie auf edit klicken.

  6. Im Abschnitt Familien von Network Vulnerability Tests bearbeiten den Radiobutton trend_more wählen, falls neue NVT-Familien automatisch hinzugefügt und aktiviert werden soll (siehe Abb. 12.2).

    _images/policy_edit-de.png

    Abb. 12.2 Bearbeiten der neuen Richtlinie

  7. Im Abschnitt Familien von Network Vulnerability Tests bearbeiten die Checkboxen Alle NVTs auswählen aktivieren, falls alle NVTs einer Familie aktiviert werden sollen.

  8. Für eine NVT-Familie auf edit klicken, um sie zu bearbeiten (siehe Abb. 12.3).

    _images/policy_edit_nvt_family-de.png

    Abb. 12.3 Bearbeiten einer NVT-Familie

  9. Die Checkboxen der NVTs, die aktiviert werden sollen, in der Spalte Ausgewählt aktivieren.

  1. Für einen NVT auf edit klicken, um ihn zu bearbeiten (siehe Abb. 12.4).

    Bemerkung

    Falls systemspezifische NVTs der NVT-Familie Policy genutzt werden (z. B. beginnend mit „Linux“, „Microsoft Windows“, „Microsoft Office“), muss der Radiobutton Ja für Verbose Policy Controls im NVT Compliance Tests (NVT-Familie Compliance) gewählt werden.

    Bemerkung

    Falls das Bearbeiten eines NVT das Hochladen einer Textdatei beinhaltet, sollte die Datei mit UTF-8 codiert sein.

    _images/policy_edit_nvt-de.png

    Abb. 12.4 Bearbeiten eines NVTs

  2. Auf Speichern klicken, um den NVT zu speichern.

  3. Auf Speichern klicken, um die NVT-Familie zu speichern.

  4. Optional: Scanner-Vorgaben bearbeiten (siehe Kapitel 10.9.4).

  5. Optional: NVT-Vorgaben bearbeiten (siehe Kapitel 10.9.5).

  6. Auf Speichern klicken, um die Richtlinie zu speichern.

12.1.2. Eine Richtlinie importieren

Bemerkung

Einige Richtlinien stehen unter https://download.greenbone.net/scanconfigs/ zum Herunterladen und anschließenden Importieren bereit.

Eine Richtlinie kann wie folgt importiert werden:

  1. Resilience > Compliance Richtlinien in der Menüleiste wählen.

  2. Auf upload klicken.

  3. Auf Browse… klicken und die XML-Datei der Richtlinie wählen (siehe Abb. 12.5).

    _images/policy_import-de.png

    Abb. 12.5 Importieren einer Richtlinie

  4. Auf Importieren klicken.

    Bemerkung

    Falls der Name der importierten Richtlinie bereits vorhanden ist, wird ein Zusatz an den Namen angehängt.

    → Die importierte Richtlinie wird auf der Seite Richtlinien angezeigt.

  5. Schritte 5 bis 15 aus Kapitel 12.1.1 durchführen, um die Richtlinie zu bearbeiten.

12.1.3. Richtlinien verwalten

Listenseite

Alle vorhandenen Richtlinien können angezeigt werden, indem Resilience > Compliance Richtlinien in der Menüleiste gewählt wird (siehe Abb. 12.6).

_images/policies_listpage-de.png

Abb. 12.6 Seite Richtlinien mit allen verfügbaren Richtlinien

Für alle Richtlinien werden die folgenden Informationen angezeigt:

Name
Name der Richtlinie.

Für alle Richtlinien sind die folgenden Aktionen verfügbar:

  • trashcan Die Richtlinie löschen. Nur selbst erstellte Richtlinien, die aktuell nicht genutzt werden, können gelöscht werden.
  • edit Die Richtlinie bearbeiten. Nur selbst erstellte Richtlinien, die aktuell nicht genutzt werden, können bearbeitet werden.
  • clone Die Richtlinie klonen.
  • new Ein neues Audit für die Richtlinie erstellen (siehe Kapitel 12.2.1.2).
  • export Die Richtlinie als XML-Datei exportieren.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Richtlinien können mehrere Richtlinien zur gleichen Zeit gelöscht oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Scan-Konfigurationen gelöscht oder exportiert werden.

Detailseite

Durch Klicken auf den Namen einer Richtlinie werden Details der Richtlinie angezeigt. Durch Klicken auf details wird die Detailseite der Richtlinie geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über die Richtlinie.
Scanner-Vorgaben
Alle Scanner-Vorgaben für die Richtlinie mit aktuellen und Standardwerten
NVT-Familien
Alle NVT-Familien für die Richtlinie mit der Anzahl aktivierter NVTs und dem Trend.
NVT-Vorgaben
Alle NVT-Vorgaben für die Richtlinie.
Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Richtlinien anzeigen.
  • new_note Eine neue Richtlinie erstellen (siehe Kapitel 12.1.1).
  • clone Die Richtlinie klonen.
  • edit Die Richtlinie bearbeiten. Nur selbst erstellte Richtlinien, die aktuell nicht genutzt werden, können bearbeitet werden.
  • trashcan Die Richtlinie löschen. Nur selbst erstellte Richtlinien, die aktuell nicht genutzt werden, können gelöscht werden.
  • export Die Richtlinie als XML-Datei exportieren.
  • upload Eine Richtlinie importieren (siehe Kapitel 12.1.2).

12.2. Audits konfigurieren und verwalten

Audits sind Scanaufgaben mit der Kennzeichnung Audit.

12.2.1. Ein Audit erstellen

12.2.1.1. Ein Audit auf der Seite Audits erstellen

Ein Audit kann auf der Seite Audits wie folgt erstellt werden:

  1. Resilience > Compliance Audits in der Menüleiste wählen.

  2. Neues Audit durch Klicken auf new erstellen.

  3. Audit definieren (siehe Abb. 12.7).

    _images/audit_new-de.png

    Abb. 12.7 Erstellen eines neuen Audits

  4. Auf Speichern klicken.

    → Das Audit wird erstellt und auf der Seite Audits angezeigt.

Die folgenden Informationen können eingegeben werden:

Name
Der Name kann frei gewählt werden. Falls möglich, sollte ein aussagekräftiger Name gewählt werden.
Kommentar
Der optionale Kommentar erlaubt es, Hintergrundinformationen festzuhalten. Diese erleichtern später das Verständnis des konfigurierten Audits.
Scan-Ziele

Zuvor konfiguriertes Ziel aus der Drop-down-Liste wählen (siehe Kapitel 10.2.1).

Zusätzlich kann das Ziel durch Klicken auf new neben der Drop-down-Liste erstellt werden.

Benachrichtigungen

Zuvor konfigurierte Benachrichtigung aus der Drop-down-Liste wählen (siehe Kapitel 10.12). Statusänderungen des Audits können über E-Mail, System-Logger, HTTP oder einen Konnektor mitgeteilt werden.

Zusätzlich kann eine Benachrichtigung durch Klicken auf new neben der Drop-down-Liste erstellt werden.

Zeitplan

Zuvor konfigurierten Zeitplan aus der Drop-down-Liste wählen (siehe Kapitel 10.10). Das Audit kann einmalig oder wiederholt zu einer festgelegten Zeit, z. B. jeden Montagmorgen um 6:00, durchgeführt werden.

Zusätzlich kann ein Zeitplan durch Klicken auf new neben der Drop-down-Liste erstellt werden.

Ergebnisse zu Assets hinzufügen
Das Auswählen dieser Option macht die Systeme automatisch für die Assetverwaltung des GSMs verfügbar (siehe Kapitel 13). Diese Auswahl kann später geändert werden.
Änderbares Audit
Verändern des Audits erlauben, auch wenn bereits Berichte erstellt wurden. Die Übereinstimmung zwischen den Berichten kann nicht garantiert werden, falls Audits verändert werden.
Berichte automatisch löschen
Diese Option löscht alte Berichte automatisch. Die maximale Anzahl an gespeicherten Berichten kann konfiguriert werden. Falls das Maximum überschritten wird, wird der älteste Bericht automatisch gelöscht. Die Werkseinstellung ist Berichte nicht automatisch löschen.
Richtlinie
Der GSM besitzt vier vorkonfigurierte Richtlinien.
Netzwerk-Quell-Interface
Hier kann die Quellschnittstelle des GSMs für den Scan gewählt werden.
Reihenfolge der Ziel-Hosts

Auswählen, wie der angegebene Netzwerkbereich gescannt werden soll. Die Möglichkeiten sind:

  • Sequenziell
  • Zufällig
  • Rückwärts

Dies ist interessant, falls ein Netzwerk, z. B. 192.168.0.0/24, gescannt wird, welches viele Systeme am Anfang oder am Ende des IP-Adressbereichs hat. Mit der Auswahl von Random ist die Anzeige des Fortschritts aussagekräftiger.

Maximal gleichzeitig ausgeführte NVTs pro Host/Maximal gleichzeitig gescannte Hosts
Auswahl der Geschwindigkeit des Scans auf einem Host. Die Standardwerte sind bewusst gewählt. Falls mehrere NTVs gleichzeitig auf einem System laufen oder mehrere Systeme zur gleichen Zeit gescannt werden, könnte der Scan negative Auswirkungen auf die Leistung der gescannten Systeme, des Netzwerks oder des GSMs selbst haben. Die Werte „maxhosts“ und „maxchecks“ können optimiert werden.

12.2.1.2. Ein Audit über eine Richtlinie erstellen

Ein Audit kann wie folgt direkt für eine Richtlinie erstellt werden:

  1. Resilience > Compliance Richtlinien in der Menüleiste wählen.

  2. In der Zeile der gewünschten Richtlinie auf edit klicken.

    → Die Richtlinie ist bereits in der Drop-down-Liste Richtlinie ausgewählt.

  3. Audit definieren.

    Tipp

    Für die Informationen, die in die Eingabefelder eingegeben werden müssen, siehe Kapitel 12.2.1.1.

  4. Auf Speichern klicken.

    → Das Audit wird erstellt und auf der Seite Audits angezeigt.

12.2.2. Ein Audit starten

In der Zeile des neu erstellten Audits auf start klicken.

Bemerkung

Für Audits mit Zeitplan wird schedule angezeigt. Das Audit startet zu der Zeit, die im Zeitplan festgelegt wurde (siehe Kapitel 10.10)

→ Der Scan wird ausgeführt. Für den Status eines Audits siehe Kapitel 12.2.3.

Tipp

Sobald ein Audit gestartet wurde, kann der Bericht des Audits durch Klicken auf den Balken in der Spalte Status angezeigt werden. Für das Lesen, Verwalten und Herunterladen von Berichten siehe Kapitel 11.

Sobald sich der Status zu Abgeschlossen ändert, ist der gesamte Bericht verfügbar. Zu jeder Zeit können Zwischenergebnisse angesehen werden (siehe Kapitel 11.2.1).

Bemerkung

Die Fertigstellung des Scans kann einige Zeit in Anspruch nehmen. Die Seite aktualisiert automatisch, falls neue Daten verfügbar sind.

12.2.3. Audits verwalten

Listenseite

Alle vorhandenen Audits können angezeigt werden, indem Resilience > Compliance Audits in der Menüleiste gewählt wird (siehe Abb. 12.8).

_images/audits_listpage-de.png

Abb. 12.8 Seite Audits mit allen verfügbaren Audits

Für alle Audits werden die folgenden Informationen angezeigt:

Name

Name des Audits. Die folgenden Icons könnten angezeigt werden:

alterable_task Das Audit ist als änderbar gekennzeichnet. Einige Einstellungen, die sonst gesperrt wären, sobald ein Bericht vorhanden ist, können bearbeitet werden.

sensor Das Audit ist für die Durchführung auf einem Remote-Scanner konfiguriert (siehe Kapitel 16).

provide_view Das Audit ist für einen oder mehrere andere Benutzer sichtbar.

view_other Das Audit gehört einem anderen Benutzer.

Status

Aktueller Status des Audits. Die folgenden Statusbalken sind möglich:

status-new-de Das Audit wurde noch nicht ausgeführt, seitdem es erstellt wurde.

status-requested-de Das Audit wurde gerade gestartet. Der GSM bereitet den Scan vor.

status-run Das Audit wird gerade ausgeführt. Die Prozentangabe basiert auf der Anzahl ausgeführter NVTs auf den gewählten Hosts. Aus diesem Grund hängt der Wert nicht zwingend mit der bereits verstrichenen Zeit zusammen.

status-delete-de Das Audit wurde gelöscht. Der tatsächliche Löschvorgang kann einige Zeit dauern, da Berichte ebenfalls gelöscht werden müssen.

status-stopr-de Das Audit wurde vor Kurzem aufgefordert, zu stoppen. Die Scanmaschine hat noch nicht auf die Anfrage reagiert.

status-stop-de Das Audit wurde gestoppt. Der neueste Bericht ist möglicherweise noch nicht komplett. Andere Gründe für diesen Status können der Reboot des GSMs oder ein Stromausfall sein. Nach dem Neustart des Scanners wird das Audit automatisch fortgesetzt.

status-resumereq-de Das Audit wurde gerade fortgesetzt. Der GSM bereitet den Scan vor.

status-error-de Ein Fehler ist aufgetreten und das Audit wurde unterbrochen. Der neueste Bericht ist möglicherweise noch nicht komplett oder fehlt vollständig.

status-done-de Das Audit wurde erfolgreich abgeschlossen.

Bericht
Datum und Zeit des neuesten Berichts. Durch Klicken auf die Angabe wird die Detailseite des neuesten Berichts geöffnet.
Compliance Status
Anforderungen, die als konform erkannt wurden im Verhältnis zu Anforderungen, die als nicht konform erkannt wurden (in Prozent).

Für alle Audits sind die folgenden Aktionen verfügbar:

  • start Das Audit starten. Nur Audits, die aktuell nicht ausgeführt werden, können gestartet werden.
  • stop Das aktuell ausgeführte Audit stoppen. Alle gefundenen Ergebnisse werden in der Datenbank gespeichert.
  • schedule Die Details des zugewiesenen Zeitplans anzeigen (nur für Audits mit Zeitplan verfügbar, siehe Kapitel 10.10).
  • resume Das gestoppte Audit fortsetzen.
  • trashcan Das Audit löschen.
  • edit Das Audit bearbeiten.
  • clone Das Audit klonen.
  • export Das Audit als XML-Datei exportieren.
  • download Den Bericht des Audits als XML-Datei herunterladen.

Bemerkung

Durch Klicken auf trashcan oder export unterhalb der Liste von Audits können mehrere Audits zur gleichen Zeit gelöscht oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Audits gelöscht oder exportiert werden.

Detailseite

Durch Klicken auf den Namen eines Audits werden Details des Audits angezeigt. Durch Klicken auf details wird die Detailseite des Audits geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über das Audit.
Berechtigungen
Zugewiesene Berechtigungen (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen Audits anzeigen.
  • new Ein neues Audit erstellen (siehe Kapitel 12.2.1.1).
  • clone Das Audit klonen.
  • edit Das Audit bearbeiten.
  • trashcan Das Audit löschen.
  • export Das Audit als XML-Datei exportieren.
  • start Das Audit starten. Nur Audits, die aktuell nicht ausgeführt werden, können gestartet werden.
  • stop Das aktuell ausgeführte Audit stoppen. Alle gefundenen Ergebnisse werden in der Datenbank gespeichert.
  • resume Das gestoppte Audit fortsetzen.
  • report Den letzten Bericht des Audits oder alle Berichte des Audits anzeigen.
  • results Die Ergebnisse des Audits anzeigen.

12.3. Richtlinienberichte nutzen und verwalten

Berichte für Audits sind den Berichten aller anderen Aufgaben ähnlich.

Nach dem Starten eines Scans kann der Bericht der bis dahin gefundenen Ergebnisse angesehen werden. Wenn der Scan abgeschlossen ist, ändert sich der Status zu Abgeschlossen und keine weiteren Ergebnisse werden hinzugefügt.

12.3.1. Einen Richtlinienbericht nutzen

Ein Richtlinienbericht kann auf die gleiche Weise wie jeder andere Bericht genutzt werden. Kapitel 11.2 enthält Informationen über das Lesen, Interpretieren, Filtern, Exportieren, Importieren und Vergleichen von Berichten.

Für weitere Informationen über Ergebnisse und Schwachstellen siehe Kapitel 11.3 und 11.4.

12.3.2. Einen Richtlinienbericht exportieren

Bemerkung

Ein Richtlinienbericht hat immer das Berichtformat Greenbone Compliance Report PDF (GCR PDF). Das Ändern des Berichtformats ist nicht möglich.

Zusätzlich kann der Bericht von der Seite Audits wie folgt heruntergeladen werden:

  1. Resilience > Compliance Audits in der Menüleiste wählen.
  2. In der Zeile des gewünschten Audits auf edit klicken.
  3. PDF-Datei herunterladen.

12.4. Allgemeine Richtlinienscans

Beim Durchführen von Richtlinienscans gibt es vier Gruppen von NVTs in der NVT-Familie Policy, die entsprechend konfiguriert werden können.

Mindestens zwei dieser vier Richtlinien-NVTs werden benötigt, um einen Richtlinienscan durchzuführen.

Die vier NVT-Arten sind:

Basis
Dieser NVT führt den eigentlichen Scan der Richtlinie durch.
Errors
Dieser NVT fasst alle Elemente zusammen, in denen beim Ausführen des Basis-NVTs Fehler auftraten.
Matches
Dieser NVT fasst alle Elemente zusammen, auf die die vom Basis-NVT ausgeführten Prüfungen zutreffen.
Violations
Dieser NVT fasst alle Elemente zusammen, auf die die vom Basis-NVT ausgeführten Prüfungen nicht zutreffen.

Bemerkung

Der Basis-NVT muss für einen Richtliniencheck immer gewählt werden, da er die eigentliche Prüfung durchführt. Die andren drei NVTs können entsprechend der Anforderungen gewählt werden. Falls beispielsweise das Erkennen von Mustern nicht von Bedeutung ist, sollte zusätzlich nur ein NVT der Art Violations gewählt werden.

12.4.1. Dateiinhalt prüfen

Prüfungen des Dateiinhalts gehören zu den Richtlinienprüfungen, die nicht explizit nach Schwachstellen suchen, sondern die Erfüllung von Dateiinhalten (z. B. Konfigurationsdateien) bezüglich bestimmter Vorgaben kontrollieren.

Der GSM stellt ein Richtlinienmodul bereit, um zu prüfen, ob der Dateiinhalt mit einer gegebenen Richtlinie übereinstimmt.

Im Allgemeinen ist dies ein authentifizierter Scan, was bedeutet, dass sich die Scanmaschine in das Zielsystem einloggen muss, um die Prüfung durchzuführen (siehe Kapitel 10.3).

Die Prüfung des Dateiinhalts kann nur auf Systemen durchgeführt werden, die den Befehl grep unterstützen. Dabei handelt es sich meist um Linux oder Linux-ähnliche Systeme.

Vier unterschiedliche NVTs der NVT-Familie Policy bieten die Prüfung des Dateiinhalts:

  • File Content: Dieser NVT führt die eigentliche Prüfung des Dateiinhalts durch.
  • File Content: Errors: Dieser NVT zeigt die Dateien, in denen Fehler auftraten (z. B. die Datei wurde nicht auf dem Zielsystem gefunden).
  • File Content: Matches: Dieser NVT zeigt die Muster und Dateien, die die Prüfung des Dateiinhalts bestanden haben (die vorgegebenen Muster stimmen in der Datei überein).
  • File Content: Violations: Dieser NVT zeigt die Muster und Dateien, die die Prüfung des Dateiinhalts nicht bestanden haben (die vorgegebenen Muster stimmen in der Datei nicht überein).

12.4.1.1. Muster des Dateiinhalts prüfen

  1. Referenzdatei mit den zu prüfenden Mustern erstellen. Folgend ist ein Beispiel:
filename|pattern|presence/absence
/tmp/filecontent_test|^paramter1=true.*$|presence
/tmp/filecontent_test|^paramter2=true.*$|presence
/tmp/filecontent_test|^paramter3=true.*$|absence
/tmp/filecontent_test_notthere|^paramter3=true.*$|absence

Bemerkung

Die Datei muss die Zeile filename|pattern|presence/absence enthalten.

Die nachfolgenden Zeilen enthalten jeweils einen Prüfeintrag.

Jede Zeile enthält drei Felder, die durch | getrennt sind.

Das erste Feld enthält den Pfad und Dateinamen, das zweite Feld enthält das zu prüfende Muster (als regulären Ausdruck) und das dritte Feld gibt an, ob das Muster vorhanden sein muss oder nicht vorhanden sein darf.

  1. In der Zeile der entsprechenden Richtlinie auf edit klicken.

  2. Im Abschnitt Familien von Network Vulnerability Tests bearbeiten für die NVT-Familie Policy auf edit klicken.

    → Alle NVTs, die eine besondere Konfiguration erlauben, werden aufgelistet (siehe Abb. 12.9).

    _images/file_content-de.png

    Abb. 12.9 Bearbeiten einer NVT-Familie

  3. Für File Content auf edit klicken.

  4. Checkbox Datei hochladen aktivieren (siehe Abb. 12.10).

    Tipp

    Falls bereits eine Referenzdatei hochgeladen wurde, wird stattdessen die Checkbox Existierende Datei ersetzen angezeigt. Die Referenzdatei kann nur geändert werden, falls die Richtlinie aktuell nicht genutzt wird.

    _images/file_content_2-de.png

    Abb. 12.10 Hochladen der Referenzdatei

  5. Auf Browse… klicken und die zuvor erstellte Referenzdatei wählen.

  6. Auf Speichern klicken, um den NVT zu speichern.

  7. Auf Speichern klicken, um die NVT-Familie zu speichern.

  8. Auf Speichern klicken, um die Richtlinie zu speichern.

12.4.1.2. Den Schweregrad ändern

Die Schweregrade der NVTs hängen von der genutzten GOS-Version ab. Seit GOS 4.2 haben NVTs der Art Violations einen standardmäßigen Schweregrad von 10.

Früher hatten diese NVTs einen standardmäßigen Schweregrad von 0 (Logmeldung) und Übersteuerungen wurden für andere Schweregrade benötigt. Der neue Standard von 10 kann ebenfalls durch Übersteuerungen geändert werde (siehe Kapitel 11.8).

Durch das Aufteilen in drei unterschiedlichen NVTs ist es möglich, abhängig von den Anforderungen, verschiedene Übersteuerungen für den Schweregrad zu erstellen.

Im folgenden Beispiel wurden die Schweregrade von File Content: Violations und File Content: Errors geändert, was entsprechend in den Berichten angezeigt wird (siehe Abb. 12.11).

_images/file_content_overrides-de.png

Abb. 12.11 Ändern des Schweregrads durch Übersteuerungen

12.4.1.3. Muster des Dateiinhalts prüfen: Beispiel

Bemerkung

Die Übersteuerungen können entweder vor oder nach dem Scan erstellt werden. Letzteres ist einfacher, da die geeignete Übersteuerung über die Ergebnisseite erstellt werden kann (siehe Kapitel 11.8.1.1).

  1. Unter https://download.greenbone.net/scanconfigs/ nach der Richtlinie policy_file_content_example.xml suchen und die zugehörige Prüfdatei filecontent_test herunterladen.

    Wichtig

    Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

    Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

    → Falls die Richtlinie verfügbar ist, Richtlinie herunterladen und mit Schritt 2 fortfahren.

    Falls die Richtlinie nicht verfügbar ist, den Greenbone Networks Support (support@greenbone.net) kontaktieren.

  2. Prüfdatei in das /tmp/-Verzeichnis des Zielsystems extrahieren.

  3. Resilience > Compliance Audits in der Menüleiste wählen.

  4. Audit für das Ziel, auf dem die Prüfdatei gespeichert wurde, durch Klicken auf new erstellen.

    Bemerkung

    Der Scan muss ein authentifizierter Scan mit geeigneten SSH-Anmeldedaten sein (siehe Kapitel 10.3.2).

  5. In der Zeile des neu erstellten Audits auf start klicken.

12.4.2. Registryinhalt prüfen

Die Registrierungsdatenbank (Registry) ist eine Datenbank in Microsoft Windows, die wichtige Informationen über Systemhardware, installierte Programme und Benutzeraccounts auf dem Computer enthält. Microsoft Windows verweist kontinuierlich auf die Informationen in der Registry.

Aufgrund der Beschaffenheit der Microsoft-Windows-Registry trägst sich jedes Programm und jede Anwendung unter Microsoft Windows selbst in die Registry ein. Sogar Malware und anderer schädlicher Code hinterlassen normalerweise Spuren in der Registry.

Die Registry kann genutzt werden, um nach bestimmten Anwendungen oder mit Malware verbundenen Informationen, wie Versionslevel und -nummer, zu suchen. Außerdem können fehlende oder veränderte Registryeinstellungen auf potentielle Verletzungen der Sicherheitsrichtlinie an einem Endpunkt hinweisen.

Der GSM stellt ein Richtlinienmodul bereit, um Registryeinträge auf dem Zielsystem zu verifizieren. Dieses Modul prüft sowohl die An- oder Abwesenheit von Registryeinstellungen als auch Registryverletzungen.

Da die Registry auf Microsoft-Windows-Systeme beschränkt ist, kann diese Prüfung nur auf diesen Systemen durchgeführt werden.

Um auf die Regsitry des Zielsystems zuzugreifen, muss ein authentifizierter Scan ausgeführt werden.

Vier unterschiedliche NVTs der NVT-Familie Policy bieten die Prüfung des Registryinhalts:

  • Windows Registry Check: Dieser NVT führt die eigentliche Prüfung des Registryinhalts auf den Dateien durch.
  • Windows Registry Check: Errors: Dieser NVT zeigt die Dateien, in denen Fehler auftraten (z. B. der Registryinhalt wurde nicht auf dem Zielsystem gefunden).
  • Windows Registry Check: OK: Dieser NVT zeigt die Registryeinstellungen, die die Prüfung der Registry bestanden haben (korrekter Registryinhalt).
  • Windows Registry Check: Violations: Dieser NVT zeigt den Registryinhalt, der die Prüfung der Registry nicht bestanden haben (fehlerhafter Registryinhalt).

12.4.2.1. Muster des Registryinhalts prüfen

  1. Referenzdatei mit dem Referenzinhalt erstellen. Folgend ist ein Beispiel:
Present|Hive|Key|Value|ValueType|ValueContent
TRUE|HKLM|SOFTWARE\Macromedia\FlashPlayer\SafeVersions|8.0|REG_DWORD|33
TRUE|HKLM|SOFTWARE\Microsoft\Internet Explorer
TRUE|HKLM|SOFTWARE\Microsoft\Internet Explorer|Version|REG_SZ|9.11.10240.16384
TRUE|HKLM|SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
 System|LocalAccountTokenFilterPolicy|REG_DWORD|1
FALSE|HKLM|SOFTWARE\Virus
TRUE|HKLM|SOFTWARE\ShouldNotBeHere
TRUE|HKLM|SOFTWARE\Macromedia\FlashPlayer\SafeVersions|8.0|REG_DWORD|*

Bemerkung

Die Datei muss die Zeile Present|Hive|Key|Value|ValueType|ValueContent enthalten.

Die nachfolgenden Zeilen enthalten jeweils einen Prüfeintrag.

Jede Zeile enthält sechs Felder, die durch | getrennt sind.

Das erste Feld gibt an, ob ein Registryeintrag vorhanden sein muss oder nicht, das zweite enthält die logische Untereinheit, in der sich der Registryinhalt befindet, das dritte den Schlüssel, das vierte den Wert, das fünfte den Werttyp und das sechste den Wertinhalt. Falls ein Sternchen * in der letzten Spalte genutzt wird, ist jeder Wert gültig und akzeptiert.

  1. In der Zeile der entsprechenden Richtlinie auf edit klicken.

  2. Im Abschnitt Familien von Network Vulnerability Tests bearbeiten für die NVT-Familie Policy auf edit klicken.

    → Alle NVTs, die eine besondere Konfiguration erlauben, werden aufgelistet (siehe Abb. 12.12).

    _images/windows_registry_check-de.png

    Abb. 12.12 Bearbeiten einer NVT-Familie

  3. Für Windows Registry Check auf edit klicken.

  4. Checkbox Datei hochladen aktivieren (siehe Abb. 12.13).

    Tipp

    Falls bereits eine Referenzdatei hochgeladen wurde, wird stattdessen die Checkbox Existierende Datei ersetzen angezeigt. Die Referenzdatei kann nur geändert werden, falls die Richtlinie aktuell nicht genutzt wird.

    _images/windows_registry_check_2-de.png

    Abb. 12.13 Hochladen der Referenzdatei

  5. Auf Browse… klicken und die zuvor erstellte Referenzdatei wählen.

  6. Auf Speichern klicken, um den NVT zu speichern.

  7. Auf Speichern klicken, um die NVT-Familie zu speichern.

  8. Auf Speichern klicken, um die Richtlinie zu speichern.

12.4.2.2. Den Schweregrad ändern

Die Schweregrade der NVTs hängen von der genutzten GOS-Version ab. Seit GOS 4.2 haben NVTs der Art Violations einen standardmäßigen Schweregrad von 10.

Früher hatten diese NVTs einen standardmäßigen Schweregrad von 0 (Logmeldung) und Übersteuerungen wurden für andere Schweregrade benötigt. Der neue Standard von 10 kann ebenfalls durch Übersteuerungen geändert werde (siehe Kapitel 11.8).

Durch das Aufteilen in drei unterschiedlichen NVTs ist es möglich, abhängig von den Anforderungen, verschiedene Übersteuerungen für den Schweregrad zu erstellen.

Im folgenden Beispiel wurden die Schweregrade von Windows Registry Check: Violations und Windows Registry Check: Errors geändert, was entsprechend in den Berichten angezeigt wird (siehe Abb. 12.14).

_images/windows_registry_check_overrides-de.png

Abb. 12.14 Ändern des Schweregrads durch Übersteuerungen

12.4.2.3. Muster des Registryinhalts prüfen: Beispiel

Bemerkung

Die Übersteuerungen können entweder vor oder nach dem Scan erstellt werden. Letzteres ist einfacher, da die geeignete Übersteuerung über die Ergebnisseite erstellt werden kann (siehe Kapitel 11.8.1.1).

  1. Unter https://download.greenbone.net/scanconfigs/ nach der Richtlinie policy_registry_ScanConfig.xml suchen und die zugehörige Prüfdatei registry_test herunterladen.

    Wichtig

    Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

    Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

    → Falls die Richtlinie verfügbar ist, Richtlinie herunterladen und mit Schritt 2 fortfahren.

    Falls die Richtlinie nicht verfügbar ist, den Greenbone Networks Support (support@greenbone.net) kontaktieren.

  2. Prüfdatei in das /tmp/-Verzeichnis des Zielsystems extrahieren.

  3. Resilience > Compliance Audits in der Menüleiste wählen.

  4. Audit für das Ziel, auf dem die Prüfdatei gespeichert wurde, durch Klicken auf new erstellen.

    Bemerkung

    Der Scan muss ein authentifizierter Scan mit geeigneten SSH-Anmeldedaten sein (siehe Kapitel 10.3.2).

  5. In der Zeile des neu erstellten Audits auf start klicken.

12.4.3. Datei-Prüfsummen prüfen

Prüfungen der Datei-Prüfsummen gehören zu Richtlinienaudits, die nicht ausdrücklich auf Schwachstellen prüfen, sondern stattdessen auf Integrität einer Datei.

Der GSM stellt ein Richtlinienmodul bereit, um die Dateiintegrität auf dem Zielsystem zu verifizieren. Dieses Modul prüft den Dateiinhalt durch MD5- oder SHA1-Prüfsummen.

Im Allgemeinen ist dies ein authentifizierter Scan, was bedeutet, dass sich die Scanmaschine in das Zielsystem einloggen muss, um die Prüfung durchzuführen.

Die Prüfung von Prüfsummen kann nur auf Systemen durchgeführt werden, die Prüfsummen unterstützen. Normalerweise sind dies Linux- oder linuxähnliche Systeme. Trotzdem bietet der GSM auch ein Modul für die Prüfung von Prüfsummen auf Microsoft-Windows-Systemen (siehe Kapitel 12.4.3.4).

Vier unterschiedliche NVTs der NVT-Familie Policy stellen die Prüfung der Datei-Prüfsummen bereit:

  • File Checksums: Dieser NVT führt die eigentliche Prüfung der Prüfsummen auf den Dateien durch.
  • File Checksums: Errors: Dieser NVT zeigt die Dateien, in denen Fehler auftraten (z. B. die Datei wurde nicht auf dem Zielsystem gefunden).
  • File Checksums: Matches: Dieser NVT zeigt die Dateien, die die Prüfung der Prüfsummen bestanden haben (übereinstimmende Prüfsummen).
  • File Checksums: Violations: Dieser NVT zeigt die Dateien, die die Prüfung der Prüfsummen nicht bestanden haben (falsche Prüfsummen).

12.4.3.1. Muster der Datei-Prüfsummen prüfen

  1. Referenzdatei mit den zu prüfenden Prüfsummen erstellen. Folgend ist ein Beispiel:

    Checksum|File|Checksumtype
    6597ecf8208cf64b2b0eaa52d8169c07|/bin/login|md5
    ed3ed98cb2efa9256817948cd27e5a4d9be2bdb8|/bin/bash|sha1
    7c59061203b2b67f2b5c51e0d0d01c0d|/bin/pwd|md5
    

Bemerkung

Die Datei muss die Zeile Checksum|File|Checksumtype enthalten.

Die nachfolgenden Zeilen enthalten jeweils einen Prüfeintrag.

Jede Zeile enthält drei Felder, die durch | getrennt sind.

Das erste Feld enthält die Prüfsumme in hexadezimaler Schreibweise, das zweite den Pfad und Dateinamen und das dritte den Prüfsummentyp. Aktuell werden MD5 und SHA1 unterstützt.

Wichtig

Prüfsummen und Prüfsummentypen müssen in Kleinbuchstaben geschrieben werden.

  1. In der Zeile der entsprechenden Richtlinie auf edit klicken.

  2. Im Abschnitt Familien von Network Vulnerability Tests bearbeiten für die NVT-Familie Policy auf edit klicken.

    → Alle NVTs, die eine besondere Konfiguration erlauben, werden aufgelistet (siehe Abb. 12.15).

    _images/file_checksum-de.png

    Abb. 12.15 Bearbeiten einer NVT-Familie

  3. Für File Checksums auf edit klicken.

  4. Checkbox Datei hochladen aktivieren (siehe Abb. 12.16).

    Tipp

    Falls bereits eine Referenzdatei hochgeladen wurde, wird stattdessen die Checkbox Existierende Datei ersetzen angezeigt. Die Referenzdatei kann nur geändert werden, falls die Richtlinie aktuell nicht genutzt wird.

    _images/file_checksum_2-de.png

    Abb. 12.16 Hochladen der Referenzdatei

  5. Auf Browse… klicken und die zuvor erstellte Referenzdatei wählen.

  6. Auf Speichern klicken, um den NVT zu speichern.

  7. Auf Speichern klicken, um die NVT-Familie zu speichern.

  8. Auf Speichern klicken, um die Richtlinie zu speichern.

12.4.3.2. Den Schweregrad ändern

Die Schweregrade der NVTs hängen von der genutzten GOS-Version ab. Seit GOS 4.2 haben NVTs der Art Violations einen standardmäßigen Schweregrad von 10.

Früher hatten diese NVTs einen standardmäßigen Schweregrad von 0 (Logmeldung) und Übersteuerungen wurden für andere Schweregrade benötigt. Der neue Standard von 10 kann ebenfalls durch Übersteuerungen geändert werde (siehe Kapitel 11.8).

Durch das Aufteilen in drei unterschiedlichen NVTs ist es möglich, abhängig von den Anforderungen, verschiedene Übersteuerungen für den Schweregrad zu erstellen.

Im folgenden Beispiel wurden die Schweregrade von File Checksum: Violations und File Checksum: Errors geändert, was entsprechend in den Berichten angezeigt wird (siehe Abb. 12.17).

_images/file_checksum_overrides-de.png

Abb. 12.17 Ändern des Schweregrads durch Übersteuerungen

12.4.3.3. Datei-Prüfsummen prüfen: Beispiel

Bemerkung

Die Übersteuerungen können entweder vor oder nach dem Scan erstellt werden. Letzteres ist einfacher, da die geeignete Übersteuerung über die Ergebnisseite erstellt werden kann (siehe Kapitel 11.8.1.1).

  1. Unter https://download.greenbone.net/scanconfigs/ nach der Richtlinie policy_file_checksums_example.xml suchen und die zugehörige Prüfdatei policy_file_checksums_testfiles herunterladen.

    Wichtig

    Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

    Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

    → Falls die Richtlinie verfügbar ist, Richtlinie herunterladen und mit Schritt 2 fortfahren.

    Falls die Richtlinie nicht verfügbar ist, den Greenbone Networks Support (support@greenbone.net) kontaktieren.

  2. Prüfdatei in das /tmp/-Verzeichnis des Zielsystems extrahieren.

  3. Resilience > Compliance Audits in der Menüleiste wählen.

  4. Audit für das Ziel, auf dem die Prüfdatei gespeichert wurde, durch Klicken auf new erstellen.

    Bemerkung

    Der Scan muss ein authentifizierter Scan mit geeigneten SSH-Anmeldedaten sein (siehe Kapitel 10.3.2).

  5. In der Zeile des neu erstellten Audits auf start klicken.

12.4.3.4. Muster der Datei-Prüfsummen für Microsoft Windows prüfen

Der GSM stellt ein ähnliches Modul für Microsoft-Windows-Systeme für die Prüfung der Datei-Prüfsummen bereit.

Da Microsoft Windows kein internes Programm für das Erstellen von Prüfsummen anbietet, muss entweder eins manuell oder automatisch durch den NVT erstellt werden. Der GSM nutzt ReHash zum Erstellen von Prüfsummen auf Microsoft-Windows-Systemen.

Bemerkung

Es gibt zwei Betriebsarten für diese Prüfungen:

  • Nutzung eines Tools, das manuell auf dem Zielsystem installiert wurde.
  • Falls gewünscht, wird das Tool ReHash während der Prüfroutine auch automatisch auf dem Zielsystem installiert und deinstalliert.

Wie für Linuxsysteme befinden sich die NVTs für die Prüfung der Prüfsummen in der NVT-Familie Policy.

  1. Referenzdatei mit den zu prüfenden Mustern erstellen. Folgend ist ein Beispiel:

    Checksum|File|Checksumtype
    6597ecf8208cf64b2b0eaa52d8169c07|/bin/login|md5
    ed3ed98cb2efa9256817948cd27e5a4d9be2bdb8|/bin/bash|sha1
    7c59061203b2b67f2b5c51e0d0d01c0d|/bin/pwd|md5
    
  2. In der Zeile der entsprechenden Richtlinie auf edit klicken.

  3. Im Abschnitt Familien von Network Vulnerability Tests bearbeiten für die NVT-Familie Policy auf edit klicken.

    → Alle NVTs, die eine besondere Konfiguration erlauben, werden aufgelistet (siehe Abb. 12.18).

    _images/windows_file_checksum-de.png

    Abb. 12.18 Bearbeiten einer NVT-Familie

  4. Für Windows file Checksums auf edit klicken.

  5. Für Delete hash test Programm after the test den Radiobutton Ja wählen, falls das Prüfsummenprogramm ReHash nach der Prüfung gelöscht werden soll (siehe Abb. 12.19).

    Tipp

    Das Programm kann auf dem Zielsystem verbleiben, z. B. um nachfolgende Prüfungen zu beschleunigen, und muss deshalb nicht jedes Mal übertragen werden.

    _images/windows_file_checksum_2-de.png

    Abb. 12.19 Hochladen der Referenzdatei

  6. Für Install hash test Programm on the Target den Radiobutton Ja wählen, falls das Prüfsummenprogramm ReHash automatisch auf dem Zielsystem installiert werden soll.

    Bemerkung

    Falls es nicht automatisch installiert wird, muss es manuell unter C:\Windows\system32 (auf 32-Bit-Systemen) oder C:\Windows\SysWOW64 (auf 64-Bit-Systemen) installiert werden und für den authentifizierten Benutzer ausführbar sein.

  7. Checkbox Datei hochladen aktivieren.

    Tipp

    Falls bereits eine Referenzdatei hochgeladen wurde, wird stattdessen die Checkbox Existierende Datei ersetzen angezeigt. Die Referenzdatei kann nur geändert werden, falls die Richtlinie aktuell nicht genutzt wird.

  8. Auf Browse… klicken und die zuvor erstellte Referenzdatei wählen.

  9. Auf Speichern klicken, um den NVT zu speichern.

  10. Auf Speichern klicken, um die NVT-Familie zu speichern.

  11. Auf Speichern klicken, um die Richtlinie zu speichern.

12.4.3.5. Datei-Prüfsummen für Microsoft Windows prüfen: Beispiel

Bemerkung

Die Übersteuerungen können entweder vor oder nach dem Scan erstellt werden. Letzteres ist einfacher, da die geeignete Übersteuerung über die Ergebnisseite erstellt werden kann (siehe Kapitel 11.8.1.1).

  1. Unter https://download.greenbone.net/scanconfigs/ nach der Richtlinie sample_config-Windows_file_Policy.xml suchen und die zugehörige Prüfdatei windows_checksums_testfiles.zip herunterladen.

    Wichtig

    Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

    Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

    → Falls die Richtlinie verfügbar ist, Richtlinie herunterladen und mit Schritt 2 fortfahren.

    Falls die Richtlinie nicht verfügbar ist, den Greenbone Networks Support (support@greenbone.net) kontaktieren.

  2. Prüfdatei in das C:\-Verzeichnis des Zielsystems extrahieren.

  3. Resilience > Compliance Audits in der Menüleiste wählen.

  4. Audit für das Ziel, auf dem die Prüfdatei gespeichert wurde, durch Klicken auf new erstellen.

    Bemerkung

    Der Scan muss ein authentifizierter Scan mit geeigneten SSH-Anmeldedaten sein (siehe Kapitel 10.3.2).

  5. In der Zeile des neu erstellten Audits auf start klicken.

12.4.4. CPE-basierte Prüfungen durchführen

Für detaillierte Informationen über Common Platform Enumeration (CPE) siehe Kapitel 14.2.2.

12.4.4.1. Einfache CPE-basierte Prüfungen für Sicherheitsrichtlinien

Mit jedem ausgeführten Scan werden CPEs für die gefundenen Produkte gespeichert. Dies geschieht unabhängig davon, ob das Produkt tatsächlich ein Sicherheitsproblem darstellt oder nicht. Auf dieser Basis ist es möglich, einfache Sicherheitsrichtlinien und die Prüfungen für die Compliance mit diesen zu beschreiben.

Mit dem Greenbone Security Manager ist es möglich, Richtlinien zu beschreiben, die sowohl das Vorhandensein als auch das Fehlen eines Produkt prüfen. Diese Fälle können mit einem Schweregrad in Verbindung gebracht werden, um im Scanbericht zu erscheinen.

Die Beispiele zeigen, wie die Compliance einer Richtlinie bezüglich bestimmter Produkte in einer IT-Infrastruktur geprüft wird und wie das Melden mit den entsprechenden Schweregraden durchgeführt wird.

Die Informationen darüber, ob ein bestimmtes Produkt auf dem Zielsystem vorhanden ist, wird von einem einzigen Network Vulnerability Test (NVT) oder sogar unabhängig von einer Anzahl besonderer NVTs gesammelt. Dies bedeutet, dass für ein bestimmtes Produkt eine optimierte Richtlinie bestimmt werden kann, die sich nur auf dieses Produkt konzentriert und keinerlei andere Scanaktivität durchführt.

12.4.4.2. Das Vorhandensein problematischer Produkte entdecken

Dieses Beispiel zeigt, wie das Vorhandensein eines problematischen Produkts in einer IT-Infrastruktur als schwerwiegendes Problem klassifiziert und als solches gemeldet wird.

  1. Resilience > Compliance Richtlinien in der Menüleiste wählen.

  2. Neue Richtlinie durch Klicken auf new erstellen.

  3. Namen der Richtlinie festlegen.

  4. Auf Speichern klicken.

    → Die Richtlinie wird erstellt und auf der Seite Richtlinien angezeigt.

  5. In der Zeile der Richtlinie auf edit klicken.

  6. Abschnitt Vorgaben für Network Vulnerability Tests durch Klicken auf fold ausklappen.

    → Alle NVTs, die eine besondere Konfiguration erlauben, werden aufgelistet (siehe Abb. 12.20).

    _images/scan_config_cpe_based_edit-de.png

    Abb. 12.20 Überblick über NVTs

  7. Es wird nach einer einzelnen CPE (Internet Explorer 6) gesucht.

    Für den NVT CPE Policy Check — Single CPE auf edit klicken.

    Tipp

    Diese Abkürzung vermeidet das Klicken durch die Familienstruktur im Abschnitt Familien von Network Vulnerability Tests bearbeiten, um zum gewünschten NVT zu gelangen (der hier genutzte NVT gehört zur NVT Familie Policy).

  8. cpe:/a:microsoft:ie:6 in das Eingabefeld Single CPE eingeben (siehe Abb. 12.21).

  9. Für dieses Beispiel müssen die angegebenen CPEs vorhanden sein, um die Prüfung zu bestehen.

    Radiobutton present wählen.

    _images/scan_config_cpe_based_present-de.png

    Abb. 12.21 Bearbeiten von CPE Policy Check – Single CPE

  10. Auf Speichern klicken, um den NVT zu speichern.

  11. Auf Speichern klicken, um die Richtlinie zu speichern.

    Bemerkung

    Die Schweregrade der NVTs hängen von der genutzten GOS-Version ab. Seit GOS 4.2 haben NVTs der Art Violations einen standardmäßigen Schweregrad von 10.

    Früher hatten diese NVTs einen standardmäßigen Schweregrad von 0 (Logmeldung) und Übersteuerungen wurden für andere Schweregrade benötigt. Der neue Standard von 10 kann ebenfalls durch Übersteuerungen geändert werde (siehe Kapitel 11.8).

    Bemerkung

    Falls die bloße Verfügbarkeit eines Produkts betrachtet werden soll, muss ein Remotezugriff mit Anmeldedaten konfiguriert werden, um lokale Sicherheitsprüfungen anzuwenden (siehe Kapitel 10.3.2). Falls nur nach laufenden Netzwerkdiensten gesucht werden soll, hilft dies normalerweise nicht, sondern erhöht stattdessen die Anzahl an Falsch-Positiv-Meldungen.

  12. Neues Ziel erstellen (siehe Kapitel 10.2.1), neues Audit erstellen (siehe Kapitel 12.2.1.1) und Audit ausführen (siehe Kapitel 12.2.2).

    Beim Erstellen des Audits die zuvor erstellte Richtlinie nutzen.

  13. Wenn der Scan abgschlossen ist, Scans > Berichte in der Menüleiste wählen.

    Tipp

    Um nur die Ergebnisse der CPE-basierten Richtlinienprüfungen anzuzeigen, kann ein passender Filter angewendet werden.

  14. cpe in das Eingabefeld Filter eingeben.

    → Die Berichte für die CPE-basierten Richtlinienprüfungen werden angezeigt.

  15. Auf das Datum eines Berichts klicken.

    → Der Bericht für die CPE-basierten Richtlinienprüfungen wird angezeigt.

    Der Bericht kann wie in Kapitel 11.2.1 beschrieben genutzt werden.

    In diesem Beispiel: Falls Internet Explorer 6 auf einem der Zielsysteme gefunden wurde, wird es als Problem gemeldet.

12.4.4.3. Das Fehlen wichtiger Produkte entdecken

Dieses Beispiel zeigt, wie das Fehlen eines bestimmten Produkts in einer IT-Infrastruktur festgelegt und als schwerwiegendes Problem gemeldet wird.

  1. Resilience > Compliance Richtlinien in der Menüleiste wählen.

  2. Neue Richtlinie durch Klicken auf new erstellen.

  3. Namen der Richtlinie festlegen.

  4. Auf Speichern klicken.

    → Die Richtlinie wird erstellt und auf der Seite Richtlinien angezeigt.

  5. In der Zeile der Richtlinie auf edit klicken.

  6. Abschnitt Vorgaben für Network Vulnerability Tests durch Klicken auf fold ausklappen.

    → Alle NVTs, die eine besondere Konfiguration erlauben, werden aufgelistet (siehe Abb. 12.22).

    _images/scan_config_cpe_based_edit-de.png

    Abb. 12.22 Überblick über NVTs

  7. Es wird nach einer einzelnen CPE (Norton Antivirus) gesucht.

    Für den NVT CPE Policy Check — Single CPE auf edit klicken.

    Tipp

    Diese Abkürzung vermeidet das Klicken durch die Familienstruktur im Abschnitt Familien von Network Vulnerability Tests bearbeiten, um zum gewünschten NVT zu gelangen (der hier genutzte NVT gehört zur NVT Familie Policy).

  8. cpe:/a:symantec:norton_antivirus in das Eingabefeld Single CPE eingeben (siehe Abb. 12.23).

  9. Für dieses Beispiel müssen die angegebenen CPEs fehlen sein, um die Prüfung zu bestehen.

    Radiobutton missing wählen.

    _images/scan_config_cpe_based_missing-de.png

    Abb. 12.23 Bearbeiten von CPE Policy Check – Single CPE

  10. Auf Speichern klicken, um den NVT zu speichern.

  11. Auf Speichern klicken, um die Richtlinie zu speichern.

    Bemerkung

    Die Schweregrade der NVTs hängen von der genutzten GOS-Version ab. Seit GOS 4.2 haben NVTs der Art Violations einen standardmäßigen Schweregrad von 10.

    Früher hatten diese NVTs einen standardmäßigen Schweregrad von 0 (Logmeldung) und Übersteuerungen wurden für andere Schweregrade benötigt. Der neue Standard von 10 kann ebenfalls durch Übersteuerungen geändert werde (siehe Kapitel 11.8).

    Bemerkung

    Falls die bloße Verfügbarkeit eines Produkts betrachtet werden soll, muss ein Remotezugriff mit Anmeldedaten konfiguriert werden, um lokale Sicherheitsprüfungen anzuwenden (siehe Kapitel 10.3.2). Falls nur nach laufenden Netzwerkdiensten gesucht werden soll, hilft dies normalerweise nicht, sondern erhöht stattdessen die Anzahl an Falsch-Positiv-Meldungen.

  12. Neues Ziel erstellen (siehe Kapitel 10.2.1), neues Audit erstellen (siehe Kapitel 12.2.1.1) und Audit ausführen (siehe Kapitel 12.2.2).

    Beim Erstellen des Audits die zuvor erstellte Richtlinie nutzen.

  13. Wenn der Scan abgschlossen ist, Scans > Berichte in der Menüleiste wählen.

    Tipp

    Um nur die Ergebnisse der CPE-basierten Richtlinienprüfungen anzuzeigen, kann ein passender Filter angewendet werden.

  14. cpe in das Eingabefeld Filter eingeben.

    → Die Berichte für die CPE-basierten Richtlinienprüfungen werden angezeigt.

  15. Auf das Datum eines Berichts klicken.

    → Der Bericht für die CPE-basierten Richtlinienprüfungen wird angezeigt.

    Der Bericht kann wie in Kapitel 11.2.1 beschrieben genutzt werden.

    In diesem Beispiel: Falls Norton Antivirus auf einem der Zielsysteme nicht gefunden wurde, wird es als fehlend gemeldet.

12.5. Standardrichtlinien prüfen

12.5.1. IT-Grundschutz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht die IT-Grundschutz-Kataloge, eine Sammlung von Dokumenten, die nützliche Informationen für das Erkennen von Schwachstellen und das Bekämpfen von Angriffen auf IT-Umgebungen bereitstellen.

Der Greenbone Security Manager (GSM) kann genutzt werden, um automatisch die IT-Grundschutz-Kataloge oder das modernisierte IT-Grundschutz-Kompendium zu prüfen.

Die aktuelle „15. Ergänzungslieferung“ mit Tests für über 80 Maßnahmen wird für die IT-Grundschutz-Kataloge unterstützt. Dies ist die maximale Anzahl von Maßnahmen, die mit automatischen Tests unterstützt werden können.

Einige Maßnahmen sind sehr umfassend und bestehen aus mehreren einzelnen Tests. Einige Maßnahmen betreffen bestimmte Betriebssysteme und werden deshalb nur auf diesen angewendet. Die Anzahl und Art der geprüften Systeme ist für den GSM nicht relevant.

Eine Prüfung kann als dauerhafter Hintergrundprozess für Verletzungen installiert werden.

12.5.1.1. IT-Grundschutz prüfen

Ein IT-Grundschutz-Scan (IT-Grundschutz-Kataloge oder IT-Grundschutz-Kompendium) kann wie folgt ausgeführt werden:

  1. Unter https://download.greenbone.net/scanconfigs/ nach der Richtlinie it-grundschutz-v2.xml suchen.

    Für die Integration in verinice nach der Richtlinie it-grundschutz-discovery-v2.xml suchen.

    Wichtig

    Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

    Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

    → Falls die Richtlinie verfügbar ist, Richtlinie herunterladen und mit Schritt 2 fortfahren.

    Falls die Richtlinie nicht verfügbar ist, den Greenbone Networks Support (support@greenbone.net) kontaktieren.

  2. Resilience > Compliance Richtlinien in der Menüleiste wählen.

  3. Auf upload klicken.

  4. Auf Browse… klicken und die zuvor heruntergeladene Richtlinie wählen.

  5. Auf Importieren klicken.

    → Die importierte Richtlinie wird auf der Seite Richtlinien angezeigt.

    Bemerkung

    Dies deckt das Ausführen aller Prüfungen ab. Die tatsächlichen Prüfungen werden nicht ausdrücklich gewählt, sodass eher eine Zusammenfassung der Ergebnisse erstellt wird.

  6. In der Zeile der Richtlinie auf edit klicken.

Prüfung für IT-Grundschutz-Kataloge
  1. Im Abschnitt Familien von Network Vulnerability Tests bearbeiten für die NVT-Familie Compliance auf edit klicken.

    → Alle NVTs, die eine besondere Konfiguration erlauben, werden aufgelistet. Zwei NVTs sind standardmäßig ausgewählt: Compliance Tests und IT-Grundschutz, 15. EL (siehe Abb. 12.24).

    _images/scan_config_it_grundschutz-de.png

    Abb. 12.24 NVTs der Familie Compliance

  2. Für Compliance Tests auf edit klicken.

  3. Für Launch IT-Grundschutz (15. EL) den Radiobutton Ja wählen.

  4. Auf Speichern klicken, um den NVT zu speichern.

  5. Für IT-Grundschutz, 15. EL auf edit klicken.

  1. Für Berichtformat den Radiobutton des gewünschten Berichtformats wählen (siehe Abb. 12.25).

    • Text
    • Tabellarisch
    • Text und Tabellarisch
    _images/it_grundschutz_nvt_2-de.png

    Abb. 12.25 Wählen des Berichtformats

  2. Auf Speichern klicken, um den NVT zu speichern.

  3. Auf Speichern klicken, um die NVT-Familie zu speichern.

  4. Auf Speichern klicken, um die Richtlinie zu speichern.

Prüfung für das IT-Grundschutz-Kompendium
  1. Im Abschnitt Familien von Network Vulnerability Tests bearbeiten für die NVT-Familie Compliance auf edit klicken.

    → Alle NVTs, die eine besondere Konfiguration erlauben, werden aufgelistet (siehe Abb. 12.26).

    _images/it_grundschutz_kompendium-de.png

    Abb. 12.26 NVTs der Familie Compliance

  2. Checkboxen für Compliance Tests und IT-Grundschutz, Kompendium aktivieren. Checkbox für IT-Grundschutz, 15. EL deaktivieren.

  3. Für Compliance Tests auf edit klicken.

  4. Für Launch latest IT-Grundschutz version den Radiobutton Ja wählen.

  5. Für Level of Security (IT-Grundschutz) den Radiobutton des Levels wählen, das im modernisierten IT-Grundschutz-Kompendium eingeführt wurde.

  6. Auf Speichern klicken, um den NVT zu speichern.

  7. Für IT-Grundschutz, Kompendium auf edit klicken.

  8. Für Berichtformat den Radiobutton des gewünschten Berichtformats wählen (siehe Abb. 12.27).

    • Text
    • Tabellarisch
    • Text und Tabellarisch
    _images/it_grundschutz_nvt_4-de.png

    Abb. 12.27 Wählen des Berichtformats

  9. Auf Speichern klicken, um den NVT zu speichern.

  10. Auf Speichern klicken, um die NVT-Familie zu speichern.

  11. Auf Speichern klicken, um die Richtlinie zu speichern.

    Bemerkung

    Die Mehrheit der Prüfungen für die Maßnahmen basiert auf lokalen Sicherheitsprüfungen. Dafür müssen entsprechende Zugänge konfiguriert werden (siehe Kapitel 10.3.2).

  1. Neues Ziel erstellen (siehe Kapitel 10.2.1), neues Audit erstellen (siehe Kapitel 12.2.1.1) und Audit ausführen (siehe Kapitel 12.2.2).

    Beim Erstellen des Audits die zuvor importierte Richtlinie nutzen.

  2. Wenn der Scan abgschlossen ist, Scans > Berichte in der Menüleiste wählen.

  3. Auf das Datum eines Berichts klicken (siehe Abb. 12.28).

    → Der Bericht für den IT-Grundschutz-Scan wird angezeigt.

    Der Bericht kann wie in Kapitel 11.2.1 beschrieben genutzt werden.

    _images/it_grundschutz_report-de.png

    Abb. 12.28 Bericht für den IT-Grundschutz-Scan

    Bemerkung

    Für die Textform des Berichts muss der Schweregrad Niedrig im Filter aktiviert werden. Für die Tabellenform des Berichts muss der Schweregrad Log im Filter aktiviert werden.

  4. Dazu auf edit in der Filterleiste klicken.

    → Das Fenster zum Bearbeiten des Filters wird geöffnet.

  5. Für Schweregrad (Klasse) die Checkbox Niedrig oder Log aktivieren.

  6. Auf Aktualisieren klicken.

Bemerkung

Die Anzahl der Berichte hängt vom gewählten Berichtformat ab. Der Eintrag in der Spalte Ort ist general/IT-Grundschutz für Berichte in Textform und general/IT-Grundschutz-T für Berichte in Tabellenform.

Falls beide Berichtformate gewählt wurden, erscheinen beide mit dem gleichen Namen, aber mit dem entsprechenden Eintrag in der Spalte Ort (siehe Abb. 12.29).

_images/it_grundschutz_report_formats-de.png

Abb. 12.29 Bericht für den IT-Grundschutz-Scan mit beiden Berichtformaten

12.5.1.2. Ergebnisse in eine Anwendung zur Tabellenkalkulation importieren

Die Ergebnisse können wie folgt in eine Anwendung zur Tabellenkalkulation, z. B. Microsoft Excel, Apache OpenOffice Calc oder LibreOffice Calc, importiert werden:

  1. Scans > Berichte in der Menüleiste wählen.

  2. Auf das Datum des Berichts klicken.

    → Der Bericht für den IT-Grundschutz-Scan wird angezeigt.

  3. Auf download klicken.

  4. Notizen durch Aktivieren der Checkbox Notizen hinzufügen und Übersteuerungen durch Aktivieren der Checkbox Übersteuerungen kennzeichnen und ihr Textfeld einfügen (siehe Kapitel 11.2.2).

  5. ITG in der Drop-down-Liste Berichtformat wählen.

  6. Auf OK klicken und die CSV-Datei herunterladen.

  7. Anwendung zur Tabellenkalkulation öffnen und zuvor exportierte CSV-Datei öffnen.

    Bemerkung

    Dieses Beispiel zeigt den Import mit LibreOffice Calc 5.2.7.2.

  8. Unicode (UTF-8) in der Drop-down-Liste Character set wählen.

    _images/it_grundschutz_officeimport.png

    Abb. 12.30 Anpassen der Importeinstellungen

  9. Radiobutton Separated by wählen, Checkbox Other aktivieren und | (vertikale Linie) in das Eingabefeld eingeben.

  10. in der Drop-down-Liste Text delimiter wählen.

  11. Letzte Spalte in der Vorschau markieren und Text in der Drop-down-Liste Column type wählen.

  12. Auf OK klicken.

    → Der Bericht wird in der Anwendung geöffnet und kann für weitere Untersuchungen genutzt werden.

12.5.1.3. Ergebnisse in IT-Grundschutz-Tools importieren

Es gibt eine Anzahl an Tools, die die Durchführung von IT-Grundschutz-Prozessen unterstützen und einen strukturierten Ansatz für die Datenerfassung und -verwaltung bieten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet einen Überblick über IT-Grundschutz-Tools auf seiner Website.

Bemerkung

Für das Importieren der Ergebnisse eines IT-Grundschutz-Scans in eines dieser Tools kann der Anbieter des entsprechenden Tools kontaktiert werden. Für zusätzliche Fragen kann auch der Greenbone Networks Support hinzugezogen werden.

12.5.1.4. Ergebnisklassen von IT-Grundschutz-Prüfungen

Die folgenden Ergebnisklassen können bei der Prüfung entstehen:

  • Nicht erfüllt (FAIL)

    Es wurde festgestellt, dass das Zielsystem die Maßnahme nicht erfüllt.

  • Erfüllt (OK)

    Es wurde festgestellt, dass das Zielsystem die Maßnahme erfüllt.

  • Fehler (ERR)

    Es war nicht möglich, die Prüfroutine korrekt durchzuführen.

    Beispiel: Einige Prüfungen benötigen Anmeldedaten. Falls die Anmeldedaten fehlen, kann die Prüfung aus technischen Gründen nicht durchgeführt werden. Falls keine Anmeldedaten bereitgestellt werden, haben viele Prüfungen diesen Status.

  • Prüfung dieser Maßnahme ist nicht verfügbar (NA)

    Im Allgemeinen wird angenommen, dass diese Maßnahme automatisch geprüft wird, aber eine Implementierung ist noch nicht verfügbar. Für neu veröffentlichte Ergänzungslieferungen gilt dies anfangs für einige Maßnahmen. Allerdings wird der Greenbone Security Feed regelmäßig aktualisiert und schlussendlich sind alle Maßnahmen implementiert.

  • Prüfung dieser Maßnahme ist nicht implementiert (NI)

    Einige Maßnahmen der IT-Grundschutz-Kataloge sind zu allgemein gehalten, um eine eindeutige, automatische Prüfung zu erstellen. Andere Maßnahmen beschreiben Prüfungen, die nur physisch durchgeführt und gar nicht implementiert werden können.

  • Prüfung ist nicht passend für das Zielsystem (NS)

    Einige Maßnahmen beziehen sich ausschließlich auf eine bestimmte Art Betriebssystem. Falls das Zielsystem auf einem anderen Betriebssystem läuft, wird die Maßnahme nicht angewendet.

  • Maßnahme ist veraltet (DEP)

    Einige Updates (Ergänzungslieferungen) entfernen Maßnahmen ersatzlos. Alte IDs solcher entfernten Maßnahmen werden nicht neu verwendet. Die Ergebnisse, die als DEP markiert sind, können ignoriert werden, aber die Einträge bleiben aus Gründen der Vollständigkeit erhalten.

12.5.1.5. Unterstützte Maßnahmen

Dieser Überblick bezieht sich auf die aktuelle Ergänzungslieferung vom Bundesamt für Sicherheit in der Informationstechnik.

Die folgende Prüfarten werden unterschieden:

  • Remote: Für die Prüfung ist nur eine Netzwerkverbindung zum Zielsystem nötig.
  • Anmeldedaten: Für die Prüfung ist ein Account auf dem Zielsystem nötig.

M 4 Hardware und Software

BSI-Referenz Titel Prüfart Hinweis
M 4.2 Bildschirmsperre Anmeldedaten Microsoft Windows: nur Prüfung für lokale Accounts. Linus: nur Standardbildschirmschoner in Gnome und KDE.
M 4.3 Einsatz von Viren-Schutzprogrammen Anmeldedaten  
M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern Anmeldedaten  
M 4.5 Protokollierung bei TK-Anlagen Anmeldedaten  
M 4.7 Änderung voreingestellter Passwörter Remote Prüfung nur über SSH oder Telnet.
M 4.9 Einsatz der Sicherheitsmechanismen von X-Window Anmeldedaten  
M 4.14 Obligatorischer Passwortschutz unter Unix Anmeldedaten  
M 4.15 Gesichertes Login Anmeldedaten  
M 4.16 Zugangsbeschränkungen für Benutzer-Kennungen und/oder Terminals Anmeldedaten  
M 4.17 Sperren und Löschen nicht benötigter Accounts und Terminals Anmeldedaten  
M 4.18 Administrative und technische Absicherung des Zugangs zum Monitor- und Single-User-Modus Anmeldedaten  
M 4.19 Restriktive Attributvergabe bei Unix-Systemdateien und -verzeichnissen Anmeldedaten  
M 4.20 Restriktive Attributvergabe bei Unix-Benutzerdateien und -verzeichnissen Anmeldedaten  
M 4.21 Verhinderung des unautorisierten Erlangens von Administratorrechten Anmeldedaten  
M 4.22 Verhinderung des Vertraulichkeitsverlusts schutzbedürftiger Daten im Unix-System Anmeldedaten  
M 4.23 Sicherer Aufruf ausführbarer Dateien Anmeldedaten  
M 4.33 Einsatz eines Viren-Suchprogramms bei Datenträgeraustausch und Datenübertragung Anmeldedaten  
M 4.36 Sperren bestimmter Faxempfänger-Rufnummern Anmeldedaten Cisco-Geräte können nur über Telnet getestet werden, da sie SSH-blowfish-cbc-Verschlüsselung nicht unterstützen.
M 4.37 Sperren bestimmter Absender-Faxnummern Anmeldedaten Cisco-Geräte können nur über Telnet getestet werden, da sie SSH-blowfish-cbc-Verschlüsselung nicht unterstützen.
M 4.40 Verhinderung der unautorisierten Nutzung von Rechnermikrofonen und Kameras Anmeldedaten Nur für Linux implementiert. Es ist nicht möglich, den Zustand des Mikrofons über die Registry/WMI auf Microsoft Windows zu bestimmen.
M 4.48 Passwortschutz unter Windows-Systemen Anmeldedaten  
M 4.49 Absicherung des Boot-Vorgangs für ein Windows-System Anmeldedaten  
M 4.52 Geräteschutz unter NT-basierten Windows-Systemen Anmeldedaten  
M 4.57 Deaktivieren der automatischen CD-ROM-Erkennung Anmeldedaten  
M 4.80 Sichere Zugriffsmechanismen bei Fernadministration Remote  
M 4.94 Schutz der Webserver-Dateien Remote  
M 4.96 Abschaltung von DNS Anmeldedaten  
M 4.97 Ein Dienst pro Server Remote  
M 4.98 Kommunikation durch Paketfilter auf Minimum beschränken Anmeldedaten Microsoft Windows: Firewall wird getestet. Für Microsoft Windows Vista oder höher jede Firewall, die entsprechend dem System installiert ist.
M 4.106 Aktivieren der Systemprotokollierung Anmeldedaten  
M 4.135 Restriktive Vergabe von Zugriffsrechten auf Systemdateien Anmeldedaten  
M 4.147 Sichere Nutzung von EFS unter Windows Anmeldedaten  
M 4.200 Umgang mit USB-Speichermedien Anmeldedaten  
M 4.227 Einsatz eines lokalen NTP-Servers zur Zeitsynchronisation Anmeldedaten  
M 4.238 Einsatz eines lokalen Paketfilters Anmeldedaten Microsoft Windows: Firewall wird getestet. Für Microsoft Windows Vista oder höher jede Firewall, die entsprechend dem System installiert ist.
M 4.244 Sichere Systemkonfiguration von Windows Client-Betriebssystemen Anmeldedaten  
M 4.277 Absicherung der SMB-, LDAP-und RPC-Kommunikation unter Windows-Servern Anmeldedaten  
M 4.284 Umgang mit Diensten ab Windows Server 2003 Anmeldedaten  
M 4.285 Deinstallation nicht benötigter Client-Funktionen von Windows Server 2003 Anmeldedaten  
M 4.287 Sichere Administration der VoIP-Middleware Remote  
M 4.300 Informationsschutz bei Druckern, Kopierern und Multifunktionsgeräten Remote  
M 4.305 Einsatz von Speicherbeschränkungen (Quotas) Anmeldedaten  
M 4.310 Einrichtung des LDAP-Zugriffs auf Verzeichnisdienste Remote  
M 4.313 Bereitstellung von sicheren Domänen-Controllern Anmeldedaten  
M 4.325 Löschen von Auslagerungsdateien Anmeldedaten  
M 4.326 Sicherstellung der NTFS-Eigenschaften auf einem Samba-Dateiserver Anmeldedaten  
M 4.328 Sichere Grundkonfiguration eines Samba-Servers Anmeldedaten  
M 4.331 Sichere Konfiguration des Betriebssystems für einen Samba-Server Anmeldedaten  
M 4.332 Sichere Konfiguration der Zugriffssteuerung bei einem Samba-Server Anmeldedaten  
M 4.333 Sichere Konfiguration von Winbind unter Samba Anmeldedaten  
M 4.334 SMB Message Signing und Samba Anmeldedaten  
M 4.338 Einsatz von File und Registry Virtualization bei Clients ab Windows Vista Anmeldedaten Nur eine allgemeine Prüfung, ob File und Registry Virtualization aktiviert ist.
M 4.339 Verhindern unautorisierter Nutzung von Wechselmedien unter Windows-Clients ab Windows Vista Anmeldedaten  
M 4.340 Einsatz der Windows-Benutzerkontensteuerung UAC ab Windows Vista Anmeldedaten  
M 4.341 Integritätsschutz ab Windows Vista Anmeldedaten Soweit technisch möglich umgesetzt (aktiviertes UAC und geschützter Modus in verschiedenen Zonen).
M 4.342 Aktivierung des Last Access Zeitstempels ab Windows Vista Anmeldedaten  
M 4.344 Überwachung von Windows-Systemen ab Windows Vista und Windows Server 2008 Anmeldedaten  
M 4.368 Regelmäßige Audits einer Terminalserver Umgebung Anmeldedaten  

M 5 Kommunikation

BSI-Referenz Titel Prüfart Hinweis
M 5.8 Regelmäßiger Sicherheitscheck des Netzes Remote Es wird nur eine Meldung angezeigt, die den Benutzer darüber informiert, dass Prüfungen mit aktuellen Plug-ins durchgeführt werden sollen.
M 5.17 Einsatz der Sicherheitsmechanismen von NFS Anmeldedaten  
M 5.18 Einsatz der Sicherheitsmechanismen von NIS Anmeldedaten  
M 5.19 Einsatz der Sicherheitsmechanismen von sendmail Remote, Anmeldedaten  
M 5.20 Einsatz der Sicherheitsmechanismen von rlogin, rsh und rcp Anmeldedaten  
M 5.21 Sicherer Einsatz von telnet, ftp, tftp und rexec Anmeldedaten  
M 5.34 Einsatz von Einmalpasswörtern Anmeldedaten  
M 5.59 Schutz vor DNS-Spoofing bei Authentisierungsmechanismen Anmeldedaten  
M 5.63 Einsatz von GnuPG oder PGP Anmeldedaten  
M 5.64 Secure Shell Remote  
M 5.66 Clientseitige Verwendung von SSL/TLS Remote  
M 5.72 Deaktivieren nicht benötigter Netzdienste Anmeldedaten Lediglich Anzeige der in Frage kommenden Dienste.
M 5.90 Einsatz von IPSec unter Windows Anmeldedaten  
M 5.91 Verwendung von lokalen Firewalls auf Clientsystemen Anmeldedaten Microsoft Windows: Firewall wird getestet. Für Microsoft Windows Vista oder höher jede Firewall, die entsprechend dem System installiert ist. Linux-Systeme: Anzeigen der iptables rules, falls möglich.
M 5.109 Einsatz eines E-Mail-Scanners auf dem Mailserver Remote  
M 5.123 Absicherung der Netzkommunikation unter Windows Anmeldedaten  
M 5.131 Absicherung von IP-Protokollen unter Windows Server 2003 Anmeldedaten  
M 5.145 Sicherer Einsatz von CUPS Anmeldedaten  
M 5.147 Absicherung der Kommunikation mit Verzeichnisdiensten Remote  

12.5.2. Payment Card Industry Data Security Standard (PCI DSS)

Zum Schutz gegen Kreditkartenraub veröffentlicht die Payment Card Industry Security Standards Council (PCI SSC) den Payment Card Industry Data Security Standard (PCI DSS).

Der PCI DSS ist ein Sicherheitsstandard für Kartentransaktionen und wird von den internationalen Zahlungssystemen MasterCard, Visa, AMEX, Discover und JCB unterstützt.

Alle Unternehmen, die Kartenzahlungen durchführen und/oder Kartendaten speichern oder übertragen, müssen Validierungen der Compliance gemäß PCI DSS durchführen. Fehlende Compliance oder Validierung bedeutet das Risiko einer Geldstrafe oder des Verlusts der Möglichkeit, Kartenzahlungen entgegenzunehmen.

Die Validierung der Compliance hängt vom Umfang der Kartentransaktionen ab. Serviceprovider werden normalerweise als Level-1-Serviceprovider klassifiziert. Sie müssen vierteljährlich ihre Cardholder Data Environment (CDE) durch einen unabhängigen Scanninganbieter, der vom PCI SSC zugelassen wurde, validieren lassen. Zusätzlich muss vor Ort jährlich ein PCI-Sicherheitsaudit von einem unabhängigen Qualified Security Assessor (QSA), der ebenfalls vom PCI SSC zugelassen wurde, durchgeführt werden.

Der Approved Scanning Vendor (ASV) ist ein Serviceprovider, der Schwachstellenscans am CDE, das im Internet sichtbar ist, durchführt. Aus diesem Grund können Schwachstellenscanner selbst nicht als ASVs klassifiziert oder zertifiziert werden. Sie sind Tools für den ASV, um den Schwachstellenscan mit zum zugelassenen Vorgang durchzuführen.

12.5.2.1. Greenbone Security Manager und PCI DSS

Gemäß des PCI DSS (Version 3.2.1, Anforderung 11.2) müssen zwei Arten von Schwachstellenscans auf vierteljährlicher Basis und nach signifikanten Änderungen an der CDE ausgeführt werden:

  • Vom ASV ausgeführter Schwachstellenscan

  • Interner Scan des CDEs

    Der zweite Scan kann durch Mitarbeiter des Unternehmens ausgeführt werden und benötigt keine Genehmigung des PCI SSC.

Der Greenbone Security Manager (GSM) kann beide Scans durchführen. Die Verwaltung von Falsch-Positiv-Meldungen hilft beim Vermeiden der erheblichen Arbeitsbelastung durch das manuelle Löschen falscher Warnungen.

Ein Händler kann mit dem GSM seine Sicherheitsanforderungen bereits vor dem ASV-Schwachstellenscan prüfen, um Zeit und kostenintensive Wiederholungen der Scans zu vermeiden.

So kann ein Händler den GSM nutzen, um auch zwischen den vom ASV ausgeführten Scans kontinuierlich die PCI-Compliance zu prüfen.

Da Sicherheitsänderungen für die Audit-Compliance unveränderbar im GSM gespeichert werden, kann der korrekte Sicherheits- und Compliancestatus zu jeder Zeit zwischen den vierteljährlichen ASV-Scans verifiziert werden.

Eskalationsmethoden können sowohl einen externen Prüfer als auch interne Experten kontinuierlich über den Sicherheitsstatus informieren. Zusammenfassungen werden an die verantwortlichen Parteien gesendet.

12.5.2.2. Die Richtlinie überwachen

Der GSM kann die Systemparameter gemäß der PCI-DSS-Richtlinie auf gleiche Weise prüfen, wie er periodisch die technischen Aspekte anderer Richtlinien prüft.

Mit einer dauerhaften Richtlinie im Hintergrund wird sichergestellt, dass Antiviruswerkzeuge nicht veraltet sind und Firewalls nicht unbemerkt deaktiviert werden. Solche Parameter können überwacht und auf gleiche Weise wie Softwareschwachstellen eskaliert werden.

Vorteile für den Händler:

  • Permanente Überwachung der Richtlinien
  • Flexible Eskalation
  • Verwaltung von Falsch-Positiv-Meldungen
  • Internes und externes Schwachstellenscanning
  • Vollständige Schwachstellenanalyse gemäß PCI DSS für interne Scans

Vorteile für den ASV:

  • Verwaltung von Falsch-Positiv-Meldungen
  • Statische Richtlinie für Wiederholungen des Scans
  • Komplette Schwachstellenanalyse gemäß PCI DSS für externe Scans über das Internet
  • Flexibles Berichtrahmenwerk für eigene Scanberichte

Bemerkung

Greenbone Networks als Anbieter des GSMs agiert nicht als ASV.

Sicherheitsberater, die als ASV agieren und den GSM in den Sicherheitsprozess einführen können, finden sich unter den Geschäftspartnern von Greenbone Networks.

12.5.3. BSI TR-03116: Kryptographische Vorgaben für Projekte der Bundesregierung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht eine technische Richtlinie TR-03116: Kryptographische Vorgaben für Projekte der Bundesregierung. Teil 4 dieser Richtlinie beschreibt die Sicherheitsanforderungen für Dienste der Bundesregierung unter Nutzung der kryptografischen Protokolle SSL/TLS, S/MIME und OpenPGP.

Die Anforderungen basieren auf Vorhersagen für die Sicherheit der Algorithmen und Schlüssellängen für die nächsten sieben Jahre, einschließlich 2022.

Greenbone Networks stellt eine Richtlinie bereit, die die Compliance der Dienste mit der technischen Richtlinie „TR-03116“ prüft. Diese Richtlinie muss vorher in den Greenbone Security Manager importiert werden.

Die Richtlinie prüft, ob die gescannten Hosts und Dienste SSL/TLS nutzen. Falls dies der Fall ist, wird die Compliance mit der Richtlinie „TR-03116“ getestet.

Mindestens die folgenden Verschlüsselungsalgorithmen müssen für das Bestehen der Prüfung unterstützt werden:

  • TLS_ECDHE_ECDSA-WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Falls ein geteilter Schlüssel von der Appliance genutzt wird, wird zusätzlich zu den SSL/TLS-Algorithmen einer der folgenden Verschlüsselungsalgorithmen benötigt:

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

Ein BSI-TR-03116-Scan kann wie folgt ausgeführt werden:

  1. Unter https://download.greenbone.net/scanconfigs/ nach der Richtlinie policy_BSI-TR-03116-4.xml suchen.

    Wichtig

    Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

    Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

    → Falls die Richtlinie verfügbar ist, Richtlinie herunterladen und mit Schritt 2 fortfahren.

    Falls die Richtlinie nicht verfügbar ist, den Greenbone Networks Support (support@greenbone.net) kontaktieren.

  2. Resilience > Compliance Richtlinien in der Menüleiste wählen.

  3. Auf upload klicken.

  4. Auf Browse… klicken und die zuvor heruntergeladene Richtlinie wählen.

  5. Auf Importieren klicken.

    → Die importierte Richtlinie wird auf der Seite Richtlinien angezeigt.

  6. In der Zeile der Richtlinie auf edit klicken.

  7. Im Abschnitt Familien von Network Vulnerability Tests bearbeiten für die NVT-Familie Policy auf edit klicken.

    → Alle NVTs, die eine besondere Konfiguration erlauben, werden aufgelistet.

  8. Für den NVT BSI-TR-03116-4 Policy auf edit klicken.

  9. Für Perform check den Radiobutton Ja wählen (siehe Abb. 12.31).

    _images/bsi_nvt_1-de.png

    Abb. 12.31 Bearbeiten eines NVTs

  10. Auf Speichern klicken, um den NVT zu speichern.

  11. Auf Speichern klicken, um die NVT-Familie zu speichern.

  12. Auf Speichern klicken, um die Richtlinie zu speichern.

  13. Neues Ziel erstellen (siehe Kapitel 10.2.1), neues Audit erstellen (siehe Kapitel 12.2.1.1) und Audit ausführen (siehe Kapitel 12.2.2).

    Beim Erstellen des Audits die zuvor importierte Richtlinie nutzen.

  14. Wenn der Scan abgschlossen ist, Scans > Berichte in der Menüleiste wählen.

  15. Auf das Datum des Berichts klicken.

    → Der Bericht für den BSI-TR-03116-Scan wird angezeigt.

    Der Bericht kann wie in Kapitel 11.2.1 beschrieben genutzt werden.

Bemerkung

Die Schweregrade der NVTs hängen von der genutzten GOS-Version ab. Seit GOS 4.2 haben NVTs der Art Violations einen standardmäßigen Schweregrad von 10.

Früher hatten diese NVTs einen standardmäßigen Schweregrad von 0 (Logmeldung) und Übersteuerungen wurden für andere Schweregrade benötigt. Der neue Standard von 10 kann ebenfalls durch Übersteuerungen geändert werde (siehe Kapitel 11.8).

12.5.4. Cyber-Essentials

Die Cyber-Essentials sind einfache, aber effektive Anforderungen, um Unternehmen jeder Größe gegen die meisten Cyberangriffe zu schützen. Dieses Schema der UK-Regierung, das im Jahr 2004 eingeführt wurde, befasst sich mit internetbasierten Bedrohungen der Cybersicherheit (Hacken, Phishing und Passwortraten). Es reduziert das Risiko erfolgreicher Angriffe, die weitgehend bekannte Werkzeuge nutzen und wenig Können erfordern.

Die Cyber-Essentials unterteilen die Anforderungen in fünf technische Überwachungsthemen:

  • Firewalls (grenz- und/oder hostbasiert)
  • Sichere Konfiguration
  • Verwaltung des Benutzerzugriffs
  • Malwareschutz
  • Patchverwaltung

Die Anforderungen jedes technischen Überwachungsthemas können hier gefunden werden.

Ein Cyber-Essentials-Scan kann wie folgt ausgeführt werden:

  1. Unter https://download.greenbone.net/scanconfigs/ nach der Richtlinie cyber_essentials_scanconfig.xml suchen.

    Wichtig

    Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

    Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

    → Falls die Richtlinie verfügbar ist, Richtlinie herunterladen und mit Schritt 2 fortfahren.

    Falls die Richtlinie nicht verfügbar ist, den Greenbone Networks Support (support@greenbone.net) kontaktieren.

  2. Resilience > Compliance Richtlinien in der Menüleiste wählen.

  3. Auf upload klicken.

  4. Auf Browse… klicken und die zuvor heruntergeladene Richtlinie wählen.

  5. Auf Importieren klicken.

    → Die importierte Richtlinie wird auf der Seite Richtlinien angezeigt.

  6. Neues Ziel erstellen (siehe Kapitel 10.2.1), neues Audit erstellen (siehe Kapitel 12.2.1.1) und Audit ausführen (siehe Kapitel 12.2.2).

    Beim Erstellen des Audits die zuvor importierte Richtlinie nutzen.

  7. Wenn der Scan abgschlossen ist, Scans > Berichte in der Menüleiste wählen.

  8. Auf das Datum des Berichts klicken.

    → Der Bericht für den Cyber-Essentials-Scan wird angezeigt.

    Der Bericht kann wie in Kapitel 11.2.1 beschrieben genutzt werden.

    Die Ergebnisse sind unterteilt:

    • Cyber Essentials: erscheint nur, falls der Test aus irgendeinem Grund nicht auf einem Hosts ausgeführt werden kann.
    • Cyber Essentials: Error: fasst Anforderungen mit Fehlern zusammen (falls vorhanden).
    • Cyber Essentials: Fail: fasst Anforderungen zusammen, die der Host nicht erfüllt (falls vorhanden).
    • Cyber Essentials: Ok: fasst Anforderungen zusammen, die der Host erfüllt (falls vorhanden).

Bemerkung

Das technische Überwachungsthema Malware Protextion enthält Anforderungen für das Whitelisting von Anwendungen. Dies kann mit CPE-basierten Scans durchgeführt werden (siehe Kapitel 12.4.4).

12.5.5. Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO) regelt die Verarbeitung persönlicher Daten (Einzelpersonen in der EU betreffend) durch eine andere Einzelperson, eine Gesellschaft oder ein Unternehmen für jede Nutzung außerhalb der Persönlichkeitssphäre. Sie gilt beispielsweise für finanzielle Aktivitäten.

Persönliche Daten sind alle Informationen, die sich auf ein identifiziertes oder identifizierbares, lebendes Individuum beziehen, z. B.:

  • (Nach-)Name
  • E-Mail-Adresse, die zu einer Einzelperson gehört
  • IP Adresse
  • Privatadresse

Da sich die Verordnung auf keine Technologie bezieht, gilt sie gleichermaßen für das digitale und analoge Verarbeiten und Speichern persönlicher Daten. Mehr Informationen über die DSGVO (engl. General Data Protection Regulation) finden sich auf der Website der Europäischen Kommission.

Es gibt keine offiziellen technischen Anforderungen für die DSGVO. Wie in Art. 32 der DSGVO angegeben „treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Es sind einige Checklisten für die DSGVO-Compliance verfügbar, die Faktoren für die Passwortverwaltung, das Auditing/Logging und den Umgang mit entnehmbaren Mediengeräten enthalten.

Die folgenden technischen Einstellungen können automatisch mit dem Greenbone Security Manager geprüft werden:

  • Minimale Passwortlänge
  • Maximales Passwortalter
  • Passwortkomplexität
  • Behandlung von Wechselmedien
  • Richtlinie für das Logging

Ein DSGVO-Scan kann wie folgt ausgeführt werden:

  1. Unter https://download.greenbone.net/scanconfigs/ nach der Richtlinie gdpr_scan_config.xml suchen.

    Wichtig

    Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

    Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

    → Falls die Richtlinie verfügbar ist, Richtlinie herunterladen und mit Schritt 2 fortfahren.

    Falls die Richtlinie nicht verfügbar ist, den Greenbone Networks Support (support@greenbone.net) kontaktieren.

  2. Resilience > Compliance Richtlinien in der Menüleiste wählen.

  3. Auf upload klicken.

  4. Auf Browse… klicken und die zuvor heruntergeladene Richtlinie wählen.

  5. Auf Importieren klicken.

    → Die importierte Richtlinie wird auf der Seite Richtlinien angezeigt.

  6. Neues Ziel erstellen (siehe Kapitel 10.2.1), neues Audit erstellen (siehe Kapitel 12.2.1.1) und Audit ausführen (siehe Kapitel 12.2.2).

    Beim Erstellen des Audits die zuvor importierte Richtlinie nutzen.

  7. Wenn der Scan abgschlossen ist, Scans > Berichte in der Menüleiste wählen.

  8. Auf das Datum des Berichts klicken.

    → Der Bericht für den DSGVO-Scan wird angezeigt.

    Der Bericht kann wie in Kapitel 11.2.1 beschrieben genutzt werden.

Wichtig

Die Einstellungen, die auf dem Host gefunden wurden, müssen mit den Richtlinien des Unternehmens übereinstimmen.

12.6. Eine Mailserver-Onlineprüfung durchführen

Im September 2014 führte das Bayerisches Landesamt für Datenschutzaufsicht den Onlinetest Mailserver: STARTTLS & Perfect Forward Secrecy durch. Die betroffenen Unternehmen wurden aufgefordert, die Sicherheitslücken zu beseitigen.

Ein Unternehmen kann mithilfe des Greenbone Security Managers selbst prüfen, ob seine Mailserver den Sicherheitskriterien entsprechen. Die Prüfung kann wie folgt durchgeführt werden:

  1. Unter https://download.greenbone.net/scanconfigs/ nach der Richtlinie onlinepruefung-mailserver-scanconfig.xml suchen.

    Wichtig

    Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

    Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

    → Falls die Richtlinie verfügbar ist, Richtlinie herunterladen und mit Schritt 2 fortfahren.

    Falls die Richtlinie nicht verfügbar ist, den Greenbone Networks Support (support@greenbone.net) kontaktieren.

  2. Resilience > Compliance Richtlinien in der Menüleiste wählen.

  3. Auf upload klicken.

  4. Auf Browse… klicken und die zuvor heruntergeladene Richtlinie wählen.

  5. Auf Importieren klicken.

    → Die importierte Richtlinie wird auf der Seite Richtlinien angezeigt.

  6. Konfiguration > Portlisten in der Menüleiste wählen.

  7. Neue Portliste durch Klicken auf new erstellen.

  8. Portliste definieren und T:25 in das Eingabefeld Portbereiche – Manuell eingeben.

  9. Auf Speichern klicken.

  10. Neues Ziel erstellen (siehe Kapitel 10.2.1), neues Audit erstellen (siehe Kapitel 12.2.1.1) und Audit ausführen (siehe Kapitel 12.2.2).

    Beim Erstellen des Ziels den Mailserver nutzen, der getestet werden soll, und die zuvor erstellte Portliste in der Drop-down-Liste Portliste wählen. Abhängig von den Netzwerkeintellungen kann es sinnvoll sein, Consider Alive in der Drop-down-Liste Erreichbarkeitstest zu wählen.

    Beim Erstellen des Audits die zuvor importierte Richtlinie nutzen.

  11. Wenn der Scan abgschlossen ist, Scans > Berichte in der Menüleiste wählen.

  12. Auf das Datum des Berichts klicken.

    → Der Bericht für die Mailserver-Onlineprüfung wird angezeigt.

    Der Bericht kann wie in Kapitel 11.2.1 beschrieben genutzt werden.

    Der Bericht enthält unterschiedliche Log-Einträge für jeden Mailserver.

Tipp

Das fehlende StartTLS wird anfänglich nur als Log-Nachricht angezeigt, da es eine Frage der Richtlinie ist, wie es behandelt werden soll. Es kann beispielsweise eine Übersteuerung für diesen NVT erstellt werden, um es als hohes Risiko festzulegen (siehe Kapitel 11.8). Die Übersteuerung kann dann auf alle Hosts und möglicherweise auf alle Audits ausgeweitet werden.

Bemerkung

Falls eine Überwachung eingerichtet werden soll, kann sowohl ein Zeitplan (z. B. jede Woche sonntags) als auch eine Benachrichtigung (z. B. eine E-Mail) für dieses Audit erstellt werden. Kombiniert mit der entsprechenden Übersteuerung entsteht im Hintergrund ein automatisiertes Warnsystem.

12.7. Einen TLS-Map-Scan durchführen

Das Protokoll Transport Layer Security (TLS) stellt die Vertraulichkeit, Authentizität und Integrität der Kommunikation in unsicheren Netzwerken sicher. Es richtet eine vertrauliche Kommunikation zwischen Sender und Empfänger, z. B. Webserver und Webbrowser, ein.

Mit dem Greenbone Security Manager (GSM) können Systeme gefunden werden, die Dienste anbieten, die SSL/TLS-Protokolle nutzen. Zusätzlich erkennt der GSM die Protokollversionen und bietet Verschlüsselungsalgorithmen. Weiterführende Details eines Diensts können gewonnen werden, falls er korrekt identifiziert werden kann.

12.7.1. Den TLS-Map-Scan vorbereiten

Für einen vereinfachten Export der Scanergebnisse stellt Greenbone Networks ein besonderes Berichtformat-Plug-in bereit. Die entstehende Datei ermöglicht auf einfache Weise das weitere Verarbeiten der Daten.

  1. Das TLS-Map Report Format Plug-in herunterladen.

    Wichtig

    Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

    Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

  2. Konfiguration > Berichtformate in der Menüleiste wählen.

  3. Auf import klicken.

  4. Auf Browse… klicken und das zuvor heruntergeladene Berichtformat-Plug-in wählen.

  5. Auf Speichern klicken.

    → Das importierte Berichtformat wird auf der Seite Berichtformate angezeigt.

  6. In der Zeile des Berichtformats auf edit klicken.

  7. Für Aktiv den Radiobutton Ja wählen.

  8. Auf Speichern klicken.

12.7.2. Auf TLS prüfen und die Scanergebnisse exportieren

Für einen Überblick über die TLS-Verwendung im Netzwerk oder auf einzelnen Systemen, empfiehlt Greenbone Networks die Nutzung einer der folgenden Richtlinien:

  • TLS-Map-Richtlinie (tls-map-scan-config.xml)
    Diese Richtlinie erkennt die genutzten Protokollversionen und die angebotenen Verschlüsselungsalgorithmen, aber versucht nicht, tiefergehende Details des Diensts zu identifizieren.
  • TLS-Map mit Diensterkennung (tls-map-app-detection-scan-config.xml)
    Diese Richtlinie erkennt die genutzten Protokollversionen und die angebotenen Verschlüsselungsalgorithmen. Zusätzlich versucht sie, tiefergehende Details des Diensts zu identifizieren. Diese Identifizierung ist zeitaufwendiger und erzeugt mehr Netzwerkverkehr als die oben genannte, einfache Scan-Konfiguration.
  1. Unter https://download.greenbone.net/scanconfigs/ nach der entsprechenden Richtlinie suchen.

    Wichtig

    Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

    Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

    → Falls die Richtlinie verfügbar ist, Richtlinie herunterladen und mit Schritt 2 fortfahren.

    Falls die Richtlinie nicht verfügbar ist, den Greenbone Networks Support (support@greenbone.net) kontaktieren.

  2. Resilience > Compliance Richtlinien in der Menüleiste wählen.

  3. Auf upload klicken.

  4. Auf Browse… klicken und die zuvor heruntergeladene Richtlinie wählen.

  5. Auf Importieren klicken.

    → Die importierte Richtlinie wird auf der Seite Richtlinien angezeigt.

  6. Konfiguration > Portlisten in der Menüleiste wählen, um die vorkonfigurierten Portlisten anzusehen.

    Bemerkung

    Durch Klicken auf new können eigene Portlisten erstellt werden (siehe Kapitel 10.7.1).

  7. Passende Portliste, die gescannt werden soll, wählen.

    Bemerkung

    Es muss darauf geachtet werden, dass alle Ports von Interesse durch die Liste abgedeckt werden.

    Je umfangreicher die Liste ist, desto länger dauert der Scan. Allerdings werden möglicherweise auch Dienste auf unüblichen Ports gefunden.

    Es muss beachtet werden, dass das TLS-Protokoll auf TCP basiert. Eine Portliste mit UDP-Ports verlangsamt den Scan, ohne gleichzeitig Vorteile zu bringen. Falls TCP-Ports abgedeckt werden sollen, sollte All TCP gewählt werden.

  8. Neues Ziel erstellen (siehe Kapitel 10.2.1), neues Audit erstellen (siehe Kapitel 12.2.1.1) und Audit ausführen (siehe Kapitel 12.2.2).

    Beim Erstellen des Audits die zuvor importierte Richtlinie nutzen.

  9. Wenn der Scan abgschlossen ist, Scans > Berichte in der Menüleiste wählen.

  10. Auf das Datum des Berichts klicken.

    → Der Bericht für den TLS-Map-Scan wird angezeigt.

    Der Bericht kann wie in Kapitel 11.2.1 beschrieben genutzt werden.

  11. Auf download klicken, um den Bericht herunterzuladen.

  12. Notizen durch Aktivieren der Checkbox Notizen hinzufügen und Übersteuerungen durch Aktivieren der Checkbox Übersteuerungen kennzeichnen und ihr Textfeld einfügen (siehe Kapitel 11.2.2).

  13. TLS Map in der Drop-down-Liste Berichtformat wählen.

  14. Auf OK klicken und die CSV-Datei herunterladen.

    → Der Bericht kann in Anwendungen zur Tabellenkalkulation genutzt werden.

Die Datei enthält jeweils eine Zeile pro Port und System, auf dem ein Dienst unter Verwendung eines SSL-/TLS-Protokolls angeboten wird:

IP,Host,Port,TLS-Version,Ciphers,Application-CPE
192.168.12.34,www.local,443,TLSv1.0;SSLv3,SSL3_RSA_RC4_128_SHA;TLS1_RSA_RC4_128_SHA,
  cpe:/a:apache:http_server:2.2.22;cpe:/a:php:php:5.4.4
192.168.56.78,www2.local,443,TLSv1.0;SSLv3,SSL3_RSA_RC4_128_SHA;TLS1_RSA_RC4_128_SHA,
  cpe:/a:apache:http_server:2.2.22

Jede Zeile enhält die folgenden, kommagetrennten Informationen:

  • IP
    Die IP-Adresse des Systems, auf dem der Dienst gefunden wurde.
  • Host
    Falls verfügbar, der DNS-Name des Systems.
  • Port
    Der Port, auf dem der Dienst gefunden wurde.
  • TLS-Version
    Die Protokollversion, die vom Dienst angeboten wird. Falls mehr als eine Version angeboten wird, werden die Versionen durch Semikolons getrennt.
  • Ciphers
    Die Verschlüsselungsalgorithmen, die vom Dienst angeboten werden. Falls mehr als ein Algorithmus angeboten wird, werden die Algorithmen durch Semikolons getrennt.
  • Application-CPE
    Die gefundene Anwendung im CPE-Format. Falls mehr als eine Anwendung gefunden wird, werden die Anwendungen durch Semikolons getrennt.

12.8. Einen OVAL-System-Characteristics-Scan durchführen

Die Open Vulnerability and Assessment Language (OVAL) ist ein Ansatz für die standardisierte Beschreibung von (Sicherheits-)Zuständen von IT-Systemen. OVAL-Dateien beschreiben eine Schwachstelle und legen Test fest, mit denen festgestellt werden kann, in welchem Zustand das System verwundbar ist. Sie beziehen sich normalerweise auf bestimmte Versionen von Softwareprodukten, für die eine bekannte Schwachstelle exisiert.

Um nach Schwachstellen zu suchen, die in einer OVAL-Definition beschrieben werden, werden Informationen über den aktuellen Zustand des Systems benötigt. Diese Informationen werden auch in einem standardisierten Format gesammelt: den OVAL System Characteristics (SC).

Es gibt eine Reihe Lösungen, welche Prüfungen basierend auf OVAL-Definitionen und SC-Dateien durchführen. OVAL-Definitionen werden von verschiedenen Anbietern bereitgestellt. Das Centre for Internet Security (CIS) bietet das OVAL-Repository mit mehr als 34.000 Einträgen.

12.8.1. Den OVAL-SC-Scan vorbereiten

Jede OVAL-SC-Datei enthält Informationen über nur ein System. Mit dem Greenbone Security Manager (GSM) ist es möglich, eine große Anzahl an SCs für viele unterschiedliche Systeme in einem Schritt zu sammeln.

Greenbone Networks bietet zwei Berichtformat-Plug-ins an:

  1. Gewünschtes Berichtformat-Plug-in herunterladen.

    Wichtig

    Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

    Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

  2. Konfiguration > Berichtformate in der Menüleiste wählen.

  3. Auf import klicken.

  4. Auf Browse… klicken und das zuvor heruntergeladene Berichtformat-Plug-in wählen.

  5. Auf Speichern klicken.

    → Das importierte Berichtformat wird auf der Seite Berichtformate angezeigt (siehe Abb. 12.32).

    _images/oval_report_format_imported-de.png

    Abb. 12.32 Importierte Berichtformate

  6. In der Zeile des Berichtformats auf edit klicken.

  7. Für Aktiv den Radiobutton Ja wählen.

  8. Auf Speichern klicken.

12.8.2. Scanergebnisse als OVAL-SCs sammeln und exportieren

Während eines Scans sammelt der GSM große Mengen an Daten über das Zielsystem. Diese Informationen werden in einem optimierten Datenpool verwaltet. Teile der Informationen sind als Komponenten einer OVAL-SC nutzbar.

Die Erstellung von OVAL-SC-Dateien ist standardmäßig nicht aktiviert. Zum Aktivieren kann eine Richtlinie genutzt werden.

  1. Unter https://download.greenbone.net/scanconfigs/ nach der Richtlinie collect-oval-sc-v2.xml suchen.

    Wichtig

    Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

    Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

    → Falls die Richtlinie verfügbar ist, Richtlinie herunterladen und mit Schritt 2 fortfahren.

    Falls die Richtlinie nicht verfügbar ist, den Greenbone Networks Support (support@greenbone.net) kontaktieren.

  2. Resilience > Compliance Richtlinien in der Menüleiste wählen.

  3. Auf upload klicken.

  4. Auf Browse… klicken und die zuvor heruntergeladene Richtlinie wählen.

  5. Auf Importieren klicken.

    → Die importierte Richtlinie wird auf der Seite Richtlinien angezeigt.

    Bemerkung

    Die umfangreichsten Ergebnisse eines Zielsystems können mit einem authentifizierten Scan gesammelt werden. Die Nutzung von Anmeldedaten ist nötig, um lokale Sicherheitsprüfungen anzuwenden (siehe Kapitel 10.3.2).

    Es muss sichergestellt werden, dass der Account die nötigen Privilegien hat. Für unixartige Systeme ist ein Account mit wenigen Privilegien normalerweise ausreichend, für Windows-Systeme werden administrative Privilegien benötigt.

  6. Neues Ziel erstellen (siehe Kapitel 10.2.1), neues Audit erstellen (siehe Kapitel 12.2.1.1) und Audit ausführen (siehe Kapitel 12.2.2).

    Beim Erstellen des Audits die zuvor importierte Richtlinie nutzen.

  7. Wenn der Scan abgeschlossen ist, Scans > Berichte in der Menüleiste wählen.

  8. Auf das Datum des Berichts klicken.

    → Der Bericht für den OVAL-SC-Scan wird angezeigt.

    Der Bericht kann wie in Kapitel 11.2.1 beschrieben genutzt werden.

    Bemerkung

    Die Ergebnisse werden mit dem Schweregrad Log ausgegeben. Standardmäßig wird der Schweregrad Log nicht angezeigt und muss deshalb mithilfe des Filters aktiviert werden (siehe Kapitel 8.4).

  9. Dazu auf edit in der Filterleiste klicken.

  10. Für Schweregrad (Klasse) Checkboxe Log aktivieren.

  11. Auf Aktualisieren klicken.

  12. Auf download klicken, um den Bericht herunterzuladen.

  13. Notizen durch Aktivieren der Checkbox Notizen hinzufügen und Übersteuerungen durch Aktivieren der Checkbox Übersteuerungen kennzeichnen und ihr Textfeld einfügen (siehe Kapitel 11.2.2).

  14. OVAL-SC oder OVAL-SC Archive in der Drop-down-Liste Berichtformat wählen.

  15. Auf OK klicken.

    → Der Bericht wird als XML-Datei oder als ZIP-Ordner mit enthaltenen XML-Dateien exportiert.

12.9. Einen Richtlinienkontrollen-Scan durchführen

Mit dem Greenbone Security Manager ist es möglich, eine bestimmte Einstellung zu testen, um eine gewünschte Konfiguration mit der aktuellen Konfiguration zu vergleichen.

  1. Unter https://download.greenbone.net/scanconfigs/ nach der Richtlinie policy_controls_scan_config_v1.0.xml suchen.

    Wichtig

    Externe Links zur Greenbone-Downloadseite unterscheiden Groß- und Kleinbuchstaben.

    Großbuchstaben, Kleinbuchstaben und Sonderzeichen müssen exakt so, wie sie in den Fußnoten stehen, eingegeben werden.

    → Falls die Richtlinie verfügbar ist, Richtlinie herunterladen und mit Schritt 2 fortfahren.

    Falls die Richtlinie nicht verfügbar ist, den Greenbone Networks Support (support@greenbone.net) kontaktieren.

  2. Resilience > Compliance Richtlinien in der Menüleiste wählen.

  3. Auf upload klicken.

  4. Auf Browse… klicken und die zuvor heruntergeladene Richtlinie wählen.

  5. Auf Importieren klicken.

    → Die importierte Richtlinie wird auf der Seite Richtlinien angezeigt.

  6. In der Zeile der Richtlinie auf edit klicken.

  7. Im Abschnitt Familien von Network Vulnerability Tests bearbeiten für die NVT-Familie Policy auf edit klicken.

  8. Checkboxen der NVTs wählen, die ausgeführt werden sollen.

  9. Auf Speichern klicken, um die NVT-Familie zu speichern.

  10. Auf Speichern klicken, um die Richtlinie zu speichern.

  11. Neues Ziel erstellen (siehe Kapitel 10.2.1), neues Audit erstellen (siehe Kapitel 12.2.1.1) und Audit ausführen (siehe Kapitel 12.2.2).

  12. Wenn der Scan abgeschlossen ist, Scans > Berichte in der Menüleiste wählen.

  13. Auf das Datum des Berichts klicken.

    → Der Bericht für den Richtlinienkontrollen-Scan wird angezeigt.

    Der Bericht kann wie in Kapitel 11.2.1 beschrieben genutzt werden.

    Bemerkung

    Die Ergebnisse werden mit dem Schweregrad Log ausgegeben. Standardmäßig wird der Schweregrad Log nicht angezeigt und muss deshalb mithilfe des Filters aktiviert werden (siehe Kapitel 8.4).

  14. Dazu auf edit in der Filterleiste klicken.

  15. Für Schweregrad (Klasse) Checkboxe Log aktivieren.

  16. Auf Aktualisieren klicken.