20. Häufig gestellte Fragen¶

20.1. Warum ist der Scanprozess so langsam?¶

Die Geschwindigkeit eines Scans hängt von vielen Faktoren ab.

Es wurden mehrere Portscanner gleichzeitig aktiviert.

Falls eine individuelle Scan-Konfiguration genutzt wird, sollte nur ein einziger Portscanner in der NVT-Familie Port scanners gewählt werden (siehe Kapitel 10.9.2). Der NVT Ping Host kann trotzdem aktiviert sein.
Unbelegte IP-Adressen werden zeitintensiv gescannt.

Im ersten Schritt wird festgestellt, ob für jede IP-Adresse ein aktives System vorhanden ist oder nicht. Falls nicht, wird die IP-Adresse nicht gescannt. Firewalls und andere Systeme können solch eine erfolgreiche Feststellung verhindern. Der NVT Ping Host (1.3.6.1.4.1.25623.1.0.100315) in der NVT-Familie Port scanners bietet eine Feineinstellung der Feststellung.

20.2. Warum wird eine Schwachstelle nicht gefunden?¶

Die verwendete Portliste enthält nicht den Port der verwundbaren Anwendung. Passende Portliste, wie in Kapitel 10.7 beschrieben, erstellen.
Es gibt nur eine Versionsprüfung mit einer niedrigeren Qualität der Erkennung (QdE) und die Schwachstelle wird standardmäßig nicht angezeigt. Filter für die Ergebnisse, wie in Kapitel 11.2.1.3 beschrieben, ändern.
Ein(e) Intrusion Detection System (IDS)/Intrusion Prevention System (IPS), Host-basiertes Intrusion Detection System (HIDS), Web Application Firewall (WAF), Firewall oder ein anderes Netzwerkgerät zwischen dem GSM und dem Ziel verhindert die Erkennung.
Falls ein authentifizierter Scan durchgeführt wurde, ist der Login fehlgeschlagen.
Die Anwendung selbst wird nicht korrekt erkannt. Bei Fragen kann der Greenbone Networks Support (support@greenbone.net) kontaktiert werden.
Die Anwendung selbst stürzte ab oder reagierte nicht mehr während des Scans.
Die Schwachstelle wurde erst vor Kurzem entdeckt und es existiert dafür noch kein NVT.
Die spezifische Erkennung ist veraltet. Bei Fragen kann der Greenbone Networks Support (support@greenbone.net) kontaktiert werden.

20.3. Warum erscheint ein VNC-Dialog auf dem gescannten Zielsystem?¶

Beim Prüfen des Ports 5900 oder beim Konfigurieren eines VNC-Ports, erscheint ein Fenster zum Erlauben der Verbindung auf dem gescannten System. Dies wurde für UltraVNC Version 1.0.2 beobachtet.

Lösung: Port 5900 oder andere konfigurierte VNC-Ports von der Zielspezifikation ausschließen. Alternativ könnte ein Upgrade auf eine neuere Version von UltraVNC hilfreich sein (UltraVNC 1.0.9.6.1 nutzt lediglich Sprechblasen zum Informieren von Benutzern).

20.4. Warum löst der Scan Alarme bei anderen Sicherheitstools aus?¶

Bei vielen Schwachstellenprüfungen wird das Verhalten eines echten Angreifers simuliert. Zwar findet kein tatsächlicher Angriff statt, aber einige Sicherheitstools könnten einen Alarm ausgeben.

Ein bekanntes Beispiel ist:

Symantec meldet einen Angriff bezüglich CVE-2009-3103, falls der NVT Microsoft Windows SMB2 ‚_Smb2ValidateProviderCallback()‘ Remote Code Execution Vulnerability (1.3.6.1.4.1.25623.1.0.100283) ausgeführt wird. Dieser NVT wird nur ausgeführt, falls der Radiobutton Nein für safe_checks in den Scanner-Vorgaben gewählt wird (siehe Abb. 20.1). Andernfalls kann das Zielsystem betroffen sein.

Abb. 20.1 Deaktivieren der Scanner-Vorgabe safe_checks

20.5. Wie kann ein Zurücksetzen auf Werkseinstellungen auf dem GSM durchgeführt werden?¶

Ein Zurücksetzen auf Werkseinstellungen kann durchgeführt werden, um Benutzerdaten sicher vom GSM zu entfernen.

Bemerkung

Der Greenbone Networks Support kann per E-Mail (support@greenbone.net) kontaktiert werden, um detaillierte Informationen zum Zurücksetzen auf Werkseinstellungen zu erhalten.

20.6. Warum funktionieren weder Feed-Update noch GOS-Upgrade nach einem Zurücksetzen auf Werkseinstellungen?¶

Das Zurücksetzen auf Werkseinstellungen löscht das gesamte System, einschließlich des Subscription-Schlüssels für den Greenbone Security Feed (GSF). Der GSF-Subscription-Schlüssel ist für Feed-Updates und GOS-Upgrades zwingend erforderlich.

Den GSF-Subscription-Schlüssel reaktivieren:

Ein Backup-Schlüssel wird mit jeder GSM-Appliance geliefert (siehe Kapitel 7.1.1). Dieser Schlüssel kann genutzt werden, um den GSM zu reaktivieren. Die Aktivierung ist im Setup-Guide des entsprechenden GSMs beschrieben (siehe Kapitel 5).
Das System auf die aktuelle Version aktualisieren:

Abhängig von der GOS-Version muss der entsprechende Upgradevorgang durchgeführt werden.

20.7. Wie kann ein älteres, neueres oder nicht unterstütztes Backup wiederhergestellt werden?¶

Ausschließlich Backups, die mit der momentan genutzten GOS-Version oder der Vorgängerversion erstellt wurden, können wiederhergestellt werden. Für GOS 6 können nur Backups aus GOS 5 oder GOS 6 importiert werden. Falls ein älteres Backup importiert werden soll, z. B. aus GOS 3 oder GOS 4, muss eine Appliance mit der passenden GOS-Version genutzt werden.

Backups aus GOS-Versionen, die neuer sind als die momentan genutzte GOS-Version, werden ebenfalls nicht unterstützt. Falls ein neueres Backup importiert werden soll, muss eine Appliance mit der passenden GOS-Version genutzt werden.

Falls Fragen auftreten, kann der Greenbone Networks Support (support@greenbone.net) per E-Mail kontaktiert werden.

20.9. Wie kann der GMP-Status ohne Anmeldedaten geprüft werden?¶

Eine SSH-Verbindung zum GSM mithilfe der Kommandozeile unter Nutzung des GMP-Benutzers aufbauen:
```
ssh gmp@<gsm>
```
<gsm> durch die IP-Adresse oder den DNS-Namen der GSM-Appliance ersetzen.

Bemerkung

Es wird keine Eingabeaufforderung angezeigt, aber der Befehl kann trotzdem eingegeben werden.
<get_version/> eingeben.

→ Falls GMP aktiviert ist, sollte die Ausgabe wie folgt aussehen: <get_version_response status="200" status_text="OK"><version>8.0</version></get_version_response>.