1. No category

Greenbone Networks GmbH
Neuer Graben 17
49074 Osnabrück
Germany
http://www.greenbone.de
iii
Stand: GOS 3.1.8, 27. April 2015
Dies ist das Anwenderhandbuch zum Greenbone Security Manager mit
Greenbone OS (GOS) Version 3.1. Aufgrund der zahlreichen funktionalen
und auch sonstigen Unterschiede zwischen GOS 3.1 und den vorherigen Versionen ist dieses Handbuch nicht für die Verwendung mit älteren Versionen
vorgesehen.
Der Greenbone Security Manager wird fortlaufend weiterentwickelt. Dieses
Anwenderhandbuch bemüht sich, immer den aktuellen Softwarestand zu
dokumentieren. Dennoch kann es sein, dass neueste Funktionen noch nicht
in dem Handbuch berücksichtigt sind.
Haben Sie Anmerkungen zu Ergänzungen oder Fehlerkorrekturen in diesem
Handbuch, dann senden Sie bitte eine E-Mail an den Support:
(mailto:[email protected]).
Mitwirkende dieses Handbuchs sind:
• Greenbone Networks GmbH
• OpenSource Training Ralf Spenneberg
Die Urheberrechte für dieses Handbuch liegen bei dem Unternehmen Greenbone Networks GmbH. Greenbone und das Greenbone-Logo sind eingetragene Warenzeichen
von Greenbone Networks GmbH. Weitere in diesem Handbuch verwendete Warenzeichen und eingetragene Warenzeichen sind Eigentum der jeweiligen Besitzer und
dienen lediglich erläuternden Zwecken.
iv
Inhaltsverzeichnis
1
Einführung
3
2 GSM Übersicht
7
2.1
Tabellarischer Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . .
8
2.2 Enterprise-Klasse (GSM 5300 / 6400) . . . . . . . . . . . . . . . . . . .
9
2.3 Midrange-Klasse (GSM 600 / 650) . . . . . . . . . . . . . . . . . . . . .
10
2.4 SME-Klasse (GSM 100) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
2.5 Sensoren GSM 25 / 25V . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
2.6 GSM ONE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12
3 Inbetriebnahme
3.1
15
Installation und Einschalten . . . . . . . . . . . . . . . . . . . . . . . . .
16
3.1.1
Serielle Schnittstelle . . . . . . . . . . . . . . . . . . . . . . . . .
17
3.2 Import der virtuellen Appliance . . . . . . . . . . . . . . . . . . . . . . .
18
3.2.1
Import in VirtualBox . . . . . . . . . . . . . . . . . . . . . . . . .
18
3.3 Einloggen als Admin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
19
3.4 Grundkonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
20
3.4.1
Tastaturlayout . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
20
3.4.2
Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
3.4.3
Management Netzwerkkarte . . . . . . . . . . . . . . . . . . . .
22
3.4.4 DNS-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . .
23
v
INHALTSVERZEICHNIS
INHALTSVERZEICHNIS
3.4.5
Kennwortänderung . . . . . . . . . . . . . . . . . . . . . . . . . .
24
3.4.6
Weboberfläche einrichten . . . . . . . . . . . . . . . . . . . . . .
25
3.5 Aktivierungsschlüssel . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
3.6 Readiness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
28
4 Command Line Interface
4.1
29
Kommandozeile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
30
4.2 Einstellungen bearbeiten . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
4.3 Benutzer und Kennworte . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
4.3.1
Kennwortänderung des Admin . . . . . . . . . . . . . . . . . . .
32
4.3.2
Erzeugen eines Web-Administrators (Scan-Administrator) . .
32
4.3.3
Superuser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
4.4 Zertifikate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
33
4.4.1
Selbstsignierte Zertifikate . . . . . . . . . . . . . . . . . . . . . .
34
4.4.2 Zertifikat einer externen Zertifizierungsstelle . . . . . . . . . .
35
4.5 Geräteverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
38
4.5.1
Reboot und Herunterfahren der Appliance . . . . . . . . . . . .
38
4.5.2
Netzwerkkonfiguration . . . . . . . . . . . . . . . . . . . . . . .
39
4.5.3
Experten Netzwerkkonfiguration . . . . . . . . . . . . . . . . . .
45
4.6 Fernzugri
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49
HTTPS Timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49
4.6.2 SSH-Zugang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
50
4.6.3 OpenVAS Management Protocol (OMP) . . . . . . . . . . . . . .
50
4.7 Upgrade und Feeds . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
4.6.1
4.7.1
Upgrade des Systems . . . . . . . . . . . . . . . . . . . . . . . .
51
4.7.2
Feed Synchronisation . . . . . . . . . . . . . . . . . . . . . . . . .
51
4.7.3
Proxy Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . .
52
4.8 Überwachung und Fehlersuche . . . . . . . . . . . . . . . . . . . . . . .
53
4.8.1
Fehlersuche und Überwachung der Netzwerkfunktionen . . .
vi
53
INHALTSVERZEICHNIS
INHALTSVERZEICHNIS
5 Betrieb
5.1
57
Benutzerverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
58
5.1.1
Anlegen und Verwaltung der Benutzer . . . . . . . . . . . . . .
58
5.2 Upgrade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
61
5.2.1
Prüfen der aktuellen Version . . . . . . . . . . . . . . . . . . . .
61
5.2.2
Durchführung des Patch-Level Upgrades . . . . . . . . . . . . .
62
5.2.3
Release Upgrade . . . . . . . . . . . . . . . . . . . . . . . . . . .
64
5.2.4
Verwendung eines Proxies . . . . . . . . . . . . . . . . . . . . . .
64
5.3 Sicherung und Wiederherstellung . . . . . . . . . . . . . . . . . . . . .
65
5.3.1
Backup des gesamten Systems . . . . . . . . . . . . . . . . . . .
65
5.3.2
Snapshot des Systems . . . . . . . . . . . . . . . . . . . . . . . .
67
5.3.3
Backup der Userdata mit USB-Stick . . . . . . . . . . . . . . . .
68
5.3.4
Backup der Userdata via SSH . . . . . . . . . . . . . . . . . . . .
72
5.4 Airgap Update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
74
5.4.1
Airgap via USB Stick . . . . . . . . . . . . . . . . . . . . . . . . . .
74
5.4.2
Airgap via FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
77
6 Scanning
6.1
79
Einfacher Scan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
80
6.1.1
Wizard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
80
6.1.2
Advanced Wizard . . . . . . . . . . . . . . . . . . . . . . . . . . .
83
6.1.3
Manuelle Konfiguration . . . . . . . . . . . . . . . . . . . . . . .
84
6.1.4
Container Task . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
95
6.2 Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
96
6.2.1
Lesen des Reports . . . . . . . . . . . . . . . . . . . . . . . . . . 100
6.3 Authentifizierter Scan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
6.3.1
Voraussetzungen auf Zielsystemen mit Windows . . . . . . . . 103
6.3.2
Voraussetzungen auf Zielsystemen mit Linux/UNIX . . . . . . 116
vii
INHALTSVERZEICHNIS
6.3.3
INHALTSVERZEICHNIS
Autogenerate Credentials . . . . . . . . . . . . . . . . . . . . . . 117
6.4 Geplanter Scan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
6.5 Notizen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
6.5.1
Notizen anlegen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
6.5.2
Notizen verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . 121
6.6 Overrides und False Positives . . . . . . . . . . . . . . . . . . . . . . . . 123
6.6.1
Was ist ein False Positive? . . . . . . . . . . . . . . . . . . . . . . 123
6.6.2
Erzeugen eines Override . . . . . . . . . . . . . . . . . . . . . . . 124
6.6.3
Automatische False-Positives (AutoFP) . . . . . . . . . . . . . . 125
7 Berichte
127
7.1
Delta-Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
7.2
Report Plugins . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
7.2.1
Import weiterer Report Plugins . . . . . . . . . . . . . . . . . . . 133
8 Alerts
135
9 GUI-Konzepte
139
9.1
Icons . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
9.2 Charts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
9.3 Powerfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
9.3.1
Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
9.3.2
Speichern und Verwalten . . . . . . . . . . . . . . . . . . . . . . 147
9.4 Tags . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
10 Scan-Konfiguration
151
10.1 Neue Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
10.2 Scanner Preferences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
10.2.1 Allgemeine Preferences . . . . . . . . . . . . . . . . . . . . . . . 156
10.2.2 Ping Preferences . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
10.2.3 Nmap NASL Preferences . . . . . . . . . . . . . . . . . . . . . . . 160
viii
INHALTSVERZEICHNIS
INHALTSVERZEICHNIS
11 Alternative Oberflächen
163
11.1 IT-Schwachstellenampel . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
12 Benutzer- und Rechteverwaltung
167
12.1 Benutzerverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
12.1.1
Anlegen und Verwaltung der Benutzer . . . . . . . . . . . . . . 168
12.1.2 Gleichzeitige Anmeldung . . . . . . . . . . . . . . . . . . . . . . . 170
12.1.3 Benutzerrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
12.1.4 Gastanmeldung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
12.1.5 Super Admin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
12.1.6 Gruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
12.1.7 Permissions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
12.1.8 Zentrale Benutzerverwaltung . . . . . . . . . . . . . . . . . . . 183
13 OMP
187
13.1 Aktivieren des OMP Protokolls . . . . . . . . . . . . . . . . . . . . . . . . 187
13.2 Zugri mit omp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
13.2.1 Konfiguration des Clients . . . . . . . . . . . . . . . . . . . . . . 189
13.2.2 Start eines Scans . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
13.2.3 Status Codes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
14 MySettings
193
15 SecInfo Management
195
15.1 Secinfo Portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
15.2 Network Vulnerability Tests . . . . . . . . . . . . . . . . . . . . . . . . . 197
15.3 SCAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
15.3.1 CVE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
15.3.2 CPE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
15.3.3 OVAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
ix
INHALTSVERZEICHNIS
INHALTSVERZEICHNIS
15.3.4 CVSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
15.4 DFN-CERT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
15.5 CERT-Bund . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
16 Asset Management
211
16.1 Prognose . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
17 Performanz
213
17.1 Scan Performanz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
17.1.1
Wahl der Port-Liste für einen Scan . . . . . . . . . . . . . . . . . 213
17.1.2 Scan-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . 216
17.1.3 Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
17.2 Backend Performanz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
17.3 Appliance Performanz . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
18 Master und Slave Setups
219
18.1 Anbindung eines Slaves . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
18.2 Sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
18.2.1 Kommunikation der Sensoren . . . . . . . . . . . . . . . . . . . . 223
19 Kopplung
225
19.1 Integration von Drittherstellern . . . . . . . . . . . . . . . . . . . . . . . 225
19.1.1
OSP Scanner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
19.2 Verinice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
19.2.1 IT Security Management . . . . . . . . . . . . . . . . . . . . . . . 227
19.2.2 IT-Grundschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
19.3 Nagios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
19.3.1 Installation des Plugins . . . . . . . . . . . . . . . . . . . . . . . 236
19.3.2 Konfiguration des GSM-Nutzers . . . . . . . . . . . . . . . . . . 237
19.3.3 Konfiguration des Plugins . . . . . . . . . . . . . . . . . . . . . . 238
x
INHALTSVERZEICHNIS
INHALTSVERZEICHNIS
19.4 Sourcefire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
19.4.1 Installation des Report Export Plugins . . . . . . . . . . . . . . 243
19.4.2 Konfiguration des Host-Input-API-Clients . . . . . . . . . . . . 243
19.4.3 Konfiguration des Alerts auf dem GSM . . . . . . . . . . . . . . 245
20 CLI Kommandoreferenz
247
21 CLI Einstellungsreferenz
253
1
INHALTSVERZEICHNIS
INHALTSVERZEICHNIS
2
KAPITEL 1
Einführung
Vulnerability Management ist ein Kernelement der modernen IT-Compliance. Als
IT-Compliance wird die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen bezüglich der IT-Infrastruktur bezeichnet. Hierbei betrachtet
sie hauptsächlich die Informationssicherheit, die Verfügbarkeit, die Speicherung
und den Datenschutz. Unternehmen wie Behörden müssen in diesen Bereichen
vielfältige rechtliche Verpflichtungen erfüllen.
Die Überwachung und Verbesserung der IT-Sicherheit ist ein ständiger Prozess der
mindestens aus den drei folgenden Schritten besteht:
• Feststellung des aktuellen Zustands
• Ergreifen von Maßnahmen zur Verbesserung
• Überprüfung der Maßnahme
Der Greenbone Security Manager unterstützt Unternehmen und Behörden durch ein
automatisiertes und integriertes Vulnerability Assessment und Vulnerability Management. Seine Aufgabe ist die Erkennung der Schwachstellen und Sicherheitslücken,
bevor dies einem potentiellen Angreifer gelingt. Der Greenbone Security Manager
ermöglicht dies aus unterschiedlichen Perspektiven des Angreifers:
• Extern
Hierbei greift der GSM von Außen auf das Netz zu. Der GSM kann so schlecht
konfigurierte Firewall-Systeme identifizieren.
• DMZ
Hier kann der GSM die tatsächlich vorhandenen Schwächen ermitteln. Diese
3
KAPITEL 1. EINFÜHRUNG
können von einem Angreifer ausgenutzt werden, wenn er die Firewall überwindet.
• Intern
Viele Angri e werden von Innen durch einen Innentäter oder mit Hilfe von
Social Engineering oder mittels eines Wurms durchgeführt. Diese Sicht ist
daher für die Beurteilung der Sicherheit der IT-Infrastruktur besonders wichtig.
Für DMZ und Intern wird zwischen authentifizierten und nicht-authentifizierten
Prüfungen unterschieden. Bei authentifizierten Prüfungen wird dem Scanner eine
Zugangsberechtigung mitgegeben und kann so auch Schwachstellen in Anwendungen finden die nicht als Dienst arbeiten aber ein hohes Gefährdungspotenzial
besitzen. Darunter fallen zum Beispiel Web-Browser, Oce-Anwendungen oder
PDF-Betrachter.
Da täglich neue Bedrohungen hinzukommen, ist die regelmäßige Aktualisierung
und Prüfung der Systeme erforderlich. Der Greenbone Security Feed stellt sicher,
dass der GSM regelmäßig mit neuen Test-Routine versorgt wird und auch die neuen
Bedrohungen zuverlässig erkennt. Greenbone wertet hierzu die CVE1 -Meldungen
und die Mitteilungen der Hersteller aus und entwickelt täglich neue zertifizierte und
geprüfte Testroutinen. Der GSM erhält diese Testroutinen automatisch über den
verschlüsselten Greenbone Security Feed.
So erhalten die IT-Verantwortlichen durch einen Scan mit einem Greenbone Security
Manager eine Liste von Schwachstellen, die in dem Netzwerk gefunden wurden.
Speziell wenn bisher kein Schwachstellen Management etabliert wurde, ist diese
Liste häufig sehr umfangreich. Für die Auswahl der Maßnahmen ist eine Bewertung
der Schwachstellen unumgänglich. Am wichtigsten sind die Maßnahmen, welche die
kritischsten Risiken abwehren und die entsprechenden Sicherheitslücken schließen.
Hier nutzt der GSM das Common Vulnerability Scoring System (CVSS). CVSS ist ein
Industriestandard für die Klassifizierung und Bewertung von Schwachstellen. Es
hilft die Maßnahmen zu priorisieren.
Um einer Schwachstelle zu begegnen existieren grundsätzlich zwei Möglichkeiten:
1. Entfernen der Schwachstelle durch eine Aktualisierung der Software, Entfernen der Komponente oder eine veränderte Konfiguration.
2. Einfügen einer Regel in der Firewall oder dem Intrusion Prevention System
(Virtual Patching).
Als Virtual Patching wird die scheinbare Behebung des Fehlers durch eine zusätzliche
Komponente bezeichnet. Die tatsächliche Sicherheitslücke bleibt bestehen. Daher
kann ein Angreifer bei Ausfall der zusätzlichen Komponente oder durch Nutzung
1 Das Common Vulnerability and Exposures (CVE) Projekt ist ein herstellerunabhängiges Forum für die
Identifikation und Verö entlichung von neuen Schwachstellen.
4
KAPITEL 1. EINFÜHRUNG
eines alternativen Wegs möglicherweise weiterhin die Sicherheitslücke ausnutzen.
Ein tatsächlicher Patch/Update der betro enen Software ist daher einem virtuellen
Patch immer vorzuziehen.
Auch bei der Überprüfung der umgesetzten Maßnahmen unterstützt der Greenbone
Security Manager. Mit seiner Hilfe können die IT-Verantwortlichen den aktuellen
Zustand der IT-Security dokumentieren, Änderungen erkennen und diese in Berichten zusammenfassen. Für die Kommunikation mit dem Management bietet der
GSM die Abstraktion der technischen Details in einfachen Grafiken oder in Form
einer Verkehrsampel, die den Zustand in Rot, Gelb und Grün einteilt. So kann der
IT-Security-Prozess einfach visualisiert werden.
5
KAPITEL 1. EINFÜHRUNG
6
KAPITEL 2
Greenbone Appliances
Übersicht
Der Greenbone Security Manager ist eine dedizierte Appliance für das Schwachstellen Scanning und -Management. Hierbei handelt es sich um eine speziell entwickelte
Plattform optimiert für das Schwachstellen Management. Sie wird in unterschiedlichen Leistungsstufen angeboten.
7
Überwachte IP-Adressen
Ports
Management
Scan GbE-Base-TX
Scan SFP
Scan 10GbE XFP
Virtual Port
Port Roles
VLAN
Hardware
Redundante Lüfter
Redundante Netzteile
Redundante Disk
Hot-Swap Netzteil
Hot-Swap Disk
Hot-Swap Lüfter
Master/Sensor
Master
Sensor
50 Sensoren
ja
ja
ja
ja
ja
30 Sensoren
1 Mgmt, Rest dynamisch
256 pro Port
ja
3.000 - 30.000
1 Out of Band
0-24
0-24
0-6
5.000 - 50.000
Enterprise
GSM 6400
GSM 5300
6
2
12 Sensoren
ja
1
500 - 6.000
0
8 Ports dynamisch
128 pro Port
500 - 10.000
Midrange
GSM 650
GSM 600
0
4
20 - 300
nein
nein
nein
nein
nein
0
0
20 - 300
Virtuell
GSM ONE
nein
nein
nein
1
1 Port Mgmt/Scan/Update
nein
0
20 - 300
Sensoren
GSM 25
GSM 25V
4 Ports dynamisch
64 pro Port
50 - 500
SME
GSM 100
2.1
Appliance
2.1. TABELLARISCHER ÜBERBLICK
KAPITEL 2. GSM ÜBERSICHT
Tabellarischer Überblick
Die folgende Tabelle zeigt im Überblick die Unterschiede der einzelnen Appliances.
8
KAPITEL 2. GSM ÜBERSICHT
2.2
2.2. ENTERPRISE-KLASSE (GSM 5300 / 6400)
Enterprise-Klasse (GSM 5300 / 6400)
Die GSM 5300 und GSM 6400 Appliances sind für den Einsatz in großen Unternehmen
und Behörden konzipiert. Die GSM 6400 kann Sensoren in bis zu 50 Sicherheitszonen
steuern und wird für bis zu 50.000 überwachten IP-Adressen empfohlen. Die GSM
5300 kann Sensoren in bis zu 30 Sicherheitszonen steuern und wird für bis zu 30.000
überwachten IP-Adressen empfohlen. Die Appliances können jedoch auch selbst
als Slave-Sensor durch einen weiteren Master gesteuert werden.
Abbildung 2.1: Die GSM 6400 unterstützt für bis zu 50.000 IP-Adressen.
Die Appliances der Enterprise-Klasse werden im 19-Zoll-Gehäuse mit 2 Bauhöhen
für die einfache Integration in das Rechenzentrum ausgeliefert. Sie verfügen für
die einfache Installation und Überwachung über ein zweizeiliges LCD-Display mit
16 Zeichen je Zeile. Für den dauerhaften Betrieb besitzen sie redundante Netzteile,
Festplatten und Lüfter, die im laufenden Betrieb ausgetauscht werden können.
Für die Verwaltung der Systeme steht neben einem Out-of-Band-ManagementEthernet-Port auch eine serielle Schnittstelle zur Verfügung. Die serielle Schnittstelle ist als Cisco-kompatibler Console-Port ausgeführt.
Für die Anbindung der zu überwachenden Systeme können beide Appliances mit bis
zu drei Modulen ausgestattet werden. Die folgenden Module können hierbei in einer
beliebigen Kombination genutzt werden:
• 8 Port Gigabit Ethernet 10/100/1000 Base-TX (Kupfer)
• 8 Port Gigabit Ethernet SFP (Small-Formfactor-Pluggable)
• 2 Port 10-Gigabit Ethernet XFP
Je Port können bis zu 256 VLANs konfiguriert und verwaltet werden.
9
2.3. MIDRANGE-KLASSE (GSM 600 / 650)
2.3
KAPITEL 2. GSM ÜBERSICHT
Midrange-Klasse (GSM 600 / 650)
Die GSM 600 und GSM 650 sind für den Einsatz in Unternehmen und Behörden mittlerer Größe und großen Zweigstellen konzipiert. Die GSM 650 kann Sensoren in bis
zu 12 Sicherheitszonen steuern und wird für bis zu 10.000 überwachen IP-Adressen
empfohlen. Die GSM 600 kann ebenfalls Sensoren in bis zu 12 Sicherheitszonen
steuern und wird für bis zu 6.000 überwachte IP-Adressen empfohlen. Die Appliances können jedoch auch selbst als Slave-Sensor durch einen weiteren Master
gesteuert werden.
Neben den aktuellen Systemen GSM 600 und GSM 650 werden von Greenbone auch
noch die älteren Systeme dieser Klasse voll unterstützt. Die Systeme GSM 500, GSM
510 und GSM 550 wurden 2014 durch Systeme mit aktueller Hardware abgelöst.
Die Appliances der Midrange-Klasse werden im 19-Zoll-Gehäuse mit 1 Bauhöhe für
die einfache Integration in das Rechenzentrum ausgeliefert. Sie verfügen für die
einfache Installation und Überwachung über ein zweizeiliges LCD-Display mit 16
Zeichen je Zeile. Für den dauerhaften Betrieb besitzen sie redundante Lüfter. Ein
Austausch im Betrieb ist jedoch nicht möglich.
Abbildung 2.2: Die GSM 650 unterstützt für bis zu 10.000 IP-Adressen.
Für die Verwaltung der Systeme steht neben einem Management-Ethernet-Port
auch eine serielle Schnittstelle zur Verfügung. Die serielle Schnittstelle ist als Ciscokompatibler Console-Port ausgeführt.
Für die Anbindung der zu überwachenden Systeme verfügen beide Appliances über
insgesamt 8 Ports, die fest konfiguriert und folgendermaßen ausgeführt sind:
• 6 Port Gigabit Ethernet 10/100/1000 Base-TX (Kupfer)
• 2 Port Gigabit Ethernet SFP (Small-Formfactor-Pluggable)
Eine modulare Anpassung der Ports ist nicht möglich. Je Port können bis zu 128 VLANs
konfiguriert und verwaltet werden. Einer dieser Ports wird auch als Management
Port genutzt.
10
KAPITEL 2. GSM ÜBERSICHT
2.4
2.4. SME-KLASSE (GSM 100)
SME-Klasse (GSM 100)
Die GSM 100 ist für kleinere Unternehmen und Behörden sowie Zweigstellen konzipiert. Die GSM 100 wird für bis zu 500 überwachten IP-Adressen empfohlen. Eine
Steuerung von Sensoren in anderen Sicherheitszonen im Master Mode ist nicht
vorgesehen. Die GSM 100 kann jedoch selbst als Slave-Sensor durch einen weiteren
Master gesteuert werden.
Die Appliance wird in einem Stahlblechgehäuse mit 1 Bauhöhe ausgeliefert. Für die
einfache Integration in das Rechenzentrum kann ein optionales Rackkit genutzt
werden. Ein Display ist nicht vorhanden.
Abbildung 2.3: Die GSM 100 ist für kleinere Unternehmen gedacht
Für die Verwaltung der Systeme steht neben einem Management-Ethernet-Port
auch eine serielle Schnittstelle zur Verfügung. Die serielle Schnittstelle ist als Ciscokompatibler Console-Port ausgeführt.
Für die Anbindung der zu überwachenden Systeme verfügt die Appliance über insgesamt 4 Ports, die als 10/100/1000 Gigabit Ethernet Ports (RJ45) ausgeführt sind.
Diese unterstützen jeweils bis zu 64 VLANs. Einer dieser Ports wird auch als Management Port genutzt.
2.5
Sensoren GSM 25 / 25V
Die GSM 25 ist als Sensor für kleinere Unternehmen und Behörden sowie Zweigstellen konzipiert. Die GSM 25 wird für bis zu 300 überwachten IP-Adressen empfohlen
und verlangt zwingend die Steuerung durch eine weitere Appliance im Master Mode.
Hierzu können die GSM der Midrange- und Enterprise-Klasse (ab GSM 500 aufwärts)
eingesetzt werden.
Die GSM 25 Appliance wird in einem Stahlblechgehäuse mit 1 Bauhöhe ausgeliefert.
Für die einfache Integration in das Rechenzentrum kann ein optionales Rackkit
genutzt werden. Ein Display ist nicht vorhanden.
Für die Verwaltung der Systeme steht neben einem Management-Ethernet-Port
auch eine serielle Schnittstelle zur Verfügung. Die serielle Schnittstelle ist als Ciscokompatibler Console-Port ausgeführt.
11
2.6. GSM ONE
KAPITEL 2. GSM ÜBERSICHT
Abbildung 2.4: Die GSM 25 ist ein Sensor und kann nur mit einem GSM betrieben
werden.
Für die Anbindung der zu überwachenden Systeme verfügt die Appliance über insgesamt 4 Ports, die als 10/100/1000 Gigabit Ethernet Ports (RJ45) ausgeführt sind.
Diese unterstützen jeweils bis zu 64 VLANs. Einer dieser Ports wird auch als Management Port genutzt.
Die GSM 25 V ist eine virtuelle Appliance und stellt eine einfache und kostene ektive
Möglichkeit zur Überwachung von virtuellen Infrastrukturen dar. Im Gegensatz zur
GSM 25 verfügt die virtuelle Variante lediglich über einen einzigen virtuellen Port,
der für die Verwaltung, den Scan und das Update genutzt wird. Dieser unterstützt
jedoch auch 64 VLANs.
2.6
GSM ONE
Die GSM ONE ist als virtuelle Appliance für spezielle Anforderungen, wie den Audit
mit Hilfe eines Laptops und Schulungen konzipiert. Die GSM ONE wird für bis zu
300 überwachte IP-Adressen empfohlen und kann weder weitere Sensoren steuern
noch selbst durch eine größere Appliance als Sensor gesteuert werden.
Die GSM ONE verfügt lediglich über einen einzigen virtuellen Port, der für die Verwaltung, den Scan und das Update genutzt wird. Dieser unterstützt nicht die Nutzung
von VLANs.
Abbildung 2.5: Die GSM ONE ist eine virtuelle Instanz.
Die GSM ONE verfügt über alle Funktionen der größeren Systeme mit den folgenden
Ausnahmen:
12
KAPITEL 2. GSM ÜBERSICHT
2.6. GSM ONE
• Master Mode
Die GSM ONE kann nicht weitere Appliances als Sensoren steuern.
• Slave Mode
Die GSM ONE kann nicht als Slave Sensor durch weitere Appliances als Master
gesteuert werden.
• Alarmierungen
Die GSM ONE kann keine Alarmierungen via SMTP, SNMP, Syslog oder HTTP
versenden.
• VLANs
Die GSM ONE unterstützt keine VLANs auf dem virtuellen Port.
13
2.6. GSM ONE
KAPITEL 2. GSM ÜBERSICHT
14
KAPITEL 3
Inbetriebnahme
Dieses Kapitel beschreibt die ersten Schritte der Inbetriebnahme Ihrer Appliance.
Dabei können hier nur allgemeine Angaben gemacht werden. Mit Ihrer Appliance
erhalten Sie von Greenbone zusätzliche gerätespezifische Informationen, die Sie
bitte bei der Inbetriebnahme berücksichtigen.
15
3.1. INSTALLATION UND EINSCHALTEN
3.1
KAPITEL 3. INBETRIEBNAHME
Installation und Einschalten
Die Appliances GSM der Midrange- und Enterprise-Klasse (ab GSM 500 bzw. 600
aufwärts) sind 19-Zoll-Einschubgeräte. Für die Montage in einem 19-Zoll-Schrank
verfügen diese Geräte über passende Halterungen.
Für die Verkabelung verfügen die 19-Zoll-Appliances auf der Vorderseite und Rückseite über entsprechende Anschlüsse:
• Rückseite:
– Stromversorgung
– VGA-Monitor (optional)
• Vorderseite:
– Tastatur via USB (optional)
– Dedizierter Management-(MGMT)-Port (GSM 5300 und 6400)
– RS-232-Consolen-Port (IOIOIO, optional)
Bei der GSM 100 und GSM 25 sind alle Anschlüsse auf der Rückseite herausgeführt.
Für die Inbetriebnahmen müssen Sie über eine Terminal-Software und ein Konsolenkabel die Verbindung aufbauen.
16
KAPITEL 3. INBETRIEBNAHME
3.1.1
3.1. INSTALLATION UND EINSCHALTEN
Serielle Schnittstelle
Um die serielle Schnittstelle zu nutzen, verwenden Sie das beigelegte Konsolenkabel.
Alternativ können Sie auch ein blaues Cisco-Konsolenkabel (Rollover-Cable) nutzen.
Falls Ihr System nicht über eine serielle Schnittstelle verfügt, so benötigen Sie
einen USB-Seriell-Adapter. Achten Sie hierbei bitte darauf einen Qualitätsadapter
zu verwenden. Viele preiswerte Adapter führen zu Fehlern im seriellen Protokoll.
Desweiteren sind sie teilweise mit bei den Microsoft-Windows Betriebssystemen
mitgelieferten Treibern nicht funktionstüchtig.
Für den Zugri auf die serielle Schnittstelle nutzen Sie ein Terminalprogramm. Dieses
stellen Sie für eine Geschwindigkeit von 9600 Bits/s (Baud) ein.
Unter Linux bietet sich hierfür der Kommandozeilenbefehl screen an. Hier genügt
es den Befehl unter Angabe der Schnittstelle aufzurufen:
s c r e e n / dev / t t y S 0
( bei s e r i e l l e r S c h n i t t s t e l l e )
s c r e e n / dev / t t y U S B 0 ( bei USB - A d a p t e r )
Unter Umständen handelt es sich nicht um die erste Schnittstelle. Hier müssen Sie
dann mit der Zi er (0, 1 oder 2) experimentieren. Sie können den Befehl mit der
Eingabe von Strg-a \ beenden. Möglicherweise müssen Sie nach dem Aufruf des
Befehls einige Male die Return-Taste betätigen, um einen Prompt zu erhalten.
Unter Windows können sie den Software Putty1 verwenden. Hier wählen Sie nach
dem Start die Optionen entsprechend dem Bild 3.1. Wählen Sie auch hier die richtige
Schnittstelle aus.
Abbildung 3.1: Nutzung einer seriellen Schnittstelle in Putty
1 http://www.chiark.greenend.org.uk/~sgtatham/putty/
17
3.2. IMPORT DER VIRTUELLEN APPLIANCE
3.2
KAPITEL 3. INBETRIEBNAHME
Import der virtuellen Appliance
Die virtuellen Appliances werden von Greenbone als Open Virtualization Appliance
(OVA) zur Verfügung gestellt. Diese Dateien lassen sich einfach in VMware oder
VirtualBox importieren. Dabei werden von Greenbone die folgenden Szenarien unterstützt:
• GSM ONE: Oracle VirtualBox 4.3 (Linux und Microsoft Windows)
• GSM 25V: ESXi 5.1
3.2.1
Import in VirtualBox
Installieren Sie Oracle VirtualBox für Ihr Betriebssystem. VirtualBox ist meist in den
Linux-Distributionen enthalten. Falls dies nicht der Fall ist und für die verschiedenen
Microsoft Windows Version erhalten Sie VirtualBox direkt von Oracle: https://
www.virtualbox.org/wiki/Downloads.
Starten Sie anschließend VirtualBox. Nun können Sie die OVA-Datei über DateiAppliance importieren ... importieren (siehe Bild 3.2).
Abbildung 3.2: Import der OVA-Appliance
Im anschließenden Fenster (Abbildung 3.3 bestätigen Sie die Konfiguration der virtuellen Maschine. Für eine optimale Einstellung wählen Sie, wenn möglich, 4096
MB als RAM (Hauptspeicher) der virtuellen Appliance. Die restlichen Hardwareeinstellungen können Sie übernehmen.
Der tatsächliche Import kann bis zu 10 Minuten dauern. Anschließend können Sie
die virtuelle Appliance starten.
18
KAPITEL 3. INBETRIEBNAHME
3.3. EINLOGGEN ALS ADMIN
Abbildung 3.3: Bestätigung der Hardwarekonfiguration
3.3
Einloggen als Admin
Nach dem Einschalten bootet die Appliance zunächst. Sie können den Boot-Vorgang
auf der seriellen Konsole verfolgen. Bei einer virtuellen Appliance können Sie den
Bootvorgang im Hypervisor (VirtualBox oder VMware) verfolgen.
Abbildung 3.4: Bootmeldungen der Appliance
Nach dem Bootvorgang können Sie sich lokal an dem System anmelden. Hierfür
ist der Benutzer admin mit dem Kennwort admin hinterlegt. Gleichzeitig mit der
Boot-Meldung erinnert Sie der GSM bei Bedarf, dass noch kein Web-User (siehe
Abschnitt 3.4.6.1) angelegt worden ist.
19
3.4. GRUNDKONFIGURATION
3.4
KAPITEL 3. INBETRIEBNAHME
Grundkonfiguration
Die folgenden Abschnitte beschreiben die Grundkonfiguration der Appliance. Diese
sollte nicht über ein Netzwerk, sonder über die serielle Konsole oder die virtuelle
Konsole des Hypervisors erfolgen.
3.4.1
Tastaturlayout
Prüfen Sie als erstes das Tastaturlayout der Appliance und stellen Sie es bei Bedarf
für Ihre Zwecke und Umgebung richtig ein. Hierzu rufen Sie das Administrationsmenü auf der Kommandozeile auf, nachdem Sie sich als Admin angemeldet haben
(siehe Abschnitt 3.3). Hierzu geben Sie den Befehl gos-admin-menu auf der Kommandozeile ein. Anschließend erscheint ein textbasiertes Menü, welches Sie mit
den Cursor-Tasten und der Enter-Taste navigieren können (siehe Abbildung 3.5).
Abbildung 3.5: Greenbone OS Admin Menü
In diesem Menü wählen Sie mit den Pfeiltasten Ihrer Tastatur die erste Option Keyb o a rd und bestätigen Sie diese mit Enter2 . Im neuen Dialog können Sie nun das
gewünschte Layout auswählen. Nach der Bestätigung der Auswahl müssen Sie die
Option C o m m i t auswählen und mit Enter bestätigen. Die Aktion wird mit der Meldung ”The keyboard changes are submitted and become active within the next 5
minutes” bestätigt. Alternativ können Sie mit der Option Rollback den ursprünglichen Zustand wieder herstellen.
2 Alternativ kann diese Einstellung auch in der Variablen keyboard_layout vorgenommen werden.
20
KAPITEL 3. INBETRIEBNAHME
3.4.2
3.4. GRUNDKONFIGURATION
Netzwerk
Um die Grundkonfiguration des Netzwerks vorzunehmen und die Appliance in Ihr
Netz zu integrieren, ist die Konfiguration der Netzwerkschnittstelle eth0 erforderlich. Hierzu rufen Sie das Administrationsmenü auf der Kommandozeile auf, nachdem Sie sich als Admin angemeldet haben (siehe Abschnitt 3.3). Hierzu geben Sie
den Befehl gos-admin-menu auf der Kommandozeile ein. Anschließend erscheint
ein textbasiertes Menü, welches Sie mit den Cursor-Tasten und der Enter-Taste
navigieren können (siehe Abbildung 3.5).
Unter dem Menüpunkt Network können Sie die Netzwerkeinstellungen vornehmen.
Hier bietet sich ein neues Menü (siehe Abbildung 3.6) mit den folgenden Funktionen:
• D N S: Konfiguration der DNS-Server. Diese werden auch bei der Verwendung
von DHCP nicht automatisch gesetzt. Die DHCP-Einstellungen wirken sich nur
auf die IP-Adresse und das Default-Gateway aus!
• N T P: Konfiguration der NTP-Server. Diese werden auch bei der Verwendung
von DHCP nicht automatisch gesetzt. Die DHCP-Einstellungen wirken sich nur
auf die IP-Adresse und das Default-Gateway aus!
• E T H: Konfiguration der Ethernet-Schnittstellen
• SNMP: Konfiguration der SNMP-Trap-Einstellungen. Hier können Sie eine Community und einen externen SNMP-Trap-Empfänger für Fehlermeldungen einrichten.
• E m a i l: Hier konfigurieren Sie einen externen Mail-Server über den die GSM
E-Mails (z.B. Scan-Reports) verschickt werden.
Abbildung 3.6: Greenbone OS Admin: Netzwerk Konfiguration
Um die IP-Adressen der Managementschnittstelle zu konfigurieren nutzen Sie die
Option E T H. Hier ist insbesondere die Netzwerkschnittstelle eth0 wichtig. Diese
21
3.4. GRUNDKONFIGURATION
KAPITEL 3. INBETRIEBNAHME
Netzwerkschnittstelle wird als Managementschnittstelle genutzt. Die weiteren
möglicherweise vorhandenen Schnittstellen können bei der Grundkonfiguration
vernachlässigt werden. Die Schnittstelle eth0 entspricht am physikalischen Gerät
der Schnittstelle LAN1.
Abbildung 3.7: Greenbone OS Admin: Ethernet Konfiguration
Durch Auswahl der Option e t h 0 können Sie die Netzwerkkarte konfigurieren. Hier
bestehen drei Möglichkeiten:
• dhcp: Die IP-Adresse der Netzwerkkarte wird via DHCP gesetzt. Dies betri t
lediglich die IP-Adresse und das Default-Gateway, nicht aber die genutzten
DNS-Server.
• IP-Adresse: Die Eingabe einer IP-Adresse mit CIDR-Netzmaske setzt diese IPAdresse. Die Netzmaske muss in CIDR-Notation (/24, /25, etc.) und nicht als
Bit-Maske (255.255.255.0) angegeben werden.
• Leere Angabe: Hiermit wird die Netzwerkkarte deaktiviert.
Bei einer statischen Vergabe der IP-Adressen müssen Sie auch das Default-Gateway
setzen, damit der GSM Feeds und Updates über das Netzwerk beziehen kann. Dieses finden Sie in N e t wo r k-E T H-D e f a u lt Ro u t e. Hier genügt die Eingabe der
IP-Adresse des Default-Gateways. Sämtliche Änderungen müssen Sie mit einem
Co m m i t bestätigen.
3.4.3
Management Netzwerkkarte
Wenn mehrere Netzwerkkarten zur Verfügung stehen, können Sie wählen, über
welche Netzwerkkarte die administrative Oberfläche des GSM erreicht werden kann.
Hierzu dient die GSM-Variable ifadm.
22
KAPITEL 3. INBETRIEBNAHME
3.4.4
3.4. GRUNDKONFIGURATION
DNS-Konfiguration
Damit der GSM Feeds und Updates erhalten kann, benötigt er erreichbare DNS-Server
für die Namensauflösung. In dem Auslieferungszustand sind zwei DNS-Server von
Google in der Konfiguration hinterlegt:
• google-public-dns-a.google.com: 8.8.8.8
• google-public-dns-b.google.com: 8.8.4.4
Diese sollten Sie durch Ihre eigenen DNS-Server ersetzen. Dies ist zwingend erforderlich, wenn der GSM die DNS-Server von Google auf Grund von FirewallEinstellungen nicht erreichen kann. Sie können hier bis zu drei DNS-Server hinterlegen. Sämtliche Änderungen müssen anschließend wieder mit C o m m i t bestätigt
werden.
Ob die DNS-Server erreicht werden können, zeigt Ihnen der Readiness-Check (siehe
Abschnitt 3.6).
23
3.4. GRUNDKONFIGURATION
3.4.5
KAPITEL 3. INBETRIEBNAHME
Kennwortänderung
Ebenfalls während der Grundkonfiguration sollten Sie das Kennwort des GSM Administrators ändern. Die Voreinstellung admin/admin ist für einen produktiven Einsatz
nicht geeignet.
Die entsprechende Funktion ist im Greenbone OS Administrationswerkzeug (GOSAdmin-Menü) unter User verfügbar. Hier konfigurieren Sie folgende Benutzertypen:
1. GSM Admin: Dies ist der Administrator, der sich auf der Kommandozeile (z.B.
über eine serielle Schnittstelle) anmelden kann.
2. Web Admin: Dies ist der Administrator, der sich auf der Weboberfläche anmelden kann.
Um das Kennwort des Administrators zu ändern, verwenden Sie die Option G S M
A d m i n. Sie werden dann aufgefordert, das aktuelle (UNIX) Kennwort des Administrators einzugeben. Anschließend müssen Sie zweimal das neue Kennwort eingeben.
Diese Änderungen sind sofort aktiv. Es ist kein Commit der Änderungen erforderlich.
Ein Rollback ist ebenfalls nicht möglich.
Abbildung 3.8: Änderung des Kennwortes des GSM Administrators
Beachten Sie, dass triviale Passworte verweigert werden. Dazu gehört auch das
Auslieferungspasswort admin.
24
KAPITEL 3. INBETRIEBNAHME
3.4.6
3.4. GRUNDKONFIGURATION
Weboberfläche einrichten
Der Zugri auf den Greenbone Security Manager erfolgt in erster Linie über die
Weboberfläche. Um diese richtig nutzen zu können, müssen Sie die folgenden zwei
Schritte durchführen:
1. Erzeugen eines Web-Administrators
Mit diesem Benutzer melden Sie sich an der Weboberfläche administrativ an.
Dieser Benutzer darf sämtliche Funktionen der Weboberfläche nutzen.
2. Erzeugen eines SSL-Zertifikats
Das SSL-Zertifikat wird für die verschlüsselte Kommunikation via HTTPS und
OMP mit dem GSM benötigt. Hier können Sie ein selbstsigniertes Zertifikat
erzeugen oder das Zertifikat durch eine externe Zertifikatsautorität ausstellen
lassen (siehe Abschnitt 4.4.2).
3.4.6.1
Web-Admin Benutzer
Um die GSM Appliance zu nutzen, muss ein Web-Administrator eingerichtet werden.
Dieser Benutzer wird in einigen Dokumentationen und Applikationen auch als ”Scan
Administrator” bezeichnet.
Die Einrichtung des Web-Admin ist nur im GOS-Admin-Menü oder auf der Kommandozeile möglich. Wechseln Sie im GOS-Admin-Menü in den Punkt U s e r und rufen
Sie A d d We b A d m i n auf. Hier geben Sie dann den Namen und das Kennwort des
Scan Administrators ein.
Sie können hier mehrere Benutzer als Administrator anlegen. Ein Bearbeiten der
Benutzer ist im GOS-Admin-Menü nicht möglich. Sie können lediglich die bereits
angelegten Benutzer anzeigen und ggf. löschen.
Um die angelegten Benutzer zu editieren oder geringer privilegierte Benutzer anzulegen, verwenden Sie die Weboberfläche.
3.4.6.2
Zertifikat
Die GSM Appliance kann grundsätzlich zwei verschiedene Zertifikatstypen nutzen:
• Selbstsignierte Zertifikate
• Zertifikate ausgestellt durch eine externe Zertifikatsautorität
Die Nutzung von selbstsignierten Zertifikaten ist die einfachste Variante. Sie bietet
aber auch die geringste Sicherheit und mehr Aufwand für den Anwender:
25
3.4. GRUNDKONFIGURATION
KAPITEL 3. INBETRIEBNAHME
• Die Vertrauenswürdigkeit eines selbstsignierten Zertifikats kann von dem
Anwender nur manuell durch Prüfung des Fingerabdrucks des Zertifikats festgestellt werden.
• Selbstsignierte Zertifikate können nicht widerrufen werden. Wurden Sie einmal
von dem Anwender im Browser akzeptiert, sind sie dauerhaft dort gespeichert.
Die GSM ONE besitzt bereits ein selbstsigniertes Zertifikat. Die Installation eines
durch eine externe Zertifizierungsstelle signierten Zertifikats wird in Abschnitt 4.4.2
beschrieben.
3.4.6.3
Selbstsigniertes Zertifikat
Um ein neues selbstsigniertes Zertifikat zu erzeugen, wählen Sie im GOS-AdminMenü die Option S S L und anschließend die Option S e lf -S i g n e d. Hier werden
Ihnen einige Fragen gestellt. Das Zertifikat wird dann entsprechend Ihren Antworten
gebaut. Die Angabe des commonName ist unkritisch, da sie nicht Teil des Zertifikats
wird.
Abbildung 3.9: Die Erzeugung des selbstsignierten Zertifikats erfolgt im Dialog.
26
KAPITEL 3. INBETRIEBNAHME
3.5
3.5. AKTIVIERUNGSSCHLÜSSEL
Aktivierungsschlüssel
Jede Greenbone Security Manager Appliance benötigt einen Aktivierungsschlüssel.
Die GSM ONE besitzt bereits einen vorinstallierten Aktivierungsschlüssel. Falls Sie
eine GSM DEMO evaluieren, ist hier auch bereits ein Aktivierungsschlüssel vorinstalliert.
Sie können erkennen, ob ein Aktivierungschlüssel hinterlegt ist, indem Sie das GOSAdmin-Menü aufrufen. Die Titelzeile zeigt Ihnen, ob ein Aktivierungsschlüssel existiert. Im Beispiel in Bild 3.10 ist die Subskription gsf201309161 hinterlegt.
Abbildung 3.10: Prüfung des Aktivierungsschlüssels
Alternativ können Sie auf der Kommandozeile show customer aufrufen.
Abbildung 3.11: Prüfung des Aktivierungsschlüssels auf der Kommandozeile
Ist noch keine Subskription/Aktivierungsschlüssel hinterlegt, so haben Sie den üblicherweise separat erhalten. Nach dem Aufruf von subscriptiondownload müssen müssen Sie diesen nun per Copy/Paste einfügen. Hierzu verbinden Sie sich
27
3.6. READINESS
KAPITEL 3. INBETRIEBNAHME
idealerweise per SSH mit dem System. Dazu müssen Sie möglicherweise den SSHZugang einschalten (siehe Abschnitt 4.6.2).
3.6
Readiness
Um die Verfügbarkeit und korrekte Konfiguration der Appliance zu prüfen, bietet
das GOS-Admin-Menü die Möglichkeit einer Selbstkontrolle. Rufen Sie hierzu das
GOS-Admin-Menü auf und wählen Sie die Option S e lf C h e c k.
Hier prüft dann die GSM ob sämtliche Voraussetzungen für den Betrieb vorhanden
sind.
Abbildung 3.12: Prüfung der Betriebsvorausetzungen
Dies sind im einzelnen:
• Aktivierungsschlüssel
• Web-Administrator (Scan Administrator)
• Aktuelle Feeds
• Erreichbarkeit der Greenbone Feed Server
• Konfiguration der DNS-Server
• Erreichbarkeit und Funktion der DNS-Server
• Verfügbarer Speicherplatz auf der Festplatte
• Aktualität des Betriebssystems
• Gültigkeit des SSL Zertifikats
• Erreichbarkeit der konfigurierten Sensoren
28
KAPITEL 4
Command Line Interface
Neben GOS-Admin-Menu gibt es auch die Möglichkeit das Command-Line-Interface
der GSM zu nutzen. Einzelne Einstellungen, wie ein Syslog-Server sind aktuell auch
nur über diese Schnittstelle erreichbar. Dieses Kapitel zeigt Ihnen, wie sie diese
Änderungen durchführen.
29
4.1. KOMMANDOZEILE
4.1
KAPITEL 4. COMMAND LINE INTERFACE
Kommandozeile
Die CLI ist erreichbar über die serielle Konsole oder via SSH. Der SSH-Zugang ist
möglicherweise jedoch deaktiviert und muss zunächst über die CLI oder das GOSAdmin-Menü auf der seriellen Konsole aktiviert werden (siehe Abschnitt 4.6.2).
Ein Zugri via SSH erfolgt von UNIX/Linux direkt auf der Kommandozeile:
$ ssh admin@<gsm>
Hierbei ersetzen Sie <gsm> durch die IP-Adresse oder den DNS-Namen der GSMAppliance. Um den Host-Key zu verifizieren, können Sie sich zuvor auf der seriellen
Konsole dessen Prüfsumme anzeigen lassen. Hierzu wechseln Sie im GOS-AdminMenü in den Unterpunkt Re m o t e und wählen dort S S H F i n ge r p r i n t.
Während das GOS-Admin-Menü einen einfachen Menü-gesteuerten Zugang zur
Konfiguration der GSM-Appliance bietet, ist über die Kommandozeile ein umfangreicherer Zugang zum System möglich. Auf dem Command-Line-Interface (CLI) müssen
Sie jedoch die Befehle auf der Kommandozeile eingeben.
Der Zugri auf die Kommandozeile über die serielle Schnittstelle ist in Abschnitt
3.1.1 erläutert. Der Login erfolgt dann als Benutzer admin (siehe Abschnitt 3.3). Im
Auslieferungszustand lautet das Kennwort admin. Alternativ kann eine Anmeldung
auch via SSH erfolgen (siehe Abschnitt 4.6.2).
Um Tippfehler zu vermeiden können Sie die Tabulator-Taste verwenden. Diese ergänzt automatisch die eingegebenen Befehle.
Probieren Sie es aus: Geben Sie auf der GSM-Kommandozeile gos ein oder betätigen
Sie die Tabulatortaste. Die Zeichenfolge wird automatisch zu gos-admin-menu.
gsm : gos<tab>
30
KAPITEL 4. COMMAND LINE INTERFACE
4.2
4.2. EINSTELLUNGEN BEARBEITEN
Einstellungen bearbeiten
Sämtliche Änderungen in den Einstellungen, die Sie auf der CLI durchführen, werden
nicht sofort aktiv. Sobald Sie eine Einstellung auf der CLI modifizieren, ändert sich
der Prompt und zeigt hiermit an, dass ungesicherte Änderungen vorliegen. Ein Stern
im Prompt zeigt die noch nicht aktivierten Änderungen an.
Abbildung 4.1: Commit in der CLI
Sie können nun mit commit oder rollback entscheiden, ob Sie die Änderungen
aktivieren oder zurücknehmen wollen.
Zusätzlich zeigt bei einem get die Ausgabe an, ob die Variable aktuell gesetzt ist. Dies
wird durch ein s zu Beginn der Zeile angezeigt. Ein u zeigt an, dass die Variable aktuell
nicht gesetzt ist. Das Löschen von Variablen ist mit dem Befehl unset möglich.
Setzen können Sie die Variablen mit set.
Abbildung 4.2: Set und unset in der CLI
31
4.3. BENUTZER UND KENNWORTE
4.3
KAPITEL 4. COMMAND LINE INTERFACE
Benutzer und Kennworte
Die CLI bietet wie das GOS-Admin-Menü die Möglichkeit, das Kennwort des Administrators der CLI zu ändern und einen Web-Administrator (bzw. Scan-Administrator)
zu erzeugen. Sie besitzt aber noch einige darüber hinausgehende mächtigere Befehle.
4.3.1
Kennwortänderung des Admin
Das Kommando passwd ändert das Kennwort des CLI-Administrators. Dies ist das
Kennwort, welches Sie bei einer Anmeldung über die serielle Konsole oder via SSH
eingeben müssen. Um das Kennwort zu ändern, verwenden Sie den Befehl passwd.
gsm : passwd
C h a n g i n g p a s s w o r d for a d m i n .
( c u r r e n t ) UNIX p a s s w o r d : old-password
En t e r new UNIX p a s s w o r d : new-password
R e t y p e new UNIX p a s s w o r d : new-password
passwd : password updated successfully
4.3.2
Erzeugen eines Web-Administrators (Scan-Administrator)
Um auf der CLI einen Web-Administrator zu erzeugen, verwenden Sie den Befehl
addadmin. Dieser Befehl erwartet den Login und das Kennwort des zu erzeugenden
Administrators.
gsm : addadmin webadmin:kennwort
C r e a t i n g user with t e m p o r a r y p a s s w o r d .
User c r e a t e d with p a s s w o r d ’ b759489e - c0ba -40 eb -90 &
c1 - c 1 6 5 b 6 4 1 7 0 0 c ’.
S e t t i n g p a s s w o r d to d e s i r e d v a l u e .
User was s u c c e s s f u l l y c r e a t e d .
4.3.3
Superuser
Auf der GSM-Kommandozeile können Sie mit dem Befehl shell eine UNIXKommandozeile als unprivilegierter Benutzer admin erhalten. So können Sie jeden
beliebigen UNIX-Befehl aufrufen.
Dieser Superuser ist nicht identisch und daher unabhängig von dem Super Admin,
den Sie für die Weboberfläche anlegen können (siehe Abschnitt 12.1.5).
32
KAPITEL 4. COMMAND LINE INTERFACE
4.4. ZERTIFIKATE
Um Root-Rechte (SuperUser) auf der GSM-Appliance zu erlangen, müssen Sie den
Befehl su eingeben. Dies ist in der Werkseinstellung jedoch nur möglich, wenn Sie
lokal über die serielle Konsole angemeldet sind. Wenn Sie via SSH an der GSM Appliance angemeldet sind, ist der Zugri auf Root gesperrt. Für die täglichen Aufgaben
genügt der User admin. Daher sollte eine Freischaltung nur in Ausnahmen und in
Absprache mit dem Greenbone Support erfolgen.
Um via SSH eine Anmeldung als Root zu ermöglichen, müssen Sie die Variable
superuser setzen:
gsm : get superuser
s superuser disabled
gsm : set superuser enabled
gsm *: commit
gsm : get superuser
s superuser enabled
Nach dieser Änderung ist ein Reboot des GSM erforderlich!
Wenn Sie den Superuser-Zugang aktivieren sollten Sie aber auch ein sicheres Kennwort für den root-Benutzer setzen. Hierzu verwenden Sie die Variable
superuserpassword. Im Default ist das Kennwort disabled.
gsm : get superuserpassword
s superuserpassword disabled
gsm : set superuserpassword kennwort
gsm *: commit
gsm :
4.4
Zertifikate
Die GSM Appliance kann grundsätzlich zwei verschiedene Zertifikatstypen nutzen:
• Selbstsignierte Zertifikate
• Zertifikate ausgestellt durch eine externe Zertifikatsautorität
Die Nutzung von selbstsignierten Zertifikaten ist die einfachste Variante. Sie bietet
aber auch die geringste Sicherheit und mehr Aufwand für den Anwender:
• Die Vertrauenswürdigkeit eines selbstsignierten Zertifikats kann von dem
Anwender nur manuell durch Prüfung des Fingerabdrucks des Zertifikats festgestellt werden.
33
4.4. ZERTIFIKATE
KAPITEL 4. COMMAND LINE INTERFACE
• Selbstsignierte Zertifikate können nicht widerrufen werden. Wurden Sie einmal
von dem Anwender im Browser akzeptiert, sind sie dauerhaft dort gespeichert.
Erhält ein Angreifer Zugri auf den zugehörigen privaten Schlüssel, so kann
er einen Mann-in-der-Mitte Angri auf die durch das Zertifikat geschützte
Verbindung durchführen.
Die Nutzung eines Zertifikats, welches durch eine Zertifikatsautorität ausgestellt
wurde hat mehrere Vorteile:
• Alle Clients, die der Autorität vertrauen, können das Zertifikat direkt verifizieren
und eine sichere Verbindung aufbauen. Es erfolgt keine Warnung durch den
Browser.
• Das Zertifikat kann durch die Zertifikatsautorität einfach widerrufen werden.
Wenn die Clients über eine Möglichkeit zur Überprüfung des Zertifikatsstatus
verfügen, können sie ein vom Zeitraum noch gültiges aber widerrufenden
Zertifikat ablehnen. Als Mechanismen können hier Certificate Revocation Lists
(CRLs) oder das Online Certificate Status Protocol (OCSP) eingesetzt werden.
• Insbesondere wenn mehrere Systeme in einem Unternehmen SSL-geschützte
Informationen anbieten, vereinfacht die Verwendung einer eigenen
Unternehmens-CA die Verwaltung enorm. Sämtliche Clients müssen dann lediglich der Unternehmens-CA vertrauen, um sämtliche von der CA ausgestellte
Zertifikate zu akzeptieren.
Alle modernen Betriebssysteme unterstützen die Erzeugung und Verwaltung einer eigenen Zertifikatsautorität. Unter Microsoft Windows Server unterstützen die
Active Directory Certificate Services den Admin bei der Erzeugung einer RootCA1 .
Für Linux-Systeme stehen vielfältige Lösungen zur Verfügung. Eine Variante ist im
IPsec-Howto beschrieben2 .
Bei der Erzeugung und dem Tausch der Zertifikate ist zu beachten, dass der Admin vor
Erzeugung des Zertifikats prüft, wie der spätere Zugri auf das System erfolgt. Die
IP-Adresse bzw. der DNS-Name müssen bei der Erzeugung im Zertifikat hinterlegt
werden. Des Weiteren ist nach der Erzeugung eines Zertifikats immer ein Reboot
erforderlich, damit alle Dienste das neue Zertifikat nutzen. Dies ist bei der Planung
des Zertifikatswechsels zu berücksichtigen.
4.4.1
Selbstsignierte Zertifikate
Um eine schnelle Inbetriebnahme zu unterstützen, erlaubt dir GSM die Verwendung
von selbstsignierten Zertifikaten. Jedoch ist bei Auslieferung bei vielen Varianten
1 https://technet.microsoft.com/en-us/library/cc731183.aspx
2 http://www.ipsec-howto.org/x600.html
34
KAPITEL 4. COMMAND LINE INTERFACE
4.4. ZERTIFIKATE
ein derartiges Zertifikat nicht vorinstalliert und muss von dem Administrator erst
erzeugt werden. Die GSM One kommt jedoch bereits mit einem vorinstallierten
Zertifikat. Sehen Sie hierzu auch in Abschnitt 3.4.6.3.
Diese selbstsignierten Zertifikate können einfach auf der Kommandozeile erzeugt
werden. Alternativ kann der Admin ein selbstsigniertes Zertifikat auch über das GOSAdmin-Menü erzeugen (SSL-Self-Signed). Bevor der Admin das Zertifikat erzeugt,
muss er prüfen, wie später der Zugri auf den GSM erfolgt. Erfolgt der Zugri über
eine IP-Adresse (https://192.168.15.5) oder mit einem DNS-Namen (https:
//gsm.example.com)?
Die IP-Adresse bzw. der DNS-Name muss bei der Erzeugung des Zertifikats angegeben werden. Er kann später nur durch eine erneute Erzeugung eines Zertifikats
verändert werden.
Nach der Erzeugung des Zertifikats ist ein Reboot erforderlich, damit alle Dienste
das neue Zertifikat nutzen.
gsm : sslselfsign
G e n e r a t i n g a 2048 bit RSA p r i v a t e key
.+++
.....................................................................................
u n a b l e to write ’ r a n d o m state ’
w r i t i n g new p r i v a t e key to ’ s e l f c e r t . pem ’
----You are about to be a s k e d to e n t e r i n f o r m a t i o n that will be i n c o r p o r a t e d
into your c e r t i f i c a t e r e q u e s t .
What you are ab o u t to e n t e r is what is c a l l e d a D i s t i n g u i s h e d Name or a &
DN .
T h ere are quite a few f i e l d s but you can l e a v e some b l a n k
For some f i e l d s t h e r e will be a d e f a u l t value ,
If you enter ’. ’ , the f i e l d will be left b l a n k .
----C o u n t r y Name (2 l e t t e r code ) [ DE ]: DE
S t ate or P r o v i n c e Name ( full name ) [ N i e d e r s a c h s e n ]: Bundesland
L o c a l i t y Name ( eg , city ) [ H i l d e s h e i m ]: Stadt
O r g a n i z a t i o n Name ( eg , c o m p a n y ) [ G r e e n b o n e N e t w o r k s C u s t o m e r ]: Firma
O r g a n i z a t i o n a l Unit Name ( eg , s e c t i o n ) [ V u l n e r a b i l i t y M a n a g e m e n t Team ]: &
Abteilung
IP - a d d r e s s of the GSM , or it ’ s FQDN ( H O S T N A M E . D O M A I N N A M E ) []: &
192.168.155.180
E m ail A d d r e s s of the GSM A d m i n i s t r a t o r []: [email protected]
Um das Zertifikat auszulesen und anzuzeigen, können Sie den Befehl sslcatself
verwenden.
4.4.2
Zertifikat einer externen Zertifizierungsstelle
t
i
p
p
Um das Zertifikat einer externen Zertifizierungsstelle zu importieren, müssen Sie
auf die Kommandozeile wechseln. Hierzu verlassen Sie das GOS-Admin-Menü, so
dass Sie den Prompt der GSM erhalten: gsm:.
Da Sie die Zertifikatsdaten mit Copy/Paste übertragen, ist es sinnvoll diesen Vorgang mit Hilfe einer SSH-Verbindung durchzuführen. Hierzu müssen Sie möglicherweise den SSH-Zugang zuvor aktivieren (siehe Abschnitt 4.6.2).
35
4.4. ZERTIFIKATE
KAPITEL 4. COMMAND LINE INTERFACE
Nun deaktivieren Sie die Unterstützung für selbstsignierte Zertifikate durch den
Aufruf von set selfsigssl disabled. Hiermit deaktivieren Sie die Variable
selfsigssl. Bestätigen Sie den Aufruf durch commit.
Nun können Sie mit sslreq eine neuen Certificate Request (Zertifikatsanfrage)
erzeugen. Hierbei geben Sie bitte Ihre Daten korrekt an. Besonders wichtig ist die
Angabe des commonName (CN). Dieser muss später mit dem Aufruf im Browser
übereinstimmen. Wenn Sie für den Zugri auf die GSM die IP-Adresse verwenden,
so geben Sie auch hier die IP-Adresse an. Bei Nutzung eines Rechnernamens geben
Sie den Namen an.
gsm : sslselfsign
gsm : set selfsigssl disabled
gsm *: commit
gsm : sslreq
G e n e r a t i n g a 2048 bit RSA p r i v a t e key
.....................................................................+++
. . +++
u n a b l e to write ’ r a n d o m state ’
w r i t i n g new p r i v a t e key to ’ t c k e y . pem ’
----You are about to be a s k e d to e n t e r i n f o r m a t i o n that will be i n c o r p o r a t e d
into your c e r t i f i c a t e r e q u e s t .
What you are ab o u t to e n t e r is what is c a l l e d a D i s t i n g u i s h e d Name or a &
DN .
T h ere are quite a few f i e l d s but you can l e a v e some b l a n k
For some f i e l d s t h e r e will be a d e f a u l t value ,
If you enter ’. ’ , the f i e l d will be left b l a n k .
----C o u n t r y Name (2 l e t t e r code ) [ DE ]: DE
S t ate or P r o v i n c e Name ( full name ) [ N i e d e r s a c h s e n ]: Bundesland
L o c a l i t y Name ( eg , city ) [ H i l d e s h e i m ]: Stadt
O r g a n i z a t i o n Name ( eg , c o m p a n y ) [ G r e e n b o n e N e t w o r k s C u s t o m e r ]: Firma
O r g a n i z a t i o n a l Unit Name ( eg , s e c t i o n ) [ V u l n e r a b i l i t y M a n a g e m e n t Team ]: &
Abteilung
IP - a d d r e s s of the GSM , or it ’ s FQDN ( H O S T N A M E . D O M A I N N A M E ) []: &
192.168.155.180
E m ail A d d r e s s of the GSM A d m i n i s t r a t o r []: [email protected]
Die Zertifikatsanfrage wird direkt im Anschluss auf dem Terminal angezeigt. Falls
Sie die Ausgabe wiederholen möchten, können Sie dies mit dem Befehl sslcatkey
erreichen.
36
KAPITEL 4. COMMAND LINE INTERFACE
4.4. ZERTIFIKATE
Abbildung 4.3: Die Zertifikatsanfrage befindet sich in dem Block zwischen ”BEGIN
CERTIFICATE REQUEST” und ”END CERTIFICATE REQUEST”
Das angezeigte Zertifikat muss nun mit Copy/Paste an eine Zertifikatsautorität mit
der Bitte um Signatur übertragen werden.
t
i
p
p
Nachdem das Zertifikat von der Zertifikatsautorität erhalten wurde, muss es im
PEM-Format (Base64) wieder an die GSM übertragen werden. Hierzu müssen Sie
das Kommando ssldownload oder certdownload aufrufen, das Zertifikat mit Copy/Paste übertragen und die Eingabe mit Strg-D auf einer leeren Zeile abschliessen.
Bei dem Import des Zertifikats kann es zu Warnungen kommen. Das Greenbone OS
prüft selbst auch die Validität des Zertifikats. Hierzu nutzt es eine Liste von Zertifikatsautoritäten, die in dem Greenbone OS hinterlegt sind. Wenn die ausstellende Autorität nicht dem GSM bekannt ist, zeigt es bei dem Import des Zertifikats
Warnungen an. Diese können jedoch vernachlässigt werden, da der GSM anschließend nicht mehr die Validität des Zertifikats prüfen muss. Wichtig ist, dass alle
eingesetzten Clients (z.B. Webbrowser) der Zertifikatsautorität vertrauen.
37
4.5. GERÄTEVERWALTUNG
4.5
KAPITEL 4. COMMAND LINE INTERFACE
Geräteverwaltung
Dieser Abschnitt beschreibt die Kommandos der CLI für die Verwaltung der Appliance.
Hierzu gehört der Reboot und das Herunterfahren, das Setzen der Netzwerkkonfiguration und die Konfiguration von Mailservern und zentralen Protokollservern.
4.5.1
Reboot und Herunterfahren der Appliance
Um die Appliance herunterzufahren, können Sie auf der CLI das Kommando
shutdown eingeben. In Abhängigkeit des eingesetzten Modells kann es sein, dass
die Appliance sich nicht automatisch ausschaltet. Sobald jedoch der Shutdown
durchgeführt wurde, kann die Appliance ausgeschaltet werden.
gsm : shutdown
Are you sure you want to s h u t d o w n the s y s t e m ?
y/n?
y
Möglicherweise laufende Scan-Prozesse können nach einem Neustart wieder aufgenommen werden.
Um einen Neustart der Appliance anzustossen können Sie in der CLI den Befehl
reboot eingeben:
gsm : reboot
Are you sure you want to r e b o o t the s y s t e m ?
y/n? y
Ein reboot oder shutdown wird verweigert wenn wesentliche administrative Änderungen am System laufen wie zum Beispiel ein Upgrade.
38
KAPITEL 4. COMMAND LINE INTERFACE
4.5.2
4.5. GERÄTEVERWALTUNG
Netzwerkkonfiguration
Die Netzwerkkonfiguration in der CLI erfolgt über das Setzen von Variablen. Dabei
ist anschließend immer ein Commit erforderlich. Die folgenden Parameter können
gesetzt werden.
4.5.2.1
hostname
Der Name der Appliance erscheint in den Scan-Berichten und in den SyslogMeldungen auf einem zentralen Protokollserver. Daher ist es sinnvoll, der Appliance
einen aussagekräftigen Namen zu geben. Hierbei dürfen Sie die folgenden Zeichen
verwenden:
• Klein- und Großbuchstaben a-zA-Z
• Zi ern 0-9
• Bindestrich gsm : get hostname
s h o s t n a m e gsm
gsm : set hostname gsm-frankfurt
gsm *: commit
gsm : get hostname
s h o s t n a m e gsm - f r a n k f u r t
4.5.2.2
domainname
Der Domänenname erscheint ebenfalls wie der Hostname in den Scan-Berichten und
in den Syslog-Meldungen auf einem zentralen Protokollserver. Außerdem wird die
konfigurierte Domäne automatisch bei versandten E-Mails als Absender-Domäne
genutzt. Zusätzlich wird der Domänenname auch bei nicht vollqualifizierten Hostname als Such-Sux angehängt.
Der Domänenname darf die gleichen Zeichen nutzen, wie der Hostname.
gsm : get domainname
s d o m a i n n a m e g r e e n b o n e . net
gsm : set domainname musterfirma.de
gsm *: commit
gsm : get domainname
s d o m a i n n a m e m u s t e r f i r m a . de
39
4.5. GERÄTEVERWALTUNG
4.5.2.3
KAPITEL 4. COMMAND LINE INTERFACE
DNS-Server
Die GSM-Appliance unterstützt bis zu drei DNS-Server. Sie benötigt die Angabe von
mindestens einem DNS-Server. Weitere eingetragene Server werden nur bei Ausfall
des ersten Servers genutzt.
Hierzu stehen drei Variablen zur Verfügung:
• dns1
• dns2
• dns3
Um einen DNS-Server zu löschen, verwenden Sie den Befehl unset.
gsm : get dns2
s dns2 8 . 8 . 4 . 4
gsm : unset dns2
gsm *: commit
gsm : get dns2
u dns2
4.5.2.4
IP-Adressen
Die GSM-Appliances verfügen über bis zu 24 Netzwerkkarten. Für jede dieser Netzwerkkarten können Sie je eine IPv4 und eine IPv6 Adresse konfigurieren. Bei IPv4Adressen können Sie auch das Schlüsselwort dhcp angeben. Hiermit wird die IPAdresse per DHCP bezogen. Die Variablen lauten:
• address_ethX_ipv4
• address_ethX_ipv6
Für X können die Zahlen 0 bis 23 eingesetzt werden. Dies ist abhängig von der
verbauten Hardware.
gsm : get address_eth0_ipv4
s a d d r e s s _ e t h 0 _ i p v 4 dhcp
gsm : set address_eth0_ipv4 192.168.155.108/24
gsm *: commit
gsm : get address_eth0_ipv6
u address_eth0_ipv6
gsm : set address_eth0_ipv6 2001:db8:0:1::1/64
gsm *: commit
gsm :
40
KAPITEL 4. COMMAND LINE INTERFACE
4.5. GERÄTEVERWALTUNG
Nach dem Setzen der IP-Adressen ist ein Reboot erforderlich, damit die Adressen
tatsächlich genutzt werden.
t
i
p
p
Um eine IP-Adresse zu löschen verwenden Sie den Befehl unset. Wenn Sie die IPv4Adresse löschen, wird nur diese Adresse deaktiviert. Die IPv6-Adresse ist weiterhin
erreichbar sein.
Grundsätzlich ist immer auch auf jeder Netzwerkkarte die IPv6-Link-LocalAdresse aktiv. Wenn Sie IPv6 abschalten möchten, so können Sie die Variable
ipv6support nutzen. Diese deaktiviert für die gesamte Appliance die IPv6Unterstützung. Damit sind dann auch die Link-Local-Adresse nicht mehr aktiv.
4.5.2.5
Default Gateway
Um das Default-Gateway zu setzen, verwenden Sie die Variable
default_route_ipv4. Wenn Sie DHCP für die Vergabe der IP-Adressen nutzen
wird auch die Default-Route über DHCP gesetzt, sofern nicht mittels der Variable
default_route_ipv4 explizit ein Router bestimmt wird.
gsm : get default_route_ipv4
u default_route_ipv4
gsm : set default_route_ipv4 192.168.155.1
gsm *: commit
gsm :
Via CLI kann nur das IPv4-Default-Gateway gesetzt werden. Komplexe RoutingEinstellungen müssen über die Experten Netzwerkkonfigugration (siehe Abschnitt
4.5.3) erfolgen.
4.5.2.6
Network Time Protokoll
Um eine Zeitsynchronisation der Appliance mit zentralen Servern zu ermöglichen,
unterstützt die GSM-Appliance das NTP-Protokoll. Sie können zwei NTP-Server einrichten, die von der Appliance für die Synchronisation genutzt werden. Die Appliance
wählt selbst den geeigneten Server aus. Bei Ausfall eines Servers wird automatisch
der andere Server genutzt.
Hierzu stehen die Variablen ntp_server1 und ntp_server2 zur Verfügung. Beide
Variablen erwarten eine IP-Adresse als Angabe. Die Angabe eines DNS-Namens ist
nicht erlaubt.
gsm : set ntp_server1 192.53.103.104
gsm *: commit
Um die Nutzung und die Funktion des Protokolls zu testen, steht der Befehl ntpq
zur Verfügung:
41
4.5. GERÄTEVERWALTUNG
KAPITEL 4. COMMAND LINE INTERFACE
gsm : ntpq
remote
refid
st t when poll r e a c h
delay
offset
&
jitter
==============================================================================&
* p t b t i m e 1 . ptb . de . PTB .
0.495
+ p t b t i m e 2 . ptb . de . PTB .
0.354
LOCAL (0)
. LOCL .
0.00 0
1 u
245 1024
377
14.131
-0.432
&
1 u 1012 1024
377
13.544
0.015
&
0
0.000
0.000
&
10 l
53 h
64
Hier können Sie die konfigurierten NTP-Server, ihr Stratum, die Erreichbarkeit, Zeitabweichungen und Verzögerungen und den Jitter erkennen. Der Stern (*) in der
ersten Spalte zeigt an, mit welchem Server sich aktuell die Appliance synchronisiert.
4.5.2.7
Mail-Server
Wenn Sie die Berichte nach Abschluss eines Scans automatisch per E-Mail versenden
möchten, müssen Sie in der Appliance einen Mail-Server konfigurieren. Die Appliance
verfügt selbst über keinen Mail-Server.
Stellen Sie sicher, dass der Mail-Server die E-Mails von der Appliance immer annimmt. Die Appliance speichert im Fehlerfall die E-Mails nicht. Es wird kein zweiter
Zustellversuch zu einem späteren Zeitpunkt unternommen. Daher müssen Sie auf
dem Mailserver mögliche Anti-Spam-Maßnahmen, wie ein Greylisting, für die Appliance deaktivieren. Auch eine Authentifizierung mit Hilfe eines Benutzers und
Kennworts wird von der Appliance nicht unterstützt. Die Authentifizierung muss
daher IP-basiert erfolgen!
Für die Konfiguration des Mail-Servers verwenden Sie die Variable mailhub:
gsm : get mailhub
s m a i l h u b mail . g r e e n b o n e . net
gsm : set mailhub mx.musterfirma.de
gsm *: commit
4.5.2.8
Zentraler Protokollserver
Die GSM-Appliance erlaubt die Konfiguration zentraler Protokollserver für die Speicherung der Protokolle. Hierbei nutzt die GSM-Appliance das Syslog-Protokoll. Die
zentrale Speicherung der Protokolle erlaubt eine zentrale Analyse, Verarbeitung
und Überwachung der Protokolle. Zusätzlich werden die Protokolle aber auch immer
lokal gespeichert.
Sie können zwei Protokollserver konfigurieren. Beide werden genutzt. Als Transportprotokoll können sowohl UDP (Default) als auch TCP genutzt werden. Das TCPProtokoll garantiert die Übertragung der Nachrichten auch bei Paketverlust. Kommt
42
KAPITEL 4. COMMAND LINE INTERFACE
4.5. GERÄTEVERWALTUNG
es bei einer UDP-basierten Übertragung zu Paketverlusten, so sind die Protokollmeldungen verloren.
Hierzu können Sie die folgenden zwei Variablen nutzen:
• syslog_server1
• syslog_server2
Das Format lautet:
[udp|tcp://]ip[:port]
Beispiel:
gsm : set syslog_server1 tcp://192.168.0.5:2000
gsm *: commit
Wird der Port nicht angegeben, so wird der Default-Port 514 genutzt. Wird das
Protokoll nicht angegeben, so wird UDP verwendet.
4.5.2.9
SNMP
Die GSM-Appliance unterstützt SNMP. Bisher kann diese SNMP-Unterstützung jedoch nur sinnvoll für den Versand von Traps durch Alerts genutzt werden (siehe
Abschnitt 8). Das Überwachen von Vitalparameter der Appliance per SNMP und
die Aufnahme der Appliance in zentrale Überwachungswerkzeuge wird noch nicht
unterstützt3 (siehe unten).
Die unterstützten Parameter sind über eine Management Information Base (MIB)Datei spezifiziert. Die aktuelle MIB ist über die Homepage von Greenbone abrufbar4 .
Die GSM-Appliance unterstützt das SNMP-Protokoll Version 3 für lesende Zugri e
und SNMPv1 für Traps.
Die SNMPv3-Konfiguration wird am einfachsten über das GOS-Admin-Menü unter
dem Punkt Re m o t e und S N M P C o n f i g u r a t i o n vorgenommen. Hier wird dann
auch deutlich, dass der GSM das Kennwort des SNMPv3-Benutzers mit SHA-1 überträgt und die Verschlüsselung mit AES durchführt.
Das Versenden von Traps wird im GOS-Admin-Menü unter N e t wo r k und S N M P
konfiguriert.
Alternativ erlauben die folgenden Variablen die Konfiguration des SNMP-Zugangs:
3 GOS 3.1.6
4 http://www.greenbone.net/technology/snmp.de.html
43
4.5. GERÄTEVERWALTUNG
KAPITEL 4. COMMAND LINE INTERFACE
Abbildung 4.4: SNMPv3 Konfiguration
• snmp
• snmp_key
• snmp_password
• snmp_user
• snmp_location
• snmp_contact
• snmp_trap
• snmp_trapcommunity
• snmp_trapreceiver
Aktuell ist nur die Konfiguration eines Trap-Receiver sinnvoll. Dieser kann für den
Versand von Alerts als SNMP-Trap genutzt werden (siehe auch Kapitel 8):
gsm : set snmp_trap enabled
gsm *: set snmp_trapcommunity public
gsm *: commit
gsm : get snmp_trapreceiver
s snmp_trapreceiver 192.168.0.1
Um einen lesenden SNMP-Zugri mit Hilfe der Variablen zu konfigurieren, nutzen
Sie die entsprechenden Variablen snmp_key, snmp_password und snmp_user.
Anschließend können Sie den lesenden Zugri auf den SNMP-Dienst von Linux/Unix
mit snmpwalk testen:
$ snmpwalk -v 3 -l authPriv -u user -a sha -A password -x aes -X key 192.168.155.180
iso . 3 . 6 . 1 . 2 . 1 . 1 . 1 . 0 = S T R I N G : " G r e e n b o n e S e c u r i t y M a n a g e r "
iso . 3 . 6 . 1 . 2 . 1 . 1 . 5 . 0 = S T R I N G : " gsm "
44
KAPITEL 4. COMMAND LINE INTERFACE
4.5. GERÄTEVERWALTUNG
Mehr Daten gibt die GSM Appliance per SNMP bisher nicht preis.
4.5.3
Experten Netzwerkkonfiguration
Das GOS-Admin-Menü und die Variablen erlauben im Moment nur eine einfache
Netzwerkkonfiguration. Hierbei können Sie weder VLANs nutzen noch mehrere
statische Routen setzen.
Um entsprechende Änderungen der Einstellungen vorzunehmen existiert nun ein
Expertenmodus. Dieser erwartet die Eingabe sämtlicher Einstellungen in Form eines
Skriptes. Die Erzeugung, Anpassung und Aktivierung dieses Skripts wird in diesem
Abschnitt beschrieben.
Sobald Sie den Expertenmodus verwenden, können Sie nicht mehr die IP-Adressen
über das GOS-Admin-Menü oder die Variablen ändern!
Um den Expertenmodus zu nutzen, müssen Sie diesen zunächst aktivieren. Hierzu
rufen Sie auf der CLI (siehe Abschnitt 4.1) das folgende Kommando auf. Anschließend
ist ein Reboot erforderlich.
gsm : set netmode expert
gsm *: commit
gsm : reboot
Are you sure you want to r e b o o t the s y s t e m ?
y/n? y
Um zu einem späteren Zeitpunkt wieder in den normalen Modus zurückzukehren
verwenden Sie den Befehl set netmode default.
Bitte beachten Sie, dass Sie noch ein commit ausführen müssen, damit der set
netmod Befehl wirksam ist. Nachdem Sie die Datei expertnet.sh angepasst haben
ist dann noch ein reboot notwendig, damit die Einstellungen übernommen werden
Derzeit versetzt der Befehl set netmode expert das System in einen Zustand,
in dem der Benutzer die gesamte Konfiguration von Hand eingeben muss. Um sie
dauerhaft zu speichen, müssen Sie die Befehle in der Datei expertnet.sh speichern
und diese ausführbar machen (siehe unten).
Um die Datei zu editieren, wechseln Sie in den Shell-Modus. Geben Sie hierzu das
Kommand shell ein:
gsm : shell
ATTENTION :
The s h e l l c o m m a n d s h o u l d only be used by e x p e r t
users .
To l e a v e the e x p e r t mode , type ’ exit ’.
45
&
4.5. GERÄTEVERWALTUNG
KAPITEL 4. COMMAND LINE INTERFACE
a d m i n @ g s m :~ $ ls -l expertnet.sh
- rwxr - - r - - 1 a d m i n a d m i n 131 May
e x p e r t n e t . sh
a d m i n @ g s m :~ $
4
2012
&
Nachdem Sie sich auf der Greenbone OS Shell befinden, können Sie mit ls die Dateien
in Ihrem Heimatverzeichnis anzeigen. Hier befindet sich auch eine Datei expertnet.sh.
Diese Datei kann von Ihnen mit einem Editor angepasst werden. Hierzu können
Sie entweder den Editor vi, vim oder nano verwenden. Wenn Sie den Editor vi
bzw. vim nicht kennen, verwenden Sie bitte den Editor nano. Dieser zeigt unten am
Fenster eine Hilfe an. Die dort aufgeführten Tastenkombinationen werden alle mit
der Steuerungstaste aufgerufen: Strg-O schreibt die Datei.
Wenn Sie diese Datei noch nicht editiert haben, hat sie den folgenden Inhalt:
# This s c r i p t can be used to set c u s t o m n e t w o r k
p a r a m e t e r s like
# VLANS , s o u r c e b a s e d r o u t i n g and f i r e w a l l &
r e s t r i c t i o n s on the GSM
&
Ein Editieren auf einem anderen System und das anschließende Übertragen der
Datei mit Secure-Copy ist nicht möglich. Der GSM unterstützt kein Secure-Copy via
SSH.
Ihre erste Änderung in dieser Datei ist das Einfügen einer ersten Zeile, so dasss die
Datei anschließend den folgenden Inhalt hat:
#!/ bin / sh
# This s c r i p t can be used to set c u s t o m n e t w o r k
p a r a m e t e r s like
# VLANS , s o u r c e b a s e d r o u t i n g and f i r e w a l l &
r e s t r i c t i o n s on the GSM
&
Die erste Zeile weist das Greenbone OS an, diese Datei mit Hilfe der Shell /bin/sh
zu interpretieren. Ohne diese Zeile wird die Datei später nicht ausgeführt. Damit die
Datei ausgeführt werden kann, sollten Sie die Datei auch direkt mit entsprechenden
Rechten versehen. Geben Sie hierfür auf der Kommandozeile den folgenden Befehl
ein:
a d m i n @ g s m :~ $ chmod 755 expertnet.sh
Sämtliche Netzwerkkonfigurationen sollten mit dem Kommando ip erfolgen. Die
alternativen Kommandos ifconfig, route und vconfig sollten nicht genutzt
werden. Ihre Unterstützung kann in Zukunft eingeschränkt werden.
Um Probleme mit den Pfaden auf dem System zu vermeiden, sollte der Befehl ip
immer mit seinem kompletten Pfad aufgerufen werden: /bin/ip.
46
KAPITEL 4. COMMAND LINE INTERFACE
4.5.3.1
4.5. GERÄTEVERWALTUNG
Setzen von IP-Adressen
Das Setzen von IP-Adressen kann ganz einfach mit dem IP-Befehl durchgeführt
werden. Hierzu sollten das Setzen in drei Schritten erfolgen:
1. Aktivieren der Netzwerkkarte
2. Setzen der ersten IP-Adresse
3. Setzen von optional weiteren IP-Adressen auf derselben Netzwerkkarte
Nach dem Aktivieren der Netzwerkkarte sollte eine Verzögerung von 10 Sekunden
eingebaut werden, damit die Netzwerkkarte ausreichend Zeit für die Autonegotiation
erhält. Der Einheitlichkeit erfolgt das im Beispiel auch für die Loopback-Karte.
Ein Beispiel:
/ bin / ip link set lo up
sl e e p 10 s
/ bin / ip addr add 1 2 7 . 0 . 0 . 1 / 8 dev lo
/ bin / ip link set eth0 up
sl e e p 10 s
/ bin / ip addr add 1 9 2 . 1 6 8 . 8 1 . 1 0 / 2 4 dev eth0
/ bin / ip - f i n e t 6 addr add 2 6 0 7 : f0d0 : 2 0 0 1 : : 1 0 / 1 1 4
dev eth0
&
Die ersten drei Zeilen aktivieren und konfigurieren das Loopback Interface. Diese
Netzwerkschnittstelle dürfen Sie nicht vergessen in dem Skript. Ohne das Loopback
Interface ist der GSM nicht funktionstüchtig.
Sie können mit dem Kommando ip auch mehrere IP-Adressen auf derselben Netzwerkkarte aktivieren. Mit ip addr add werden weitere IP-Adressen hinzugefügt.
Sie ersetzen nicht die vorhandene IP-Adresse. Um eine IP-Adresse zu löschen ist
explizit ein ip addr del erforderlich!
4.5.3.2
VLAN Unterstützung
Wenn Sie Ihre Switche so konfigurieren, dass diese mehrere VLANs mit Tags (VLAN
IDs5 versehen in einem IEEE 802.1q6 -Trunk7 ) an den GSM weiterleiten, so müssen Sie
5 Das 802.1q Protokoll unterstützt mit einem 12Bit VID Feld bis zu 4096 VLANs. Einzelne VLAN IDs sind
jedoch reserviert.
6 Das IEEE 802.1q ist heute das am meisten verbreitete VLAN Protokoll. Es hat die proprietären Protokolle einzelner Hersteller (wie ISL von Cisco) abgelöst.
7 Mehrere VLANS werden durch Tags markiert durch eine einzige Verbindung (single interconnect)
übertragen.
47
4.5. GERÄTEVERWALTUNG
KAPITEL 4. COMMAND LINE INTERFACE
diese auf dem GSM entsprechend zerlegen. Hierzu müssen Sie Subinterfaces auf der
physikalischen Netzwerkkarte konfigurieren. Auch diese Subinterfaces erzeugen
Sie mit dem Kommando ip.
/ bin / ip link set
sl e e p 10
/ bin / ip link add
id 91
/ bin / ip link set
/ bin / ip addr add
eth1 up
link eth1 name eth1 .91 type vlan
&
eth1 .91 up
1 9 2 . 1 6 8 . 8 1 . 2 6 / 2 4 dev eth1 .91
Das dritte Kommando erzeugt auf der Netzwerkkarte eth1 ein Subinterface mit
dem Namen eth1.91. Der Name kann hierbei von Ihnen frei gewählt werden. Sie
können also als Namen auch zum Beispiel ServerNet oder MailDMZ oder ähnliches verwenden. Mit der Angabe type vlan weisen Sie den Befehl an, dass ein
getaggtes VLAN entsprechend ausgepackt werden soll. Mit der id 91 wählen Sie
die tatsächliche VLAN ID aus.
Die weiteren Zeilen aktivieren das Subinterface und setzen die IP-Adresse. Auch
hier können mehrere IPv4 und auch IPv6 Adressen gesetzt werden.
Falls es sich um einen VLAN Trunk mit einem Native VLAN handelt, so können Sie
auch für die physikalische Netzwerkkarte eine IP-Adresse setzen. Wurde kein native VLAN konfiguriert, so ist eine IP-Adresse für die physikalische Netzwerkkarte
nicht erforderlich. Jedoch müssen Sie in dem Fall daran denken, die physikalische
Netzwerkkarte zu aktivieren!
4.5.3.3
Statisches Routing
Die meisten Netze verfügen nur über ein Gateway. Dieses Gateway wird häufig auch
als Default-Gateway bezeichnet. Teilweise nutzen jedoch historisch gewachsene
Netze für unterschiedliche Ziele verschiedene Router. Wenn diese Router untereinander nicht ihre Daten über dynamische Routingprotokolle austauschen, sind häufig
auf den Clientsystemen statische Routen für diese Ziele erforderlich. Die Expertenkonfiguration erlaubt Ihnen das Setzen von beliebig vielen statischen Routen.
Wenn Sie die Expertenkonfiguration nutzen, müssen Sie auch das Default-Gateway
in der Datei expertnet.sh setzen. Wenn Sie IPv4 und IPv6 nutzen, müssen Sie für
jedes Protokoll ein getrenntes Default-Gateway setzen. Wenn Sie bei IPv6 die Autokonfiguration nutzen, kann hier das Default-Gateway entfallen.
Um eine Route zu setzen, verwenden Sie ebenfalls den Befehl ip mit dem Argument
route.
/ bin / ip r o u t e add d e f a u l t via 1 9 2 . 1 6 8 . 8 1 . 1
/ bin / ip - f i n e t 6 r o u t e add d e f a u l t via 2 6 0 7 : f0d0 &
:2001::1
48
KAPITEL 4. COMMAND LINE INTERFACE
4.6. FERNZUGRIFF
Das Schlüsselwort default wird hierbei entsprechend zu 0.0.0.0/0 oder ::/0 aufgelöst.
Um weitere Routen zu setzen können Sie einfach die folgende Syntax nutzen:
/ bin / ip r o u t e add 1 9 2 . 1 6 8 . 0 . 0 / 2 4 via 1 9 2 . 1 6 8 . 8 1 . 5
Hiermit setzen Sie eine Route für das Netzwerk 192.168.0.0/24 über den Router
192.168.81.5.
4.6
Fernzugri
Für den Zugri von außen auf die GSM-Appliance stehen grundsätzlich vier Wege
zur Verfügung:
• HTTPS
Dies ist der übliche Weg für die Anlage, Durchführung und Analyse der
Vulnerability-Scans. Dieser Weg ist daher per Default freigeschaltet und kann
auch nicht deaktiviert werden. Sie können lediglich den Timeout für eine automatische Abmeldung bei Inaktivität der HTTPS-Sitzung konfigurieren.
• SSH
Dieser Weg bietet Ihnen die Möglichkeit per Kommandozeile auf die GSMAppliance zuzugreifen und die CLI und das GOS-Admin-Menü zu verwenden.
Dieser Zugang ist per Default deaktiviert und muss zunächst freigeschaltet
werden. Dies kann z.B. über die serielle Konsole erfolgen.
• OMP (OpenVAS Management Protocol)
Das OpenVAS Management Protocol (OMP) erlaubt die Kommunikation mit
weiteren Greenbone Produkten (z.B. einer weiteren GSM). Es kann auch für die
Kommunikation eigener Software mit der Appliance genutzt werden (siehe
Abschnitt 13).
• SNMP
Der lesende Zugri
4.5.2.9.
4.6.1
auf den GSM ist via SNMPv3 möglich (siehe Abschnitt
HTTPS Timeout
Dieser Wert kann sowohl mit dem GOS-Admin-Menü (Remote/HTTPS Timeout)
eingestellt werden als auch auf der Kommandozeile. Auf der CLI nutzen Sie die
Variable webtimeout:
49
4.6. FERNZUGRIFF
KAPITEL 4. COMMAND LINE INTERFACE
gsm : get webtimeout
s w e b t i m e o u t 15
gsm : set webtimeout 1
gsm *: commit
gsm : get webtimeout
s webtimeout 1
Der Wert für den Timeout darf zwischen 1 und 1440 Minuten (1 Tag) betragen.
4.6.2
SSH-Zugang
Der SSH-Zugang kann ebenfalls über das GOS-Admin-Menü (Re m o t e/S S H) als
auch über die CLI eingestellt werden. Auf der CLI nutzen Sie die Variable ssh. Diese
kann den Wert enabled oder disabled einnehmen. Zusätzlich kann die Variable
gelöscht werden:
gsm : get ssh
s ssh e n a b l e d
gsm : set ssh disabled
gsm *: commit
gsm : get ssh
s ssh d i s a b l e d
Das GOS-Admin-Menü bietet zusätzlich die Möglichkeit, den Fingerprint des ö entlichen Schlüssels der Appliance (Host-Key) anzuzeigen.
4.6.3
OpenVAS Management Protocol (OMP)
Das OpenVAS Management Protocol kann sowohl über das GOS-Admin-Menü
(Re m o t e/O M P) aktiviert werden als auch über die CLI. Auf der CLI nutzen Sie
hierzu die Variable public_omp:
gsm : get public_omp
s public_omp disabled
gsm : set public_omp enabled
gsm *: commit
gsm : get public_omp
s public_omp enabled
50
KAPITEL 4. COMMAND LINE INTERFACE
4.7
4.7. UPGRADE UND FEEDS
Upgrade und Feeds
Auf der Kommandozeile können Sie Systemupgrades durchführen und die FeedSynchronisation konfigurieren. Hierzu stehen mehrere Kommandos und Variablen
zur Verfügung.
4.7.1
Upgrade des Systems
Das Kommando systemupgrade führt ein Upgrade durch. Den Status können Sie
mit systemupgradestatus oder show schedule anzeigen.
Beachten Sie hierzu auch den Abschnitt 5.2.
4.7.2
Feed Synchronisation
Um die Synchronisation des Feeds zu konfigurieren, stehen mehrere Variablen zur
Verfügung: feedsync, syncport und synctime. Alternativ ist die Konfiguration
über das GOS-Admin-Menü unter Fe e d möglich.
Abbildung 4.5: Konfiguration des Feeds
• feedsync
Hiermit können Sie die automatische Synchronisation an- und abschalten.
• syncport
Hiermit definieren Sie den Port für den Synchronisation des Feeds. Dieser Port
ist per Default 24/tcp. Alternativ können Sie den Port 443/tcp nutzen. Andere
Ports können nicht verwendet werden.
• synctime
Hiermit konfigurieren Sie die tägliche Uhrzeit für die Synchronisation des Feeds.
51
4.7. UPGRADE UND FEEDS
KAPITEL 4. COMMAND LINE INTERFACE
Diese sollte ausserhalb der normalen Nutzungszeit liegen. Außerdem ist der
Zeitraum von 10:00 - 12:59 als Wartungsfenster des Feeds nicht nutzbar. Zeiten
innerhalb dieses Fensters werden daher abgelehnt. Die Zeiten verstehen sich
immer als UTC.
gsm : get synctime
s synctime 06:25
gsm : set synctime 11:30
s y n t a x e r r o r in v a l u e
gsm : set synctime 13:30
gsm *: commit
gsm : get synctime
s synctime 13:30
Alternativ kann der Feed auch auf der Kommandozeile gestartet werden.
Hierzu verwenden Sie das Kommando feedstartsync. Mit dem Kommando
feedsyncstatus und feedversion können Sie den aktuellen Zustand kontrollieren.
4.7.3
Proxy Konfiguration
Sowohl für den Bezug des Feeds als auch für den Bezug der Software-Updates ist
unter Umständen die Nutzung eines Proxy-Servers erforderlich. Für die Konfiguration des Proxies stehen zwei Variablen zur Verfügung:
• proxy_feed
• proxy_update
Beide Variablen erwarten die Angabe eines HTTP-Proxies in der Syntax http://
proxy_ip[:port].
gsm : get proxy_feed
u proxy_feed
gsm : set proxy_feed http://1.2.3.4:3128
gsm *: commit
gsm : get proxy_feed
s p r o x y _ f e e d http : / / 1 . 2 . 3 . 4 : 3 1 2 8
Falls der Proxy eine Authentifizierung verlangt, kann diese über die Variable
proxy_credentials konfiguriert werden. Diese Variable erwartet den Benutzernamen und das Kennwort durch Doppelpunkt getrennt:
gsm : get proxy_credentials
u proxy_credentials
52
KAPITEL 4. COMMAND LINE INTERFACE
4.8. ÜBERWACHUNG UND FEHLERSUCHE
gsm : set proxy_credentials user:password
gsm *: commit
gsm : get proxy_credentials
s p r o x y _ c r e d e n t i a l s user : p a s s w o r d
4.8
Überwachung und Fehlersuche
Es stehen verschiedene Werkzeuge für die Überwachung und Fehlersuche auf der
GSM-Appliance zur Verfügung. Die GSM-CLI bietet den Zugri auf einige UNIXBefehle und -Dateien, die bei der Fehlersuche unterstützen können.
4.8.1
Fehlersuche und Überwachung der Netzwerkfunktionen
Wenn der GSM nicht erreichbar ist oder nicht von allen Client-Systemen erreicht
werden kann, müssen Sie die Netzwerkkonfiguration prüfen. Dies ist auch der Fall,
wenn der GSM nicht alle Systeme im Rahmen eines Scans erreichen kann. Hierzu
können neben den Funktionen des GOS-Admin-Menüs auch einige Kommandozeilenwerkzeuge genutzt werden.
Die folgenden Kommandos zeigen die aktuelle Netzwerkkonfiguration an:
• getip
Dieses CLI spezifische Kommando zeigt die aktuelle Netzwerkkonfiguration an.
Intern nutzt es das UNIX-Kommando ip addr show. Durch die Angabe einer
bestimmten Netzwerkkarte kann die Ausgabe auf diese beschränkt werden:
gsm : getip dev eth0
2: eth0 : < BROADCAST , MULTICAST , UP , LOWER_UP > mtu &
1500 q d i s c p f i f o _ f a s t s t a t e UP qlen &
1000
link / e t h e r 5 2 : 5 4 : 0 0 : 9 8 : 3 6 : 5 f brd ff : ff : ff : &
ff : ff : ff
inet 1 9 2 . 1 6 8 . 1 5 5 . 1 0 8 / 2 4 brd 1 9 2 . 1 6 8 . 1 5 5 . 2 5 5 &
s c o p e g l o b a l eth0
i n e t 6 fe80 :: dead : beef /64 s c o p e link
valid_lft forever preferred_lft forever
i n e t 6 fe80 : : 5 0 5 4 : ff : fe98 :365 f /64 s c o p e link
valid_lft forever preferred_lft forever
• getroute
Dieses CLI spezifische Kommando zeigt die aktuelle IPv4-Routing-Tabelle an:
53
4.8. ÜBERWACHUNG UND FEHLERSUCHE
KAPITEL 4. COMMAND LINE INTERFACE
gsm : getroute
1 9 2 . 1 6 8 . 1 5 5 . 0 / 2 4 dev eth0
proto kernel
link
src 1 9 2 . 1 6 8 . 1 5 5 . 1 0 8
d e f a u l t via 1 9 2 . 1 6 8 . 1 5 5 . 1 dev eth0
scope
&
• ntpq
Dieses Kommando zeigt die konfigurierten NTP-Server und deren Kommunikationszustand an:
gsm : ntpq
remote
refid
st t when poll r e a c h
delay
&
offset
jitter
==============================================================================&
+ p t b t i m e 1 . ptb . de
-0.319
* p t b t i m e 2 . ptb . de
0. 1 4 3
LOCAL (0)
0.000
. PTB .
9.907
. PTB .
0.150
. LOCL .
0.000
1 u
602 1024
377
14.477
1 u
44 1024
177
13.580
&
0
0.000
&
10 l
11 d
64
&
Die Zeile mit einem Stern (*) ist der aktuell präferierte NTP-Server. Die Zeile
mit einem Plus (+) kennzeichnet den Backup-NTP-Server.
• ip
Das UNIX-Kommando ip steht auch in der CLI für den lesenden Zugri der
Netzwerkeigenschaften zur Verfügung. Hiermit können Sie verschiedene Informationen anzeigen.
– Anzeige der Netzwerkkarten
Um eine Liste der Netzwerkkarten anzuzeigen, können Sie den Befehl
ip link show verwenden. Dieser Befehl zeigt Ihnen die verfügbaren
Netzwerkkarten und ihre MAC-Adressen an:
gsm : ip link show
1: lo : < LOOPBACK , UP , LOWER_UP > mtu 1 6 4 3 6 q d i s c n o q u e u e s t a t e
U N K N O W N mode D E F A U L T
link / l o o p b a c k 0 0 : 0 0 : 0 0 : 0 0 : 0 0 : 0 0 brd 0 0 : 0 0 : 0 0 : 0 0 : 0 0 : 0 0
2: eth0 : < BROADCAST , MULTICAST , UP , LOWER_UP > mtu 1500 q d i s c &
p f i f o _ f a s t s t a t e UP mode D E F A U L T qlen 1000
link / e t h e r 5 2 : 5 4 : 0 0 : 9 8 : 3 6 : 5 f brd ff : ff : ff : ff : ff : ff
&
– Anzeige der IP-Adressen
Um die Liste der IP-Adressen anzuzeigen, können Sie den Befehl ip addr
show. Die Ausgabe entspricht dem Befehl getip.
gsm : ip link show
1: lo : < LOOPBACK , UP , LOWER_UP > mtu 1 6 4 3 6 q d i s c n o q u e u e s t a t e &
UNKNOWN
link / l o o p b a c k 0 0 : 0 0 : 0 0 : 0 0 : 0 0 : 0 0 brd 0 0 : 0 0 : 0 0 : 0 0 : 0 0 : 0 0
inet 1 2 7 . 0 . 0 . 1 / 8 s c o p e host lo
in e t 6 : : 1 / 1 2 8 s c o p e host
valid_lft forever preferred_lft forever
2: eth0 : < BROADCAST , MULTICAST , UP , LOWER_UP > mtu 1500 q d i s c &
p f i f o _ f a s t s t a t e UP qlen 1000
link / e t h e r 5 2 : 5 4 : 0 0 : 9 8 : 3 6 : 5 f brd ff : ff : ff : ff : ff : ff
inet 1 9 2 . 1 6 8 . 1 5 5 . 1 8 0 / 2 4 brd 1 9 2 . 1 6 8 . 1 5 5 . 2 5 5 s c o p e g l o b a l &
eth0
in e t 6 fe80 : : 5 0 5 4 : ff : fe98 :365 f /64 s c o p e link
valid_lft forever preferred_lft forever
54
KAPITEL 4. COMMAND LINE INTERFACE
4.8. ÜBERWACHUNG UND FEHLERSUCHE
– Anzeige der Routen
Um die Routing-Tabelle anzuzeigen, verwenden Sie den Befehl ip route
show. Die Ausgabe entspricht dem Befehl getroute. Die Anzeige der
IPv6-Routen erfolgt mit ip -6 route show.
gsm : ip -6 route show
2 0 0 1 : 4 dd0 : ff00 : d58 ::1 dev eth0
metric 0
ca c h e
2 0 0 1 : 4 dd0 : ff00 : d58 : : / 6 4 dev eth0
proto kernel
m e t r i c 256
fe80 :: / 6 4 dev eth0
proto kernel
m e t r i c 256
d e f a u l t via 2 0 0 1 : 4 dd0 : ff00 : d58 ::1 dev eth0
m e t r i c 1024
– ARP- und Neighbor-Cache
Der ARP-Cache enthält die MAC-Adressen der Systeme, mit denen der
GSM kürzlich direkt im LAN kommuniziert hat. Die Anzeige kann daher bei
der Fehlersuche helfen, wenn der GSM ein System, welches sich im selben
LAN befindet, nicht erreichen kann. Der Neighbor-Cache erfüllt dieselbe
Aufgabe für IPv6-Adressen, wie sie der ARP-Cache für IPv4-Adressen
wahrnimmt. Auf dem GSM werden diese nicht mehr unterschieden und
mit demselben Kommando angezeigt. Durch Angabe von -4 oder -6 kann
die Anzeige auf IPv4 oder IPv6 beschränkt werden:
gsm : ip neigh show
fe80 : : 2 1 6 : 4 7 ff : fe7d :11 c3 dev eth0 l l a d d r 0 0 : 1 6 : 4 7 : 7 d :11: c3
router STALE
1 9 2 . 1 6 8 . 2 2 2 . 1 dev eth0 l l a d d r 0 0 : 1 6 : 4 7 : 7 d :11: c3 R E A C H A B L E
&
– Überwachung des IP-Stacks
Mit dem Kommando ip können auch Änderungen der Routing-Tabelle, des
ARP- und Neighbor-Caches und der Netzwerkkarten überwacht werden.
Hierzu rufen Sie den Befehl ip monitor all auf. Alternativ können
nur einzelne Subsysteme (link, address, route, mroute, neigh, netconf)
überwacht werden. Um die Überwachung abzubrechen, geben Sie Strg-C
ein.
gsm : ip monitor all
[ ROUTE ] ff02 ::1 dev eth0
metric 0
ca c h e
[ ROUTE ]2 a01 : 1 9 8 : 5 a1 : 2 0 1 : d6ae :52 ff : fe96 : fe9b via 2 0 0 1 : 4 dd0 : ff00 : &
d58 ::1 dev eth0
metric 0
ca c h e
[ ROUTE ] 2 0 0 1 : 4 dd0 : ff00 : d58 ::1 dev eth0
metric 0
ca c h e
[ ROUTE ] D e l e t e d 2 a01 : 1 9 8 : 5 a1 : 2 0 1 : d6ae :52 ff : fe96 : fe9b via 2 0 0 1 : 4 &
dd0 : ff00 : d58 ::1 dev eth0
metric 0
ca c h e
[ ROUTE ]2 a01 : 1 9 8 : 5 a1 : 2 5 5 : 5 0 5 4 : ff : fec3 : 7 2 6 6 via 2 0 0 1 : 4 dd0 : ff00 : &
d58 ::1 dev eth0
metric 0
ca c h e
[ LINK ]4: eth1 : < NO - CARRIER , BROADCAST , MULTICAST , UP >
link / e t h e r
• Link-Status einer Netzwerkkarte
Um den Link-Status einer Netzwerkkarte zu prüfen, bietet der GSM das Kommando ethtool. Dieses Kommando erwartet zusätzlich den Namen der Netzwerkkarte und kann anschließend die Konfiguration und den aktuellen Zustand
anzeigen. Für die Fehlersuche interessant sind der ausgehandelte Modus und
Geschwindigkeit und der aktuelle Link-Status.
gsm : ethtool eth0
S e t t i n g s for eth0 :
55
4.8. ÜBERWACHUNG UND FEHLERSUCHE
KAPITEL 4. COMMAND LINE INTERFACE
S u p p o r t e d p o r t s : [ TP MII ]
S u p p o r t e d link m o d e s :
10 b a s e T / Half 10 b a s e T / Full
100 b a s e T / Half 100 b a s e T / Full
S u p p o r t e d p a u s e f r a m e use : No
S u p p o r t s auto - n e g o t i a t i o n : Yes
A d v e r t i s e d link m o d e s :
10 b a s e T / Half 10 b a s e T / Full
100 b a s e T / Half 100 b a s e T / Full
A d v e r t i s e d p a u s e f r a m e use : S y m m e t r i c
A d v e r t i s e d auto - n e g o t i a t i o n : Yes
Link p a r t n e r a d v e r t i s e d link m o d e s :
10 b a s e T / Half 10 b a s e T / &
Full
100 b a s e T / Half 100 b a s e T &
/ Full
Link p a r t n e r a d v e r t i s e d p a u s e f r a m e use : S y m m e t r i c
Link p a r t n e r a d v e r t i s e d auto - n e g o t i a t i o n : No
Sp e e d : 100Mb/s
D u p l e x : Full
Port : MII
PH Y A D : 32
Transceiver : internal
Auto - n e g o t i a t i o n : on
S u p p o r t s Wake - on : p u m b g
Wake - on : d
C u r r e n t m e s s a g e l e v e l : 0 x 0 0 0 0 0 0 0 7 (7)
drv p r o b e link
Link d e t e c t e d : yes
56
KAPITEL 5
Betrieb
Dieses Kapitel beschäftigt sich mit dem Betrieb der Greenbone Security Manager
Appliance und betrachtet die wichtigsten Aspekte, die im Betrieb auftreten. Dieses Kapitel beleuchtet erste Schritte der Benutzerverwaltung. Außerdem wird der
Upgrade der Appliance direkt aus dem Internet als auch über den Airgap Modus
besprochen. Schließlich gehört auch die Sicherung und Wiederherstellung der Daten
zu den Themen dieses Kapitels.
57
5.1. BENUTZERVERWALTUNG
5.1
KAPITEL 5. BETRIEB
Benutzerverwaltung
Die Greenbone Security Manager Benutzerverwaltung erlaubt die Definition und die
Verwaltung verschiedenster Benutzer mit unterschiedlichen Rollen und Rechten. Bei
der Initialisierung der GSM-Appliance wird über das GOS-Admin-Menü bereits der
erste Benutzer, der Web- bzw. Scan-Administrator angelegt. Mit diesem Benutzer
ist die Anmeldung und die Verwaltung der weiteren Benutzer möglich.
Dabei unterstützt die GSM Benutzerverwaltung ein rollenbasiertes Rechtekonzept
bei dem Zugri auf die Weboberfläche. Einige Rollen sind bereits von Werk angelegt.
Weitere Rollen können jedoch von einem Administrator erzeugt und verwendet
werden. Die Rolle definiert, welche Funktionen der Weboberfläche von dem Benutzer eingesehen und modifiziert werden dürfen. Dabei sind die Rollen nicht in der
Weboberfläche, sondern in dem darunterliegenden OMP-Protokoll realisiert und
wirken sich daher auf alle OMP-Clients aus. Lesender und modifizierender Zugri
kann getrennt den Rollen zugewiesen werden.
Neben den Rollen unterstützt die GSM Benutzerverwaltung auch Gruppen. Gruppen erlauben die Zusammenfassung von Benutzern. Dies dient in erster Linie der
logischen Gruppierung. Neben einer Verwaltung der Rechte über die Rollen können
auch Gruppen entsprechende Privilegien zugewiesen werden.
Zusätzlich kann über die Benutzerverwaltung jedem Benutzer ein Bereich von IPAdressen zugewiesen werden, dessen Scan erlaubt oder verboten ist. Die GSM
Appliance weigert sich dann andere als die angegebenen IP-Adressen durch den
entsprechenden Benutzer zu scannen. Auch der Zugri auf bestimmte Schnittstellen
der GSM-Appliance kann erlaubt bzw. verboten werden.
Der Greenbone Security Manager bietet für die Verwaltung der Rollen und spezifischen Privilegien der Benutzer eine eigene Benutzerverwaltung. Um jedoch Kennwörter nicht mehrfach vorhalten zu müssen und eine Kennwortsynchronisation zu
erlauben, bietet der Greenbone Security Manager die Anbindung des Systems an
einen zentralen LDAP-Server. Dieser wird dann aber nur für die Überprüfung des
Kennworts bei der Anmeldung des Benutzer genutzt. Alle weiteren Einstellungen
erfolgen in der Benutzerverwaltung der GSM Appliance.
Die folgenden Seiten betrachten nur die Erzeugung einzelne Benutzer. Die Verwaltung der Rechte, Gruppen und Rollen wird in Kapitel 12 betrachtet.
5.1.1
Anlegen und Verwaltung der Benutzer
Den Dialog für das Anlegen und Verwalten der Benutzer erreichen Sie über das
Menü Administration. Dieses Menü wird nur für Administratoren eingeblendet, da
zunächst nur diese weitere Benutzer anlegen und verwalten dürfen. Hier können Sie
den Dialog für die Anlage neuer Benutzer durch den weißen Stern auf blauen Grund
aufrufen oder durch Anwählen des Schraubenschlüssels einen vorhandenen
Benutzer modifizieren.
58
KAPITEL 5. BETRIEB
5.1. BENUTZERVERWALTUNG
Abbildung 5.1: Anlegen eines neuen Benutzers
Bei der Anlage eines neuen Benutzers sind die folgenden Angaben möglich:
• Login Name: Dies ist der Name, mit dem sich der Benutzer anmeldet. Wenn
ein LDAP-Server als zentraler Kennwortspeicher genutzt wird, muss der Benutzer mit dem identischen Namen (rDN) im LDAP-Server angelegt sein. Der
Name darf maximal 80 Zeichen lang sein und aus Buchstaben und Zi ern
bestehen.
• Password: Dies ist das Kennwort des Benutzers. Das Kennwort darf maximal
40 Zeichen aufweisen und aus beliebigen Buchstaben bestehen. Achten Sie
darauf, dass, wenn Sie Sonderzeichen verwenden, diese auf allen Tastaturen
und Betriebssystemen, die Sie einsetzen, auch erreichbar sind.
• Ro l e s (o p t i o n a l): Jeder Benutzer darf mehrere Rollen besitzen. Die Rollen
definieren die Rechte des Benutzers bei der Verwendung des OMP Protokolls.
Da der Greenbone Security Assistant das OMP-Protokoll nutzt, definieren die
Rollen auch direkt die Möglichkeiten in der Weboberfläche. Während Sie weitere Rollen hinzufügen und konfigurieren können, stehen zu Beginn einige
eingebaute Rollen zur Verfügung. Diese Rollen werden in dem Abschnitt 12.1.3
genauer betrachtet.
• G ro u p s (o p t i o n a l): Jeder Benutzer kann Mitglied mehrerer Gruppen sein.
Auch über die Gruppen kann eine Rechteverwaltung erfolgen (siehe Abschnitt
12.1.7)
• Host Access: Hier können Sie definieren, welche Rechner ein bestimmter Benutzer in einem Scan analysieren darf und welche Rechner nicht in einem Scan
berücksichtigt werden. Diese Einschränkungen können auch für Administratoren eingerichtet werden. Diese können jedoch auch selbst die Einschränkungen
wieder aufheben. Daher ist diese Funktion bei Administratoren lediglich zum
Selbstschutz. Normale Benutzer (User) bzw. andere Rollen ohne Zugri auf
die Benutzerverwaltung können diese Einschränkungen jedoch nicht umgehen. Hierbei können Sie grundsätzlich zwischen einer Whitelist (Deny all and
59
5.1. BENUTZERVERWALTUNG
KAPITEL 5. BETRIEB
allow) und einer Blacklist (Allow all and deny) wählen. Im ersten Fall ist der
Scan sämtlicher Rechner grundsätzlich verboten und nur explizit aufgeführte
Systeme dürfen gescannt werden. Im zweiten Fall ist der Scan sämtlicher
Systeme mit Ausnahme der aufgeführten Systeme erlaubt.
Es können sowohl Rechnernamen als auch IPv4- und IPv6-Adressen angegeben werden. Ferner können sowohl einzelne IP-Adressen als auch Adressbereiche und Netzwerksegmente spezifiziert werden. Die folgende Auflistung
gibt hierfür einige Beispiele:
–
–
–
–
–
–
–
–
192.168.15.5 (IPv4-Adresse)
192.168.15.5-192.168.15.27 (IPv4-Bereich Langform)
192.168.15.5-27 (IPv4-Bereich Kurzform)
192.168.15.128/25 (CIDR-Notation)
2001:db8::1 (IPv6-Adresse)
2001:db8::1-2001:db8::15 (IPv6-Bereich Langform)
2001:db8::1-15 (IPv6 Bereich Kurzform)
2001:db8::/120 (CIDR-Notation)
Sämtliche Optionen können beliebig gemischt und als kommaseparierte Liste
angegeben werden. Die Netzmaske in der CIDR-Notation ist jedoch auf maximal
20 bei IPv4 und 116 bei IPv6 beschränkt. In beiden Fällen resultieren hieraus
maximal 4096 IP-Adressen.
Abbildung 5.2: Anzeigen des Benutzers
t
i
p
p
• Interface Access: Hier können Sie definieren, über welche Netzwerkkarten
ein Anwender einen Scan ausführen darf. Hier können Sie eine kommaseparierte Liste von Netzwerkkarten angeben und ähnlich wie bei dem Host Access
zwischen einem Whitelist und einem Blacklist-Verfahren wählen.
Grundsätzlich sollten Sie sich bemühen, das Whitelist-Verfahren zu benutzen und
den Scan grundsätzlich bis auf ausgewählte Systeme zu verbieten. Damit ist sichergestellt, dass Ihre Anwender nicht durch Zufall oder aus Unwissenheit Systeme prüfen, die außerhalb ihrer Zuständigkeit liegen, sich irgendwo im Internet
befinden oder auf einen Scan mit Fehlfunktionen reagieren.
Nach der Anlage des Benutzers werden dessen Eigenschaften angezeigt. Sie sollten
diese Anzeige kontrollieren um sicherzustellen, dass Sie dem Benutzer nicht zu viele
Privilegien zugewiesen haben.
60
KAPITEL 5. BETRIEB
5.2
5.2. UPGRADE
Upgrade
Im Rahmen Ihrer Subskription stellt Ihnen Greenbone Upgrades für die GSMAppliance zur Verfügung. Diese Upgrades werden regelmäßig bereitgestellt. Die
Anwender können selbst entscheiden, ob Sie ein Upgrade einspielen möchten. Hierbei werden drei verschiedene Arten von Updates unterschieden:
• Patch-Level Upgrades (z.B. von Version 3.0.16 auf 3.0.17)
• Release Upgrades (z.B. von Version 3.0.16 auf 3.1.0)
• Generation Upgrades (z.B. von Version 2.4.9 auf 3.0.0)
Diese Upgrades werden nicht automatisch durchgeführt. Der Benutzer muss die
Upgrades manuell anstoßen.
Wenn Sie sowohl über Master-GSM als auch Slave-GSM verfügen sind die folgenden
Hinweise wichtig:
• Sensoren werden durch den Master automatisch aktualisiert.
• Slaves müssen manuell aktualisiert werden. Dabei sollten immer zuerst die
Master und dann die Slaves aktualisiert werden. So funktioniert das dann auch
im Airgap-Betrieb.
• Zwei GSM mit unterschiedlichen Patchlevel können zusammenarbeiten. Dies
ist aber nicht unterstützt.
• Unterschiedliche Release-Versionen auf Master und Slave sind nicht möglich!
5.2.1
Prüfen der aktuellen Version
Um die aktuelle Version zu prüfen, genügt es sich mit der Konsole Ihrer GSMAppliance zu verbinden. Sie müssen sich hierzu nicht einmal anmelden. Die Willkommensmeldung Ihrer GSM führt die aktuelle Version direkt im Namen. Alternativ
können Sie den Befehl softwareversion aufrufen, der dieselbe Ausgabe erzeugt.
W e l c o m e to the G r e e n b o n e OS
3.1.6 r u n n i n g on a G r e e n b o n e S e c u r i t y M a n a g e r
Web I n t e r f a c e a v a i l a b l e at : h t t p s : / / 1 9 2 . 1 6 8 . 1 5 5 . 1 0 0
gsm l o g i n :
Ebenso können Sie die Anmeldemaske des Webinterfaces prüfen. Hier wird ebenfalls
unten rechts die aktuelle Version angezeigt.
61
5.2. UPGRADE
KAPITEL 5. BETRIEB
Alternativ können Sie nach einer Anmeldung auf der Kommandozeile z.B. via SSH
auch im GOS-Admin-Menü die Version prüfen. Dort können Sie unter Upgrade auch
direkt prüfen, ob eine aktuellere Version verfügbar ist. Die aktuell installierte Version
wird mit Current angezeigt. Available zeigt die auf dem Greenbone Servern verfügbare Version an. Mit dem Menüpunkt Sync können Sie jetzt die verfügbare Version
auf den Greenbone Servern prüfen und für eine mögliche Installation herunterladen.
5.2.2
Durchführung des Patch-Level Upgrades
Bevor Sie ein Upgrade durchführen, ist es ratsam, sich über die Änderungen, die mit
dem Upgrade einhergehen, zu informieren. Hierzu dokumentiert Greenbone sämtliche durch das Upgrade durchgeführten Änderungen auf http://www.greenbone.
net/technology/gos_release_history.html.
Außerdem sollten Sie vor einem Upgrade ein Backup Ihrer GSM durchführen. Die
Vorgehensweise für das Backup ist in Abschnitt 5.3 beschrieben. Sinnvoll ist ein
Backup der gesamten Appliance auf der internen Backup-Partition falls die Appliance
dies unterstützt.
Weiterhin sollten Sie für das Upgrade einen Zeitpunkt auswählen, zu dem keine
Scans aktiv ausgeführt oder gestartet werden. Möglicherweise werden durch das
Upgrade einzelne Systemdienste neugestartet. Hierdurch können die Scanergebnisse verloren gehen und die Geschwindigkeit des Upgrades eingeschränkt werden.
Ein Patch-Level-Upgrade sollte üblicherweise nach wenigen Minuten abgeschlossen
sein. Im Anschluss ist ein Reboot nicht zwingend aber empfehlenswert.
Das Upgrade wird über das GOS-Admin-Menü gestartet. Hierzu rufen Sie das GOSAdmin-Menü und dann den Menüpunkt U p g r a d e auf.
Abbildung 5.3: Das GOS-Admin-Menü zeigt die Verfügbarkeit neuer Versionen an.
Über den Menüpunkt Sy n c kann jederzeit die Verfügbarkeit neuer Versionen geprüft werden. Dadurch wird eine neue Software-Synchronisation im Hintergrund
62
KAPITEL 5. BETRIEB
5.2. UPGRADE
Abbildung 5.4: Die Suche nach Updates kann jederzeit angestossen werden.
gestartet. Die Upgrade-Funktionen sind dann vorübergehend nicht verfügbar. Über
die Auswahl des Menüpunkts Re f re s h können Sie die Anzeige aktualisieren. Die
Synchronisation der verfügbaren Upgrades kann einige Minuten dauern, da in diesem Rahmen die erforderlichen Daten für ein mögliches Upgrade heruntergeladen
wird.
Anschließend kann über den Menüpunkt Upgrade das Upgrade ausgeführt werden.
Dieser Vorgang dauert in der Regel nur wenige Minuten, sollten ein Sprung über
zahlreiche Patch-Level Versionen erfolgen ggf. einige Minuten mehr. Das Upgrade
wird ebenfalls im Hintergrund angefordert. Bis zum eigentlichen Start des Upgrades
können noch einige Minuten vergehen. Solange zeigt das GOS-Admin-Menü den Text
“System upgrade is scheduled” an. Sobald das Upgrade durchgeführt wird, ändert
sich die Ausgabe des GOS-Admin-Menü in “System Upgrade is in progress”. Einige
Minuten später ändert sich die Angabe der Current Version. Jedoch ist das Upgrade
noch nicht abgeschlossen solange die Anzeige noch den System Upgrade anzeigt.
Abbildung 5.5: System Upgrade in Progress
Nach dem Abschluss sollte ein Reboot erfolgen.
63
5.2. UPGRADE
5.2.3
KAPITEL 5. BETRIEB
Release Upgrade
Ein Release-Wechsel wird nicht im GOS-Admin-Menü angezeigt. Über einen ReleaseWechsel informiert Greenbone via Newsletter und auf der Website. Rufen Sie dann
im GOS-Admin-Menü den Unterpunkt Switch Release auf. Dieser wird dann nach
einer Warnmeldung das verfügbare Release anzeigen und für Sie von den Greenbone Feed Servern herunterladen. Dieser Vorgang benötigt in Abhängigkeit Ihrer
Internetverbindung bis zu einer Stunde. Anschließend wird Ihnen die neue Version
im GOS-Admin-Menu zum Upgrade angeboten und Sie führen den Release-Wechsel
analog zum Patch-Level-Upgrade durch.
Abbildung 5.6: Release Upgrade
Hierbei ist im Anschluss ein Reboot verpflichtend. Das Upgrade kann auch einige Stunden in Anspruch nehmen. Während des Upgrades sollten Sie keine Scans
durchführen oder starten.
5.2.4
Verwendung eines Proxies
Falls Ihre GSM-Appliance nicht direkt auf das Internet zugreifen kann sondern den
Umweg über einen Proxy nutzen muss, müssen Sie diesen auf der GSM-Appliance
hinterlegen. Hierzu rufen Sie das GOS-Admin-Menü auf und wechseln dort in den
Bereich U p g r a d e. Anschließend rufen Sie den Punkt P rox y U p d a t e auf. Hier
können Sie den Proxy eingeben. Achten Sie darauf, dass Sie eine gültige HTTP-URL
verwenden. Hierbei können Sie sowohl Namen als auch IP-Adresse verwenden, wie
zum Beispiel:
http://proxy.meinunternehmen.de:3128
http://192.168.15.5:3128
Im Gegensatz zur Konfiguration des Feed ist bei dem Proxy für die Greenbone OS Updates nicht die Angabe eines Benutzers und Kennworts möglich. Es werden aber die64
KAPITEL 5. BETRIEB
5.3. SICHERUNG UND WIEDERHERSTELLUNG
selben Credentials verwendet. Wechseln Sie daher zu Eingabe der Proxy-Credentials
in das Menü Fe e d und rufen Sie dort C re d e n t i a l s auf.
5.3
Sicherung und Wiederherstellung
Eine regelmäßige Sicherung der GSM-Appliance und der von Ihnen erzeugten Daten
stellt sicher, dass Sie bei Ausfall der Appliance nach Tausch durch Greenbone die
neue Appliance schnell wieder in Betrieb nehmen können. Darüberhinaus sollten Sie
zur Sicherheit vor jedem Update eine Sicherung des Systems durchführen. Hierzu
stehen Ihnen grundsätzlich drei verschiedene Varianten des Backups zur Verfügung:
• Backup des gesamten Systems (SystemBackup)
• Snapshot des gesamten Systems (SystemSnapshot)
• Backup der von Ihnen erzeugten und angepassten Daten (Userdata). Dies
enthält alle von Ihnen erzeugten Scankonfigurationen, Benutzer, Overrides,
etc.
Ein Backup des gesamten Systems ist vor jedem Update der GSM-Appliance ratsam.
Damit stellen Sie sicher, dass Sie bei einem Fehler des Updates die GSM-Appliance
wieder in den Ausgangszustand zurückversetzen können.
Ein Backup der Userdata sollte durch Sie regelmäßig durchgeführt werden. Mit
diesem Backup sind Sie in der Lage, bei einem Ausfall der Appliance nach ihrem
Austausch durch Greenbone Ihre Konfiguration wiederherzustellen. Zusätzlich ist
dieses Backup ebenfalls vor jedem Update ratsam.
Die folgenden Abschnitte erläutern die einzelnen Schritte.
5.3.1
Backup des gesamten Systems
Wie das Backup des gesamten Systems durchgeführt wird, hängt von der eingesetzten Appliance ab. Die GSM ONE und der GSM 25V sind virtuelle Appliances. Hier
können daher recht einfach die Backup-Möglichkeiten des Hypervisors genutzt werden. Der Hypervisor unterstützt hierzu zum Beispiel Snapshot-Funktionalitäten, mit
denen der aktuelle Zustand sogar im laufenden System gesichert werden kann und
bei Bedarf wiederhergestellt wird. Für den GSM 25 und GSM 100 wird ein Backup
des gesamten Systems nicht unterstützt.
Alle weiteren Systeme (GSM 500 und aufwärts) verfügen über eine Backup-Partition.
Diese Backup-Partition kann genau ein Komplett-Backup der Appliance speichern.
Ein inkrementelles Backup oder das Vorhalten von mehreren Varianten wird nicht
unterstützt.
65
5.3. SICHERUNG UND WIEDERHERSTELLUNG
KAPITEL 5. BETRIEB
Um ein Komplett-Backup durchzuführen, rufen Sie auf der Konsole das GOS-AdminMenü auf. Hier wählen Sie den Menüpunkt B a c k u p. In dem nun erscheinenden
Menü gibt es die Option Create System Backup und Restore System Backup.
Abbildung 5.7: Das Komplett-Backup wird aus dem GOS-Admin-Menü gestartet.
Mit Create System Backup starten Sie den Backup-Vorgang. Die GSM Appliance
wird anschließend innerhalb der nächsten 10 Minuten rebooten (meist sofort) und ihr
System in der Backup-Partition sichern. Dieser Vorgang dauert etwa 30-60 Minuten.
Daher müssen Sie ein entsprechendes Wartungsfenster vorsehen und werden vor
dem Start aufgefordert, diesen Vorgang zu bestätigen.
Abbildung 5.8: Das Backup benötigt einige Zeit.
Während die Appliance auf den Reboot wartet, sind weitere Aktionen im BackupMenü nicht mehr verfügbar.
Die Wiederherstellung der GSM-Appliance aus einem Komplett-Backup erfolgt
ebenfalls mit Hilfe des GOS-Admin-Menüs. Hierzu rufen Sie den Menüpunkt Restore f ro m Pa r t i t i o n auf. Sie benötigen ebenfalls ein Wartungsfenster von 30-60
Minuten und die Appliance führt wieder einen Reboot durch. Sie werden ebenfalls
66
KAPITEL 5. BETRIEB
5.3. SICHERUNG UND WIEDERHERSTELLUNG
Abbildung 5.9: Nachdem das Backup gescheduled wurde, sind andere Optionen bis
zum Neustart nicht mehr verfügbar.
h
i
n
w
e
i
s
aufgefordert den Vorgang zu bestätigen, da es hierbei auch zu Datenverlust kommen
kann.
Falls Sie seit dem letzten Backup Ihre Anwenderdaten angepasst haben, neue
Scankonfigurationen, Tasks oder Overrides erzeugt haben, werden diese überschrieben. Daher sollten Sie vor der Wiederherstellung im Zweifelsfall auch noch
Ihre Nutzerdaten sichern!
5.3.2
Snapshot des Systems
Das Snapshot Backup ist eine weitere Alternative um ein Backup des gesamten
Systems zu erstellen. Der Systemsnapshot ist jedoch nur bei einzelnen Appliances
möglich (z.B. 5xx aber nicht 6xx). Sowohl das Systembackup als auch der Systemsnapshot erstellen ein komplettes Backup der Partition. Jedoch überschreiben sich
die beiden Backups nicht. Das heißt Sie können praktisch zwei (Backup-)Zustände
speichern (bei einer GSM 5xx). Bei der GSM 600 ist z.b. nur das Systembackup möglich.
Um das Erzeugen des Systemsnapshots zu starten, wechseln Sie auf die Kommandozeile und geben das Kommando systemsnapshot ein. Anschließend wird die
GSM Appliance booten und den Snapshot erzeugen.
Bei den GSM 5xx können Sie sowohl das Snapshotbackup als auch das Systembackup
anlegen.
Die Wiederherstellung des Systemsnapshots-Backups erfolgt über das GrubBootmenü. Hierzu müssen Sie sich über die serielle Schnittstelle oder einen VGAMonitor mit dem System verbinden (siehe Abschnitt 3.1.1).
67
5.3. SICHERUNG UND WIEDERHERSTELLUNG
KAPITEL 5. BETRIEB
Führen Sie einen Reboot durch. Im Grub Menü (vor dem GOS Boot) sollte nun der
Menüpunkt S n a p s h o t B a c k u p angezeigt werden. Wählen Sie diese Option aus.
Das System bootet nun in den Snapshot.
5.3.3
Backup der Userdata mit USB-Stick
Das Backup der Userdata erfolgt auf allen GSM Appliances in der selben Form. Die
GSM-Appliance unterstützt zunächst die Sicherung der Userdata auf der GSMAppliance selbst. Die hierbei erzeugte Datei kann anschließend auf einen USB-Stick
kopiert werden. Damit sind die Daten bei einem Ausfall der Appliance weiterhin
verfügbar. Für die Speicherung der Daten auf einem externen USB-Stick sind immer
zwei Schritte erforderlich:
1. Sicherung der Userdaten
2. Kopieren der Sicherung auf den USB-Stick
Derselbe Vorgang erfolgt umgekehrt bei der Wiederherstellung der Userdaten. Zunächst werden die Daten von dem USB-Stick auf die Appliance kopiert. Anschießend
kann dann die Wiederherstellung der Daten erfolgen.
Im Folgenden werden die Schritte einzeln durchgespielt. Zunächst melden Sie sich
wieder auf der Konsole der Appliance z.B. via SSH an. Anschließend rufen Sie das
GOS-Admin-Menü auf und wählen hier den Menüpunkt Backup. Nach dem Aufruf
des Punkts B a c k u p U s e rd a t a sind die weiteren Menüpunkte bis zum Ende des
Backups gesperrt. Sie können ansonsten aber das System wie gewohnt weiterverwenden. Ein Wartungsfenster ist nicht erforderlich. Auch ein Reboot wird nicht
durchgeführt.
Abbildung 5.10: Das Backup der Userdaten kann im laufenden Betrieb erfolgen.
Im Gegensatz zum Komplett-Backup können mehrere Versionen der UserdataBackups auf der Appliance vorgehalten werden. Diese werden immer unter einem
Namen mit dem folgenden Aufbau gespeichert:
68
KAPITEL 5. BETRIEB
5.3. SICHERUNG UND WIEDERHERSTELLUNG
<gsf-nummer>-<datum><uhrzeit>.gsmb
201309161-201406180807.gsmb
Auf der Appliance werden die Backups in dem Verzeichnis /var/gsm/backups/userdata/ gespeichert.
Die gesicherten Benutzerdaten können nun auf einen USB-Stick übertragen werden.
Dieser USB-Stick muss partitioniert sein und genau eine primäre Partition mit dem
VFAT-Dateisystem enthalten. Dies ist bei den meisten USB-Sticks der Auslieferungszustand. Nach dem Einstecken des USB-Sticks warten Sie bitte einige Sekunden, bis
die GSM-Appliance den Stick erkannt hat. Dann können Sie den Inhalt des USB-Sticks
über den Punkt S h ow U S B co n t e n t s anzeigen. Der Aufruf dieses Befehls dauert
möglicherweise einige Sekunden.
Abbildung 5.11: Ein leerer USB-Stick enhält noch keine Dateien.
Nun können Sie die Userdaten auf den Stick kopieren. Hierzu wählen Sie den Menüpunkt C o py U s e rd a t a t o U S B. Anschließend können Sie das zu übertragene
Backup wählen.
Abbildung 5.12: Wählen Sie das zu kopierende Backup aus.
Falls die Datei bereits auf dem USB-Stick existiert, werden Sie gefragt, ob die Datei
umbenannt, überschrieben oder übersprungen werden soll:
Long file name " 2 0 1 3 0 9 1 6 1 - 2 0 1 4 0 6 1 8 0 8 0 7 . gsmb " a l r e a d y e x i s t s .
a ) u t o r e n m a e A ) utorename - all r ) r e n a m e R ) ename - all o ) v e r w r i t e O ) &
verwrite - all
s ) kip S ) kip q ) uit ( a A r R o O s S q ) :
69
5.3. SICHERUNG UND WIEDERHERSTELLUNG
KAPITEL 5. BETRIEB
Nachdem die Daten auf den Stick kopiert wurden, kann erneut der Inhalt des Stick angezeigt werden (siehe Abbildung 5.14). Sie können auch den USB-Stick anschließend
direkt entfernen.
Um Daten von dem Stick zurückzuspielen, rufen Sie im GOS-Admin-Menü den Unterpunkt B a c k u p gefolgt von C o py U s e rd a t a f ro m U S B auf. Nach wenigen
Sekunden wird Ihnen die Auswahl der auf dem USB-Stick verfügbaren Backups angeboten. Nachdem Sie eine der Versionen mit OK bestätigt haben, wird diese wieder
auf die GSM-Appliance kopiert.
Abbildung 5.13: Nach dem Kopiervorgang wurden die Daten übertragen.
Abbildung 5.14: Userdata-Backups können von dem USB-Stick auf die Appliance
kopiert werden.
t
i
p
p
Anschließend können sie mit Restore Userdata die Daten wiederherstellen. Hierbei werden Sie gewarnt, dass bei der Wiederherstellung der alten Daten alle aktuellen Daten gelöscht werden. Falls Sie diese vorher sichern möchten, können Sie
dies tun. Eine Zusammenführung von mehreren Userdata-Backups ist jedoch nicht
möglich.
Wenn Sie nur einzelne Informationen wie eine Scankonfiguration sichern möchten, können Sie diese über die Weboberfläche exportieren und auch auf einer anderen Appliance importieren!
70
KAPITEL 5. BETRIEB
5.3. SICHERUNG UND WIEDERHERSTELLUNG
Abbildung 5.15: Userdata-Backups können nach der Übertragung vom USB-Stick
wiederhergestellt werden.
Abbildung 5.16: Userdata-Backups können nach der Übertragung vom USB-Stick
wiederhergestellt werden.
71
5.3. SICHERUNG UND WIEDERHERSTELLUNG
5.3.4
KAPITEL 5. BETRIEB
Backup der Userdata via SSH
Das Backup der Userdata kann auch via SSH erfolgen. Hierzu müssen Sie über ein
SSH-Login auf einem entfernten System verfügen. Um das Remote Backup via SSH
zu konfigurieren, greifen Sie im GOS-Admin-Menü im Menüpunkt B a c k u p auf das
Remote Backup zu. In diesem Menü müssen Sie die folgenden Punkte konfigurieren:
1. B a c k u p s e r ve r u s e r
Dies ist der Benutzer, mit dem Sie sich auf dem entfernen System anmelden
können, um die Backups zu übertragen.
2. B a c k u p s e r ve r p a s s wo rd
Dies ist das Kennwort des oben angegebenen Benutzers.
3. B a c k u p s e r ve r a d d re s s
Dies ist die IP-Adresse des Backup-Servers.
4. B a c k u p s e r ve r f i n ge r p r i n t
Hier müssen Sie die MD5-Prüfsumme des Host-Keys des Backup-Servers eingeben. Diesen MD5-Prüfsumme können Sie auf dem Backup-Server mit folgenden Befehl auslesen:
# ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key.pub
2048 0 3 : 8 2 : 8 1 : ff :36: b3 : b6 :03: df : ed :4 a : e9 : fa :2 d &
:6 a :5 d
r o o t @ s t a t i o n 1 0 0 ( RSA )
Dieser Fingerprint muss ohne Doppelpunkte eingetragen werden (siehe Abbildung 5.17).
Anschließend müssen Sie das Backup erzeugen mit Backup Userdata und können
dann im Menü Re m o t e B a c k u p mit C o py U s e rd a t a t o s e r ve r die Dateien auf
den entfernten Server übertragen.
Eine automatische Übertragung ist noch nicht vorgesehen.
72
KAPITEL 5. BETRIEB
5.3. SICHERUNG UND WIEDERHERSTELLUNG
Abbildung 5.17: Via Fingerprint des Host-Keys wird die Identität des Backup-Servers
geprüft.
73
5.4. AIRGAP UPDATE
5.4
KAPITEL 5. BETRIEB
Airgap Update
Die Airgap-Funktion bietet einer GSM-Appliance, die keine direkte Verbindung zum
Internet besitzt, dennoch eine Aktualisierung mit Feeds und Updates. Hierzu benötigen Sie zwei GSM-Appliances. Eine dieser Appliances befindet sich in einem
gesicherten Bereich und verfügt über keine Verbindung zum Internet. Die zweite
Appliance muss über eine Verbindung zum Internet verfügen.
Für die Airgap Funktion stehen zwei Wege zur Verfügung:
• Greenbone Airgap USB Stick
• Airgap FTP-Server
Beide Varianten werden in den folgenden Abschnitten vorgestellt.
5.4.1
Airgap via USB Stick
Die Feeds und Updates werden hierbei von der mit dem Internet verbundenen GSM
geladen und auf einen USB-Stick kopiert. Dieser kann dann genutzt werden, um
die zweite Appliance zu aktualisieren. Der USB-Stick kann zuvor mit einem Security
Gateway auf möglichen Schadcode analysiert werden.
Abbildung 5.18: Mit der Airgap-Funktion können die Aktualisierungen für GSM, die
nicht mit dem Internet verbunden sind, bereitgestellt werden.
Nach der Einrichtung der Airgap-Funktionalität ist keinerlei Anmeldung an den Appliances erforderlich. Die Kommunikation erfolgt komplett über das LCD-Display
74
KAPITEL 5. BETRIEB
5.4. AIRGAP UPDATE
und kann von beliebigem Personal durchgeführt werden. Dieses muss lediglich einmal täglich den USB-Stick vom Airgap-Master abziehen und in den Airgap-Slave
einstecken. Nach wenigen Minuten wird er dann über das Display aufgefordert
den Stick vom Airgap-Slave wieder abzuziehen und wieder in den Airgap-Master
einzustecken.
Die Airgap-Funktion kann nur mit speziellen von Greenbone bereitgestellten USBSticks genutzt werden. Wenden Sie sich unter Angabe Ihrer Kundennummer an
Greenbone um einen entsprechenden Stick anzufordern.
Um die Airgap-Funktion mit dem entsprechenden Stick zu nutzen, müssen Sie Ihre
GSM-Appliances entsprechend konfigurieren und die Rollen als Airgap Master und
Airgap Slave zuweisen. Hierzu rufen Sie das GOS-Admin-Menü auf und wechseln in
das Menü Feed. Hier scrollen Sie bis zum Punkt Airgap management und rufen
diesen auf.
Abbildung 5.19: Das Airgap-Management ist in einem eigenen Untermenü verborgen.
Abbildung 5.20: Die Airgap-Role kennzeichnet die Funktion der GSM-Appliance in
dem Airgap-Vorgang.
75
5.4. AIRGAP UPDATE
KAPITEL 5. BETRIEB
Abbildung 5.21: Mögliche Werte sind “master” und “slave”.
Tragen Sie bei der Rolle entsprechend der Rolle in dem Verfahren entweder master
oder slave ein. Der Master wird nun bei jedem kommenden täglichen Update ein
spezielles Update-Paket bauen und auf dem Stick hinterlegen. Dieser Vorgang kann
über das Display verfolgt werden.
76
KAPITEL 5. BETRIEB
5.4. AIRGAP UPDATE
Abbildung 5.22: Die Airgap-Master zeigt auf seinem Display die Schritte bei der
Erstellung des Update-Pakets an.
Wenn der Master den Stick aktualisiert, zeigt er nacheinander die Meldungen Airgap
Master U1 updating USB... und Airgap Master U2 USB stick ready. an. Sobald der
Master in seinem Display USB MEM PRESENT ok to remove!. anzeigt, kann der Stick
abgezogen und auf den Slave übertragen werden.
Der Slave erkennt den Stick automatisch und lädt das Update von dem Stick. Hierbei
protokolliert er dies im Display mit Airgap Slave DL1 updating from USB. und Airgap
Slave S0 ........ Sobald auch hier die Meldung USB MEM PRESENT ok to remove!.
angezeigt wird, kann der Stick abgezogen und zurück in den Master eingesteckt
werden.
Abbildung 5.23: Die Airgap-Slave protokolliert ebenfalls die Schritte.
5.4.2
Airgap via FTP
Alternativ können Sie die Feed-Updates durch einen eigenen FTP-Server zur Verfügung stellen. Dabei übernimmt der FTP-Server die Funktion des USB-Sticks. Sie
benötigen also auch zwei GSM:
• Der Master holt den Feed aus dem Internet und schreibt ihn auf den FTP-Server.
• Der Slave bezieht den Feed von dem FTP-Server.
77
5.4. AIRGAP UPDATE
KAPITEL 5. BETRIEB
Auf dem Master müssen Sie das Menü A i rga p M a n a ge m e n t wechseln (siehe
Abbildung 5.19). Anschließend setzen Sie zunächst den Airgap type auf den Wert
ftp und die A i rga p ro l e auf master. Anschließend erhalten Sie neue Parameter
in dem Menü.
Abbildung 5.24: Nach Aktivieren von FTP erhalten Sie neue Parameter für die Konfiguration.
Hier tragen Sie nun die entsprechenden Werte ein:
• F T P l o c a t i o n: Dies ist der FTP-Server mit Ordner als kompletter Pfad.
• F T P u s e r: Dies ist der Benutzer mit dem die Anmeldung erfolgt.
• F T P p a s s wo rd: Dies ist das Kennwort mit dem die Anmeldung erfolgt.
• Test FTP: Hiermit können Sie die eingegebenen Daten prüfen. Der Test prüft,
ob mit den Daten eine Anmeldung möglich ist.
Auf dem Slave nehmen sie dieselben Einstellungen vor. Hier stellen sie lediglich die
Ai rga p ro l e auf slave.
Damit die Synchronisation reibungslos klappt, müssen Sie die Synchronisationszeiten des Masters und Slaves aufeinander anpassen. Stellen Sie sicher, dass der
Master genügend Zeit für den Upload des Feeds erhält, damit der Slave nicht den
Feed lädt, bevor der Master den Upload abgeschlossen hat. Hierzu können Sie die
Sy n c t i m e entsprechend anpassen.
Damit der FTP-Server auch wirklich die Funktion einer Diode aufweist, sollten Sie
sicherstellen, dass hochgeladene Dateien nach dem Upload geprüft werden. Dies
können Sie zum Beispiel mit dem pure-ftpd erreichen. Dieser FTP-Server bietet
die Möglichkeit nach dem Upload einer Datei ein Skript aufzurufen. Dieses startet
erst einen Virenscanner. Nach der erfolgreichen Prüfung verschiebt das Skript die
Feeddateien in ein weiteres Verzeichnis auf das der Slave Zugri hat und den Feed
lädt.
78
KAPITEL 6
Scanning
Dieses Kapitel beschäftigt sich mit der Einrichtung und Durchführung der eigentlichen Scans Ihrer Systeme für das Schwachstellenmanagement. Hierbei beschreibt
dieses Kapitel grundlegende erste Schritte. Spätere Abschnitte zeigen Ihnen dann
detaillierter die Nutzung und Anpassung Ihrer Scankonfigurationen und die Auswertung der Ergebnisse.
79
6.1. EINFACHER SCAN
6.1
KAPITEL 6. SCANNING
Einfacher Scan
Dieser erste Abschnitt beschreibt die ersten Schritte zur Konfiguration Ihres ersten
Scans. Grundsätzlich stehen Ihnen zwei Möglichkeiten o en. Die Weboberfläche Ihrer GSM-Appliance, der Greenbone Security Assistant, stellt Ihnen einen Wizard zur
Verfügung, der Ihnen mit nur wenigen Eingaben alle erforderlichen Konfigurationen
für einen ersten Scan erzeugt. Alternativ können Sie diese aber auch selbst schrittweise anlegen. Die folgenden beiden Abschnitte betrachten beide Vorgehensweisen.
Idealerweise vollziehen Sie die einzelnen Schritte direkt auf einer GSM-Appliance
nach.
6.1.1
Wizard
Wenn Sie sich nach der Ersteinrichtung das erste Mal an der Weboberfläche der
GSM-Appliance anmelden, wird direkt der Wizard angezeigt. Dies geschieht so lange
wie sie noch nicht mehr als drei Scans durchgeführt haben. Später können Sie aber
auch jeder Zeit den Wizard durch das Icon aufrufen.
Um mit dem Wizard ein System direkt zu scannen, genügt die Angabe der IP-Adresse
oder des Rechnernamens. Dazu ist es aber erforderlich, dass die GSM-Appliance
den Rechnernamen auflösen kann.
Abbildung 6.1: Der Task Wizard erleichtert die ersten Schritte.
Der Task Wizard führt anschließend die folgenden Schritte automatisch durch:
1. Er erzeugt ein neues Scanziel (Target) in dem GSM.
2. Er erzeugt einen neue Scanauftrag (Task) in dem GSM.
3. Er startet diesen Scanauftrag sofort.
80
KAPITEL 6. SCANNING
6.1. EINFACHER SCAN
4. Er wechselt die Ansicht und lädt diese alle 30 Sekunden neu, so dass Sie den
Fortschritt des Tasks beobachten können.
Nachdem der Task gestartet wurde, können Sie den Fortschritt beobachten. Hierzu
zeigt der Greenbone Security Assistant die Übersichtsseite mit allen Tasks an. Dort
ist auch der neue Task zu sehen.
Abbildung 6.2: Nach dem Start wird der Fortschritt angezeigt.
Die Farben und der Füllgrad des Statusbalken geben Auskunft über den Zustand des
Scans (Siehe auch Abschnitt 6.1.3.4)
Sobald der Scan abgeschlossen ist gibt die Spalte Severity Auskunft über die Kritikalität der gefundenen Schwachstellen. Die sich davor befindene Spalte Solution Type
zeigt die Art der verfügbaren Lösung an. Der Häufigste Typ ist hier der VendorFix
.
Abbildung 6.3: Die Ergebnisse sind auch vor Abschluß des Scans bereits erreichbar.
Der Task kann über die Aktionen in der rechten Spalte weiter verwaltet werden:
•
•
Hiermit starten Sie einen aktuell nicht laufenden Task.
Hiermit stoppen Sie einen aktuell laufenden Task. Alle gewonnenen Ergebnisse werden in die Datenbank geschrieben.
•
Hiermit können Sie einen gestoppten Task wieder aufnehmen.
•
Hiermit wird ein Task in den Mülleimer verschoben.
•
Hiermit können Sie den Task editieren.
•
Hiermit kopieren Sie einen Task.
81
6.1. EINFACHER SCAN
•
KAPITEL 6. SCANNING
Hiermit exportieren Sie einen Task als XML Objekt. Dieses Objekt können
Sie auf einem anderen GSM wieder importieren.
Abbildung 6.4: Der Report kann in unterschiedlichen Varianten dargestellt werden.
Bevor Ihr Scan abgeschlossen ist, können Sie bereits die Ergebnisse des Scans (siehe
Abbildung 6.3) betrachten. Hierzu wählen Sie mit der Maus einfach den Fortschrittsbalken aus. Die hier angezeigten Ergebnisse sind natürlich noch nicht vollständig.
Sie können aber den Fortschritt weiter oben rechts über den Fortschrittsbalken
verfolgen. Diese Seite lädt sich jedoch nicht mehr automatisch neu.
Um unterschiedliche Darstellungen der Ergebnisse zu erhalten, können Sie mit
der Maus über die Titelzeile fahren. Es ö net sich ein Pulldown-Menü in dem Sie
verschiedene Darstellungsformen wählen können.
Abbildung 6.5: Außerdem kann der Bericht in verschiedenen Formaten heruntergeladen werden
Außerdem können Sie den Bericht auch in verschiedenen Formaten exportieren.
Die Export-Formate wählen Sie ebenfalls in der Titelzeile aus. Anschließend können Sie den Bericht durch Wahl des
Buttons herunterladen. Die Berichte und
Berichtsformate werden im Abschnitt 6.2 genauer betrachtet.
82
KAPITEL 6. SCANNING
6.1.2
6.1. EINFACHER SCAN
Advanced Wizard
Neben dem einfachen Wizard bietet der GSM auch einen fortgeschrittenen Wizard,
in dem Sie mehr Konfigurationsmöglichkeiten haben. Dieser Wizard erlaubt Ihnen
die Abkürzung der manuellen Konfiguration der einzelnen Parameter, bietet aber
dennoch eine sehr feingranuläre Konfiguration.
Abbildung 6.6: Der fortgeschrittene Wizard bietet mehr Möglichkeiten.
Diesen Wizard können Sie über das Kontextmenü des Wizard-Icons aufrufen. Hier
können Sie auch einen Wizard aufrufen, der Ihnen die Änderung eines Tasks (Modify
Task Wizard) erlaubt.
Abbildung 6.7: Das Wizard-Kontextmenü erlaubt den Aufruf.
83
6.1. EINFACHER SCAN
6.1.3
KAPITEL 6. SCANNING
Manuelle Konfiguration
Der nun folgende Abschnitt erläutert die Erzeugung eines einfachen Scans in den
einzelnen Schritten, die auch der Wizard durchführt. Hierbei können Sie aber selbst
sinnvolle Namen für die Scanziele (Targets) und den Scanauftrag (Task) vergeben.
6.1.3.1
Anlegen des Targets
Der erste Schritt ist die Definition des Scanziels. Dieses wird von dem Greenbone
Security Assistant als Target bezeichnet.
Wählen Sie zunächst einen oder mehrere Rechner aus Ihrem Netz, den bzw. die Sie
scannen möchten. Sie benötigen hierzu entweder dessen IP-Adresse oder dessen
DNS-Namen. In beiden Fällen ist es erforderlich, dass der Greenbone Security Manager diesen Rechner erreichen kann. Bei Nutzung des DNS-Namens muss die GSM
Appliance den Namen auflösen können.
Abbildung 6.8: Aufrufen der Targets.
Abbildung 6.9: Anlegen eines neuen Targets
Wählen Sie aus dem Menü Configuration den Punkt Targets. Wählen Sie hier das
Icon für New Target (den weißen Stern auf blauem Grund). Dieses Icon finden Sie
an vielen Stellen. Es steht immer für das Anlegen eines neuen Objektes im jeweiligen
Kontext.
Sie erhalten nun ein neues Fenster, in dem Sie das Target genauer spezifizieren
können.
84
KAPITEL 6. SCANNING
6.1. EINFACHER SCAN
Abbildung 6.10: Geben Sie die Details für das Target an.
Hier geben Sie die folgenden Informationen an:
• Name
Dies ist ein frei wählbarer Name. Sie sollten hier einen möglichst beschreibenden Namen wählen. Denkbar ist Mailserver, ClientNetzwerk, Webserverfarm,
DMZ oder ähnliche Namen, die die angegebenen Rechner genauer beschreiben.
• Comment
Der optionale Kommentar erlaubt Ihnen die Angabe von Hintergrundinformationen. Diese erleichtern später das Verständnis des konfigurierten Targets.
• Hosts
Hier können Sie den Rechner manuell eintragen oder eine Liste von Rechnern
importieren. Bei der manuellen Eingabe haben Sie die folgenden Möglichkeiten:
– Eine IP-Adresse, z.B. 192.168.15.5
– Ein Rechnernamen, z.B. mail.example.com
– Ein IPv4 Adressbereich, z.B. 192.168.15.5-192.168.15.27 oder 192.168.15.5-27
– Ein IPv4 Netz in CIDR Notation, z.B. 192.168.15.0/241
– Einzelne IPv6-Adressen
– Ein IPv6 Adressbereich im langen Format, z.B. ::12:fe5:fb50-::12:fe6:100
– Ein IPv6 Adressbereich im kurzen Format, z.B. ::12:fe5:fb50-fb80
– Ein IPv6 Adressbereich in CIDR Notation, z.B. fe80::222:64 :fe76:4cea/120
– Mehrere Angaben können durch Kommas getrennt angegeben werden.
Bei einem Import aus einer Datei können Sie die gleichen Schreibweisen nutzen.
Hier dürfen die Angaben auf mehreren Zeilen in der Datei gespeichert werden.
Bei besonders langen Listen von zu scannenden Systemen ist diese Variante
häufig die einfachere.
1 Die maximale Netzmaske beträgt /20. Dies entspricht 4096 Adressen.
85
6.1. EINFACHER SCAN
KAPITEL 6. SCANNING
• Exclude Hosts
Hier können Sie Rechner angeben, die in der oben angegebenen Gruppe immer
ausgenommen sein sollen.
• Reverse Lookup Only
Hier können Sie einstellen, ob nur die IP-Adresse gescannt werden sollen, zu
denen ein DNS-Name aufgelöst werden kann.
• Reverse Lookup Unify
Hier bestimmen Sie, ob die Ausgabe des Reverse-Lookup vereinheitlicht werden soll. Lösen mehrere IPs für den gleichen DNS-Namen auf, so wird dieser
DNS-Name nur ein einziges mal gescannt.
• Port List
Das TCP und das UDP-Protokoll unterstützen jeweils 65536 Ports. Alle Ports
zu scannen dauert in vielen Fällen zu lange. Viele Ports werden normalerweise
nicht genutzt. Ein Hersteller, der eine neue Applikation entwickelt, reserviert
meist beim IANA2 den entsprechenden Port. Daher genügt es für die meisten
Scans nur diese beim IANA registrierten Ports zu scannen. Dabei unterscheiden sich die registrierten Ports von den privilegierten Ports. Als privilegierter
Port werden die Ports kleiner als 1024 bezeichnet3 . Beim IANA sind aber auch
zum Beispiel die Ports 1433/tcp (MS-SQL) und 3306/tcp (MySQL) in der Liste
enthalten. Nmap verwendet wieder eine abweichende Liste und testet auch
nicht alle Ports. Auch OpenVAS verwendet einen abweichenden Default.
Während der Scan von TCP-Ports einfach und schnell durchgeführt werden
kann, da ein Betriebssystem bei einer TCP-Anfrage immer antworten muss
und so anzeigt, ob ein Port o en (TCP-ACK) oder geschlossen (TCP-RST) ist, ist
das bei UDP nicht der Fall. Hier antwortet ein Betriebssystem nur dann sicher,
wenn der Port geschlossen ist (ICMP-Port-Unreachable). Ein o ener Port wird
von dem Scanner durch eine fehlende Antwort abgeleitet. Der Scanner muss
daher einen internen Timeout abwarten. Dieses Verhalten tri t natürlich nur
zu, wenn das gescannte System nicht durch eine Firewall geschützt ist. Bei
Existenz einer Firewall ist die Erkennung eines o enen oder geschlossenen
Ports wesentlich schwieriger.
Wenn Sie Applikationen auf ungewöhnlichen Ports betreiben und auch diese
mit dem GSM überwachen und testen möchten, sollten Sie unter C o n f i g u ration im Untermenü Port Lists die mitgelieferten Portlisten kontrollieren
und gegebenenfalls eine eigene Liste anlegen, in der Ihr Port aufgeführt ist.
Die ausgelieferten Listen können nicht angepasst werden.
• Alive Test
Hier stellen Sie ein, wie die Erreichbarkeit eines Ziels (Targets) vor dem Scan
geprüft werden soll. Zur Verfügung stehen:
2 Internet Assigned Numbers Association
3 Unter UNIX wird ein Zugri auf diese Ports nur privilegierten Benutzern (z.B. root) erlaubt. Die Ports
ab 1024 stehen auch unprivilegierten Benutzern zur Verfügung.
86
KAPITEL 6. SCANNING
6.1. EINFACHER SCAN
– ICMP Ping
– TCP Service Ping
– ARP Ping
– ICMP & TCP Service Ping
– ICMP & ARP Ping
– TCP Service & ARP Ping
– ICMP, TCP Service & ARP Ping
In der Praxis gibt es immer wieder Probleme mit diesem Test. So existieren in
einigen Umgebungen Router und Firewallsysteme, die einen TCP Service Ping
mit einem TCP-RST beantworten, obwohl der eigentlich Host nicht aktiv ist.
Auch existieren Netzwerkkomponenten, die ein Proxy-ARP unterstützen und
einen ARP-Ping beantworten. Daher kann dieser Test in Ihrer Umgebung eine
lokale Anpassung erfordern.
• SSH Credential
Hier können Sie einen Benutzer auswählen, der sich auf dem Zielsystem des
Scans anmelden kann, wenn es sich um ein UNIX oder Linux System handelt.
Dann ist ein ”authentifizierter Scan” möglich (siehe Abschnitt 6.3).
• SMB Credential
Hier können Sie einen Benutzer auswählen, der sich auf dem Zielsystem des
Scans anmelden kann, wenn es sich um ein Microsoft Windows System handelt.
Dann ist ein ”authentifizierter Scan” möglich (siehe Abschnitt 6.3).
• ESXi Credential
Hier können Sie einen Benutzer auswählen, der sich auf dem Zielsystem des
Scans anmelden kann, wenn es sich um ein VMWare ESXi System handelt.
Dann ist ein ”authentifizierter Scan” möglich (siehe Abschnitt 6.3).
6.1.3.2
Anlegen des Tasks
Der GSM steuert die Durchführung von Scans als Tasks. Diese Tasks können auch
regelmäßig wiederholt oder zu bestimmten Uhrzeiten ausgeführt werden. Diese Steuerung wird in Abschnitt 6.4 näher betrachtet. Zunächst soll es in diesem
Abschnitt um die grundsätzliche Erzeugung neuer Tasks gehen.
Um auf die Tasks zuzugreifen, benötigen Sie aus der Menüleiste den Punkt S c a n
Management. Dort wählen Sie die Option Tasks. Auf der folgenden Seite wählen
Sie den weißen Stern auf blauen Grund, um einen neuen Task zu erzeugen. Nun
ö net sich eine Webseite, auf der Sie die weiteren Optionen für den Task definieren
können.
Hier geben Sie die folgenden Informationen an:
87
6.1. EINFACHER SCAN
KAPITEL 6. SCANNING
Abbildung 6.11: Aufrufen der Tasks
Abbildung 6.12: Ein neuer Task.
• Name
Dies ist ein frei wählbarer Name. Sie sollten hier einen möglichst beschreibenden Namen wählen. Denkbar ist ”Scanne Mailserver”, ”Teste ClientNetzwerk”,
”Prüfe DMZ auf neue Ports und Rechner” oder ähnliche Namen, die die angegebene Aufgabe beschreiben.
• Comment
Der optionale Kommentar erlaubt Ihnen die Angabe von Hintergrundinformationen. Diese erleichtern später das Verständnis des konfigurierten Targets.
• Scan Targets
Hier wählen Sie ein zuvor konfiguriertes Target aus der Drop-Down-List aus.
• Alerts
Hier können Sie einen vorher konfigurierten Alert auswählen. So können Sie
Zustandsänderungen des Tasks mittels E-Mail, Syslog, HTTP oder eines Konnektors der Außenwelt mitteilen.
• Schedule
Hier können Sie einen vorher konfiguriert Schedule auswählen. Damit können
Sie den Task einmalig oder wiederholend zu bestimmten Uhrzeiten ausführen. So ist es möglich, z.B. immer Montag morgens um 6:00 Uhr das Netz zu
scannen.
88
KAPITEL 6. SCANNING
6.1. EINFACHER SCAN
• Add results to Asset Management
Bei Auswahl dieser Option werde die gescannten Systeme automatisch dem
Asset Management (siehe Kapitel 16) des GSM zur Verfügung gestellt. Dies
kann auch später jederzeit umgeschaltet werden.
• Alterable Task
Dies erlaubt die Modifikation des Tasks, selbst wenn bereits Berichte erzeugt
wurden. Damit ist die Konsistenz der Berichte untereinander jedoch nicht mehr
gewährleistet.
• Scanner
– Scan Config
Der GSM kommt mit sechs vorbereiteten Scan-Konfigurationen.
* Discovery
Hier werden nur die Plugins verwendet, die möglichst viele Informationen über das Zielsystem sammeln. Es werden keine Schwachstellenprüfungen durchgeführt.
* Host Discovery
Hier werden nur Plugins verwendet, um die verfügbaren Zielsysteme
zu ermitteln. Dieser Scan gibt lediglich eine Liste der gefundenen
Systeme aus.
* System Discovery
Hier werden nur Plugins verwendet, um die verfügbaren Zielsysteme
einschließlich der installierten Betriebssysteme und verwendeten
Hardwaregeräte zu prüfen.
* Full and Fast
Dies ist der Default und in vielen Umgebungen zu Beginn die richtige
Wahl. Diese Konfiguration stützt sich auf die vorher im Portscan gewonnenen Informationen und verwendet fast alle Prüfroutinen. Hierbei werden aber nur diejenigen Prüfroutinen berücksichtigt, die keinen Schaden auf dem Zielsystem anrichten können. Die Prüfroutinen
sind best möglich optimiert, so dass die potentielle False-Negative
Rate besonders gering ist. Die anderen Varianten bieten nur in sehr
seltenen Fällen einen Mehrwert führen aber zu einem wesentlich
größerem Aufwand.
* Full and fast ultimate
Diese Konfiguration erweitert die erste Konfiguration um Prüfroutinen, die auch Dienste oder Rechner stören oder einen Absturz herbeiführen können.
* Full and very deep
Diese Konfiguration unterscheidet sich von der “Full and fast” Konfiguration dadurch, dass die Ergebnisse des Portscans keine Auswirkung auf die Auswahl der Prüfroutinen haben. Daher kommen auch
Prüfroutinen zum Einsatz, die dann auf ein Timeout warten müssen.
Daher ist dieser Scan langsam.
89
6.1. EINFACHER SCAN
KAPITEL 6. SCANNING
* Full and very deep ultimate
Diese Konfiguration ergänzt die “Full and very deep” um die gefährlichen Prüfroutinen, die möglicherweise Dienste oder Rechner stören
können. Auch diese Konfiguration ist entsprechend langsam.
– Order for target hosts
Hier können Sie wählen, wie der angegebene Netzbereich durchsucht
werden soll. Zur Auswahl stehen:
* Sequential
* Random
* Reverse
Dies ist interessant, wenn Sie ein Netz, z.B. 192.168.0.0/24 scannen, in
dem sich gehäuft zu Beginn oder am Ende des IP-Adressbereichs Systeme
befinden. Stellen Sie dann den Modus auf “Random”, zeigt die Fortschrittsanzeige sinnvollere Werte an.
– Slave
Hier können Sie einen vorher konfigurierten Slave auswählen, durch den
der Scan durchgeführt wird. Damit kann der Scan an ein anderes System
delegiert werden, welches einen besseren Zugang zu dem Zielsystem
hat.
– Scan Intensity
Hier konfigurieren Sie die Geschwindigkeit des Scans. Die Defaultwerte
sind sinnvoll gewählt. Wenn Sie mehr Prüfroutinen gleichzeitig auf einem
Rechner oder mehr Rechner gleichzeitig prüfen lassen, besteht die Gefahr,
dass sich der Scan nachteilig auf die Leistungsfähigkeit Ihrer Systeme
oder Ihres Netzes auswirkt.
90
KAPITEL 6. SCANNING
6.1.3.3
6.1. EINFACHER SCAN
Observer
Haben Sie den Task gespeichert, so wird er zunächst angezeigt (Abbildung 6.17).
Abbildung 6.13: Ein neuer Task nach seiner Erzeugung
Wenn Sie in dieser Ansicht weiter nach unten scrollen, können Sie die Berechtigungen
für den Task verwalten. Dies sind die Observer. Im Gegensatz zu älteren Versionen
können Sie hier sowohl einfachen Benutzern als auch Rollen und Gruppen Leserechte
an dem Task zuweisen.
h
i
n
w
e
i
s
Abbildung 6.14: Die Leserechte können direkt beim Task verwaltet werden.
Normale Nutzer können per Default keinen Observer einrichten, da Sie keine Leserechte auf die Benutzerdatenbank besitzen. Hierzu muss der Benutzer spezifisch
das Recht get_users erhalten. Dies erfolgt am sinnvollsten mit einer zusätzlichen
Rolle (siehe Abschnitt 12.1.5.2).
Hierzu wählen Sie entsprechend U s e r, G ro u p oder ro l e und tragen den entsprechenden Namen ein. Nach dem Anklicken von wird die Berechtigung eingetragen.
91
6.1. EINFACHER SCAN
KAPITEL 6. SCANNING
Dies wird nun auch in der Task-Übersicht angezeigt.
Abbildung 6.15: Die Leserechte an einem Task werden in der Übersicht angezeigt.
Nach der Anmeldung des Benutzers kann er diese Tasks sehen und auch auf die
entsprechenden Berichte zugreifen.
Abbildung 6.16: Nach Anmeldung kann der Beobachter die Tasks nun auch sehen
aber nicht verändern.
92
KAPITEL 6. SCANNING
6.1.3.4
6.1. EINFACHER SCAN
Start des Task
Haben Sie den Task gespeichert, so wird er zunächst angezeigt (Abbildung 6.17).
Abbildung 6.17: Ein neuer Task
Der Task kann über die Aktionen in der Titelzeile weiter verwaltet werden:
•
•
Hiermit starten Sie einen aktuell nicht laufenden Task.
Hiermit stoppen Sie einen aktuell laufenden Task. Alle gewonnenen Ergebnisse werden in die Datenbank geschrieben.
•
Hiermit können Sie einen gestoppten Task wieder aufnehmen.
•
Hiermit wird ein Task in den Mülleimer verschoben.
•
Hiermit können Sie den Task editieren.
•
Hiermit kopieren Sie einen Task.
•
Hiermit exportieren Sie einen Task als GSM Objekt. Dieses Objekt können
Sie auf einem anderen GSM wieder importieren.
Alternativ kann der Start des Tasks auch über die Übersichtsseite erfolgen, die Sie
über S c a n M a n a ge m e n t und anschließend Ta s k s erhalten (Abbildung 6.18).
Der Statusbalken gibt Auskunft über den Zustand des Tasks. Hier sind die folgenden
Farben und Zustände möglich:
•
Dieser Task ist seit seiner Erzeugung noch nicht gestartet worden.
93
6.1. EINFACHER SCAN
KAPITEL 6. SCANNING
Abbildung 6.18: In der Übersicht erfolgt die Steuerung des Tasks über die rechte
Spalte.
•
Dieser Task läuft gerade und ist zu 42% abgeschlossen. Diese
Angabe basiert auf der Anzahl der ausgeführten NVTs auf den ausgewählten
Hosts. Daher korreliert die Angabe nicht zwingend mit der aufgewendeten
Zeit.
Dieser Task wurde gerade gestartet. Der GSM bereitet den Scan
•
vor.
•
Dieser Task wurde gelöscht. Der tatsächliche Löschvorgang
kann jedoch einige Zeit in Anspruch nehmen, da auch die Berichte gelöscht
werden.
•
Dieser Task wurde kürzlich gestoppt. Die Scan-Engine hat jedoch
noch nicht entsprechend reagiert.
•
Der letzte Scan wurde bei 15% durch den Anwender gestoppt.
Der letzte Bericht ist daher wahrscheinlich nicht vollständig. Weitere Gründe
für diesen Zustand sind ein Reboot der GSM Appliance oder ein Stromausfall.
Nach dem Neustart des Scanners wird der Task nicht automatisch wieder
aufgenommen.
•
Es ist ein Fehler aufgetreten. Der letzte Bericht ist möglicherweise nicht vollständig oder fehlt gänzlich.
•
Der Scan ist erfolgreich abgeschlossen worden.
•
Es handelt sich um einen Container-Task.
94
KAPITEL 6. SCANNING
6.1.4
6.1. EINFACHER SCAN
Container Task
Ein Container Task kann genutzt werden, um Berichte, die von anderen GSMs erzeugt
wurden zu importieren und vorzuhalten. Dabei müssen Sie bei dem Anlegen des
C o n t a i n e r Ta s k bereits einen ersten Bericht importieren. Anschließend können
Sie weitere Berichte (Reports) importieren und diese dann zum Beispiel auch mit
einem Delta-Report vergleichen.
Abbildung 6.19: Der Container Task dient zum Import fremder Berichte.
Die Berichte müssen im GSM-XML-Berichtsformat vorliegen.
95
6.2. REPORTS
6.2
KAPITEL 6. SCANNING
Reports
Die Ergebnisse eines Scans werden in einem Report zusammengefasst. Dieser Report kann in dem Browser betrachtet werden und in unterschiedlichen Formaten
von dem GSM geladen werden. Hat der Scan einmal begonnen, kann zu jedem Zeitpunkt der Report zu den bisher ermittelten Ergebnissen eingesehen werden. Ist der
Scan abgeschlossen, ändert sich dessen Status auf ”Done”. Ab jetzt kommen keine
weiteren Resultate mehr dazu. Beachten Sie bezüglich der Reports auch das Kapitel
7.
Abbildung 6.20: Die Reportsummary gibt einen Überblick über die gefundenen
Schwachstellen.
Die Report Summary gibt Ihnen einen schnellen Aufschluss über den aktuellen Stand.
Sie erkennen, ob der Scan bereits vollständig ist und wieviele Schwachstellen bereits
gefunden wurden. Sie können aus der Summary heraus auch direkt den Bericht in
unterschiedlichen Formaten herunterladen. Die folgenden Formate werden zur
Verfügung gestellt (siehe auch Abschnitt 7.2):
• ARF - Asset Reporting Format v1.0.0
Dieses Format erzeugt einen Bericht, der dem NIST Asset Reporting Format
entspricht.
• CPE - Common Product Enumeration CSV Table
Dieser Report wählte alle CPE-Tabellen und erzeugt eine einzige kommaseparierte Datei.
• CSV Hosts
Dieser Bericht erzeugt eine komma-separierte Datei mit den gefundenen Systemen.
• CSV Results
Dieser Bericht erzeugt eine komma-separierte Datei mit den Ergebnissen des
Scans.
96
KAPITEL 6. SCANNING
6.2. REPORTS
• GSR PDF - Greenbone Security Report (empfohlen)
Dies ist der vollständige Greenbone Security Bericht mit allen Schwachstellen.
• GXR PDF - Greenbone Executive Report (empfohlen)
Dies ist ein gekürzter Bericht für das Management.
• HTML
Dieser Bericht ist in HTML Format.
• ITG - IT-Grundschutz-Kataloge
Dieser Bericht orientiert sich am BSI IT-Grundschutz Katalog
• LaTeX
Dieser Bericht wird als LATEXQuelltext zur Verfügung gestellt.
• NBE
Dies ist das alte OpenVAS/Nessus Report Format.
Sie können aber auch in der Weboberfläche unterschiedliche Details des Reports
anzeigen.
Abbildung 6.21: Verschiedene Sichten auf denselben Report
Weil ein Report häufig sehr viele Meldungen enthält, können Sie sich sowohl den
kompletten Bericht als auch nur gefilterte Ergebnisse anzeigen lassen und herunterladen. In der Voreinstellung werden nur die Meldungen mit den Bedrohungen
”High” und ”Medium” angezeigt. Sie können dies aber einfach ändern.
In dem Abschnitt Filtered Results sehen Sie die gefilterten Ergebnisse. Solange der
Scan noch läuft kann es hier zu Umsortierungen kommen.
Um die Ergebnisse zu deuten, beachten Sie bitte die folgenden Hinweise:
• False Positives
Als False Positive wird eine Meldung bezeichnet, die ein Problem beschreibt,
welches in Wirklichkeit nicht vorhanden ist. So finden Schwachstellen-Scanner
oft Indizien, die auf ein Sicherheitsproblem hinweisen. Eine endgültige Aussage
ist jedoch nicht möglich. Hier stehen nun zwei Möglichkeiten zur Auswahl:
97
6.2. REPORTS
KAPITEL 6. SCANNING
Abbildung 6.22: Report Filtering
– Meldung einer potentiell nicht existenten Schwachstelle (False Positive).
– Unterlassung der Meldung einer potentiell existenten Schwachstelle
(False Negative.
Da ein Anwender False Positives aber erkennen, verwalten und damit umgehen kann und dies bei False Negatives nicht der Fall ist, meldet der GSM
Schwachstellenscanner alle potentiell existenten Schwachstellen. Es ist dann
Aufgabe des Anwenders diese einzuordnen.
Besonders typisch ist dieses Problem bei Enterprise Linux Distributionen. Ist
zum Beispiel der SSH-Service in der Version 4.4 installiert und meldet diese Software diese Version bei einer Verbindungsaufnahme, so schlägt ein
Schwachstellenscanner, der eine Sicherheitslücke in dieser Version kennt, an.
Der Distributor hat die Schwachstelle aber vielleicht bereits behoben und eine
Version 4.4-p1 verö entlicht, die auch installiert wurde. Diese Version meldet
nach außen aber weiterhin die Version 4.4, so dass der Schwachstellenscanner
nicht unterscheiden kann. Wenn der Anwender diesen Umstand kennt, kann er
Overrides (siehe Abschnitt 6.6) konfigurieren. Auch die AutoFP-Funktionalitität
(siehe Abschnitt 6.6.3) kann hier helfen.
• Mehrere Meldungen können eine gemeinsame Ursache haben. Ist ein besonders veraltetes Softwarepaket installiert, so liegen häufig mehrere Sicherheitslücken vor. Jede dieser Schwachstellen wird von einer eigenen Prüfroutine
geprüft und löst eine Meldung aus. Die Installation eines aktuellen Pakets behebt dann viele Schwachstellen auf einen Schlag.
• Wichtig sind Meldungen der Stufen High
und Medium
. Bearbeiten Sie die Meldungen in der Reihenfolge ihrer Einstufungen. Bevor Sie sich
mit der Stufe Medium beschäftigen, sollten Sie die Stufe High betrachten. Nur
in Ausnahmefällen, wenn Sie wissen, dass die Meldungen der Stufe High für
98
KAPITEL 6. SCANNING
6.2. REPORTS
Sie weniger in Betracht kommen (weil die Dienste durch eine Firewall nicht
erreichbar sind), sollten Sie von dieser Taktik abweichen.
• Low
und Log
sind vor allem für das Detail-Verständnis interessant. Daher sind diese Meldungen in der Voreinstellung auch ausgefiltert.
Diese Meldungen können aber dennoch sehr interessante Informationen enthalten und ihre Berücksichtigung verbessert die Sicherheit Ihres Netzes und
Ihrer Systeme. Meist ist für ihr Verständnis aber auch ein tieferes Wissen um
die Applikationen erforderlich. Typisch für eine Meldung auf Log-Ebene ist die
Meldung, dass ein Dienst einen Banner mit seinem Namen und Versionnummer verwendet. Dies kann einem Angreifer, wenn diese Version eine bekannte
Sicherheitslücke aufweist, in seinem Angri nützlich sein.
• Um die Behebung der Schwachstelle zu vereinfachen, gibt jede Meldung auch
direkt eine Lösung des Problems an. In den meisten Fällen wird auf entsprechende aktuelle Softwarepakete des Herstellers verwiesen. In einigen Fällen
wird direkt eine Konfigurationseinstellung angegeben.
• Referenzen erläutern die Schwachstelle weiter. Obwohl die Meldungen bereits sehr viele Informationen mitliefern, sind immer auch externe Referenzen
aufgeführt. Diese verweisen auf Webseiten im Internet, auf denen diese Sicherheitslücke bereits diskutiert wurde. Hier erhalten Sie weitere Hintergrundinformationen, wer die Schwachstelle entdeckt hat, welche Auswirkungen sie
haben kann und wie diese Schwachstelle behoben werden kann.
99
6.2. REPORTS
6.2.1
KAPITEL 6. SCANNING
Lesen des Reports
Der Report enthält eine Liste sämtlicher durch den GSM aufgedeckter Schwachstellen (siehe Abbildung 6.23).
Abbildung 6.23: Liste der gefundenen Schwachstellen
Um den Administrator bei der Analyse der Ergebnisse zu unterstützen, wird der
Schweregrad der Schwachstelle (CVSS, siehe auch Abschnitt 15.3.4) direkt als Balken
dargestellt.
Um den Admin auf eine einfache Lösung hinzuweisen, zeigt die Spalte Solution-Type
das Vorhandensein einer Lösung an. Existiert ein Patch des Hersteller oder
ist ein Workaround verfügbar, zeigt das die Spalte an. Existiert keine Lösung für
die Schwachstelle, so wird auch dies angezeigt . Falls aktuell die Spalte für eine
einzelne Schwachstelle noch leer ist, so wurde der NVT noch nicht entsprechend
aktualisiert.
Die Spalte Quality of Detection (QoD) ist ein Hinweis auf die Verlässlichkeit der erfolgreichen Erkennung der Schwachstelle. Diese Einschätzung wird schrittweise in
alle vorhandenen NVTs eingefügt werden (siehe auch Abschnitt 15.2). Diese Spalte
erlaubt Ihnen auch die Filterung. Per Default werden nur NVTs mit einem QoD von
70% angezeigt. Dadurch sehen Sie Schwachstellen, deren Verlässlichkeit in der Erkennung geringer ist, nicht in dem Bericht. Die Wahrscheinlichkeit für False-Positives
ist damit geringer.
Auf der Anzeige der eigentlichen Schwachstelle erhalten Sie weitergehende detaillierte Informationen.
100
KAPITEL 6. SCANNING
6.2. REPORTS
Abbildung 6.24: Detaillierte Informationen über die Schwachstelle und Lösungsmöglichkeiten.
101
6.3. AUTHENTIFIZIERTER SCAN
6.3
KAPITEL 6. SCANNING
Authentifizierter Scan
Ein authentifizierter Scan meldet sich auf dem Zielsystem an, um dieses zu testen.
Hierzu verwendet er Zugangsdaten, die der Scan Anwender vorher auf dem GSM
hinterlegen muss. Diese Zugangsdaten (”Credentials”) werden genutzt, um sich für
verschiedene Dienste auf dem Zielsystem anzumelden. Dabei können die Ergebnisse
durch die Rechte der verwendeten Benutzer unter Umständen eingeschränkt sein.
Dabei ist der Scan Minimal-Invasiv. Das bedeutet, dass der GSM ausschließlich
den Gefährdungszustand ermittelt und keine Änderung am Ziel-System durchführt.
Jedoch ist die Anmeldung durch den GSM in den Protokollen des Zielsystems feststellbar.
Die Zugangsdaten können für verschiedenste Dienste von dem GSM benutzt werden.
Besonders wichtig sind jedoch
• SMB
Hiermit kann der GSM auf Windows-Systemen den Patch-Level prüfen und
lokal installierte Software wie den Adobe Acrobat Reader oder die Java Suite
prüfen.
• SSH
Dieser Zugang wird für Prüfungen des Patch-Level bei UNIX und LinuxSystemen verwendet.
• ESXi
Dieser Zugang wird für lokale Prüfungen auf VMWare ESXi Servern verwendet.
Der Umfang und Erfolg der Prüfroutinen für authentifizierte Scans ist stark von
den Berechtigungen des verwendeten Zugangskontos abhängig. Dabei bestehen
besonders bei Windows-Systemen mit unprivilegierten Benutzern große Einschränkungen.
Um die Zugangsdaten anzulegen, rufen Sie im Menü C o n f i g u r a t i o n den Unterpunkt C re d e n t ia l s auf. Hier geben Sie dann die folgenden Informationen ein:
• Name
Dies ist ein beliebiger Name für die Credentials.
• Login
Dies ist der Anmeldename, mittels dessen sich die GSM an dem zu scannenden
System anmeldet.
• Comment
Die ist ein frei wählbarer Kommentar.
• Autogenerate Credentials
Hiermit erzeugt die GSM Appliance selbst ein zufälliges Kennwort.
102
KAPITEL 6. SCANNING
6.3. AUTHENTIFIZIERTER SCAN
Abbildung 6.25: Bei den Credentials können auch SSH-Schlüssel genutzt werden.
• Password
Hier können Sie ein Kennwort eingeben.
• Key pair
Wenn die Anmeldung per SSH erfolgt, können Sie hier einen privaten Schlüssel
hochladen. Zusätzlich kann die optionale Passphrase des privaten angegeben
werden.
6.3.1
Voraussetzungen auf Zielsystemen mit Windows
6.3.1.1
Allgemeine Konfigurationshinweise
• Der Remote Registry Dienst muss gestartet sein, damit auf die Registry zugegri en werden kann.
• Bei allein stehenden Systemen muß der folgender Registry Wert gesetzt werden:
HKLM \ S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ &
P o l i c i e s \ s y s t e m \ DWORD : &
LocalAccountTokenFilterPolicy = 1
• Bei Systemen mit Domänencontroller muss das verwendete Nutzerkonto der
Gruppe der “Domänen-Administratoren” angehören, um das bestmögliche
Ergebnis zu erzielen. Aufgrund des Rechtekonzepts ist es mit “Lokalen Admistratoren” oder auch über die Domäne zugewiesenen Administratoren nicht
möglich, alle Schwachstellen zu erkennen. Alternativ können Sie den weiter
unten stehenden Weg “Konfigurieren eines Domänenkontos für authentifizierte Scans” gehen.
• Sollten Sie dennoch einen reinen Lokalen Administrator nehmen - was wir
ausdrücklich nicht empfehlen - ist es zwingend notwendig, dass auch hier der
folgender Registry Wert gesetzt wird:
103
6.3. AUTHENTIFIZIERTER SCAN
KAPITEL 6. SCANNING
HKLM \ S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ &
P o l i c i e s \ s y s t e m \ DWORD : &
LocalAccountTokenFilterPolicy = 1
• Generiertes Installationspaket für Credentials: Der Installer stellt den “Remote
Registry” Dienst auf Autostart. Wird der Installer auf einem Domänencontroller
ausgeführt, so wird das Nutzerkonto der Gruppe “Domänen-Administratoren”
(SID S-1-5-32-544) zugeordnet.
• Es muss eine Ausnahmeregel für die IP des GSM in der Windows-Firewall eingerichtet werden. Bei XP-Systemen muss zusätzlich “File and Printer Sharing”
auf “enabled” gesetzt werden.
• Generiertes Installationspaket für Credentials: Der Installer bietet während
der Installation einen Dialog zur Eingabe der IP des GSM. Wird die Eingabe
bestätigt, so wird die Firewall-Regel eingerichtet. Bei XP-Systemen wird der
“File and Printer Sharing” Dienst aktiviert.
6.3.1.2
Konfigurieren eines Domänenkontos für authentifizierte Scans
Um ein Domänenkonto für hostbasierte Remote-Audits auf einem Windows Ziel zu
nutzen, muss dieses unter dem Betriebssystem Windows XP Professional, Windows
Vista, Windows 2003, Windows 2008, Windows 2012 Windows 7, Windows 8 oder
Windows 8.1 ausgeführt werden und außerdem Teil einer Domäne sein.
Unter Berücksichtigung der Sicherheit sollten acht Schritte zur Einrichtung dieses
Scans umgesetzt werden.
Schritt 1: Einrichten einer Sicherheitsgruppe Richten Sie als erstes eine Sicherheitsgruppe mit dem Namen “Greenbone Local Scan” ein:
• Melden Sie sich dazu an einem Domänencontroller an und ö nen Sie “Active
DirectoryBenutzer und Computer”.
• Nun erstellen Sie die Sicherheitsgruppe im Menü. Dazu wählen Sie Aktion >
Neu > Gruppe aus.
• Nennen Sie die “Greenbone Local Scan”. Wichtig dabei ist, dass als Bereich
Global und als Typ Sicherheit festgelegt ist.
• Fügen Sie der Gruppe “Greenbone Local Scan” jenes Konto hinzu, das Sie zur
Ausführung von lokalen, authentifizierten Scans mit der Greenbone Aplliance
unter Windows verwenden wollen.
104
KAPITEL 6. SCANNING
6.3. AUTHENTIFIZIERTER SCAN
Schritt 2: Einrichten einer Gruppenrichtlinie Nun müssen Sie eine Gruppenrichtlinie mit dem Name “Greenbone Local SecRights” einrichten.
• Ö nen Sie dazu die GruppenrichtlinienVerwaltungskonsole.
• Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekte und wählen Sie Neu aus.
• Geben Sie als Namen der Richtlinie “Greenbone Local SecRights” ein.
Abbildung 6.26: Neues Windows Gruppenrichtlinienobjekt für Greenbone Scans.
Beachten Sie bitte, dass diese Einstellung nach entfernen der GPO weiterhin besteht (“Tattooing GPO”).
h
i
n
w
e
i
s
Schritt 3: Konfiguration der Richtlinie Hier fügen Sie der Richtlinie “Greenbone
Local SecRights” die Gruppe “Greenbone Local Scan” hinzu und legen sie in den
Gruppen Lokale Administratoren ab.
• Klicken Sie auf die Richtlinie “Greenbone Local SecRights” und wählen Sie
anschließend Bearbeiten aus.
105
6.3. AUTHENTIFIZIERTER SCAN
KAPITEL 6. SCANNING
• Ö nen Sie
C o m p u t e r k o n f i g u r a t i o n \ R i c h t l i n i e n \ Windows - &
E i n s t e l l u n g e n \ S i c h e r h e i t s e i n s t e l l u n g e n \&
äEingeschrnkte Gruppen .
• Klicken Sie im linken Bereich mit der rechten Maustaste auf Eingeschränkte
Gruppen und wählen Sie “Gruppe hinzufügen” aus.
• Wählen Sie nun “Durchsuchen” im Dialogfeld Gruppe hinzufügen aus, geben Sie
“Greenbone Local Scan” ein, klicken Sie anschließend auf Namen überprüfen.
Abbildung 6.27: Windows Gruppen-Namen überprüfen.
• Klicken Sie nun 2 mal auf OK, um das geö nete Dialogfeld wieder zu schließen.
• Klicken Sie unter Diese Gruppe ist Mitglied von: auf “Hinzufügen”.
• Fügen Sie die Gruppe “Administratoren” hinzu. Sollten Sie auch englischsprachige Systeme haben, fügen Sie bitte auch noch “Administrators” hinzu.
Bei anders-sprachigen Systemen, gehen Sie bitte den entsprechenden Namen
für die Lokale Administratorgruppe ein.
• Klicken Sie zwei mal auf OK.
106
KAPITEL 6. SCANNING
6.3. AUTHENTIFIZIERTER SCAN
Abbildung 6.28: Gruppen-Mitgliedschaft hinzufügen.
Abbildung 6.29: Eine weitere Gruppen-Mitgliedschaft hinzufügen.
107
6.3. AUTHENTIFIZIERTER SCAN
KAPITEL 6. SCANNING
Schritt 4: Konfiguration der Richtlinie, um der Gruppe “Greenbone Local Scan”
das lokale anmelden am System zu verweigern Hier fügen Sie der Richtlinie
“Greenbone Local SecRights” die Gruppe “Greenbone Local Scan” hinzu und verbieten das lokale Anmelden von Gruppenmitgliedern.
• Klicken Sie auf die Richtlinie “Greenbone Local SecRights” und wählen Sie
anschließend Bearbeiten aus.
• Ö nen Sie
C o m p u t e r k o n f i g u r a t i o n \ R i c h t l i n i e n \ Windows - &
E i n s t e l l u n g e n \ S i c h e r h e i t s e i n s t e l l u n g e n \&
L o k a l e R i c h t l i n i e n \ Z u w e i s e n von &
Benutzerrechten
• Doppelklicken Sie im rechten Bereich auf “Lokal anmelden verweigern”.
• Setzen Sie den Haken bei “Diese Richtlinieneinstellung definieren:”
• Klicken Sie auf “Benutzer oder Gruppe hinzufügen”
• Wählen Sie nun “Durchsuchen” im Dialogfeld aus, geben Sie “Greenbone Local
Scan” ein, klicken Sie anschließend auf Namen überprüfen.
Abbildung 6.30: Richtlinie für lokales Anmelden bearbeiten.
• Klicken Sie nun 2 mal auf OK, um das geö nete Dialogfeld wieder zu schließen.
• Klicken Sie auf OK.
108
KAPITEL 6. SCANNING
6.3. AUTHENTIFIZIERTER SCAN
Schritt 5: Konfiguration der Richtlinie, um der Gruppe “Greenbone Local Scan”
das Anmelden per Remotedesktopdienst am System zu verweigern Hier fügen
Sie der Richtlinie “Greenbone Local SecRights” die Gruppe “Greenbone Local Scan”
hinzu und verbieten das anmelden per RDP von Gruppenmitgliedern.
• Klicken Sie auf die Richtlinie “Greenbone Local SecRights” und wählen Sie
anschließend Bearbeiten aus.
• Ö nen Sie
C o m p u t e r k o n f i g u r a t i o n \ R i c h t l i n i e n \ Windows - &
E i n s t e l l u n g e n \ S i c h e r h e i t s e i n s t e l l u n g e n \&
L o k a l e R i c h t l i n i e n \ Z u w e i s e n von &
Benutzerrechten
• Doppelklicken Sie im rechten Bereich auf “Anmelden über Remotedesktopdienst verweigern”.
• Setzen Sie den Haken bei “Diese Richtlinieneinstellung definieren:”
• Klicken Sie auf “Benutzer oder Gruppe hinzufügen”
• Wählen Sie nun “Durchsuchen” im Dialogfeld aus, geben Sie “Greenbone Local
Scan” ein, klicken Sie anschließend auf Namen überprüfen.
Abbildung 6.31: Richtlinie für lokales Anmelden bearbeiten.
• Klicken Sie nun 2 mal auf OK, um das geö nete Dialogfeld wieder zu schließen.
109
6.3. AUTHENTIFIZIERTER SCAN
KAPITEL 6. SCANNING
• Klicken Sie auf OK.
Beachten Sie bitte, dass diese Einstellung nach Entfernen der GPO weiterhin besteht (“Tattooing GPO”).
h
i
n
w
e
i
s
Schritt 6 (Optional): Konfiguration der Richtlinie, um die Gruppe “Greenbone Local Scan” nur Leserechte auf dem Systemlaufwerk zu geben. Hier schränken Sie
in der Richtlinie “Greenbone Local SecRights” für die Gruppe “Greenbone Local Scan”
die Rechte auf dem Systemlaufwerk ein.
• Klicken Sie auf die Richtlinie “Greenbone Local SecRights” und wählen Sie
anschließend Bearbeiten aus.
• Ö nen Sie
C o m p u t e r k o n f i g u r a t i o n \ R i c h t l i n i e n \ Windows - &
E i n s t e l l u n g e n \ S i c h e r h e i t s e i n s t e l l u n g e n \&
Dateisystem
• Klicken Sie im linken Bereich mit der rechten Maustaste auf Dateisystem und
wählen Sie “Datei Hinzufügen...” aus.
• Tragen Sie im Feld Ordner: %SystemDrive% ein und klicken Sie OK.
Abbildung 6.32: Richtlinie für Leserecht auf Systemlaufwerk.
• Klicken Sie auf Hinzufügen unter dem Feld “Gruppen oder Benutzernamen”.
• Geben Sie “Greenbone Local Scan” im sich ö nenden Dialog ein und klicken Sie
auf OK.
110
KAPITEL 6. SCANNING
6.3. AUTHENTIFIZIERTER SCAN
Abbildung 6.33: Richtlinie für Leserecht auf Systemlaufwerk.
• Wählen Sie nun den Benutzer “Greenbone Local Scan” aus.
• Deaktivieren Sie alle Haken unter “Zulassen” und aktivieren Sie den Haken
unter “Verweigern” > “Schreiben”.
Abbildung 6.34: Richtlinie für Leserecht auf Systemlaufwerk.
111
6.3. AUTHENTIFIZIERTER SCAN
KAPITEL 6. SCANNING
• Klicken Sie anschließend auf OK und bestätigen Sie die Warnmeldung mit “Ja”.
• Wählen Sie nun “Datei oder Ordner konfigurieren und anschließend” und “vererbbare Berechtigungen an alle Unterordner und Dateien verteilen” aus und
klicken Sie anschließend auf OK.
Abbildung 6.35: Richtlinie für Leserecht auf Systemlaufwerk.
Beachten Sie bitte, dass diese Einstellung nach entfernen der GPO weiterhin besteht (“Tattooing GPO”).
h
i
n
w
e
i
s
Schritt 7 (Optional): Konfiguration der Richtlinie, um der Gruppe “Greenbone Local Scan” nur Leserechte in der Registry zu geben. Hier schränken Sie in der Richtlinie “Greenbone Local SecRights” für die Gruppe “Greenbone Local Scan” die Rechte
teilweise in der Registry ein. Eine komplette Einschränkung ist auf diesem Wege nur
schwer und mit sehr viel Aufwand möglich. Sie können ggf. für Sie kritische Zweige
zusätzlich absichern, indem Sie die Zweige manuell hinzufügen.
• Klicken Sie im linken Bereich mit der rechten Maustaste auf Registrierung und
wählen Sie “Schlüssel Hinzufügen...” aus.
• Wählen Sie USERS aus und klicken Sie OK.
• Klicken Sie auf Erweitert und anschließend auf Hinzufügen.
• Geben Sie “Greenbone Local Scan” im sich ö nenden Dialog ein und klicken Sie
auf OK.
• Im nun folgenden Dialog wählen Sie für “Übernehmen für“ “Dieses Objekt und
untergeordnete Objekte” aus.
• Unter Berechtigungen wählen Sie Verweigern für “Wert festlegen”, “Unterschlüssel erstellen”, “Link erstellen”, “Löschen”, “Berechtigung ändern” und
“Besitz übernehmen” aus.
112
KAPITEL 6. SCANNING
6.3. AUTHENTIFIZIERTER SCAN
Abbildung 6.36: Richtlinie für Leserecht auf Registry.
Abbildung 6.37: Richtlinie für Leserecht auf Registry.
• Bitte nichts unter zulassen auswählen!
• Klicken Sie anschließend zwei mal auf OK und bestätigen Sie die Warnmeldung
mit “Ja”.
• Klicken Sie nochmals auf OK.
• Wählen Sie nun “Diesen Schlüssel konfigurieren” und “Vererbbare Berechtigungen an alle Unterschlüssel verteilen” aus und klicken Sie anschließend auf
OK.
113
6.3. AUTHENTIFIZIERTER SCAN
KAPITEL 6. SCANNING
Abbildung 6.38: Richtlinie für Leserecht auf Registry.
Abbildung 6.39: Richtlinie für Leserecht auf Registry.
• Führen Sie oben genannte Punkte bitte auch noch einmal für MACHINE und
CLASSES_ROOT aus indem Sie im linken Bereich mit der rechten Maustaste
auf Registrierung klicken und “Schlüssel Hinzufügen...” auswählen.
Schritt 8 (Optional): Verknüpfen des Gruppenrichtlinienobjektes
114
KAPITEL 6. SCANNING
6.3. AUTHENTIFIZIERTER SCAN
• Klicken Sie in der Gruppenrichtlinien Verwaltungskonsole mit der rechten
Maustaste auf Ihre Domäne oder eine Organisationseinheit und wählen Sie
“Vorhandenes Gruppenrichtlinienobjekt verknüpfen” aus.
• Wählen Sie nun das Gruppenrichtlinienobjekt “Greenbone Local SecRights”
aus.
Abbildung 6.40: Richtlinie verknüpfen.
Einschränkungen Bedingt dadurch, dass die Schreibrechte auf die Registry und
das Systemlaufwerk entzogen wurden, werden die zwei folgenden Tests nicht mehr
funktionieren:
• “Leave information on scanned Windows hosts” OID 1.3.6.1.4.1.25623.1.0.96171
Dieser Test legt - wenn gewünscht - unter HKLM
SOFTWARE
VulScanInfo Informationen zum Start und Ende des Scans an. Dies ist durch
das verwehren des Schreibzugri s auf HKLM nun nicht mehr möglich.
Wenn Sie dies weiterhin wünschen, müssten Sie hier die GPO entsprechend
anpassen.
• “Windows file Checksums” OID 1.3.6.1.4.1.25623.1.0.96180
Der Test legt beim Aufruf - wenn gewünscht - das Tool ReHash unter C:
Windows
system32 (für 32-Bit Systeme) oder C:
115
6.3. AUTHENTIFIZIERTER SCAN
KAPITEL 6. SCANNING
Windows
SysWOW64 (für 64-Bit Systeme) an. Dies ist durch das verwehren des Schreibzugri s nun nicht mehr möglich. Sie müssten das Tool also entweder selber
dort anlegen oder aber die GPO entsprechend anpassen.
Nähere Informationen finden Sie hier: http://www.greenbone.de/
learningcenter/policy_file_checksums.de.html.
6.3.1.3
Scannen ohne Domainadmin und lokale Adminrechte
Es ist theoretisch auch möglich eine GPO zu bauen, bei der ein User auch keine
lokalen Adminrechte hat. Aber der Aufwand um jeden einzelne Registry Zweig und
auch Verzeichnis mit den entsprechenden Leserechten zu versehen, ist enorm. Denn
leider ist die Vererbung von Rechten bei sehr vielen Verzeichnissen oder Zweigen
deaktiviert. Des weiteren können diese Änderungen zwar per GPO gesetzt, aber
nicht mehr zurück genommen werden (Tattooing GPO). Außerdem würden dabei evtl.
spezielle Berechtigungen überschrieben werden, so das es zu weiteren Problemen
kommen könnte.
Es macht also vom technischen und administrativen Aufwand her wenig Sinn, diesen
Weg zu gehen.
6.3.2
Voraussetzungen auf Zielsystemen mit Linux/UNIX
• Für einen authentifizierten Scan auf Linux oder Unix Systemen ist in der Regel
ein einfacher Benutzerzugang ausreichend. Der Login erfolgt dabei über SSH.
Die Authentifizierung erfolgt entweder über im GSM hinterlegte Passwörter
oder über einen SSH-Schlüssel.
• Generiertes Installationspaket für Credentials: Das Installationspaket für Linux Debian oder Linux RedHat ist ein .deb beziehungsweise ein .rpm, mit dem
ein neuer Benutzer ohne spezielle Rechte angelegt wird. Im Verzeichnis dieses Benutzers wird ein auf dem GSM erzeugter SSH-Schlüssel abgelegt. Für
Benutzer anderer Linux Distributionen und UNIX Derivate wird der Schlüssel
zum Download angeboten. Das Anlegen des Nutzers und das Ablegen des
Schlüssels mit den richtigen Dateirechten ist dann Aufgabe des Anwenders.
• In beiden Fällen ist darauf zu achten, dass Public Key Authentifizierung in der Konfiguration des SSH Daemons nicht verboten ist. Die Zeile
PubkeyAuthentication no darf nicht vorhanden sein.
• Es können auch bereits bestehende SSH-Schlüssel verwendet werden, die
optional durch eine Passphrase geschützt sein können. Es wird empfohlen,
die Formate RSA und DSA zu verwenden, wie sie von dem Befehl ssh-keygen
erstellt werden.
116
KAPITEL 6. SCANNING
6.3. AUTHENTIFIZIERTER SCAN
• Für Scans, die auch Policyprüfung beinhalten, kann auch eine Rootberechtigung
oder die Mitgliedschaft in bestimmten Gruppen (oftmals “wheel”) nötig sein.
Viele Konfigurationsdateien sind aus Sicherheitsgründen nur für Superuser
oder Mitglieder einer bestimmten Gruppe lesbar.
6.3.3
Autogenerate Credentials
Um die Installation und Bereitstellung eines Kontos für den authentifizierten Scan
zu erleichtern, bietet die Funktion Autogenerate Credential des GSM ein Installationspaket für das jeweilige Zielsystem. Dieses Paket erzeugt den Benutzer mit
den wichtigsten Berechtigungen für den authentifizierten Scan und setzt sie bei
De-Installation wieder zurück.
Das Installationspaket wird für
• Debian-basierte Systeme
• RPM-basierte Systeme
• Windows
• Public Key
zur Verfügung gestellt.
117
6.4. GEPLANTER SCAN
6.4
KAPITEL 6. SCANNING
Geplanter Scan
Haben Sie Ihre Tasks eingerichtet, so ist der manuelle Aufruf nur noch lästig. Daher
bietet der GSM die Möglichkeit verschiedenste Aufgaben zu automatisieren. Dies
erledigen Sie mit den S c h e d u l e s. Diese finden Sie in dem Menü C o n f i g u r a t i o n.
Direkt nach dem Start ist noch kein Schedule voreingestellt. Sie müssen den ersten
Schedule selbst erzeugen. Hierzu verwenden Sie den Button .
Abbildung 6.41: Schedules erlauben zeitgesteuerte Scans.
Als Schedule bezeichnet der Greenbone Security Manager automatische Scans zu
einer bestimmten Zeit. Diese können einmalig oder wiederholend ausgeführt werden.
Die Wiederholungen sind dabei sehr fein einstellbar:
• stündlich
• täglich
• wöchentlich
• monatlich
Besonders wichtig bei einem Schedule ist die Zeitzone. Diese kann über ein DropDown-Menü ausgewählt werden. Für Deutschland wählen Sie wahrscheinlich ”Europe/Berlin”. Schließlich können Sie auch die maximale Dauer des Scans beschränken.
Dauert der Scan länger, so wird er abgebrochen. Damit können Sie sicherstellen,
dass der Scan immer innerhalb eines bestimmten Zeitfensters durchgeführt wird.
Nun können Sie den Schedule definieren und die folgenden Daten eingeben:
• Name
Dies ist ein beschreibender Name. Sinnvoll ist hier eine Angabe wie ”taeglich
17:15” oder ”Jeder 2. monatlich 4:15”.
118
KAPITEL 6. SCANNING
6.4. GEPLANTER SCAN
Abbildung 6.42: Bei dem Anlegen eines Schedules müssen Sie mehrere Informationen angeben.
• Comment
Hier geben Sie wieder einen Kommentar ein.
• First Time
Hier geben Sie den Zeitpunkt der ersten Ausführung ein.
• Period
Dies ist der Abstand zwischen zwei Ausführungen. Hier können Sie wählen
zwischen stündlich, täglich, wöchentlich und monatlich. Wenn Sie die Period
freilassen, handelt es sich um eine einmalige Ausführung.
• Timezone
Hier können Sie die Zeitzone anpassen. Standard ist UTC.
• Duration
Dies ist die maximale Dauer, die der Task für seine Ausführung benötigen darf.
Bei Ablauf dieser Zeit wird der Task abgebrochen.
119
6.5. NOTIZEN
6.5
KAPITEL 6. SCANNING
Notizen
Notizen (Notes) erlauben Ihnen Kommentare an einen Network Vulnerability Test
(NVT) zu knüpfen. Diese werden dann auch in den Berichten angezeigt. Dabei kann
eine Note an ein bestimmtes Ergebnis, einen bestimmten Task, eine Bedrohungsstufe, Port oder Host gebunden sein, so dass diese Note nur in bestimmten Berichten
auftritt. Die Note kann aber genausogut generalisiert werden, so dass sie in allen
Berichten angezeigt wird.
6.5.1
Notizen anlegen
Um eine neue Note zu erzeugen, wählen Sie in dem Bericht die Meldung aus, für
die Sie eine Notiz hinzufügen wollen und klicken N e w N o t e . Alternativ können
Sie auch ohne den Bezug zu einer Meldung eine neue Notiz erzeugen. Dann kann
der GSM Ihnen jedoch keine sinnvollen Werte für die verschiedenen Felder in dem
folgenden Dialog vorschlagen.
Nun ö net sich eine neue Seite, in der genau die Kriterien der von Ihnen gewählten
Schwachstelle bereits voreingestellt sind.
Abbildung 6.43: Eine neue Notiz
Hier können Sie einzelne Werte nun an- und abwählen, um die Note zusätzlich
zu generalisieren oder spezifischer einzustellen. Außerdem können Sie die Note
nur für eine bestimmte Zeit aktiv schalten. Damit ist es möglich in den Berichten
einen Hinweis zu hinterlegen, dass ein Sicherheitsupdate in den kommenden sieben
Tagen eingespielt wird. In den nächsten sieben Tagen wird die Note in den Berichten
angezeigt und so dokumentiert, dass die Schwachstelle bereits in Bearbeitung ist.
120
KAPITEL 6. SCANNING
6.5. NOTIZEN
Abbildung 6.44: Die Notiz im Bericht
6.5.2
Notizen verwalten
Die erzeugten Notes können Sie sich dann unter S c a n M a n a ge m e n t und N o t e s
anzeigen lassen. Hier können Sie auch komplett neue Notes hinzufügen.
Abbildung 6.45: Die Notizen können einzeln verwaltet werden.
Unter anderem sehen Sie hier, ob die von Ihnen angelegten Notizen aktuell aktiv
sind. Außerdem können Sie die Notizen von hieraus editieren .
121
6.5. NOTIZEN
KAPITEL 6. SCANNING
Um nach einer bestimmten Notiz zu suchen, können Sie den Suchfilter entsprechend
nutzen. Dies erleichtert besonders bei vielen Notizen das Aunden einer bestimmten Note. Dazu können Sie den Suchfilter entsprechend aufklappen und den Text
entsprechend eingeben oder diesen auch direkt oben in dem Filter-Fenster eingeben.
Natürlich können Sie diese Filter auch wie in allen anderen Dialogen speichern und
später wieder aufrufen.
Abbildung 6.46: Die Notizen können mit einer Suche eingeschränkt werden.
122
KAPITEL 6. SCANNING
6.6
6.6. OVERRIDES UND FALSE POSITIVES
Overrides und False Positives
Sie können die Ergebnisse in den Berichten nicht nur mit Hilfe von Notizen um
sinnvolle oder hilfreiche Daten ergänzen, sondern auch diese Ergebnisse in ihrem
Schweregrad modifizieren. Dies wird von dem GSM als Override bezeichnet.
Diese Overrides eignen sich insbesondere dazu, Meldungen, die als False Positive
erkannt wurden und mit einer kritischen Severity protokolliert wurden, aber in
Zukunft eine andere Severity (z.B. False Positive) erhalten sollen, zu bearbeiten.
Das gleiche gilt für Meldungen, die bisher nur die Severity Log erhalten, lokal aber
einen erhöhten Schweregrad erhalten sollen. Auch diese können dann mit einem
Override bearbeitet werden.
Die Verwendung der Overrides ist auch sinnvoll bei der Verwaltung von akzeptablen
Risiken. Hier können Sie das Risiko einer Schwachstelle selbst neu einordnen und so
die Risiken, die aus Ihrer Sicht nicht kritisch sind, in dem Ergebnis neu bewerten.
6.6.1
Was ist ein False Positive?
Als False Positive wird eine Meldung bezeichnet, die ein Problem beschreibt, welches
in Wirklichkeit nicht vorhanden ist. So finden Schwachstellen-Scanner oft Indizien,
die auf ein Sicherheitsproblem hinweisen. Eine endgültige Aussage ist jedoch nicht
möglich. Hier stehen nun zwei Möglichkeiten zur Auswahl:
• Meldung einer potentiell nicht existenten Schwachstelle (False Positive).
• Unterlassung der Meldung einer potentiell existenten Schwachstelle (False
Negative).
Beachten Sie hierzu auch das neue Konzept der Quality of Detection (siehe Abschnitt 6.2.1 und 15.2.
h
i
n
w
e
i
s
Da ein Anwender False Positives aber erkennen, verwalten und damit umgehen kann
und dies bei False Negatives nicht der Fall ist, meldet der GSM Schwachstellenscanner alle potentiell existenten Schwachstellen. Es ist dann Aufgabe des Anwenders
diese einzuordnen.
Besonders typisch ist dieses Problem bei Enterprise Linux Distributionen. Ist zum
Beispiel der SSH-Service in der Version 4.4 installiert und meldet diese Software
diese Version bei einer Verbindungsaufnahme, so schlägt ein Schwachstellenscanner, der eine Sicherheitslücke in dieser Version kennt, an. Der Distributor hat die
Schwachstelle aber vielleicht bereits behoben und eine Version 4.4-p1 verö entlicht, die auch installiert wurde. Diese Version meldet nach außen aber weiterhin die
Version 4.4, so dass der Schwachstellenscanner nicht unterscheiden kann. Wenn
der Scan-Administrator diesen Umstand kennt, kann er mit Overrides sicherstellen,
dass diese Meldungen nicht mehr angezeigt werden.
123
6.6. OVERRIDES UND FALSE POSITIVES
6.6.2
KAPITEL 6. SCANNING
Erzeugen eines Override
Overrides lassen sich wie die Notes unterschiedlich erzeugen. Am einfachsten erreichen Sie diese Funktion über das jeweilige Scan-Ergebnis in dem Bericht. Rechts
oben bei jeder Meldung befindet sich das A d d O ve r r i d e Icon .
Die Overrides haben die gleichen Funktionen wie die Notes, ergänzen diese aber um
die Möglichkeit die Bedrohungsstufe anzupassen:
• High
• Medium
• Low
• Log
• False Positive
Bedrohungen mit der Stufe False Positive werden in den Berichten nicht angezeigt.
Sie können aber auch speziell Berichte für Meldungen mit dieser Stufe erzeugen.
Auch bei den Overrides können Sie diese zeitlich beschränken.
Abbildung 6.47: Overrides erlauben die Anpassung der Bedrohungsstufe
124
KAPITEL 6. SCANNING
6.6.3
6.6. OVERRIDES UND FALSE POSITIVES
Automatische False-Positives (AutoFP)
Der GSM kann auch automatisch False-Positives erkennen und diese mit einem
automatischen Override versehen. Hierzu muss jedoch das Zielsystem sowohl von
außen als auch von innen in einem authentifizierten Scan analysiert werden.
Ein authentifizierter Scan kann Sicherheitslücken in lokal installierter Software
erkennen. So können Schwachstellen identifiziert werden, die von lokalen Benutzern
ausgenutzt werden können, oder die einem Angreifer zur Verfügung stehen, falls
er sich bereits lokalen Zugri als zum Beispiel unprivilegierter Benutzer verscha t
hat. In vielen Fällen erfolgt ein Angri in mehreren Stufen und der Angreifer nutzt
mehrere Sicherheitslücken aus, um seine Privilegien zu erweitern.
Der authentifizierte Scan bietet aber auch noch eine zweite mächtige Funktion,
die seine Durchführung rechtfertigt. In vielen Fällen kann durch den Scan des Systems von außen nicht einwandfrei erkannt werden, ob eine Schwachstelle tatsächlich existent ist. Der Greenbone Security Manager meldet im Zweifelsfall aber jede
potentielle Schwachstelle. Durch den authentifizierten Scan können viele dieser
potentiellen Schwachstellen als falsch-positive Meldungen erkannt und gefiltert
werden.
Abbildung 6.48: Automatische False Positives
Besonders typisch ist dieses Problem bei Enterprise Linux Distributionen. Ist zum
Beispiel der SSH-Service in der Version 4.4 installiert und meldet diese Software
diese Version bei einer Verbindungsaufnahme, so schlägt ein Schwachstellenscanner, der eine Sicherheitslücke in dieser Version kennt, an. Der Distributor hat die
Schwachstelle aber vielleicht bereits behoben und eine Version 4.4-p1 verö entlicht, die auch installiert wurde. Diese Version meldet nach außen aber weiterhin die
Version 4.4, so dass der Schwachstellenscanner nicht unterscheiden kann. Wurde
ein authentifizierter Scan durchgeführt, so kann der GSM erkennen, dass die Version
4.4-p1 installiert ist, die diese Schwachstelle nicht mehr besitzt.
125
6.6. OVERRIDES UND FALSE POSITIVES
KAPITEL 6. SCANNING
Die automatischen False Positives werden in der Report-Filter-Funktionalität (siehe
Abschnitt 9.3) aktiviert. Die besten Ergebnisse liefert die Funktionalität bei Nutzung
des “Partial CVE match”.
126
KAPIT EL 7
Berichte
Der GSM speichert sämtliche Berichte aller Scans in einer lokalen Datenbank ab.
Dabei wird nicht nur der letzte Bericht eines Scans, sondern die Berichte sämtlicher
jemals durchgeführten Scans gespeichert. Dies erlaubt auch den Zugri auf Informationen aus der Vergangenheit. Die Reports enthalten die in dem Scan gefundenen
Schwachstellen und Informationen (siehe auch Abschnitt 6.2).
Wurde ein Scan bereits mehrfach durchgeführt, so wird auch die Entwicklung der
gefundenen Schwachstellen angezeigt. Diesen Trend finden Sie jedoch nicht auf der
Seite der Reports sondern unter S c a n M a n a ge m e n t/Ta s k s.
Abbildung 7.1: Auf der Übersicht der Tasks finden Sie in der entsprechenden Spalte
auch den Trend der gefundenen Schwachstellen bei mehrfachen Scans.
Über diese Ansicht können Sie auch nur auf die Reports eines bestimmten Scans
zugreifen. Hierzu nutzen Sie in der Ansicht die Spalte Reports/Total (siehe Abbildung
7.2).
127
7.1. DELTA-REPORT
KAPITEL 7. BERICHTE
Abbildung 7.2: Die Spalte Reports enthält die Anzahl der insgesamt gespeicherten
Reports und das Datum des letzten Reports.
Hier finden Sie sowohl das Datum des letzten gespeicherten Reports, als auch die
Anzahl der insgesamt vorhandenen Reports. Dabei gibt die erste Zahl die Anzahl der
Reports aller abgeschlossenen Scans und die zweite Zahl die Anzahl der Reports
einschließlich der noch nicht abgeschlossenen Scans an. Durch Anklicken einer der
Zahlen erhalten Sie eine Liste der entsprechenden Reports. Durch Anklicken des
Datums erhalten Sie den letzten Report.
7.1
Delta-Report
Wenn Sie sich mehrere Reports eines Tasks anzeigen lassen (siehe Abbildung 7.3),
dann können Sie auch einen Delta-Report erstellen lassen. Hierzu nutzen Sie die
Funktion Compare in der Spalte Actions. Hiermit wählen Sie den ersten Report
für den Vergleich aus.
Abbildung 7.3: Zwei Reports des gleichen Tasks können in einem Delta-Report verglichen werden.
Das entsprechende Icon ist anschließend für den gewählten Report ausgegraut. Die
Compare-Icons der anderen Reports haben sich nun in ihrem Aussehen geändert.
Sie verwenden nun das Icon , um den zweiten Report für den Vergleich zu wählen.
Anschließend erhalten Sie den Delta-Report. Dieser kann, wie gewohnt, in unterschiedlichen Varianten angezeigt werden und auch als PDF exportiert werden.
128
KAPITEL 7. BERICHTE
7.2. REPORT PLUGINS
Abbildung 7.4: Nun müssen Sie den zweiten Report für den Vergleich wählen.
Abbildung 7.5: Der Delta-Report kann auch als PDF exportiert werden.
Der Report enhält auch die Informationen welche Zeitpunkte miteinander verglichen
werden und wieviele Ergebnisse hinzugekommen oder weggefallen sind.
7.2
Report Plugins
Report Plugins definieren die Formate mit denen aus den Scan-Resultaten ein Bericht
erstellt wird. Dies reicht vom PDF-Dokument gemäß Corporate Identity bis hin zu
interaktiven Berichten wie dem Greenbone Security Explorer. Diese Plugins können
auch zur Überführung der Berichtsinformationen in weitere Datenformate genutzt
werden, so dass Fremdanwendungen diese verarbeiten können (Konnektoren).
Der Greenbone Support unterstützt die Erstellung weiterer Plugins. Wünsche, Anregungen und konkrete Vorlagen werden gerne entgegen genommen.
Das Report Format Plugin Framework besitzt dabei die folgenden Eigenschaften:
• Einfacher Import/Export: Ein Report Plugin ist immer eine einzelne XML-Datei.
Der Import kann einfach durchgeführt werden (siehe Abschnitt 7.2.1).
• Parametrisierbar: Plugins können mit Parametern ausgestattet sein, die dann
in der grafischen Oberfläche an konkrete Bedürfnisse angepasst werden können.
129
7.2. REPORT PLUGINS
KAPITEL 7. BERICHTE
• Content Type: Für jedes Plugin wird festgelegt welcher Art das Ergebnis ist.
Verwendet werden die aus HTTP bekannten Bezeichnungen, zum Beispiel
“application/pdf”, “graphics/png” oder “text/plain”.
Je nach Content Type erscheinen die Plugins kontextbezogen in der Auswahl.
So z.B. die Typen “text/*” für den inline Versand als EMail.
• Signatur-Unterstützung: Über den Greenbone Security Feed werden Signaturen zu vertrauenswürdigen Plugins zur Verfügung gestellt. So kann man sich
überzeugen, dass ein importiertes Plugin von Greenbone überprüft wurde.
Die Reports können in unterschiedlichen Formaten exportiert werden.
• ARF - Asset Reporting Format v1.0.0
Dieses Format erzeugt einen Bericht, der dem NIST Asset Reporting Format
entspricht.
• CPE - Common Product Enumeration CSV Table
Dieser Report wählte alle CPE-Tabellen und erzeugt eine einzige kommaseparierte Datei.
• CSV Hosts
Dieser Bericht erzeugt eine komma-separierte Datei mit den gefundenen Systemen.
• CSV Results
Dieser Bericht erzeugt eine komma-separierte Datei mit den Ergebnissen des
Scans.
• GSR PDF - Greenbone Security Report (empfohlen)
Dies ist der vollständige Greenbone Security Bericht mit allen Schwachstellen
in grafischer Form als PDF-Datei. Die Sprache ist Englisch.
• GXR PDF - Greenbone Executive Report (empfohlen)
Dies ist eine Zusammenfassung der gefundenen Schwachstellen in grafischer
Form als PDF-Datei für das Management. Die Sprache des Reports ist Englisch.
• HTML
Dieser Bericht ist in HTML formatiert und kann daher in einem Webbrowser
geö net werden. Es ist eine detaillierte Auflistung mit kompletter Beschreibung der Schwachstellen inklusive der Notizen und Overrides mit sämtlichen
Referenzen und Kreuzverweisen. Es handelt sich um ein neutrales Dokument
ohne weitere Hinweise auf Greenbone oder den Greenbone Security Manager.
Das Dokument kann auch oine genutzt werden und verwendet als Sprache
Englisch.
• ITG - IT-Grundschutz-Kataloge
Dieser Bericht orientiert sich am BSI IT-Grundschutz Katalog. Es stellt eine tabellarische Übersicht der gefundenen Ergebnisse in CSV-Format und deutscher
Sprache zur Verfügung.
130
KAPITEL 7. BERICHTE
7.2. REPORT PLUGINS
• LaTeX
Dieser Bericht wird als LATEXQuelltext zur Verfügung gestellt. Die Sprache ist
Englisch.
• NBE
Dies ist das alte OpenVAS/Nessus Report Format. Daher bietet es keine Unterstützung für Notizen, Overrides und einige weitere Informationen.
• PDF
Dies ist ein kompletter Bericht in PDF. Wie das HTML-Format ist es neutral
gehalten. Die Sprache ist Englisch.
• Topology SVG
Dies stellt die Ergebnisse in einem SVG-Bild dar.
• TXT
Dies erzeugt eine Text-Datei. Dieses Format eignet sich besonders für den
Versand in einer E-Mail. Die Sprache ist Englisch.
• Verinice ISM
Erzeugt eine Import-Datei für das ISMS-Tool “verinice”.
• XML
Hiermit wird der Bericht in dem nativen GSM XML-Format exportiert. Im Gegensatz zu den anderen Formaten enthält dieses Format sämtliche Ergebnisse
und bereitet diese nicht besonders auf.
Abbildung 7.6: Greenbone liefert eine Reihe Report-Plugins direkt mit.
131
7.2. REPORT PLUGINS
KAPITEL 7. BERICHTE
Die Report-Plugins definieren das Format der exportierten Berichte. Dabei reduzieren viele Report-Plugins die verfügbaren Daten, um diese sinnvoll darzustellen. Das
native GSM-XML-Format enthält jedoch sämtliche Daten und kann genutzt werden,
um exportierte Berichte auf einem anderen GSM zu importieren. Hierzu nutzen Sie
einen Container Task (siehe auch Abschnitt 6.1.4).
Die Übersicht (siehe Abbildung 7.6) zeigt Ihnen die weiteren Details der Report
Plugins an. Dabei werden zu jedem Plugin in einzelnen Spalten die folgenden Informationen angezeigt:
• Extension: Der Dateiname für den heruntergeladenen Bericht über das jeweilige Plugin besteht aus der UUID (eindeutige interne ID des Berichts) und dieser
Extension. Die Extension hilft unter anderem dem Browser eine passende
Anwendung zu starten, falls der Content Type dafür nicht ausreicht.
• Content Type: Der Content-Type gibt das verwendete Format an und wird beim
Download mitgesendet. So kann direkt die passende Anwendung durch den
Browser gestartet werden. Darüber hinaus ist der Content Type aber auch
intern von Bedeutung: Er wird benutzt um das im Kontext passende Plugin zur
Auswahl anzubieten. Beispielsweise werden für die Übermittlung des Berichts
via Email alle Plugins des Typs “text/*” angeboten, da diese menschenlesbar
in der E-Mail eingebettet werden können.
• Trust: Einige Plugins bestehen lediglich aus einer Datentransformation während andere einige komplexere Operationen ausführen und dabei auch Hilfsprogramme verwenden. Um einen Mißbrauch zu vermeiden, sind die Plugins
digital signiert. Ist die Signatur authentisch und vertrauen Sie dem Aussteller,
so ist sichergestellt, dass Sie das Plugin in genau der vom Aussteller zertifizierten Form vorliegen haben. Die Prüfung erfolgt nicht automatisch, sondern
manuell über das Verify-Icon . Das Datum dieser Prüfung wird automatisch gespeichert. Diese Funktion sollte unbedingt für neu importierte Plugins
angewendet werden, bevor sie aktiviert werden. Für die mitgelieferten WerksPlugins ist dies nicht erforderlich .
• Active: Die Plugins stehen nur dann in den jeweiligen Auswahllisten zur Verfügung, wenn sie aktiviert wurden. Neu importierte Plugins sind zunächst immer
deaktiviert.
132
KAPITEL 7. BERICHTE
7.2. REPORT PLUGINS
Abbildung 7.7: Neue Report Format Plugins können einfach importiert werden.
7.2.1
Import weiterer Report Plugins
Weitere Report Plugins lassen sich einfach importieren. Greenbone stellt auf der Seite
http://greenbone.net/technology/report_formats.de.html die folgenden zusätzlichen Report-Format-Plugins zur Verfügung:
• Sourcefire Host Input Import (siehe auch Abschnitt 19.4)
• OVAL System Characteristics
• Oval System Characteristics Archive
Auf http://greenbone.net/learningcenter/verinice.de.html werden
zwei weitere Report Plugins für die Verinice Integration (siehe Abschnitt 19.2) angeboten.
Um ein neues Report-Plugin zu importieren, müssen Sie zunächst die entsprechende
XML-Datei von Greenbone herunterladen. Anschließend wechseln Sie auf C o n f i g u r a t i o n/Re p o r t Fo r m a t s. Dort wählen Sie das Icon um ein neues Format
hinzuzufügen.
Abbildung 7.8: Importierte Formate sollten vor der Aktivierung überprüft werden.
Wählen Sie die entsprechende Datei und importieren Sie dann das Format. Nach dem
Import ist das neue Plugin zunächst nicht aktiv. Report-Plugins können durch den
Herausgeber signiert werden. Diese Signatur sollte vor der Aktivierung verifiziert
werden. Diese Prüfung wird bei dem Import bereits automatisch durchgeführt.
Das Ergebnis mit dem Datum der Prüfung wird in der Spalte Trust angezeigt. Ist das
Report-Plugin vertrauenswürdig, so kann es anschließend aktiviert werden. Hierzu
editieren Sie das Report Plugin über das Edit-Icon in der Actions-Spalte.
133
7.2. REPORT PLUGINS
KAPITEL 7. BERICHTE
Abbildung 7.9: Neue Formate können einfach aktiviert werden.
134
KAPIT EL 8
Alerts
Mit Hilfe der Alerts können Sie die Zustände und Ergebnisse eines Scans automatisch
an weitere Systeme übermitteln lassen. Die Alerts verankern sich dann so in dem
System, dass bei jedem konfigurieren Ereignis, z.B. dem Start oder dem Ende eines
Tasks, eine bestimmte Aktion ausgelöst wird. Dies kann zusätzlich noch an eine
Bedingung geknüpft werden. Dabei kann es sich zum Beispiel um das Aunden einer
Schwachstelle mit der Bedrohungsstufe größer 9 handeln. Ist dies erfüllt, kann eine
E-Mail oder auch ein SNMP-Trap ausgelöst werden.
Um einen neuen Alert zu erzeugen, wechseln Sie auf Configuration/Alerts. Fügen
Sie nun einen neuen Alert hinzu.
Abbildung 8.1: Alerts bietet vielfältige Benachrichtigungsoptionen.
Nun können Sie die folgenden Parameter definieren:
135
KAPITEL 8. ALERTS
• Name
Dies ist ein frei wählbarer Name, der die Benachrichtigung beschreibt.
• Comment
Der optionale Kommentar kann weitere Informationen enthalten.
• Event
Hier definieren Sie das Ereignis, zu dem eine Benachrichtigung versandt wird.
Dies kann zum Beispiel bei einer Statusänderung eines Tasks erfolgen.
• Condition
Hier können Sie eine zusätzliche Bedingung definieren, die für den Versand
erfüllt sein muss. Die Benachrichtigung kann erfolgen:
– Immer,
– Nur wenn mindestens eine bestimmte Bedrohungstufe erreicht wird oder
– wenn die Bedrohungsstufe sich ändert, größer oder kleiner wird.
Abbildung 8.2: Alerts müssen bei dem entsprechenden Task aktiviert werden.
• Method
Hier wählen Sie die Methode für die Benachrichtigung aus. Nur eine Methode
kann je Alert verwendet werden. Wenn Sie unterschiedliche Benachrichtigungen für dasselbe Ereignis auslösen möchten, müssen Sie mehrere Alerts
erzeugen und diese mit dem gleichen Task verknüpfen.
– E-Mail
Dies ist die mächtigste und am häufigsten eingesetzte Methode. Um
diese Methode zu verwenden, müssen Sie zuvor den zu verwendenen
Mailserver auf der GSM-Kommandozeile definiert haben (siehe Abschnitt
4.5.2.7). Dann können Sie hier zwischen den folgenden Optionen wählen:
* To Address: Dies ist die E-Mail-Adresse, an die die E-Mail gesandt
wird.
* From Address: Dies ist die Absenderadresse der generierten E-Mail.
* Content: Hier können Sie den Inhalt der E-Mail bestimmen:
· Simple Notice: Dies ist lediglich eine einfache Beschreibung des
Ereignisses.
136
KAPITEL 8. ALERTS
· Include Report: Wenn Sie als Ereignis die Fertigstellung des Task
(Default: Done) auswählen, können Sie den Bericht in der E-Mail
einfügen. Hier können Sie aber nur Berichtsformate wählen, die
den Content-Type “text/*” verwenden, da eine E-Mail direkt keine
binären Inhalte unterstützt.
· Attach Report: Wenn Sie als Ereignis die Fertigstellung des Task
(Default: Done) auswählen, können Sie den Bericht an die E-Mail
anhängen. Hier können Sie beliebige Berichtsformate wählen. Der
Bericht wird mit seinem korrekten Mime-Type an die generierte
E-Mail angehängt. Auch PDF ist möglich.
– System Logger
Diese Methode erlaubt die Übermittlung des Ereignisses automatisch
an einen Syslog-Daemon oder via einer SNMP-Trap. Der Syslog-Server
und auch der SNMP-Trap Dienst werden hierzu auf der Kommandozeile
definiert (siehe Abschnitt 4.5.2.8 und 4.5.2.9).
– HTTP Get
Mit der HTTP Get Methode können Sie zum Beispiel automatisch SMS
versenden oder Nachrichten an ein Trouble-Ticket-System übermitteln.
Hierbei können Sie die folgenden Variablen bei der Angabe der URL verwenden:
*
*
*
*
$n: Name des Tasks
$e: Beschreibung des Ereignisses (Start, Stop, Done)
$c: Beschreibung der Bedingung, die eingetreten ist.
$$: Das Zeichen $
Abbildung 8.3: Bei den Alerts kann die Verwendung in den verschiedenen Tasks
nachvollzogen werden.
– Sourcefire Connector
Hiermit können Sie automatisch die Daten an ein Sourcefire Defense Center übertragen. Weitere Informationen finden Sie in 19.4.
– verinice.PRO Connector
Hiermit können Sie automatisch die Daten an eine verinice.PRO Installation übertragen. Weitere Informationen finden Sie in 19.2.
137
KAPITEL 8. ALERTS
• Report Result Filter
Schließlich können Sie die Ergebnisse auch noch durch einen zusätzlichen Filter
einschränken. Hierzu müssen Sie den Filter vorher erzeugt und gespeichert
haben (siehe Kapitel 9.3).
Damit dieser Alert anschließend genutzt wird, muss er bei den entsprechenden
Task-Definitionen hinterlegt (siehe Abbildung 8.2) werden. Hierzu editieren Sie den
entsprechenden Task. Diese Änderung des Tasks ist auch für bereits definierte und
verwendete Tasks erlaubt, da diese keine Auswirkung auf die bereits erzeugten
Berichte hat.
Anschließend wird bei den entsprechenden Alerts auch ihre Verwendung (siehe
Abbildung 8.3) angezeigt.
138
KAPITEL 9
GUI-Konzepte
Dieses Kapitel beschreibt immer wiederkehrende Konzepte in der Benutzung der
Weboberfläche des Greenbone Security Managers. Hierzu gehören einheitliche Icons,
die Powerfilter, Tags und die Grafiken im Secinfo Dashboard.
9.1
Icons
Die Weboberfläche verwendet immer wiederkehrende Icons für die Auslösung identischer Aktionen. Der Bezug dieser Icons ergibt sich dann jeweils aus dem Kontext
der aktuellen Ansicht.
•
Hiermit zeigen Sie eine kontextsensitive Hilfe an.
•
Hiermit zeigen Sie eine Liste der aktuellen Objekte an.
•
Hiermit erzeugen Sie ein neues Objekt. Dies kann ein Benutzer, ein Ziel, eine
Aufgabe, eine Berechtigung oder ein Filter sein.
•
Hiermit wird ein Objekt in den Mülleimer verschoben.
•
Hiermit können Sie ein Objekt editieren.
•
Hiermit kopieren Sie einen Task.
•
•
Hiermit exportieren Sie einen Task als GSM Objekt. Dieses Objekt können
Sie auf einem anderen GSM wieder importieren.
Hiermit aktualisieren Sie die Seite.
139
9.1. ICONS
•
KAPITEL 9. GUI-KONZEPTE
Hiermit klappen Sie zusätzliche Informationen, z.B. den Powerfilter, in der
Darstellung aus und ein.
•
Hiermit löschen Sie ein Objekt unwideruflich.
•
Hiermit springen Sie zum nächsten Objekt (Seite) in einer Darstellung.
•
Hiermit springen Sie zum letzten Objekt (Seite) in einer Darstellung.
•
Dieses Icon weist darauf hin, dass weitere Benutzer auf das Objekt zugreifen
dürfen.
Einzelne Icons können nur in einem bestimmten Kontext aufgerufen werden. Dies
tri t auf die folgenden Icons zu:
•
•
Hiermit starten Sie einen aktuell nicht laufenden Task.
Hiermit stoppen Sie einen aktuell laufenden Task. Alle gewonnenen Ergebnisse werden in die Datenbank geschrieben.
•
Hiermit können Sie einen gestoppten Task wieder aufnehmen.
•
Dieses Icon erlaubt das An- und Abschalten der Overrides.
•
Dieses Icon zeigt Ihnen, ob eine Lösung für die Schwachstelle bekannt ist.
•
Dieses Icon zeigt einen Herstellerpatch an.
•
Dieses Icon zeigt einen Workaround an.
•
Dieses Icon zeigt das Fehlen einer Lösung an.
•
Dieses Icon zeigt an, dass eine Scan-Konfiguration automatisch um weitere
NVTs ergänzt wird.
•
Dieses Icon zeigt an, dass eine Scan-Konfiguration neue NVTs nicht automatisch aktiviert.
140
KAPITEL 9. GUI-KONZEPTE
9.2
9.2. CHARTS
Charts
Die Charts in dem SecInfo Dashboard können angepasst werden. Somit können die
SecInfo-Daten auf unterschiedlichste Weise grafisch analysiert und aufbereitet
werden. Dabei können die erzeugten Grafiken heruntergeladen und in weiteren
Dokumenten eingebunden werden.
Es stehen vier verschiedene Chart-Typen zu Auswahl:
• Liniendiagramm (Line)
• Balkendiagramm (Bar)
• Donutdiagramm (Donut)
141
9.2. CHARTS
KAPITEL 9. GUI-KONZEPTE
• Blasendiagramm (Bubble)
Die Inhalte der Charts können über das Drop-Down-Menü am unteren Rand jedes
Charts ausgewählt werden. Hierdurch ändert sich im Moment auch automatisch der
Chart-Typ. Ein Download des Bildes oder eine Kopie kann durch das Kontextmenü in
der linken oberen Ecke des Charts ausgewählt werden.
Abbildung 9.1: Das Chart-Kontextmenü erlaubt den Download eines Charts.
142
KAPITEL 9. GUI-KONZEPTE
9.3
9.3. POWERFILTER
Powerfilter
Fast jede Ansicht in der Weboberfläche bietet die Möglichkeit zur Filterung der angezeigten Informationen. Die hierzu notwendigen Eingaben können in der Filterleiste
an dem oberen Rand der Weboberfläche durchgeführt werden.
Abbildung 9.2: Der Powerfilter bietet überall die Filterung der angezeigten Ergebnisse.
Diese Filterleiste kann durch aufgeklappt werden. Dann werden kontextsensitiv
mehrere Parameter angezeigt, die zu dem Powerfilter zusammengebaut werden.
Diese können von Ihnen aber auch direkt in der Filterleiste editiert werden.
Abbildung 9.3: Der Powerfilter kann aufgeklappt werden.
Der Powerfilter unterscheidet grundsätzlich keine Groß- und Kleinschreibung.
h
i
n
w
e
i
s
Dabei ist der Powerfilter wieder kontextsensitiv. Sollen NVTs oder Ziele gefilter
werden, bietet er entsprechend mehr oder weniger Optionen nach dem Aufklappen
an:
9.3.1
Komponenten
Die in dem Powerfilter möglichen Komponenten hängen von seinem Kontext ab.
Grundsätzlich ist die Angabe der folgenden Parameter immer möglich:
143
9.3. POWERFILTER
KAPITEL 9. GUI-KONZEPTE
Abbildung 9.4: Die Möglichkeiten des Powerfilter sind kontextsensitiv.
• rows: Hiermit geben Sie die Anzahl der anzuzeigenden Ergebnisse an. Meist
ist dieser Wert rows=10. Mit der Angabe -1 werden alle Ergebnisse angezeigt.
Mit der Angabe -2 wird der von Ihnen unter M y S e t t i n g s eingestellte Wert
Rows Per Page verwendet.
• first: Hiermit geben Sie an, ab welcher Position Sie die Ergebnisse anzeigen
möchten. Wenn eine Suche 50 Ergebnisse zurückliefert und Sie nur 10 gleichzeitig anzeigen lassen, zeigt Ihnen rows=10 first=11 die zweiten 10 Ergebnisse
an.
• sort: Hiermit definieren Sie die Spalte, die für die Sortierung der Ergebnisse
genutzt wird (sort=name). Die Ergebnisse werden aufsteigend sortiert. Der
Name der Spalte kann meist von dem Namen der Tabellespalte abgeleitet
werden. Sie können testweise auch die Spalte anklicken und so prüfen, wie
der Spaltenname lautet.
Typische Spaltennamen sind:
– name
– severity
– host
– location
Dabei werden die Spaltennamen der Anzeige in Kleinbuchstaben und Leerzeichen im Namen in Unterstriche umgewandelt. Zusätzlich stehen noch ein paar
weitere Felder zur Verfügung:
– uuid: Die UUID des Ergebnisses
– comment: Ein möglicher Kommentar
– modified: Datum und Uhrzeit der letzten Änderung
– created: Datum und Uhrzeit der Erzeugung
• sort-reverse: Hiermit definieren Sie die Spalte, die für die Sortierung der Ergebnisse genutzt wird (sort-reverse=name). Die Ergebnisse werden absteigend
sortiert.
144
KAPITEL 9. GUI-KONZEPTE
9.3. POWERFILTER
Durch die Filterung mit Hilfe der Tags können Sie Ihre ganz eigenen Kategorien
erzeugen und in den Filtern verwenden. Dies erlaubt vielfältige und sehr feingranuläre Filterfunktionen!
h
i
n
w
e
i
s
• tag: Hiermit werden nur Ergebnisse mit einem bestimmten Tag ausgewählt
(siehe auch Abschnitt 9.4). Dabei können Sie fest auf einen bestimmten Tag
mit Wert filtern (tag=”server:mail”) oder auch nur nach dem Tag suchen
(tag=”server”). Reguläre Ausdrücke sind ebenfalls möglich.
Bei der Angabe dieser Komponenten können Sie mehrere Operatoren nutzen:
• = gleich z.B. rows=10
• ~enthält z.B. name~admin
• < kleiner als z.B. created<-1w Älter als eine Woche
• > größer als z.B. created>-1w Jünger als eine Woche
• : RegEx z.B. name:admin$
Hier gibt es dann noch ein paar Besonderheiten. Wenn sie nach dem Gleichheitszeichen den Wert weglassen, werden alle Ergebnisse angezeigt bei denen dieser Wert
nicht gesetzt ist:
comment =
liefert alle Ergebnisse ohne einen Kommentar.
Wenn Sie die Spalte, die Sie prüfen möchten weglassen, werden alle Spalten geprüft:
=192.168.15.5
Dies prüft, ob in mindestens einer der Spalten diese Zeichenfolge enthalten ist.
Dabei werden die Angaben üblicherweise oder-verknüpft. Dies können Sie mit dem
Schlüsselwort or auch spezifisch angeben. Um eine Und-Verknüpfung zu erreichen,
müssen Sie aber das Schlüsselwort and angeben. Mit not können Sie den Filter
negieren.
9.3.1.1
Datumsangaben
Datumsangaben im Powerfilter können sowohl absolut als auch relativ angegeben
werden. Eine absolute Datumsangabe hat das folgende Format:
2014 -05 -26 T 1 3 h 5 0
145
9.3. POWERFILTER
KAPITEL 9. GUI-KONZEPTE
Dabei kann die Uhrzeit weggelassen werden:
2014 -05 -26
Dann wird als Uhrzeit automatisch 0:00 Uhr angenommen. Diese Datumsangabe
kann dann im Suchfilter genutzt werden, z.B. created>2014-05-26.
Relative Zeitangaben werden immer relativ zur aktuellen Uhrzeit berechnet. Dabei
werden positive Zeitangaben als Angaben in der Zukunft interpretiert. Zeitangaben
in der Vergangenheit werden durch ein vorangestelltes Minus (-) definiert. Dabei
können die Zeiträume durch die folgenden Buchstaben angegeben werden:
• s Sekunde
• m Minute
• h Stunde
• d Tag
• w Woche
• m Monat (30 Tage)
• y Jahr (365 Tage)
Um Ergebnisse der letzten 5 Tage zu sehen, können Sie -5d angeben. Eine Kombination 5d1h ist nicht möglich. Diese ist entsprechend zu ersetzen (121h).
Um den Zeitraum, z.B. Monat, für den Informationen angezeigt werden sollen, einzugrenzen, können Sie den folgenden Ausdruck verwenden:
modified >2014 -06 -01 and modified <2014 -07 -01
9.3.1.2
Textphrasen
Grundsätzlich können Sie zusätzlich auch Textphrasen angeben, nach denen gesucht
wird. Es werden dann nur Ergebnisse angezeigt, in denen die Textphrasen gefunden
werden. Werden diese Textphrasen nicht auf eine Spalte beschränkt (name=text)
werden alle Spalten durchsucht. Damit werden auch Spalten durchsucht, die in der
aktuellen Anzeige verborgen sind.
Dabei helfen die folgenden Beispiele:
• overflow
Dies findet alle Ergebnisse, in denen das Wort overflow vorkommt. Das tri t
auf Overflow und Bu eroverflow gleichermaßen zu. Ebenso findet 192.168.0.1
sowohl 192.168.0.1 als auch 192.168.0.100.
146
KAPITEL 9. GUI-KONZEPTE
9.3. POWERFILTER
• remote exploit
Dies findet alle Ergebnisse in denen remote oder exploit vorkommt. Natürlich
werden auch Ergebnisse angezeigt, in denen beide Wörter vorkommen.
• remote and exploit
Hier müssen beide Begri e in dem Ergebnis in einer beliebigen Spalte vorkommen. Dazu müssen diese Begri e nicht in derselben Spalte gefunden werden.
• “remote exploit”
Hier wird exakt nach dieser Zeichenkette und nicht nach den einzelnen Begriffen gesucht.
• regexp 192\.168\.[0-9]+.1 Hiermit wird nach diesem regulären Ausdruck gesucht.
Abbildung 9.5: Häufig benötigte Powerfilter lassen sich speichern und wieder aufrufen.
9.3.2
Speichern und Verwalten
Interessante und häufig verwendete Filter können auch gespeichert werden. Damit
können sie einfach wiederverwendet werden. Um zum Beispiel die NVTs anzuzeigen,
die in der letzten Woche modifiziert oder zum Feed hinzugefügt wurden, rufen Sie
in der GUI S e c I n f o M a n a ge m e n t gefolgt von N V Ts auf. Dann editieren Sie den
Powerfilter so, dass er den folgenden Inhalt hat (siehe Abbildung 9.5):
created>-1w or modified>-1w sort-reverse=created rows=-1 first=1
Abbildung 9.6: Die Filter sind über die Drop-Down-Box abrufbar.
Damit werden Ihnen alle NVTs angezeigt, die in der letzten Woche erzeugt oder
modifiziert wurden. Diesen Filter können Sie nun mit einem Namen versehen. Hierzu
dient das Feld rechts neben dem Powerfilter. Geben Sie hier den Namen ein und
betätigen Sie New . Der Filter wird nun gespeichert und ist über die Drop-DownBox daneben auswählbar.
Um einen vorher gespeicherten Filter zu nutzen, verwenden Sie die Drop-Down-Box
und betätigen anschließend Switch Filter (siehe Abbildung 9.6). Ist JavaScript
aktiviert, wird der Filter sofort nach Auswahl in der Drop-Down-Box ausgelöst.
147
9.3. POWERFILTER
KAPITEL 9. GUI-KONZEPTE
Wenn Sie bestimmte Filter grundsätzlich in bestimmten Ansichten aktivieren möchten, so geht dies über Ihre Benutzereinstellungen (siehe auch Kapitel 14). In diesem
Beispiel (Abbildung 9.7) ist es der NVT Filter.
Abbildung 9.7: Häufig benötigte Powerfilter können auch als Default-Filter in den
Benutzereinstellungen eingerichtet werden.
Alle gespeicherten Filter können über Configuration/Filters verwaltet werden.
Hier können die Filter gelöscht, editiert, geklont und für den Import auf anderen
Appliances als GSM-Objekt exportiert werden.
Abbildung 9.8: Alle Filter können einfach verwaltet werden.
Diese Filter können dann auch für die Filterung von Ereignisse bei den Alerts verwendet werden.
Filter können freigegeben werden.
148
KAPITEL 9. GUI-KONZEPTE
9.4
9.4. TAGS
Tags
Die Tags sind willkürliche Informationen, die von den Benutzern an jede beliebige
Ressource gebunden werden können. Dabei werden die Tags am einfachsten direkt
bei den Ressourcen angelegt. Sie können dann die Tags nutzen, um mit Hilfe des
Powerfilters (siehe Abschnitt 9.3) die Objekte entsprechend zu filtern. Hiermit sind
sehr mächtige und feingranuläre Filtermöglichkeiten vorhanden.
Abbildung 9.9: Tags sind beliebige Zeichenketten, denen Sie einen Wert zuweisen
können.
Diese Tags können anschließend in Filter-Ausdrücken genutzt werden. Mit dem
Filter
tag=target:server
muss das entsprechende Tag gesetzt sein, um erfasst zu werden. Der zugewiesene
Wert des Tags ist unerheblich und darf auch leer sein. Mit
tag="target:server=mail"
muss exakt dieser Tag mit dem entsprechenden Wert gesetzt sein.
149
9.4. TAGS
KAPITEL 9. GUI-KONZEPTE
150
K A P I T E L 10
Scan-Konfiguration
Die GSM Appliance bringt bereits zahlreiche vorbereitete Scan-Konfigurationen
mit. Diese können jedoch von Ihnen angepasst und durch eigene Konfigurationen
erweitert werden. Die folgenden Konfigurationen sind bereits durch Greenbone
hinterlegt:
• Empty
Dies ist ein leeres Template.
• Discovery
Dies ist die Standardeinstellung. Hier werden nur die NVTs verwendet, die
Informationen über das Zielsystem sammeln. Es werden keine Schwachstellenprüfungen durchgeführt.
• Host Discovery
Hier werden nur NVTs verwendet, um die verfügbaren Zielsysteme zu ermitteln.
Dieser Scan gibt lediglich eine Liste der gefundenen Systeme aus.
• System Discovery
Hier werden nur NVTs verwendet, um die verfügbaren Zielsysteme einschließlich der installierten Betriebssysteme und verwendeten Hardware zu prüfen.
• Full and Fast
Dies ist in vielen Umgebungen zu Beginn die richtige Wahl. Diese Konfiguration stützt sich auf die zuvor im Portscan gewonnenen Informationen und
verwendet fast alle Prüfroutinen. Hierbei werden aber nur diejenigen Prüfroutinen berücksichtigt, die keinen Schaden auf dem Zielsystem anrichten
können. Die Prüfroutinen sind best möglich optimiert, so dass die potentielle
False-Negative Rate besonders gering ist. Die anderen Varianten bieten nur in
sehr seltenen Fällen einen Mehrwert bei wesentlich größerem Aufwand.
151
KAPITEL 10. SCAN-KONFIGURATION
• Full and fast ultimate
Diese Konfiguration erweitert die “Full and fast” Konfiguration um Prüfroutinen,
die auch Dienste oder Rechner stören können oder einen Absturz herbeiführen.
• Full and very deep
Diese Konfiguration unterscheidet sich von der “Full and fast” Konfiguration,
so dass die Ergebnisse des Portscans keine Auswirkung auf die Auswahl der
Prüfroutinen haben. Daher kommen auch Prüfroutinen zum Einsatz, die dann
auf ein Timeout warten müssen. Daher ist dieser Scan sehr langsam.
• Full and very deep ultimate
Diese Konfiguration ergänzt die “Full and very deep” Konfiguration um die
gefährlichen Prüfroutinen, die möglicherweise Dienste oder Rechner stören
können. Auch diese Konfiguration ist entsprechend langsam.
Sie können die verfügbaren Scan-Konfigurationen über Configuration/Scan Configs anzeigen. Beachten Sie bitte, dass in der Default-Einstellung nur die ersten 10
Konfigurationen immer angezeigt werden.
Abbildung 10.1: Die GSM bringt bereits eine Vielzahl Scan-Konfigurationen mit.
In Abbildung 10.1 können Sie erkennen, wie viele NVT-Familien und wie viele NVTs in
den Konfigurationen aktiviert wurden. Zusätzlich zeigt der Trend an, ob die ScanKonfiguration dynamisch oder statisch konfiguriert wurde.
Greenbone verö entlicht regelmäßig neue Prüfungen (NVTs). Auch neue NVTFamilien können durch den Greenbone Security Feed eingeführt werden.
152
KAPITEL 10. SCAN-KONFIGURATION
•
dynamisch
Scan-Konfigurationen, die dynamisch konfiguriert wurden, nehmen neue NVTFamilien oder neue NVTs aus den entsprechend aktivierten Familien automatisch bei einem Greenbone NVT Feed Update auf und aktivieren diese. Damit ist
sichergestellt, dass die neuen NVTs auch tatsächlich sofort ohne Interaktion
des Administrators aktiv sind.
•
statisch
Scan-Konfigurationen, die statisch konfiguriert wurden, ändern sich bei einem
NVT-Feed-Update nicht.
Das Icon
dürfen.
zeigt an, ob andere Benutzer die Scan-Konfiguration sehen und benutzen
Abbildung 10.2: Die Scan-Konfigurationen der Benutzer sind nur für diese sichtbar.
Um eine Konfiguration freizugeben, müssen Sie dem entsprechenden Benutzer, der
Rolle oder der Gruppe das Privileg get_configs zuweisen. Dann wird diese Konfiguration auch den entsprechenden Benutzern angezeigt.
Abbildung 10.3: Mit den entsprechenden Berechtigungen können andere Benutzer
auf die Konfigurationen zugreifen.
153
10.1. NEUE KONFIGURATION
10.1
KAPITEL 10. SCAN-KONFIGURATION
Erzeugen einer neuen Scan-Konfiguration
Um eine neue Scan-Konfiguration anzulegen, rufen Sie zunächst C o n f i g u r a t i on/Scan Configs auf. Anschließend kann durch Anklicken von eine neue ScanKonfiguration erzeugt werden.
Auf dem folgenden Bildschirm haben Sie die Möglichkeit eine Scan-Konfiguration
zu importieren oder eine eigene Scan-Konfiguration zu erzeugen. Greenbone stellt
selbst verschiedene Scan-Konfigurationen auf seiner Webseite zur Verfügung. Außerdem können Sie Scan-Konfigurationen auf anderen GSM-Appliances exportieren,
um diese dann hier zu importieren.
Abbildung 10.4: Eine neue Scan-Konfiguration kann selbst erzeugt oder importiert
werden.
Wenn Sie eine eigene Scan-Konfiguration erzeugen möchten, geben Sie ihr einen
Namen und einen optionalen Kommentar und entscheiden Sie, welche ScanKonfiguration als Template verwendet werden soll. Hier haben Sie die Auswahl
zwischen:
• Empty, static and fast
• Full and fast
Wenn Sie eine andere Scan-Konfiguration als Template verwenden möchten, so
können Sie diese auf der Übersichtsseite klonen . Dann können Sie die Konfiguration editieren und mit einem eigenen Namen und Kommentar versehen und weiter
anpassen.
Auf dem nächsten Bildschirm wird Ihnen zunächst die Konfiguration angezeigt. Um
diese zu editieren, verwenden Sie das entsprechende Icon mit dem Schraubenschlüssel.
Nun können Sie die Konfiguration anpassen. Wichtig sind hier die folgenden Einstellungen:
154
KAPITEL 10. SCAN-KONFIGURATION
10.1. NEUE KONFIGURATION
Abbildung 10.5: Die Konfiguration bietet viele Anpassungsmöglichkeiten
• Family Trend
Hier können Sie entscheiden, ob neue Familien automatisch in dieser ScanKonfiguration aktiviert werden sollen.
• NVT Trend
Bei jeder Familie können Sie entscheiden, ob neue NVTs dieser Familie automatisch aktiviert werden sollen.
• Select All
In dieser Spalte können Sie einstellen, ob alle NVTs einer Familie ausgewählt
werden sollen.
• Action
Über dieses Icon können Sie direkt in die Familie springen, und die einzelnen
NVTs auswählen, wenn Sie nicht alle verwenden möchten.
Wenn Sie weiter nach unten scrollen, erscheinen die Scanner Preferences (siehe
Abschnitt 10.2). Hier können Sie weitergehende Einstellungen für den Scan vornehmen. Außerdem gibt es die NVT-Preferences, die von den NVTs genutzt werden. Diese
können hier angepasst werden. Es gibt ferner die Möglichkeit, die Einstellungen
auch direkt bei den entsprechenden NVTs zu definieren.
Um die Einstellungen der NVTs vorzunehmen, müssen Sie in die entsprechende
Familie wechseln.
Nach dem Aufruf einer Familie haben Sie Zugri auf die einzelnen NVTs. Sie sehen
die NVTs, die Bestandteil der Familie sind, und ihre Bedrohungsstufen.
Außerdem können Sie den Zustand (aktiv/inaktiv) und den Timeout der NVT-Prüfung
einsehen und prüfen, ob der NVT über eine Einstellung (Spalte Pref) weiter konfiguriert werden kann. Ist dies der Fall, kann über den entsprechenden Schraubenschlüssel die Konfiguration aufgerufen werden. Die Einstellungen sind auf der
folgenden Seite ganz unten aufzufinden.
155
10.2. SCANNER PREFERENCES
KAPITEL 10. SCAN-KONFIGURATION
Abbildung 10.6: Die Konfiguration erlaubt auch spezifische Anpassungen der NVTs.
Die bei den NVTs angepassten Einstellungen werden dann auf der Übersichtsseite
der Scan-Konfiguration (siehe Abbildung 10.5 und 10.6) angezeigt.
Für den praktischen Einsatz sind insbesondere die Einstellungen der verwendeten
Port-Scanner interessant. Die GSM Appliance nutzt als Port-Scanner Nmap und Ping.
Nmap wird über den NASL Wrapper genutzt. Dies ermöglicht die größte Flexibilität.
10.2
Scanner Preferences
Sämtliche Scanner und NVT Preferences hier zu dokumentieren, würde den Rahmen
sprengen. Daher sollen hier nur die wichtigen allgemeinen Einstellungen und die
spezifischen Einstellungen des Ping und Nmap-Scanners beschrieben werden.
10.2.1
Allgemeine Preferences
• auto_enable_dependencies: Hiermit werden automatisch NVTs aktiviert, die
von anderen NVTs benötigt werden.
• cgi_path: Dies ist der Pfad, der von NVTs für den Zugri auf CGI-Skripte genutzt
wird.
• checks_read_timeout: Dies ist der Timeout für die Netzwerksockets während
des Scans.
• drop_privileges: Mit diesem Parameter gibt der OpenVAS-Scanner vor dem
Start der NVTs die root-Privilegien ab. Dies erhöht die Sicherheit, führt aber
auch bei einigen NVTs zu weniger Ergebnissen.
156
KAPITEL 10. SCAN-KONFIGURATION
10.2. SCANNER PREFERENCES
Abbildung 10.7: Bei dem Zugri auf eine Familie sehen Sie die einzelnen NVTs.
Abbildung 10.8: Die Preferences können auch bei jedem NVT einzeln eingestellt
werden.
• host_expansion: Hier sind drei verschiedene Werte erlaubt:
– dns: Führt einen AXFR-Zonentransfer auf dem Zielsystem durch und prüft
die dabei gefundenen Systeme
– nfs: Prüft die Systeme, die auf dem Zielsystem auf NFS-Freigabe zugreifen dürfen.
– ip: Scanned das angegebene Subnetz.
• log_whole_attack: Ist diese Option aktiv, protokolliert das System die Laufzeit
jedes einzelnen NVTs. Ansonsten wird nur Start und Ende des Scans protokolliert. Dies reduziert den benötigten Speicherplatz auf der Festplatte.
• max_sysload: Dies ist die maximale Systemlast, die bei dem Scan erreicht
werden darf.
• network_scan: Experimentelle Option, bei der das gesamte Netzwerk auf
einmal gescannt wird, anstatt für jeden Host einzeln Nmap zu starten. Dies
kann in bestimmten Umgebungen Zeit sparen.
157
10.2. SCANNER PREFERENCES
KAPITEL 10. SCAN-KONFIGURATION
Abbildung 10.9: Diese Einstellungen werden allgemein von der Konfiguration genutzt.
• non_simult_ports: Diese Ports werden nicht gleichzeitig durch NVTs getestet.
• optimize_test: NVTs werden nur gestartet, wenn die entsprechenden Voraussetzungen (z.B. o ener Port) gegeben sind.
• plugins_timeout: Maximale Laufzeit eines NVTs.
• report_host_details: Detaillierte Angaben zum Host werden im Report hinterlegt.
• reverse_lookup: Im Bericht werden statt IP-Adressen die Host-Namen verwendet.
• safe_checks: Einige NVTs können auf dem Zielsystem Schaden anrichten. Diese
Einstellung deaktiviert die entsprechenden NVTs.
• unscanned_closed: Dieser Parameter definiert, ob TCP-Ports, die nicht
gescannt wurden, wie geschlossene Ports behandelt werden.
• unscanned_closed_udp: Dieser Parameter definiert, ob UDP-Ports, die nicht
gescannt wurden, wie geschlossene Ports behandelt werden.
• use_mac_addr: Hiermit werden die Systeme an Hand ihrer MAC-Adresse und
nicht der IP-Adresse identifiziert. Dies kann in DHCP-Umgebungen sinnvoll
sein.
• vhosts: Wenn die GSM einen Webserver mit namensbasierten virtuellen Hosts
scannen soll, dann können die Einstellungen vhosts und vhosts_ip genutzt
158
KAPITEL 10. SCAN-KONFIGURATION
10.2. SCANNER PREFERENCES
werden. In der Einstellung vhosts werden kommasepariert die Namen der
virtuellen Webhosts hinterlegt.
• vhosts_ip: Wenn die GSM einen Webserver mit namensbasierten virtuellen
Hosts scannen soll, dann können die Einstellungen vhosts und vhosts_ip genutzt werden. In der Einstellung vhosts_ip wird die IP-Adresse des Webservers
hinterlegt. In dem Bericht kann jedoch noch nicht nachvollzogen werden, auf
welcher virtuellen Webinstanz ein NVT eine Schwachstelle gefunden hat.
10.2.2
Ping Preferences
Der Ping-Scanner-NVT hat die folgenden Konfigurationsparameter.
Beachten Sie, dass die “Alive Test” Einstellung eines Target-Objektes einige Einstellungen für den Ping-Scanner überschreiben kann.
• Do a TCP ping: Hiermit können Sie entscheiden, ob Sie per TCP die Erreichbarkeit
eines Hosts prüfen möchten. In diesem Fall werden die folgenden Ports geprüft:
21,22,23,25,53,80,135,137,139,143,443,445. Standard: Nein.
• Do an ICMP ping: Hiermit können Sie entscheiden, ob Sie per ICMP die Erreichbarkeit eines Hosts prüfen möchten. Standard: Ja.
• Mark unrechable Hosts as dead: Hiermit entscheiden Sie, ob Rechner, die von
diesem NVT nicht erkannt wurden, später noch von anderen NVTs geprüft
werden. Standard: Nein.
• Report about reachable Hosts: Hiermit entscheiden Sie, ob die von diesem NVT
gefundenen Systeme aufgelistet werden. Standard: Nein.
• Report about unrechable Hosts: Hiermit entscheiden Sie, ob die von diesem
NVT nicht gefundenen Systeme aufgelistet werden. Standard: Nein.
• TCP ping tries also TCP-SYN ping: Der TCP-Ping nutzt per Standard ein TCP-ACK
Paket. Hiermit können Sie zusätzlich auch ein TCP-SYN Paket nutzen. Standard:
Nein.
• Use ARP: Hiermit entscheiden Sie, ob Hosts mit dem ARP-Protokoll im lokalen
Netz gesucht werden sollen. Standard: Nein.
• Use Nmap: Hiermit entscheiden Sie, ob für den Ping-NVT Nmap eingesetzt
wird: Standard: Ja.
• nmap: try also with only -sP: Falls Nmap eingesetzt wird, wird auch der PingScan mit der Option -sP durchgeführt.
• nmap addtional ports for -PA: Hier können zusätzliche Ports für den TCP-PingTest angegeben werden. Dies ist aber nur der Fall, wenn Do a TCP ping gesetzt
ist. Standard: 8080,3128.
159
10.2. SCANNER PREFERENCES
10.2.3
KAPITEL 10. SCAN-KONFIGURATION
Nmap NASL Preferences
Die folgenden Optionen werden direkt in Optionen für den Aufruf des NmapKommandos umgesetzt. Weiterführende Informationen sind daher auch in der Dokumentation zu Nmap1 zu finden.
• Do not randomize the order in which ports are scanned: Nmap scanned dann
die Ports in aufsteigender Reihenfolge.
• Do not scan targets not in the file: Nur sinnvoll gemeinsam mit File containing
grepable results.
• Fragment IP packets: Nmap fragmentiert die Pakete für den Angri . Damit
konnten früher einfache Paketfilter überwunden werden.
• Get Identd info: Nmap fragt den UNIX-Ident-Daemon ab. Dieser wird heute
nicht mehr genutzt.
• Identify the remote OS: Nmap versucht das Betriebssystem zu ermitteln.
• RPC port scan: Nmap prüft das System auf Sun RPC Ports.
• Run dangerous port scans even if safe checks are set: UDP und RPC Scans
können Probleme verursachen und werden bei der Einstellung safe_checks
üblicherweise abgeschaltet.
• Service scan: Hiermit versucht Nmap die Dienste zu erkennen.
• Use hidden option to identify the remote OS: Nmap versucht das Betriebssystem aggressiver zu erkennen.
• Host Timeout: Hiermit wird der Host-Timeout definiert.
• Initial RTT timeout: Dies ist der initiale Round-Trip-Timout. Nmap kann diesen
Timeout in Abhängigkeit der Ergebnisse anpassen.
• Max RTT timeout: Dies ist der maximale RTT.
• Min RTT Timeout: Dies ist der minimale RTT.
• Minimum wait between probes: Hiermit können Sie die Geschwindigkeit des
Scans steuern.
• Ports scanned in parallel (max): Hiermit definieren Sie, wieviele Ports gleichzeitig gescannt werden.
• Ports scanned in parallel (min): siehe oben
• Source port: Hiermit können Sie den Source-Port definieren. Dies kann interessant sein, um durch eine Firewall zu scannen, wenn diese Verbindungen von
einem bestimmten Port grundsätzlich erlaubt wird.
1 http://nmap.org/docs.html
160
KAPITEL 10. SCAN-KONFIGURATION
10.2. SCANNER PREFERENCES
• File containing grepable results: Hiermit können Sie eine Datei angeben, in
der sich zeilenweise Einträge der Form “Host: ip-addresse” befinden. Wenn
gleichzeitig die Option Do not scan targets not in the file gesetzt ist, werden
nur die Rechner gescannt, die in der Datei aufgeführt sind.
• TCP scanning technique: Hiermit definieren Sie die eigentliche Scan-Methode.
• Timing policy: Anstatt die Timeout-Werte einzeln anzupassen, können Sie
auch die Timing policy modifizieren.
Die Timing Policy verwendet die folgenden Werte:
Paranoid
Sneaky
Polite
Normal
Aggressive
Insane
initial_rtt_timeout
5 min
15 sec
1 sec
1 sec
500ms
250ms
min_rtt_timeout
100ms
100ms
100ms
100ms
100ms
50ms
max_rtt_timeout
10 sec
10 sec
10 sec
10 sec
1250 ms
300ms
161
max_parallelism
Seriell
Seriell
Seriell
Parallel
Parallel
Parallel
scan_delay
5 min
15 sec
400ms
0 sec
0 sec
0 sec
max_scan_delay
1 sec
1 sec
1 sec
1 sec
10ms
5ms
10.2. SCANNER PREFERENCES
KAPITEL 10. SCAN-KONFIGURATION
162
K A P I T E L 11
Alternative Oberflächen
Die Weboberfläche der GSM ist austauschbar. Alle Weboberflächen nutzen einen
eingebauten Webserver, der alle Aktionen in das OpenVAS Management Protokoll
umsetzt und die Ergebnisse entsprechend anzeigt. Die Weboberflächen verfügen
daher über keinerlei eigene Intelligenz. Die Intelligenz ist komplett in dem OpenVAS
Manager verborgen. Daher können die Weboberflächen ausgetauscht werden.
In der Version GOS 3.1 bietet die GSM zwei verschiedene Weboberflächen:
• Klassisch: Dies ist die klassische Ansicht des Greenbone Security Assistant.
• ITS: Dies ist die vereinfachte
Schwachstellenampel.
Darstellung
in
Form
einer
IT-
Um zwischen den verschiedenen Darstellungen umzuschalten, ist ein Zugang zur
Kommandozeile erforderlich. Die ausgewählte Oberfläche ist immer für alle Anwender einer GSM-Appliance aktiv. Die Auswahl kann nicht benutzerabhängig gesteuert
werden.
11.1
IT-Schwachstellenampel
Bevor Sie auf die IT-Schwachstellenampel (ITS) umschalten, sollten Sie in der klassischen Ansicht noch einige Schritte umsetzen. Ansonsten erhalten Sie Warnungen
in der Schwachstellenampel wie in Abbildung 11.2 dargestellt:
• (Dieser Schritt entfällt ab GOS 3.1.9)
Klonen Sie den OpenVAS-Scanner
163
11.1. IT-SCHWACHSTELLENAMPEL
KAPITEL 11. ALTERNATIVE OBERFLÄCHEN
Hierzu wechseln Sie in das Menü C o n f i g u r a t i o n. Hier rufen Sie den Punkt
S c a n n e r s auf. Dort Klonen Sie den ”OpenVAS Default” Scanner. Editieren
Sie anschließend den Scanner und benennen ihn um in ”ITS-Scanner”.
• Importieren Sie das ITS-Report-Format
Laden
Sie
von
http://www.greenbone.net/download/rfps/
its-openvas.xml das ITS-Report Format und importieren Sie diese
unter Configuration-Report Format. Editieren Sie das Report-Format
und aktivieren Sie es. Nun sollten Sie es noch durch einen Klick verifizieren.
• Importieren Sie die ITS-Scankonfiguration
Laden Sie von http://www.greenbone.net/download/scanconfigs/
its-scanconfig.xml die ITS-Scankonfiguration und importieren Sie diese
unter C o n f i g u r a t i o n-S c a n C o n f i g u r a t i o n s.
Sind diese Vorarbeiten abgeschlossen, können Sie umschalten. Möglicherweise
waren auf Ihrem System einzelne Vorarbeiten auch schon durchgeführt worden. Um
die Darstellung zu verändern, rufen Sie das GOS-Admin-Menü auf. Dort können Sie im
Menüpunkt Remote das HTTPS web interface konfigurieren. Der Default-Wert
ist classic. Um auf die IT-Schwachstellenampel umzuschalten, setzen Sie den
Wert auf its. Nach einem C o m m i t wird die Änderung innerhalb weniger Minuten
aktiv. Ein Reboot ist nicht erforderlich.
Alternativ können Sie den Wert auch auf der Kommandozeile direkt setzen:
gsm : set web_interface its
gsm *: commit
Nach wenigen Minuten ist die ITS-Schwachstellenampel aktiv. Das Login zeigt nun
das Vorhandensein der neuen Oberfläche an (siehe Abbildung 11.1).
Nach der Anmeldung erscheint ein Wizard, mit dem Sie einen einfachen Scan starten
können.
Für den Scan können Sie einen administrativen Benutzer angeben. Der Scanner wird
sich dann auf dem System anmelden und das System auch von innen scannen (siehe
Abbildung 11.2). Wenn Sie das Berichtsformat und die Scankonfiguration importiert
und den ITS-Scanner geklont haben, werden die Warnungen nicht mehr angezeigt.
Werden Schwachstellen gefunden, so beginnt die abgebildete Ampel während des
Scans in der entsprechenden Farbe zu blinken.
Sobald die Prüfung abgeschlossen ist, stellt die Ampel das Blinken ein und zeigt den
Zustand dauerhaft an (Siehe Abbildung 11.3).
Über das Drucker-Icon (Abbildung 11.4) kann der PDF-Bericht geladen werden.
164
KAPITEL 11. ALTERNATIVE OBERFLÄCHEN
11.1. IT-SCHWACHSTELLENAMPEL
Abbildung 11.1: Der Login an der ITS Schwachstellenampel
Abbildung 11.2: Scan mit der ITS Schwachstellenampel
165
11.1. IT-SCHWACHSTELLENAMPEL
KAPITEL 11. ALTERNATIVE OBERFLÄCHEN
Abbildung 11.3: Nach Abschluss wird der Status von der Ampel dauerhaft angezeigt.
Abbildung 11.4: Das Drucker-Icon stellt den Bericht bereit.
166
K A P I T E L 12
Benutzer- und Rechteverwaltung
Dieses Kapitel betrachtet die Benutzer-, Gruppen-, Rollen- und Rechteverwaltung
im Detail.
12.1
Benutzerverwaltung
Die Greenbone Security Manager Benutzerverwaltung erlaubt die Definition und die
Verwaltung verschiedenster Benutzer mit unterschiedlichen Rollen und Rechten. Bei
der Initialisierung der GSM-Appliance wird über das GOS-Admin-Menü bereits der
erste Benutzer, der Web- bzw. Scan-Administrator angelegt. Mit diesem Benutzer
ist die Anmeldung und die Verwaltung der weiteren Benutzer möglich.
Dabei unterstützt die GSM Benutzerverwaltung ein rollenbasiertes Rechtekonzept
bei dem Zugri auf die Weboberfläche. Mehrere Rollen sind bereits von Werk angelegt. Weitere Rollen können jedoch von einem Administrator erzeugt und verwendet
werden. Die Rolle definiert, welche Funktionen der Weboberfläche von dem Benutzer eingesehen und modifiziert werden dürfen. Dabei sind die Rollen nicht in der
Weboberfläche, sondern in dem darunterliegenden OMP-Protokoll realisiert und
wirken sich daher auf alle OMP-Clients aus. Lesender und modifizierender Zugri
kann getrennt den Rollen zugewiesen werden.
Neben den Rollen unterstützt die GSM Benutzerverwaltung auch Gruppen. Gruppen erlauben die Zusammenfassung von Benutzern. Dies dient in erster Linie der
logischen Gruppierung. Neben einer Verwaltung der Rechte über die Rollen können
auch Gruppen entsprechende Privilegien zugewiesen werden.
167
12.1. BENUTZERVERWALTUNG KAPITEL 12. BENUTZER- UND RECHTEVERWALTUNG
Zusätzlich kann über die Benutzerverwaltung jedem Benutzer ein Bereich von IPAdressen zugewiesen werden, dessen Scan erlaubt oder verboten ist. Die GSM
Appliance weigert sich dann andere als die angegebenen IP-Adressen durch den
entsprechenden Benutzer zu scannen. Auch der Zugri auf bestimmte Schnittstellen
der GSM-Appliance kann erlaubt bzw. verboten werden.
Der Greenbone Security Manager bietet für die Verwaltung der Rollen und spezifischen Privilegien der Benutzer eine eigene Benutzerverwaltung. Um jedoch Kennwörter nicht mehrfach vorhalten zu müssen und eine Kennwortsynchronisation zu
erlauben, bietet der Greenbone Security Manager die Anbindung des Systems an
einen zentralen LDAP-Server. Dieser wird dann aber nur für die Überprüfung des
Kennworts bei der Anmeldung des Benutzer genutzt. Alle weiteren Einstellungen
erfolgen in der Benutzerverwaltung der GSM Appliance.
Diese Funktionen werden auf den nächsten Seiten genauer betrachtet.
12.1.1
Anlegen und Verwaltung der Benutzer
Den Dialog für das Anlegen und Verwalten der Benutzer erreichen Sie über das
Menü Administration. Dieses Menü wird nur für Administratoren eingeblendet, da
zunächst nur diese weitere Benutzer anlegen und verwalten dürfen. Hier können Sie
den Dialog für die Anlage neuer Benutzer durch den weißen Stern auf blauen Grund
aufrufen oder durch Anwählen des Schraubenschlüssels einen vorhandenen
Benutzer modifizieren.
Abbildung 12.1: Anlegen eines neuen Benutzers
Bei der Anlage eines neuen Benutzers sind die folgenden Angaben möglich:
• Login Name: Dies ist der Name, mit dem sich der Benutzer anmeldet. Wenn
ein LDAP-Server als zentraler Kennwortspeicher genutzt wird, muss der Benutzer mit dem identischen Namen (rDN) im LDAP-Server angelegt sein. Der
Name darf maximal 80 Zeichen lang sein und aus Buchstaben und Zi ern
bestehen.
168
KAPITEL 12. BENUTZER- UND RECHTEVERWALTUNG 12.1. BENUTZERVERWALTUNG
• Password: Dies ist das Kennwort des Benutzers. Das Kennwort darf maximal
40 Zeichen aufweisen und aus beliebigen Buchstaben bestehen. Achten Sie
darauf, dass, wenn Sie Sonderzeichen verwenden, diese auf allen Tastaturen
und Betriebssystemen die Sie einsetzen, auch erreichbar sind.
• Ro l e s (o p t i o n a l): Jeder Benutzer darf mehrere Rollen besitzen. Die Rollen
definieren die Rechte des Benutzers bei der Verwendung des OMP Protokolls.
Da der Greenbone Security Assistant das OMP-Protokoll nutzt, definieren die
Rollen auch direkt die Möglichkeiten in der Weboberfläche. Während Sie weitere Rollen hinzufügen und konfigurieren können, stehen zu Beginn die Rollen
Administrator, User, Info, Observer und ein paar weitere zur Verfügung. Diese
Rollen werden in dem Abschnitt 12.1.3 genauer betrachtet.
• G ro u p s (o p t i o n a l): Jeder Benutzer kann Mitglied mehrerer Gruppen sein.
Auch über die Gruppen kann eine Rechteverwaltung erfolgen (siehe Abschnitt
12.1.7)
• Host Access: Hier können Sie definieren, welche Rechner ein bestimmter Benutzer in einem Scan analysieren darf und welche Rechner nicht in einem Scan
berücksichtigt werden. Diese Einschränkungen können auch für Administratoren eingerichtet werden. Diese können jedoch auch selbst die Einschränkungen
wieder aufheben. Daher ist diese Funktion bei Administratoren lediglich zum
Selbstschutz. Normale Benutzer (User) bzw. andere Rollen ohne Zugri auf
die Benutzerverwaltung können diese Einschränkungen jedoch nicht umgehen. Hierbei können Sie grundsätzlich zwischen einer Whitelist (Deny all and
allow) und einer Blacklist (Allow all and deny) wählen. Im ersten Fall ist der
Scan sämtlicher Rechner grundsätzlich verboten und nur explizit aufgeführte
Systeme dürfen gescannt werden. Im zweiten Fall ist der Scan sämtlicher
Systeme mit Ausnahme der aufgeführten Systeme erlaubt.
Es können sowohl Rechnernamen als auch IPv4- und IPv6-Adressen angegeben werden. Ferner können sowohl einzelne IP-Adressen als auch Adressbereiche und Netzwerksegmente spezifiziert werden. Die folgende Auflistung
gibt hierfür einige Beispiele:
– 192.168.15.5 (IPv4-Adresse)
– 192.168.15.5-192.168.15.27 (IPv4-Bereich Langform)
– 192.168.15.5-27 (IPv4-Bereich Kurzform)
– 192.168.15.128/25 (CIDR-Notation)
– 2001:db8::1 (IPv6-Adresse)
– 2001:db8::1-2001:db8::15 (IPv6-Bereich Langform)
– 2001:db8::1-15 (IPv6 Bereich Kurzform)
– 2001:db8::/120 (CIDR-Notation)
Sämtliche Optionen können beliebig gemischt und als kommaseparierte Liste
angegeben werden. Die Netzmaske in der CIDR-Notation ist jedoch auf maximal
20 bei IPv4 und 116 bei IPv6 beschränkt. In beiden Fällen resultieren hieraus
maximal 4096 IP-Adressen.
169
12.1. BENUTZERVERWALTUNG KAPITEL 12. BENUTZER- UND RECHTEVERWALTUNG
Abbildung 12.2: Anzeigen des Benutzers
t
i
p
p
• Interface Access: Hier können Sie definieren, über welche Netzwerkkarten
ein Anwender einen Scan ausführen darf. Hier können Sie eine kommaseparierte Liste von Netzwerkkarten angeben und ähnlich wie bei dem Host Access
zwischen einem Whitelist und einem Blacklist-Verfahren wählen.
Grundsätzlich sollten Sie sich bemühen, das Whitelist-Verfahren zu benutzen und
den Scan grundsätzlich bis auf ausgewählte Systeme zu verbieten. Damit ist sichergestellt, dass Ihre Anwender nicht durch Zufall oder aus Unwissenheit Systeme prüfen, die außerhalb ihrer Zuständigkeit liegen, sich irgendwo im Internet
befinden oder auf einen Scan mit Fehlfunktionen reagieren.
Nach der Anlage des Benutzers werden dessen Eigenschaften angezeigt. Sie sollten
diese Anzeige kontrollieren um sicherzustellen, dass Sie dem Benutzer nicht zu viele
Privilegien zugewiesen haben.
12.1.2
Gleichzeitige Anmeldung
Natürlich ist es möglich, dass zwei unterschiedliche Benutzer gleichzeitig an einem
GSM angemeldet sind. Möchte sich der gleiche Benutzer mehrfach anmelden, so
muss diese Anmeldung von einem anderen PC oder zumindest mit einem anderen
Browser erfolgen. Eine weitere Anmeldung durch denselben Browser invalidiert die
erste Anmeldung.
170
KAPITEL 12. BENUTZER- UND RECHTEVERWALTUNG 12.1. BENUTZERVERWALTUNG
12.1.3
Benutzerrollen
Ab dem Greenbone OS 3.1 können Sie mit dem Greenbone Security Assistant die
Benutzerrollen selbst neu anlegen und anpassen. Wie in allen anderen Fällen ist
die Modifikation der eingebauten und ausgelieferten Rollen nicht möglich. Diese
können jedoch kopiert (geklont) werden. Dieser Klon kann dann modifiziert werden.
Dies stellt ein konsistentes Verhalten bei Updates der Software sicher.
Sie erreichen die Rollenverwaltung über die Weboberfläche im Menü Administration im Unterpunkt Roles. Die folgenden Rollen sind bereits im Auslieferungszustand
verfügbar:
• Admin: Diese Rolle verfügt im Auslieferungszustand über sämtliche Privilegien.
Sie darf insbesondere weitere Benutzer anlegen und verwalten.
• Guest: Diese Rolle entspricht der Info-Rolle. Sie darf lediglich ihre Einstellungen
nicht modifizieren.
• Info: Diese Rolle (Information Browser) besitzt nur lesenden Zugri auf die
NVTs und die SCAP-Informationen. Alle weiteren Informationen sind nicht
verfügbar.
• Monitor: Diese Rolle hat Zugri auf die Performance-Daten des GSM (siehe
Abschnitt 4.8).
• Observer: Diese Rolle besitzt nur lesenden Zugri auf das System. Sie darf keine eigenen Scans erzeugen oder starten. Sie besitzt auch nur lesenden Zugri
für die Scans für die die entsprechenden Benutzer als Observer eingerichtet
worden sind.
• Super Admin: Diese Rolle hat Zugri auf alle Objekte von allen Benutzern. Sie
hat keine Beziehung zum SuperUser auf der Kommandozeile. Diese Rolle kann
nicht über die Weboberfläche konfiguriert werden. Die Konfiguration ist nur
im GOS-Admin-Menü möglich (siehe auch Abschnitt 12.1.5).
• User: Diese Rolle verfügt im Auslieferungszustand über sämtliche Privilegien
mit der Ausnahme der Benutzer-, Rollen- und Gruppenverwaltung. Außerdem
darf diese Rolle nicht die Feeds verwalten und synchronisieren. In der Weboberfläche besteht kein Zugri auf den Menüpunkt A d m i n i s t r a t i o n. Alle
weiteren Funktionen stehen dieser Rolle aber zur Verfügung.
Weitere Rollen können einfach angelegt werden. Am einfachsten kopieren Sie eine
der vorhandenen Rollen, die Ihren Anforderungen am nächsten kommt und passen
diese dann an. In seltenen Fällen möchten Sie vielleicht eine Rolle erzeugen, die
nur wenige Funktionen unterstützt. Dann ist es sinnvoller mit einer leeren Rolle zu
beginnen.
Ein Benutzer kann auch mehrere Rollen besitzen. Daher können die Privilegien mit
Hilfe der Rollen auch gruppiert werden. Werden dann mehrere Rollen einem Benutzer
zugewiesen, so addieren sich die Privilegien.
171
12.1. BENUTZERVERWALTUNG KAPITEL 12. BENUTZER- UND RECHTEVERWALTUNG
Daher kann zum Beispiel eine Rolle Maintenance erzeugt werden. Diese Rolle erhält
dann die folgenden Privilegien:
• authenticate
• get_settings
• write_settings
• help
• describe_cert
• describe_feed
• describe_scap
• sync_cert
• sync_feed
• sync_scap
Abbildung 12.3: Die Rolle TaskAdmin gibt nur eingeschränkten Zugri
Weitere Rollen können dann den Namen TargetAdmin, ScanConfigAdmin, TaskAdmin
und Scanner erhalten und mit entsprechenden Rechten ausgestattet werden. Wichtig ist die Tatsache, dass die Rollen alle mindestens die Privilegien authenticate und
get_settings erhalten. Diese werden für die Anmeldung an der grafischen Weboberfläche zwingend benötigt. Sinnvoll ist dann auch noch das Privileg write_settings.
Dann kann der Benutzer sein eigenes Kennwort, die Zeitzone und weitere persönliche Einstellungen ändern.
Den Benutzern können dann unterschiedliche Permutationen dieser Rollen zugewiesen werden. So können bestimmte Benutzer anschließend die Zielsysteme, die
172
KAPITEL 12. BENUTZER- UND RECHTEVERWALTUNG 12.1. BENUTZERVERWALTUNG
Scankonfiguration oder den tatsächlichen Scan konfigurieren oder starten. In der
Auswahl der Privilegien werden Ihnen nur die noch nicht zugewiesenen Privilegien angezeigt. Dies erleichtert das Hinzufügen und den Überblick über die noch
verfügbaren Privilegien.
Meldet sich anschließend ein Benutzer mit der Rolle TaskAdmin an, so ist die Menüauswahl entsprechend eingeschränkt.
Abbildung 12.4: Die Menüauswahl der Rolle TaskAdmin ist eingeschränkt.
173
12.1. BENUTZERVERWALTUNG KAPITEL 12. BENUTZER- UND RECHTEVERWALTUNG
12.1.4
Gastanmeldung
Die GSM kann für die Gast-Anmeldung konfiguriert werden. Als Gast verfügt der
Benutzer nur die Möglichkeit auf das SecInfo-Management (siehe Abschnitt 15)
zuzugreifen. Damit kann ohne Kennwort ein einfacher Zugri auf die aktuellen
Informationen geboten werden.
Abbildung 12.5: Die Rolle Gast hat Zugri auf das SecInfo Dashboard.
Um diesen Gastzugri zu erlauben, können Sie einen Benutzer erzeugen und diesem
die Rolle Guest zuweisen.
Abbildung 12.6: Erzeugen Sie einen Gast-Benutzer.
Dieser Benutzer kann sich nun bei Kenntnis des Kennworts anmelden und erhält
das Dashboard.
174
KAPITEL 12. BENUTZER- UND RECHTEVERWALTUNG 12.1. BENUTZERVERWALTUNG
Um eine Gastanmeldung ohne Kennwort zu erlauben, muss dieser zunächst auf
der Kommandozeile aktiviert werden. Hierzu starten sie das GOS-Admin-Menü
und rufen den Punkt U s e r auf. Anschließend können Sie den G u e s t l o g i n im
entsprechenden Punkt aktivieren. Mögliche Werte sind disabled und enabled.
Anschließend müssen Sie auch noch den Namen des Gast-Benutzers und dessen
Kennwort angeben. Dies erfolgt im gleichen Menü unter dem Punkt G u e s t u s e r.
Dieser Menüpunkt erscheint, sobald der Gast-Zugri aktiviert wurde.
Aktivieren Sie die Änderungen durch den Aufruf von C o m m i t im Menü. Alternativ
können Sie den Zugri auch über die Einstellung guest_login aktivieren:
gsm : get guest_login
s guest \ _login disabled
gsm : set guest_login enabled
gsm : set guest_user guest
gsm : set guest_password guest
gsm *: commit
gsm : get guest_logins guest_login enabled
Anschließend sollte ein Reboot erfolgen. Nun ist auf der Anmelde-Maske unten
rechts das Login als Gast verfügbar (siehe Abbildung 12.7).
Abbildung 12.7: Login als Gast-Benutzer ohne Kennwort.
175
12.1. BENUTZERVERWALTUNG KAPITEL 12. BENUTZER- UND RECHTEVERWALTUNG
12.1.5
Super Admin
Der Super Admin ist die höchste Zugri sstufe. Sie wurde mit dem neuen Berechtigungskonzept eingeführt. Die normale Rolle Admin ist vom Rechtemodell zunächst
einem einfachen Benutzer gleichzusetzen. Dabei ist der Admin jedoch in der Lage,
neue Benutzer zu erzeugen, zu modifizieren und zu löschen. Des weiteren kann
der Admin sämtliche Rechte (Permissions) auf dem System einsehen, modifizieren
und löschen. Dennoch ist er auch diesen Rechten unterworfen. Wenn ein Benutzer
eine private Scan-Konfiguration anlegt und diese nicht freigibt, kann der Admin
die Scan-Konfiguration nicht sehen. Natürlich könnte der Admin sich selbst ein
entsprechendes Recht für die von dem Benutzer erzeugte Ressource geben.
Der Super Admin ist hiervon ausgenommen. Der Super Admin darf sämtliche Konfigurationseinstellungen aller Benutzer sehen und kann diese auch editieren.
Der Super Admin kann nicht in der Weboberfläche erzeugt werden. Um den Super
Admin zu erzeugen ist ein Zugri auf der Kommandozeile erforderlich. Hier können
Sie im GOS-Admin-Menü im Punkt User im Unterpunkt Add Super Admin diesen
Benutzer mit Kennwort anlegen.
Anschließend kann der Benutzer in der Weboberfläche editiert werden.
Abbildung 12.8: Der Super Admin kann nicht in der Weboberfläche erzeugt werden!
Der Super Admin kann nicht durch den normalen Administrator verändert werden.
Nur der Super Admin selbst kann die Einstellungen des Benutzers ändern!
176
KAPITEL 12. BENUTZER- UND RECHTEVERWALTUNG 12.1. BENUTZERVERWALTUNG
12.1.5.1
Super Permissions
Sie können auch eine Rolle mit Super-Permissions ausstatten. Dann darf diese Rolle
auf alle Objekte einer Gruppe zugreifen.
Jede auf dem GSM angelegte Ressource (Scan Konfiguration, Target, etc.) ist entweder global oder gehört einem bestimmten Benutzer. Globale Ressourcen sind an
dem Icon zu erkennen. Jede nicht globale Ressource darf zunächst nur von ihrem
Besitzer gesehen und verwendet werden. Hier sind individuelle Berechtigungen
erforderlich, um die Ressource anderen Anwendern zur Verfügung zu stellen. Dies
ist recht aufwändig. Daher bietet das Greenbone OS 3.1 nun die Möglichkeit ”Super
Permissions” zu verteilen. Ein Benutzer kann diese Super Permission erhalten für:
• Benutzer
• Rolle
• Gruppe
• Jeder
Diese Super Permissions erlauben dann den kompletten Zugri auf sämtliche Ressourcen des entsprechenden Benutzers, der Rolle, der Gruppe oder tatsächlich auf
alle Ressourcen. Dabei kann der Jeder-Zugri nicht explizit gesetzt werden. Dies ist
ein Privileg des Super Admins (siehe Abschnitt 12.1.5) . Diese letzte Super Permission
kann daher nur durch das Erzeugen eines Super Admins gesetzt werden.
Dabei kann ein Benutzer nur Super Berechtigungen für die Objekte setzen, die er
selbst erzeugt hat. Hierzu muss er zunächst die RessourceID des Benutzers, der
Rolle oder der Gruppe ermitteln für die er die Super Berechtigung setzen möchte.
Anschließend kann er dann die Werte im Dialog eintragen.
Abbildung 12.9: Für die Super-Berechtigung benötigen Sie die Resource-ID
In der Erfolgsmeldung wird dann statt der Ressource ID der Klartextname angezeigt.
Die Super Berechtigungen vereinfachen die Rechteverwaltung auf dem GSM. So
können leicht auch die Super Berechtigungen für ganze Gruppen vergeben werden.
177
12.1. BENUTZERVERWALTUNG KAPITEL 12. BENUTZER- UND RECHTEVERWALTUNG
Abbildung 12.10: Der Benutzer Ralf hat Super Zugri auf die Ressourcen des Benutzers Theo.
Damit können alle Benutzer einer Gruppe auf alle Ressourcen, die von weiteren
Mitgliedern der Gruppe angelegt wurden, zugreifen.
12.1.5.2
GetUsers-Rolle für Observer
Die GSM erlaubt die Verwaltung von Observern (siehe Abschnitt 6.1.3.3). Dies sind
Benutzer, die Leserechte an bestimmten Tasks und deren Reports erhalten. Diese
Observer können per Default nur von Administratoren an den Tasks und Reports
berechtigt werden. Normale Benutzer können keine Observer an ihren eigenen Tasks
berechtigen. Sie können ihre Tasks somit nicht für andere Benutzer freigeben. Bei
ihnen ist der entsprechende Dialog zur Verwaltung der Berechtigungen einen Tasks
nicht funktionsfähig.
Abbildung 12.11: Normale Benutzer können keine Observer einrichten.
Damit normale Benutzer ebenfalls ihre Tasks mit Leserechten für andere Benutzer ausstatten dürfen, benötigen Sie das Privileg get_users für den Zugri auf die
Benutzerdatenbank. Dieses Recht verwalten Sie am einfachsten über eine eigene
Rolle. Erzeugen Sie hierzu eine Rolle GrantReadPriv (siehe Abbildung 12.12). Dieser
weisen Sie in einem zweiten Schritt dann das Privileg get_users zu. Damit erhält
jeder Benutzer mit dieser zusätzlichen Rolle das Recht, Leserechte an den eigenen
Tasks zu vergeben.
Falls der Benutzer ebenfalls Leserechte an Gruppen oder Rollen vergeben darf,
müssen entsprechend die Berechtigungen get_groups und get_roles zugewiesen
werden.
h
i
n
w
e
i
s
Dann müssen Sie nur noch den entsprechenden Benutzern diese Rolle zusätzlich
zuweisen.
178
KAPITEL 12. BENUTZER- UND RECHTEVERWALTUNG 12.1. BENUTZERVERWALTUNG
Abbildung 12.12: Die Rolle GrantReadPriv erlaubt die Verwaltung der Leserechte.
12.1.6
Gruppen
Neben den Rollen gibt es auch eine Gruppenverwaltung im Greenbone Security Assistant. Diese Gruppen dienen der logischen Gruppierung der Benutzer. Zusätzlich
können über diese Gruppen aber auch Berechtigungen zugewiesen werden (siehe Abschnitt 12.1.7). Im Auslieferungszustand sind keine Gruppen eingerichtet. Sie
können beliebig viele Gruppen erzeugen.
Hierbei müssen Sie die folgenden Informationen angeben:
• Name: Der Name der Gruppe darf maximal 80 Zeichen lang sein und aus Buchstaben und Zi ern bestehen.
• Comment: Ein optionaler Kommentar beschreibt die Gruppe genauer.
• Users: Hier können Sie direkt die Mitglieder der Gruppe angeben. Dabei dürfen Sie die Mitglieder durch Leerzeichen oder Kommas trennen. Die Länge
der Angabe darf maximal 1000 Zeichen betragen. Alternativ können Sie die
Gruppenmitgliedschaften direkt bei den Benutzern verwalten.
179
12.1. BENUTZERVERWALTUNG KAPITEL 12. BENUTZER- UND RECHTEVERWALTUNG
Abbildung 12.13: Gruppen können für die Verwaltung von Rechten genutzt werden.
180
KAPITEL 12. BENUTZER- UND RECHTEVERWALTUNG 12.1. BENUTZERVERWALTUNG
12.1.7
Permissions
Unter dem Menüpunkt C o n f i g u r a t i o n/Pe r m i s s i o n s können Sie sämtliche auf
dem System vergebenen Berechtigungen einsehen. Bei mehreren angelegten Rollen können das leicht mehrere Hundert Berechtigungen sein. Jede einzelne hier
angezeigte Berechtigung bezieht sich immer auf genau ein Subject.
Ein Subject ist entweder
• ein Benutzer,
• eine Rolle
• oder eine Gruppe.
Üblicherweise werden die Berechtigungen durch die Weboberfläche über die Rollen
(siehe Abschnitt 12.1.3) verwaltet. Dabei können Sie die Berechtigungen der Rollen
sowohl in der Rollenverwaltung als auch hier verwalten. Alternativ können Sie aber
auch Berechtigungen direkt Benutzern oder Gruppen zuweisen.
Auch bei den eingebauten Rollen ist eine Modifikation der Berechtigungen über
diesen Dialog möglich. Dies führt bei Updates möglicherweise zu unerwünschten
E ekten, wenn die Berechtigungen wieder zurückgesetzt werden.
h
i
n
w
e
i
s
Diese Möglichkeit bietet Ihnen die maximal mögliche Flexibilität in der Verwaltung
der Berechtigungen. Jedoch empfiehlt sich das Hinzufügen und Verwalten der Berechtigungen über diesen Dialog nur für erfahrene Benutzer, die zum Beispiel eine
bestimmte Berechtigung suchen und für einen bestimmten Benutzer entfernen
möchten.
12.1.7.1
Freigabe einzelner Objekte für andere Benutzer
Jeder Benutzer kann beliebige Objekte, die er selbst erzeugt hat, freigeben. Dazu
muss er jedoch über das Privileg get_users verfügen. Ansonsten hat er nicht das
Recht die Namen der anderen Benutzer zu ermitteln (siehe Abschnitt 12.1.5.2).
Um ein Objekt freizugeben, ermitteln Sie zunächst die Objekt-ID. Eine Freigabe über
den Namen ist nicht möglich. Hierzu zeigen Sie das Objekt, welches Sie freigeben
möchten (z.B. einen Filter) im Browser an. Oben Rechts in der Anzeige können Sie
die ID sehen und kopieren.
Anschließend wechseln Sie in das Menü C o n f i g u r a t i o n/Pe r m i s s s i o n s. Erzeugen Sie hier eine neue Berechtigung . Wählen Sie dann die richtige Berechtigung
für das von Ihnen freizugebende Objekt aus:
• Filter: get_filters
181
12.1. BENUTZERVERWALTUNG KAPITEL 12. BENUTZER- UND RECHTEVERWALTUNG
Abbildung 12.14: Kopieren der ID des freizugegebenen Objektes.
• Scan-Konfiguration: get_configs
• Alert: get_alerts
• Notizen: get_notes
• Overrides: get_overrides
• Tags: get_tags
• Targets: get_targets
• Task mit Reports: get_tasks
• Schedule: get_schedules
Wählen Sie das passende Subjekt (User, Role oder Group) aus und fügen Sie die
kopierte Ressource ID in das entsprechende Feld.
Abbildung 12.15: Geben Sie den Filter frei.
182
KAPITEL 12. BENUTZER- UND RECHTEVERWALTUNG 12.1. BENUTZERVERWALTUNG
12.1.8
Zentrale Benutzerverwaltung
Besonders in größeren Umgebungen mit mehreren Benutzern ist es häufig schwierig
eine Synchronisation der Kennwörter zu erreichen. Der Aufwand für das Zurücksetzen oder die erneute Vergabe der Kennwörter ist dann meist recht hoch. Um
dies zu vermeiden, bietet die GSM-Appliance die Anbindung an einen zentralen
Kennwortspeicher. Hierbei handelt es sich um eine LDAP-Schnittstelle. Über diese
Schnittstelle können Sie auf beliebige LDAP-Bäume für die Authentifizierung, auch
zum Beispiel auf ein Active Directory, zurückgreifen.
Voraussetzung für die Nutzung der zentralen Authentifizierung ist die gleiche Benennung Ihrer Benutzer mit den Objekten im LDAP-Baum.
Im Folgenden wird die Anbindung an einen LDAP-Baum beschrieben. Dabei verwendet die GSM-Appliance eine sehr einfache Schnittstelle. Während andere LDAPAnbindungen zunächst nach einem passenden Objekt im Baum suchen, um sich
anschließend als dieses Objekt anzumelden (Search&Bind), verwendet die GSMAppliance einen Bind mit einem hardkodierten Objektpfad. Dies hat zur Folge, dass
die GSM nicht Benutzer in unterschiedlichen Teilästen oder auf unterschiedlichen
Rekursionstiefen eines LDAP-Baums unterstützt. Alle Benutzer, die sich an dem
GSM anmelden möchten, müssen sich im selben Bereich und auf der selben Ebene
des LDAP-Baums befinden!
Abbildung 12.16: Die zentrale LDAP-Authentifizierung verlangt die Angabe des DNs
Dann können Sie den distinguishedName der Objekte eindeutig definieren. Der Platzhalter %s ersetzt dabei den Benutzernamen. Beispiele für den A u t h . D N sind:
• uid=%s,ou=people,dc=domain,dc=de
• %[email protected]
• domain.de\%s
Während das erste Beispiel mit den korrekten Attributen bei jedem LDAP-Server
funktionieren sollte, sind das zweite und dritte Beispiel typische Schreibweisen bei
einem Active Directory. Hierbei ist auch der exakte Ort des Benutzerobjekts im Baum
unerheblich.
183
12.1. BENUTZERVERWALTUNG KAPITEL 12. BENUTZER- UND RECHTEVERWALTUNG
Als einzige zusätzliche Information ist der LDAP Host notwendig. Hier kann lediglich ein System mit IP-Adresse oder Name und Port angegeben werden.
Sobald die LDAP-Authentifizierung aktiviert wurde, kann bei jedem Benutzer zwischen der lokalen Authentifizierung und der Authentifizierung via LDAP gewählt
werden.
Die Kommunikation muss durch SSL/TLS geschützt werden. Unterstützt der
LDAP-Server dies nicht, so verweigert die GSM-Appliance die Zusammenarbeit.
Details hierzu werden im folgenden Abschnitt gegeben.
h
i
n
w
e
i
s
Funktionstüchtig ist die LDAP-Authentifizierung jedoch erst nach einem Reboot. Dieser Reboot ist einmalig zwingend nach der Aktivierung der LDAP-Authentifizierung
erforderlich.
12.1.8.1
LDAP mit SSL/TLS
Die GSM-Appliance nutzt entweder das Kommando StartTLS via dem LDAP-Protokoll
auf Port 389 oder SSL via LDAPS auf dem Port 636. Damit die GSM-Appliance die
Identität des LDAP-Servers prüfen kann, muss sie dessen Zertifikat vertrauen. Hierzu muss das Zertifikat der ausstellenden Zertifizierungsstelle im GSM hinterlegt
werden.
Außerdem muss der LDAP-Server seine Dienste via SSL zur Verfügung stellen. Die
exakte Konfiguration aller verfügbarer LDAP-Server geht über die Möglichkeiten
dieses Handbuchs hinaus. Daher werden im Folgenden nur einige Verweise gegeben:
• Microsoft:
http://social.technet.microsoft.com/wiki/
contents/articles/2980.ldap-over-ssl-ldaps-certificate.
aspx
• OpenLDAP: http://www.openldap.org/doc/admin24/tls.html
Zusätzlich müssen Sie das Zertifikat der Zertifizierungsstelle auf der GSM-Appliance
hinterlegen. Hierzu müssen Sie das Zertifikat ihrer Zertifizierungsstelle in BASE64Kodierung als Datei exportieren.
Unter
http://greenbone.net/learningcenter/central_
authentication.de.html#ca_certificate stellt Greenbone Hinweise
für den Export zur Verfügung.
Diese Datei müssen Sie nun auf Ihren GSM übertragen. Hierzu verbinden Sie sich am
besten via SSH (z.B. Putty) mit der Appliance. Ö nen Sie das Zertifikat in einem Editor
und kopieren Sie es in die Zwischenablage. Rufen Sie auf der GSM-Kommandozeile
den Befehl ldapcacertdownload auf und fügen Sie das Zertifikat ein. Schließen
Sie den Kopiervorgang mit einem Enter und anschließend Strg-D ab.
184
KAPITEL 12. BENUTZER- UND RECHTEVERWALTUNG 12.1. BENUTZERVERWALTUNG
Falls die LDAP-Authentifizierung nicht funktioniert, so prüfen Sie bitte, ob die Angabe
bei dem L DA P H o s t mit dem commonName des Zertifikats Ihres LDAP-Servers
übereinstimmt. Kommt es hier zu Abweichungen, so verweigert die GSM-Appliance
die Nutzung des LDAP-Servers.
185
12.1. BENUTZERVERWALTUNG KAPITEL 12. BENUTZER- UND RECHTEVERWALTUNG
186
K A P I T E L 13
OpenVAS Management
Protokoll (OMP)
Die gesamte Steuerung der GSM Appliance erfolgt über das OpenVAS Management
Protocol (OMP). Auch die Weboberfläche ist ein OMP-Client und greift via OMP auf
die GSM-Funktionen zu.
Das OMP-Protokoll ist auf der Greenbone Webseite unter http://www.
greenbone.de/technology/omp.de.html dokumentiert. Dieses Kapitel
beschreibt die Aktivierung und Nutzung des Protokolls durch Fremdanwendungen.
13.1
Aktivieren des OMP Protokolls
Um das OMP-Protokoll nutzen zu können, muss es zunächst auf der GSM-Appliance
aktiviert werden. Die Weboberfläche nutzt das OMP-Protokoll nur lokal auf der
Appliance und nicht über das Netzwerk. Die Aktivierung des OMP-Protokolls kann
entweder direkt über eine Variable auf der Kommandozeile erfolgen (siehe Abschnitt 4.6.3) oder über das GOS-Admin-Menü unter Re m o t e und anschließend
OMP. Wichtig ist, dass Sie in beiden Fällen anschließend die GSM Appliance neu starten müssen, damit diese Einstellung aktiv wird. Der Zugri auf das OMP-Protokoll
erfolgt grundsätzlich SSL-verschlüsselt und authentifiziert. Hier werden die gleichen Benutzer genutzt, die Sie auch in der Weboberfläche verwenden und einrichten
können. Die Benutzer unterliegen auch den gleichen Einschränkungen und verfügen
über exakt dieselben Rechte.
187
13.2. ZUGRIFF MIT OMP
13.2
KAPITEL 13. OMP
Zugri mit omp
Während Sie mit Hilfe der Dokumentation des OMP-Protokolls Ihre eigenen Applikationen für den Zugri entwickeln können, hat Greenbone auch für den einfachen
Zugri eine Kommandozeilenapplikation entwickelt und auf der Webseite für Linux
und Windows zur Verfügung gestellt.
• GNU/Linux:
– omp (2.4 MB)1
– sha1sum: 1610e d977614a78651b65ea37381f50cd0a6ad
– md5sum: af0750fb67031dbf98faf48f57a5a33f
• Microsoft Windows:
– omp.exe (2.9 MB)2
– Diese Datei wurde von Greenbone Networks GmbH digital signiert.
Das Protokoll OMP ist XML-basiert. Jedes Kommando und jede Antwort ist ein XML
Objekt.
Das von Greenbone Networks gelieferte Kommandozeilen-Werkzeug omp bietet
zum einen das direkte Versenden und Empfangen von XML-Kommandos und XMLAntworten. Das ist vor allem für den Batch-Betrieb (“Stapelverarbeitung”, “Scripting”) hilfreich. Zum anderen sind die wichtigsten Kommandos als Kommandozeilenparameter einschließlich einer Option für eine menschenlesbare Ausgabe
verfügbar. Dies ist gedacht für spontane Abfragen, Tests und zur Ausarbeitung von
Batch-Prozessen.
Mit diesem Werkzeug können Sie das OMP-Protokoll auf einfache Weise nutzen:
omp
omp
omp
omp
-- xml = < g e t _ t a s k s / >
-- get - t a s k s
-- xml = < help / >
-- help
Grundsätzlich bietet das Kommandozeilen-Werkzeug omp zwei Arten der Verwendung an. Über den Schalter --xml werden OMP-Kommandos im XML Format gesendet. Die Antworten sind dann ebenfalls im XML Format. Einige der Kommandos
sind ebenfalls als direkte Schalter verfügbar. So entspricht --xml=<get_tasks/>
dem Schalter --get-tasks. Bei Verwendung von letzterem erfolgt die Ausgabe
aber nicht im XML-Format, sondern als einfache Text-Tabelle.
1 http://greenbone.net/download/tools/omp
2 http://greenbone.net/download/tools/omp.exe
188
KAPITEL 13. OMP
13.2.1
13.2. ZUGRIFF MIT OMP
Konfiguration des Clients
Zur Nutzung des Kommandos omp müssen Sie sich an der Appliance anmelden.
Hierzu geben Sie mit den Optionen --user, --password, --host und --port
die erforderlichen Angaben an. Damit dies nicht bei jedem Aufruf erforderlich ist,
können Sie die Verbindungsdaten zur Vereinfachung in der Datei omp.config im
Heimatverzeichnis des Anwenders hinterlegen. Unter Unix-ähnlichen Systemen
ist das $(HOME)/omp.config. Auf Windows-Systemen befindet sich die Datei
in %USERPROFILE%\omp.config. Erstellen Sie diese Datei mit folgendem Inhalt
(host, username und password sind natürlich entsprechend anzupassen) und achten
Sie auf korrekte Groß-Kleinschreibung):
[ Connection ]
host = gsm
port = 9 3 9 0
username = webadmin
password = kennwort
13.2.2
Start eines Scans
Ein typisches Beispiel für die Nutzung des OMP-Protokolls ist ein automatischer
Scan eines neuen Systems. Im Folgenden gehen wir davon aus, dass Sie ein Intrusion
Detection System betreiben, welches die Rechner in Ihrer DMZ überwacht und neue
Systeme und ungewöhnliche bisher nicht genutzte TCP-Ports sofort erkennt. Falls
nun ein derartiges Ereignis erkannt wird, soll das IDS automatisch einen Scan des
Systems initiieren. Dies soll mit Hilfe eines Skripts umgesetzt werden. Dazu eignet
sich der Befehl omp sehr gut.
Ausgangspunkt ist die IP-Adresse des neuen verdächtigen Systems. Für diese IPAdresse muss zunächst ein Target im GSM erzeugt werden.
Für diese Funktion gibt es keine einfache Option in dem Kommando omp. Daher muss dies mit Hilfe von XML erfolgen. Unter http://www.greenbone.de/
technology/omp.de.html#command_create_target ist das create_target
Kommando beschrieben.
Wenn die IP-Adresse in der Variablen $IPADDRESS gespeichert ist, kann mit dem
folgenden Kommando das entsprechende Target angelegt werden:
$ ./ omp - X " < c r e a t e _ t a r g e t > < name > S u s p e c t Host </ name > < hosts > &
$ I P A D D R E S S </ hosts > </ c r e a t e _ t a r g e t >"
< c r e a t e _ t a r g e t _ r e s p o n s e s t a t u s = " 2 0 1 " id =" aa410e98 - ff8d -45 b6 - &
be98 -11 f d 7 a 8 9 5 4 3 5 " s t a t u s _ t e x t =" OK , r e s o u r c e c r e a t e d &
" > </ c r e a t e _ t a r g e t _ r e s p o n s e >
Nun kann der Task erzeugt werden. Hierfür existieren einfache Optionen für das
OMP-Kommando:
189
13.2. ZUGRIFF MIT OMP
KAPITEL 13. OMP
$ ./ omp
- c daba56c8 -73 ec -11 df - a475 - 0 0 2 2 6 4 7 6 4 cea - C -- name " &
S c a n S u s p e c t H o s t " - t aa410e98 - ff8d -45 b6 - be98 -11 &
fd7a895435
a4bdad7c -6135 -45 c1 -884 b - f d 2 2 6 a 6 e 7 a 1 9
Der ausgegebene Rückgabewert ist die ID des Tasks. Diese wird für den Start benötigt.
Die hier angegebenen IDs müssen entsprechend ausgelesen werden. Dazu können
die folgenden Befehle genutzt werden:
$ ./ omp - T
b493b7a8 -7489 -11 df - a3ec - 0 0 2 2 6 4 7 6 4 cea
aa410e98 - ff8d -45 b6 - be98 -11 f d 7 a 8 9 5 4 3 5
s t u d e n t @ c l i e n t :~ $ ./ omp -g
8715 c877 -47 a0 -438 d -98 a3 -27 c 7 a 6 a b 2 1 9 6
0 8 5 5 6 9 ce -73 ed -11 df -83 c3 - 0 0 2 2 6 4 7 6 4 cea
daba56c8 -73 ec -11 df - a475 - 0 0 2 2 6 4 7 6 4 cea
698 f691e -7489 -11 df -9 d8c - 0 0 2 2 6 4 7 6 4 cea
ultimate
708 f25c4 -7489 -11 df - 8 0 9 4 - 0 0 2 2 6 4 7 6 4 cea
74 db13d6 -7489 -11 df -91 b9 - 0 0 2 2 6 4 7 6 4 cea
ultimate
2 d3f051c -55 ba -11 e3 - bf43 - 4 0 6 1 8 6 e a 4 f c 5
bbca7412 - a950 -11 e3 - 9 1 0 9 - 4 0 6 1 8 6 e a 4 f c 5
Localhost
S u s p e c t Host
Discovery
empty
Full and fast
Full and fast
&
Full and very deep
Full and very deep &
Host D i s c o v e r y
System Discovery
Nun muss der Task nur noch gestartet werden:
$ ./ omp - S a4bdad7c -6135 -45 c1 -884 b - f d 2 2 6 a 6 e 7 a 1 9
58 f7f696 -5 ec7 -49 f4 -9968 -1 d 3 5 9 9 1 f 8 f 2 e
Der ausgegebene Rückgabewert ist die ID des Reports. Nun muss bis zur vollständigen Abarbeitung des Tasks gewartet werden. Der Status des Tasks kann mit dem
folgenden Kommando angezeigt werden:
$ ./ omp -- get - t a s k s a4bdad7c -6135 -45 c1 -884 b - f d 2 2 6 a 6 e 7 a 1 9
a4bdad7c -6135 -45 c1 -884 b - f d 2 2 6 a 6 e 7 a 1 9
R u n n i n g 20%
ScanSuspectHost
58 f7f696 -5 ec7 -49 f4 -9968 -1 d 3 5 9 9 1 f 8 f 2 e
Running
0
0
1
2
&
2014 -06 -27 T12 : 4 3 : 1 7 Z
$ ./ omp -- get - t a s k s a4bdad7c -6135 -45 c1 -884 b - f d 2 2 6 a 6 e 7 a 1 9
a4bdad7c -6135 -45 c1 -884 b - f d 2 2 6 a 6 e 7 a 1 9
Done
58 f7f696 -5 ec7 -49 f4 -9968 -1 d 3 5 9 9 1 f 8 f 2 e
Done
2014 -06 -27 T12 : 4 3 : 1 7 Z
0
ScanSuspectHost
0
1
8
&
Sobald der Scan abgeschlossen ist, kann der Bericht geladen werden. Hierfür wird
die ID, die bei dem Start des Task ausgegeben wurde, benötigt. Ferner muss ein
sinnvolles Report-Format angegeben werden. Die IDs der Report-Formate erhalten
Sie mit:
190
KAPITEL 13. OMP
13.2. ZUGRIFF MIT OMP
$ ./ omp -- get - report - f o r m a t s
9 1 0 2 0 0 ca - dc05 -11 e1 -954 f - 4 0 6 1 8 6 e a 4 f c 5
5 ceff8ba -1 f62 -11 e1 - ab9f - 4 0 6 1 8 6 e a 4 f c 5
9087 b18c -626 c -11 e3 - 8 8 9 2 - 4 0 6 1 8 6 e a 4 f c 5
c1645568 -627 a -11 e3 - a660 - 4 0 6 1 8 6 e a 4 f c 5
35 ba7077 - dc85 -42 ef -87 c9 - b 0 e d a 7 e 9 0 3 b 6
ebbc7f34 -8 ae5 -11 e1 - b07b -001 f 2 9 e a d e c 8
6 c248850 -1 f62 -11 e1 - b082 - 4 0 6 1 8 6 e a 4 f c 5
77 bd6c4a -1 f62 -11 e1 - abf0 - 4 0 6 1 8 6 e a 4 f c 5
a684c02c - b531 -11 e1 - bdc2 - 4 0 6 1 8 6 e a 4 f c 5
9 ca6fe72 -1 f62 -11 e1 -9 e7c - 4 0 6 1 8 6 e a 4 f c 5
c402cc3e - b531 -11 e1 - 9 1 6 3 - 4 0 6 1 8 6 e a 4 f c 5
9 e5e5deb -879 e -4 ecc -8 be6 - a 7 1 c d 0 8 7 5 c d d
a3810a62 -1 f62 -11 e1 - 9 2 1 9 - 4 0 6 1 8 6 e a 4 f c 5
a994b278 -1 f62 -11 e1 -96 ac - 4 0 6 1 8 6 e a 4 f c 5
ARF
CPE
CSV H o s t s
CSV R e s u l t s
GSR PDF
GXR PDF
HTML
ITG
LaTeX
NBE
PDF
T o p o l o g y SVG
TXT
XML
Nun kann der Report geladen werden:
$ ./ omp -- get - r e p o r t 58 f7f696 -5 ec7 -49 f4 -9968 -1 d 3 5 9 9 1 f 8 f 2 e -- &
f o r m a t c1645568 -627 a -11 e3 - a660 - 4 0 6 1 8 6 e a 4 f c 5 > r e p o r t . &
csv
Für eine vollständig automatische Verarbeitung der Daten könnte der Task mit einem
Alert verknüpft werden, der bei einer bestimmten Bedrohungsstufe den Report
automatisch versendet.
13.2.3
Status Codes
Das OMP-Protokoll verwendet Status Codes für die Kommunikation. Diese Status
Codes können auch in der Weboberfläche angezeigt werden.
Abbildung 13.1: Das OMP-Protokoll verwendet Status Codes und Nachrichten für die
Statusübermittlung.
Der Status Code ähnelt den HTTP-Status Codes. Die folgenden Codes werden verwendet:
• 2xx: Das Kommando ist erfolgreich übertragen, verstanden und akzeptiert
worden.
191
13.2. ZUGRIFF MIT OMP
KAPITEL 13. OMP
– 200: OK
– 201: Resource created
– 202: Request submitted
• 4xx: Es liegt ein Benutzerfehler vor.
– 400: Syntax-Fehler
Hierbei kann es sich um verschiedene Syntaxfehler handeln. Meist fehlen Elemente oder Attribute im OMP-Befehl. Der Statustext gibt weitere
Informationen. Aktuell wird dieser Status-Code auch noch bei fehlender
oder falscher Authentifizierung genutzt.
– 401: Authenticate First
Dies ist der Fehlercode, der bei einer fehlenden oder falschen Authentifizierung verwendet wird. Aktuell wird hier aber noch der Wert 400
verwendet.
– 403: Access to resource forbidden
Dies ist der Fehlercode. der bei nicht ausreichenden Rechte genutzt wird.
Häufig wird stattdessen noch ”400 Permission denied” ausgegeben.
– 404: Resource missing
Die Ressource konnte nicht gefunden werden. Die Ressource-ID war leer
oder falsch.
– 409: Resource busy
Diese Fehlermeldung tritt zum Beispiel auf, wenn Sie eine FeedSynchronisation starten, während diese bereits läuft.
• 5xx: Es liegt ein Serverfehler vor.
– 500: Internal Error
Dies können Eingaben sein, die interne Pu ergrößen überschreiten.
– 503: Scanner loading NVTs
– 503: Service temporarily down
Möglicherweise läuft der Scanner-Daemon nicht. Ein häufiges Problem
sind auch abgelaufene Zertifikate. Prüfen Sie die Readiness (siehe Abschnitt 3.6).
– 503: Service unavailable
Der OMP-Befehl ist auf dem GSM gesperrt.
192
K A P I T E L 14
MySettings
Jeder Anwender der GSM Appliance kann seine eigenen Einstellungen für die Weboberfläche verwalten. Diese Einstellungen erhält er, indem er entweder unter Extras den Menüpunkt My Settings aufruft oder seinen Login-Namen oben rechts
anklickt.
Abbildung 14.1: Jeder Benutzer kann seine eigenen Einstellungen verwalten.
Durch Wahl des Knopfes
tige Einstellungen sind:
kann der Benutzer diese Einstellungen verändern. Wich-
• Timezone: Intern speichert die GSM Appliance alle Informationen in der UTCZeitzone. Damit die Daten in der Zeitzone des Benutzers angezeigt werden, ist
hier eine entsprechende Auswahl erforderlich.
• Password: Hier kann ein Benutzer sein Kennwort ändern.
• User Interface Language: Hier wird die Sprache definiert. Die Voreinstellung
nutzt die Spracheinstellung des Browsers. Um immer eine englische oder
deutsche Anzeige zu erhalten, nutzen Sie english oder german.
• Rows Per Page: Dies ist die Zahl der angezeigten Ergebnisse in einer Liste.
193
KAPITEL 14. MYSETTINGS
• Wizard Rows: Dies definiert, wie lange der Wizard angezeigt wird. Wird der
Wert beispielsweise auf 3 gesetzt, so wird auf der Task-Übersicht der Wizard
nicht mehr angezeigt sobald mindestens 4 Tasks vorhanden sind.
• Severity Class: Hier können Sie die Einstufung der Schwachstellen entsprechend ihrem Score definieren.
– NVD Vulnerability Severity Ratings
* 7.0 - 10.0: High
* 4.0 - 6.9: Medium
* 0.0 - 3.9: Low
– BSI Schwachstellenampel
* 7.0 - 10.0: Rot
* 4.0 - 6.9: Gelb
* 0.0 - 3.9: Grün
– OpenVAS klassisch
* 5.1 - 10.0: High
* 2.1 - 5.0: Medium
* 0.0 - 2.0: Low
– PCI-DSS
* 4.3 - 10.0: High
* 0.0 - 4.2: None
• Filter: Hier können für jede Seite spezifische Default-Filter eingestellt werden,
die bei dem Aufruf der Seite automatisch aktiviert werden.
194
K A P I T E L 15
SecInfo Management
Das SecInfo Management bietet einen zentralen Zugri auf verschiedene Informationen zur IT-Sicherheit. Hierzu gehören die folgenden Informationen:
• NVTs
Dies sind die Network Vulnerability Tests. Diese Tests prüfen das Zielsystem
auf mögliche Schwachstellen.
• CVEs
Die Common Vulnerability and Exposures sind die von Herstellern und Sicherheitsforschern verö entlichten Schwachstellen.
• CPEs
Die Common Platform Enumeration stellt eine standardisierte Benennung der
in der Informationstechnologie verwendeten Produkte dar.
• OVAL Definition
Die Open Vulnerability Assessement Language stellt eine standardisierte Sprache für die Prüfung von Schwachstellen bereit. Die OVAL Definitions nutzen
diese Sprache um konkrete Schwachstellen zu erkennen.
• CERT-Bund Advisories
Die CERT-Bund Advisories werden von dem Computer-Notfallteam1 des Bundesamts für Sicherheit in der Informationstechnik (BSI) verö entlicht. Die
maßgebliche Aufgabe des CERT-Bund ist der Betrieb eines Warn- und Informationsdienstes, der Informationen zu neuen Schwachstellen und Sicherheitslücken sowie aktuellen Bedrohungen für IT-Systeme publiziert.
1 https://www.cert-bund.de/
195
15.1. SECINFO PORTAL
KAPITEL 15. SECINFO MANAGEMENT
• DFN-CERT Advisories
Das DFN-CERT2 ist das Computer-Notfallteam des Deutschen Forschungsnetzwerks (DFN).
Die CVEs, CPEs und OVAL-Definitionen werden von dem NIST im Rahmen der National
Vulnerability Database (NVD) bereitgestellt (siehe auch Abschnitt 15.3).
Abbildung 15.1: Das SecInfo Dashboard erlaubt die grafische Aufbereitung der Daten.
Um einen schnellen Überblick über diese Informationen zu erhalten, existiert ein
Secinfo Dashboard (siehe Abbildung 15.1). Dieses erlaubt die grafische Darstellung
der verschiedenen Informationen gruppiert nach unterschiedlichen Aspekten.
15.1
Secinfo Portal
Die SecInfo Daten werden von Greenbone Networks auch online bereitgestellt. Auf
dieses Portal3 können Sie direkt über das Internet zugreifen. Es entspricht den Daten,
2 https://www.cert.dfn.de/
3 https://secinfo.greenbone.net
196
KAPITEL 15. SECINFO MANAGEMENT
15.2. NETWORK VULNERABILITY TESTS
die Sie auch in Ihrer GSM darstellen können. Das SecInfo Portal ist ein GSM ONE
der speziell für einen anynonymen Gast-Zugang konfiguriert ist. Gegenüber einem
vollwertigen GSM sind lediglich das SecInfo Management und der CVSS OnlineRechner für den Gast freigeschaltet.
Das SecInfo Portal von Greenbone erfüllt eine Reihe von Aufgaben:
• Anonymer Zugang zu Details der Greenbone Schwachstellenprüfungen sowie von SCAP-Daten (CVE, CPE, OVAL) und Meldungen verschiedener CERTs.
Die Daten sind in sich referenziert und bieten dadurch die Möglichkeit, durch
die Sicherheits-Information zu einem Produkt, einem Hersteller oder einer
bestimmten Schwachstelle zu "browsen".
• Demo für die jeweils kommende Version von Greenbone OS sobald der SecInfo
Abschnitt den Beta-Status erreicht hat.
• Service für eingebettete Digramme wie es beispielsweise von der Greenbone
Website zur Feed Statistik verwendet wird.
• Service für direkte Verweise zu Details oder speziellen Selektionen wie beispielsweise für eine spezielle CVE (CVE-2014-0160, "Heartbleed") oder eine
Übersicht: Alle 2013 verö entlichten CVE Meldungen.
• Service für Verweise zu CVSS Schwachstellenbewertung inklusive CVSS
Online-Rechner: AV:N/AC:L/Au:N/C:P/I:P/A:P
• Beispiel wie man einen eigenen GSM für ein Intranet konfigurieren kann um
direkte Verweise in internen Berichten und Plattformen zu ermöglichen.
Sie können einen derartigen Zugang auch selbst durch die Aktivierung des GastZugangs (siehe Abschnitt 12.1.4) bereitstellen.
15.2
Network Vulnerability Tests
Die Abkürzung NVT steht für Network Vulnerability Test. Dies sind die Prüfroutinen,
die der GSM verwendet und die über den Greenbone Security Feed regelmäßig aktualisiert werden. Hier finden Sie Informationen, wann die Prüfroutine entwickelt
wurde, welche Systeme betro en sind, welche Auswirkungen die Schwachstelle
haben kann und wie Sie diese beheben.
Die NVTs enthalten im Vergleich zu Greenbone OS 3.0 zwei neue Informationen:
• Solution-Type
Diese Information zeigt mögliche Lösungen für die Behebung der Schwachstelle an. Aktuell werden drei verschiedene Varianten unterschieden:
197
15.2. NETWORK VULNERABILITY TESTS
KAPITEL 15. SECINFO MANAGEMENT
– Vendor-Fix: Der Hersteller stellt einen Patch zur Verfügung.
– Workaround: Es gibt einen Workaround.
– Non-Available: Eine Behebung der Schwachstelle in dem Produkt ist nicht
möglich.
• Quality of Detection
Das Konzept der Quality of Detection (QoD) misst die Verlässlichkeit der erfolgreichen Erkennung der Schwachstelle durch den NVT. Die NVTs erhalten
QoD-Werte von 0% - 100%. Diese QoD-Werte können auch für die Filterung
genutzt werden. Mit der Einführung dieser Werte fällt der Parameter ”Paranoid” in den Scan-Konfigurationen (siehe Abschnitt 10) ersatzlos weg. In der
Vergangenheit hat eine Scan-Konfiguration ohne diesen Parameter nur die
NVTs mit einem QoD von mindestens 70% genutzt. Erst mit diesem Parameter
wurden alle NVTs verwendet. Jetzt werden in einer Scan-Konfiguration immer
alle NVTs angewendet und ausgeführt. Die Filterung der Ergebnisse erfolgt
aber auf Basis des QoD. Dadurch sind immer alle Ergebnisse in der Datenbank
vorhanden und können entsprechend ein- bzw. ausgeblendet werden.
198
KAPITEL 15. SECINFO MANAGEMENT
15.3
15.3. SCAP
Security Content Automation Protocol (SCAP)
Das National Institute of Standards and Technology (NIST) der USA stellt die National Vulnerability Database (NVD)4 bereit. Die NVD ist ein Datenrepository für
das Schwachstellenmanagement der US-Regierung. Ziel ist die standardisierte Bereitstellung der Daten für die automatische Verarbeitung und Unterstützung bei
Aufgaben des Schwachstellenmanagements, der Sicherheitsbewertung und der
Umsetzung von Compliance Richtlinien. Die NVD stellt verschiedenste Datenbanken
bereit. Diese enthalten
• Checklisten,
• Schwachstellen,
• Konfigurationfehler,
• Produkte und
• Bedrohungsmetriken.
Dabei nutzt die NVD das “Security Content Automation Protocol” (SCAP)5 . Das Security Content Automation Protcol ist eine Kombination verschiedener interoperabler
Standards. Dabei wurden viele Standards durch ö entliche Diskussion gewonnen
oder abgeleitet. Die ö entliche Beteiligung der Community in der Weiterentwicklung
ist ein wichtiger Aspekt für die Akzeptanz und die Verbreitung des SCAP-Standards.
Das SCAP-Protokoll ist aktuell in der Version 1.2 spezifiziert und umfasst die folgenden Komponenten:
• Sprachen
– XCCDF: The Extensible Configuration Checklist Description Format
– OVAL: Open Vulnerability and Assessment Language
– OCIL: Open Checklist Interactive Language
– Asset Identification
– ARF: Asset Reporting Format
• Sammlungen
– CCE: Common Configuration Enumeration
– CPE: Common Platform Enumeration
– CVE: Common Vulnerabilities and Exposures
• Metriken
4 https://nvd.nist.gov
5 http://scap.nist.gov/
199
15.3. SCAP
KAPITEL 15. SECINFO MANAGEMENT
– CVSS: Common Vulnerability Scoring System
– CCSS: Common Configuration Scoring System
• Integrität
– TMSAD: Trust Model for Security Automation Data
OVAL, CCE, CPE und CVE sind Warenzeichen des NIST.
Der Greenbone Schwachstellenscanner nutzt den OVAL Standard, CVE, CPE und
CVSS. Durch die Nutzung dieser Standards ist eine Interoperabilität des System mit
anderen Produkten gewährleistet. Diese Standards erlauben auch den Vergleich der
Ergebnisse.
Schwachstellenscanner, wie der Greenbone Security Scanner, können sich auch
entsprechend vom NIST validieren lassen. Der Greenbone Security Manager ist
entsprechend der SCAP Version 1.0 validiert worden6 .
Die vom Greenbone Schwachstellenscanner genutzten Standards werden im Folgenden genauer erläutert.
15.3.1
CVE
Da es in der Vergangenheit häufig mehrere Organisationen gab, die gleichzeitig eine
Schwachstelle erkannt und gemeldet haben und dabei der Schwachstelle unterschiedliche Namen und Kennungen zugewiesen haben, war eine Kommunikation
und ein Vergleich der Ergebnisse nicht einfach. Unterschiedliche Scanner haben
dieselbe Schwachstelle mit unterschiedlichen Namen gemeldet. Tatsächlich handelte es sich aber statt um zwei verschiedene Schwachstellen um ein und dieselbe
Schwachstelle.
Das MITRE7 hat 1999 das CVE Projekt, gesponsert durch das US-CERT, gegründet, um
Abhilfe zu scha en. Jede Schwachstelle erhält eine eindeutige Kennung bestehend
aus der Jahreszahl und einer einfachen Nummer. Diese Nummer dient dann als
zentrale Referenz.
Die CVE Datenbank des Mitre ist keine Schwachstellendatenbank. CVE ist entwickelt
worden, damit Schwachstellendatenbank und andere Systeme untereinander verknüpft werden können. Dies erlaubt den Vergleich von Sicherheitswerkzeugen und
Dienstleistungen. Die CVE Datenbank enthält daher keine Angaben zur Gefährdung,
Auswirkungen oder Behebung der Schwachstelle. Detaillierte technische Informationen sind ebenfalls nicht enthalten. Ein CVE enthält lediglich die Identifizierungsnummer mit Status, eine kurze Beschreibung und Referenzen auf Berichte und
Advisories.
6 http://nvd.nist.gov/scapproducts.cfm
7 Die MITRE (Massachusetts Institute of Technology Research & Engineering) Corporation ist eine Organisation zum Betrieb von Forschungsinstituten im Auftrag der Vereinigten Staaten, die durch Abspaltung
vom Massachusetts Institute of Technology (MIT) entstanden ist.
200
KAPITEL 15. SECINFO MANAGEMENT
15.3. SCAP
Abbildung 15.2: Die CVEs enthalten Informationen über Schweregrad und betro ene
Produkte.
Die National Vulnerability Database (NVD) bezieht die CVE Datenbank vom Mitre und
ergänzt diese um Informationen zur Behebung der Schwachstelle, dem Schweregrad,
betro ene Produkte und möglichen Auswirkungen. Der Greenbone bezieht die CVEDatenbank von der NVD, so dass diese Informationen enthalten sind. Gleichzeitig
verknüpft der GSM die Informationen mit den NVTs und den CERT-Bund und DFNCERT Advisories.
Diese Informationen können komfortabel über die Weboberfläche angezeigt werden.
201
15.3. SCAP
15.3.2
KAPITEL 15. SECINFO MANAGEMENT
CPE
Die Abkürzung CPE steht für Common Platform Enumeration und wurde als Industriestandard für eine einheitliche Namenskonvention informationstechnischer
Systeme, Plattformen und Softwarepakete nach dem Vorbild des CVE ebenfalls
durch das Mitre ins Leben gerufen. Hiermit besteht eine einheitliche Namensgebung
für Betriebssysteme und Applikationen, die eine globale Referenzierung ermöglicht.
Ursprünglich wurde der Common Platform Enumeration Standard (CPE) von dem
MITRE initiiert. Heute wird der CPE Standard jedoch von dem US-amerikanischen National Institute for Standards and Technology (NIST) im Rahmen der National Vulnerability Database (NVD) gepflegt. Das NIST hatte bereits das ozielle CPE-Dictionary
und die CPE Spezifikationen für mehrere Jahre gepflegt. CPE ist ein strukturiertes
Benennungsschema für Applikationen, Betriebssysteme und Hardwaregeräte. Es
basiert auf der generischen Syntax der Uniform Resource Identifier (URI).
Abbildung 15.3: Common Product Enumeration: Name Structure
202
KAPITEL 15. SECINFO MANAGEMENT
15.3. SCAP
Da der CPE-Standard eng mit dem CVE-Standard verknüpft ist, erlauben diese Standards in ihrer Kombination bei Erkennung einer Plattform oder eines Produkts den
Rückschluss auf vorhandene Schwachstellen.
CPE besteht aus den folgenden Komponenten:
• Naming
Die Namensspezifikation beschreibt die logische Struktur der Well-formend
Names (WFNs), ihrer Bindung an URIs und formatierte Zeichenketten und die
Konvertierung der WFNs und ihrer Bindungen.
• Name Matching
Die Name Matching Spezifikation beschreibt die Methoden für den Vergleich
der WFNs untereinander. Dies erlaubt die Prüfung, ob einige oder alle sich auf
das gleiche Produkt beziehen.
• Dictionary
Das Dictionary ist ein Repositorium der CPE Namen und Metadaten. Jeder
Name kennzeichnet eine einzelne Klasse eines IT-Produkts. Die Dictionary
Spezifikation beschreibt die Prozesse für die Verwendung des Dictionaries,
wie die Suche nach einem bestimmten Namen oder der Suche nach Einträgen,
die zu einer allgemeineren Klasse gehören.
• Applicability Language
Die Applicability Language Spezifikation beschreibt die Erzeugung komplexer logischer Ausdrücke mit Hilfe der WFNs. Diese Applicability Statements
können für das Markieren (Tagging) von Checklisten, Richtlinien oder anderer
Dokumente genutzt werden und so beschreiben auf welche Produkte diese
Dokumente anzuwenden sind.
203
15.3. SCAP
15.3.3
KAPITEL 15. SECINFO MANAGEMENT
OVAL
Die ”Open Vulnerability and Assessment Language” ist ebenfalls ein Projekt
des Mitre. Hierbei handelt es sich um eine Sprache, um Schwachstellen (Vulnerability), Konfigurationseinstellungen (Compliance), Patches(Patch) und Programme (Inventory) zu beschreiben. Die in XML gehaltenen Definitionen erlauben eine einfache Verarbeitung durch automatische Systeme. So beschreibt
die OVAL Definition oval:org.mitre.oval:def:22127 aus der InventoryKlasse die Installation des Adobe Flash Player 12 während die Oval-Definition
oval:org.mitre.oval:def:22272 eine Verwundbarkeit des Google Chrome
Browsers unter Windows beschreibt.
Abbildung 15.4: OVAL beschreibt die Erkennung von Schwachstellen
Diese OVAL Definitionen werden in XML bereitgestellt und beschreiben die Erkennung einzelner Systeme und Schwachstellen die oben erwähnte OVAL Definition
22272 hat folgende Struktur:
< d e f i n i t i o n id =" oval : org . m i t r e . oval : def : 2 2 2 7 2 " &
v e r s i o n ="4" c l a s s =" v u l n e r a b i l i t y " >
< metadata >
< title > V u l n e r a b i l i t y in G o o g l e C h r o m e &
b e f o r e 3 2 . 0 . 1 7 0 0 . 7 6 on W i n d o w s &
a l l o w s a t t a c k e r s to t r i g g e r a sync &
with an a r b i t r a r y G o o g l e a c c o u n t &
204
KAPITEL 15. SECINFO MANAGEMENT
15.3. SCAP
by l e v e r a g i n g i m p r o p e r h a n d l i n g of &
the c l o s i n g of an u n t r u s t e d &
s i g n i n c o n f i r m dialog </ title >
< a f f e c t e d f a m i l y =" w i n d o w s " >
< platform > M i c r o s o f t W i n d o w s 2000 </ &
platform >
< platform > M i c r o s o f t W i n d o w s XP </ platform &
>
< platform > M i c r o s o f t W i n d o w s S e r v e r &
2003 </ platform >
< platform > M i c r o s o f t W i n d o w s S e r v e r &
2008 </ platform >
< platform > M i c r o s o f t W i n d o w s S e r v e r 2008 &
R2 </ platform >
< platform > M i c r o s o f t W i n d o w s Vista </ &
platform >
< platform > M i c r o s o f t W i n d o w s 7 </ platform >
< platform > M i c r o s o f t W i n d o w s 8 </ platform >
< platform > M i c r o s o f t W i n d o w s 8.1 </ &
platform >
< platform > M i c r o s o f t W i n d o w s S e r v e r &
2012 </ platform >
< platform > M i c r o s o f t W i n d o w s S e r v e r 2012 &
R2 </ platform >
< product > G o o g l e Chrome </ product >
</ affected >
< r e f e r e n c e s o u r c e =" CVE " r e f _ i d =" CVE &
- 2 0 1 3 - 6 6 4 3 " r e f _ u r l =" http :// cve . &
m i t r e . org / cgi - bin / c v e n a m e . cgi ? &
name = CVE -2013 -6643"/ >
< d e s c r i p t i o n > The O n e C l i c k S i g n i n B u b b l e V i e w &
:: W i n d o w C l o s i n g f u n c t i o n in &
b r o w s e r / ui / v i e w s / sync / &
o n e _ c l i c k _ s i g n i n _ b u b b l e _ v i e w . cc in &
Google Chrome before 32.0.1700.76&
on W i n d o w s and b e f o r e &
3 2 . 0 . 1 7 0 0 . 7 7 on Mac OS X and L i n u x &
a l l o w s a t t a c k e r s to t r i g g e r a &
sync with an a r b i t r a r y G o o g l e &
a c c o u n t by l e v e r a g i n g i m p r o p e r &
h a n d l i n g of the c l o s i n g of an &
u n t r u s t e d s i g n i n c o n f i r m d i a l o g . </ &
description >
< oval_repository >
< dates >
< s u b m i t t e d date ="2014 -02 -03 T12 :56:06" >
205
15.3. SCAP
KAPITEL 15. SECINFO MANAGEMENT
< c o n t r i b u t o r o r g a n i z a t i o n =" ALTX - SOFT &
" > M a r i a K e d o v s k a y a </ &
contributor >
</ submitted >
< s t a t u s _ c h a n g e date ="2014 -02 -04 T12 &
: 2 5 : 4 8 . 7 5 7 - 0 5 : 0 0 " > DRAFT </ &
status_change >
< s t a t u s _ c h a n g e date ="2014 -02 -24 T04 &
: 0 3 : 0 1 . 6 5 2 - 0 5 : 0 0 " > INTERIM </ &
status_change >
< s t a t u s _ c h a n g e date ="2014 -03 -17 T04 &
: 0 0 : 1 7 . 6 1 5 - 0 4 : 0 0 " > ACCEPTED </ &
status_change >
</ dates >
< status > ACCEPTED </ status >
</ o v a l _ r e p o s i t o r y >
</ metadata >
< criteria >
< e x t e n d _ d e f i n i t i o n c o m m e n t =" G o o g l e C h r o m e &
is i n s t a l l e d " d e f i n i t i o n _ r e f =" oval &
: org . m i t r e . oval : def :11914"/ >
< c r i t e r i a o p e r a t o r =" AND " c o m m e n t =" A f f e c t e d &
v e r s i o n s of G o o g l e C h r o m e " >
< c r i t e r i o n c o m m e n t =" C h e c k if the v e r s i o n &
of G o o g l e C h r o m e is g r e a t e r &
than or e q u a l s to
32.0.1651.2" &
t e s t _ r e f =" oval : org . m i t r e . oval : &
tst : 1 0 0 2 7 2 " / >
< c r i t e r i o n c o m m e n t =" C h e c k if the v e r s i o n &
of G o o g l e C h r o m e is less than &
or e q u a l s to
32.0.1700.75" &
t e s t _ r e f =" oval : org . m i t r e . oval : &
tst :99783"/ >
</ criteria >
</ criteria >
</ d e f i n i t i o n >
Diese Informationen werden von der Weboberfläche grafisch aufbereitet und leicht
lesbar dargestellt (siehe Abbildung 15.4).
206
KAPITEL 15. SECINFO MANAGEMENT
15.3.4
15.3. SCAP
CVSS
Ein großes Problem für den normalen Administrator ist die Deutung der Schwachstellen in seiner persönlichen Umgebung. Wie kritisch muss er eine Schwachstelle
einstufen? Um hier den Personen, die sich nicht ununterbrochen mit der Analyse und
Bewertung von Schwachstellen beschäftigen, zu unterstützen, wurde das Common
Vulnerability Scoring System (CVSS) erfunden. CVSS ist ein Industriestandard zur
Beschreibung des Schweregrades von Sicherheitslücken in Computer-Systemen. Im
CVSS werden Sicherheitslücken nach verschiedenen Kriterien bewertet und miteinander verglichen. So kann eine Prioritätenliste für Gegenmaßnahmen erstellt
werden kann.
Der CVSS Score wird regelmäßig weiterentwickelt. Aktuell wird üblicherweise der
CVSS-Score in der Version 2 verwendet. Die Version 3 wird jedoch von der CVSS
Special Interest Group (CVSS-SIG) des Forum of Incident Respons and Security Teams
(FIRST) entwickelt8 .
Abbildung 15.5: Der CVSS Rechner erlaubt angenehm die Berechnung des Scores.
Der CVSS Score in der Version 2 unterstützt Base Score Metrics, Tempora Score
Metrics und Environmental Score Metrics.
Die Base Score Metrics prüfen allgemein die Ausnutzbarkeit einer Schwachstelle
und deren Auswirkung auf das Zielsystem. Hierbei bewerten Sie den Zugang, die
Komplexität und die Erfordernis einer Authentifizierung. Gleichzeitig bewerten sie,
ob die Vertraulichkeit, die Integrität oder Verfügbarkeit bedroht wird.
Die Temporal Score Metrics prüfen, ob bereits fertiger Beispiel-Code existiert, der
Hersteller bereits einen Patch bereitstellt und die Sicherheitslücke bestätigt wurde.
Dieser Score ändert sich daher im Laufe der Zeit sehr stark.
Die Environmental Score Metrics betrachten, ob ein Kolleteralschaden zu befürchten
ist, die Zielverteilung und ob eine Vertraulichkeit, Integrität und Verfügbarkeit erfor8 https://www.first.org/cvss
207
15.3. SCAP
KAPITEL 15. SECINFO MANAGEMENT
derlich ist. Diese Beurteilung ist stark von der Umgebung, in der das verwundbare
Produkt eingesetzt wird, abhängig.
Da lediglich die Base Score Metriken sinnvoll allgemeingültig und dauerhaft bestimmt werden können, stellt der GSM diese im Rahmen der SecInfo-Daten zur
Verfügung.
Hierbei wird folgende Formel verwendet, die auch mit dem CVSS-Rechner des GSMs
berechnet werden kann (E x t r a s-C V S S - C a l c u l a t o r, siehe Abbildung 15.5).
BaseScore = roundTo1Decimal(((0.6 ∗ Impact) + (0.4 ∗ Exploitability) − 1.5) ∗ f (Impact))
(15.1)
Hierbei wird der Impact folgendermaßen berechnet:
Impact = 10.41 ∗ (1 − (1 −Con f Impact) ∗ (1 − IntegImpact) ∗ (1 − AvailImpact)) (15.2)
Die Exploitability wird berechnet als:
Exploitability = 20 ∗ AccessVector ∗ AccessComplexity ∗ Authentication
(15.3)
Die Funktion f(impact) ist 0, wenn der Impact 0 ist. In allen anderen Fällen ist der
Wert 1.176. Die weiteren Werte sind Konstanten:
• AccessVector
– Lokaler Zugri erforderlich: 0.395
– Naher Netzwerkzugang erforderlich: 0.646
– Netzwerkzugang ausreichend: 1.0
• AccessComplexity
– Hohe Zugangkomplexität: 0.35
– Mittlere Zugangkomplexität: 0.61
– Niedrige Zugangskomplexität: 0.71
• Authentication
– Mehrfache Authentifizierung erforderlich: 0.45
– Einmalige Authentifizierung erforderlich: 0.56
– Keine Authentifizierung erforderlich: 0.704
• ConfImpact
– Kein Bruch der Vertraulichkeit: 0.0
– Teilweiser Bruch der Vertraulichkeit: 0.275
– Kompletter Bruch der Vertraulichkeit: 0.660
208
KAPITEL 15. SECINFO MANAGEMENT
15.3. SCAP
• IntegImpact
– Kein Bruch der Integrität: 0.0
– Teilweiser Bruch der Integrität: 0.275
– Kompletter Bruch der Integrität: 0.660
• AvailImpact
– Keine Verletzung der Verfügbarkeit: 0.0
– Teilweise Verletzung der Verfügbarkeit: 0.275
– Komplette Verletzung der Verfügbarkeit: 0.660
209
15.4. DFN-CERT
15.4
KAPITEL 15. SECINFO MANAGEMENT
DFN-CERT
Während die einzelnen NVTs, CVEs, CPEs und OVAL Definitionen in erster Linie zur
Verarbeitung durch Computersysteme erzeugt werden, verö entlicht das DFN-CERT,
wie viele andere Computer Emergency Report Teams (CERTs) weltweit, regelmäßig
neue Warnungen (Advisories). Das DFN-CERT ist verantwortlich für mehrere Hundert Universitäten und Forschungseinrichtungen, die am deutschen Forschungsnetz
(DFN) angeschlossen sind. Ein Advisory beschreibt besonders kritische Sicherheitslücken, die eine schnelle Reaktion verlangen. Auch diese werden von dem GSM
bezogen und in der internen Datenbank zur Referenzierung gespeichert. Sie können
diese aber auch direkt anzeigen.
15.5
CERT-Bund
CERT-Bund bietet einen Warn- und Informationsdienst (WID) an. Dieser Dienst stellt
aktuell zwei verschiedene Arten von Informationen zur Verfügung (Zitat von der
Webseite https://www.cert-bund.de):
• Advisories
Dieses Informationsangebot steht derzeit nur Bundesbehörden als geschlossene Liste zur Verfügung! In den Advisories sind aktuelle Informationen zu
sicherheitskritischen Vorfällen in Computersystemen und Maßnahmen zur
Behebung von Sicherheitslücken in ausführlicher Form beschrieben.
• Kurzinformationen
Kurzinformationen zeichnen sich dadurch aus, dass aktuelle Informationen
zu Sicherheitslücken und Schwachstellen in IT-Systemen kurz und knapp beschrieben werden. Beachten Sie bitte, dass die Informationen teilweise nicht
verifiziert sind und daher unter Umständen unvollständig oder auch fehlerhaft
sein können.
Der Greenbone Security Feed enthält die CERT-Bund Kurzinformationen. Diese können auch an dem K in der Meldung erkannt werden (CB-K14/1296).
210
K A P I T E L 16
Asset Management
Alle Ergebnisse sämtlicher Scans kann der GSM im Asset-Management speichern.
Bei der Definition eines Tasks können Sie entscheiden, ob die Ergebnisse des Scans
in das Asset Management aufgenommen werden sollen (siehe Abschnitt 6.1.3.2).
In der Übersicht sehen Sie zunächst alle in der Asset Datenbank gespeicherten
Systeme.
Abbildung 16.1: Die Asset-Datenbank zeigt die gespeicherten Systeme.
Hier sehen Sie, wieviele Sicherheitslücken aktuell auf dem System gefunden wurden.
Außerdem zeigt die Übersicht das Betriebssystem mit einem Logo (Spalte OS) und
die erkannten Ports und Applikationen an. Außerdem wird angezeigt, wie ein Scan
des Systems in diesem Moment wahrscheinlich ausfallen würde (Spalte Prognosis,
siehe auch Abschnitt 16.1). Über das können Sie auch jetzt einen prognostischen
Bericht erzeugen lassen. Über das Asset Management haben Sie immer auch Zugri
auf den letzten Report des Hosts. Sie sehen das Datum des Reports und können
211
16.1. PROGNOSE
KAPITEL 16. ASSET MANAGEMENT
diesen direkt durch Anklicken des Links aufrufen. Wenn mehrere Berichte existieren,
können Sie in den Host-Details auch auf ältere Reports zugreifen.
Durch Anklicken der Host-IP-Adresse erhalten Sie die Host Details. Hier sehen Sie
die Anzahl der gefundenen Schwachstellen, das erkannte Betriebssystem, die vorgefundenen Ports und die Anzahl der erkannten Applikationen auf dem Zielsystem.
Die Host-Details enthalten weitere Informationen über den Rechner:
• Hardware
Hier speichert der GSM Informationen über die Hardware. Wenn bekannt, ist
hier zum Beispiel die MAC-Adresse aufgeführt. Diese kann aber nur angezeigt
werden, wenn sich das Zielsystem in demselben LAN wie der GSM befindet.
• Detected Applications
Besonders interessant sind die erkannten Applikationen. Hiermit kann der
Greenbone Security Manager ohne einen erneuten Scan basierend auf den Informationen seiner SecInfo-Datenbank eine Prognose abgeben, ob er weitere
Sicherheitslücken finden würde. Dies ist insbesondere bei Systemen interessant, die aktuell über keine Schwachstellen verfügen und für die Sie nicht
regelmäßig neue Scans durchführen wollen.
16.1
Prognose
Die Prognose erlaubt, ohne einen erneuten Scan, basierend auf den aktuellsten
Informationen zu bekannten Sicherheitslücken aus dem S e c I n f o M a n a ge m e n t
(SCAP, Security Content Automation Protocol) Angaben über mögliche Sicherheitslücken zu machen (siehe auch Abschnitt 15). Dies ist insbesondere interessant in
einer Umgebung in der Sie mit Hilfe des GSM die meisten Schwachstellen entfernt
und behoben haben. Natürlich werden täglich neue Schwachstellen bekannt. Nicht
jede Schwachstelle rechtfertigt aber einen neuen Scan des Netzes oder einzelner Rechner. Da aber der GSM diese Informationen erhält, kann er, das Wissen um
die installierten Applikationen zugrundelegend, prognostizieren, welche Sicherheitslücken vorhanden sind. Werden Sicherheitslücken bekannt, ist die tatsächliche
Durchführung eines Scan gerechtfertigt, um diese Prognose zu überprüfen. Hierzu
benötigt die Asset-Datenbank natürlich aktuelle Daten. Ein Scan der Systeme sollte
daher in regelmäßigen wöchentlichen oder monatlichen Abständen erfolgen.
Sie können auch einen prognostischen Scan durchführen lassen. Dieser ermittelt
dann die wahrscheinlich vorhandenen Schwachstellen.
212
K A P I T E L 17
Performanz
Beim Einsatz des Greenbone Security Managers können zum einen erhebliche Datenmengen von den Zielsystemen ermittelt werden. Zum anderen werden auch die
vorliegende Scan-Ergebnisse auf dem GSM analysiert, gefiltert oder aufbereitet. Auf
größeren GSM Modellen findet das auch in der Regel gleichzeitig und durch viele
Anwender oder Automatismen statt.
Dieses Kapitel widment sich diversen Fragen der Performanz und zeigt Möglichkeiten zur Optimierung auf.
17.1
Scan Performanz
Die Geschwindigkeit eines Scans ist von vielen Parametern abhängig. Dieser Abschnitt weist auf die wichtigsten Einstellungen hin und gibt einige Empfehlungen.
17.1.1
Wahl der Port-Liste für einen Scan
Welche Port-Liste für ein Ziel und damit für die Aufgabe und die Scans konfiguriert
wird hat eine weitreichende Bedeutung, zum einen für die Erkennungsleistung und
zum anderen bzgl. Scan-Dauer.
Zwischen diesen beiden Aspekten gilt es bei der Planung der Schwachstellenprüfungen abzuwägen.
213
17.1. SCAN PERFORMANZ
17.1.1.1
KAPITEL 17. PERFORMANZ
Über Ports
Ports sind die Verbindungspunkte einer Netzwerkkommunikation, wobei sich jeweils
der Port des einen Rechners mit einem Port auf einem anderen Rechner verbindet.
Jeder Rechner verfügt über 65535 TCP-Ports und 65535 UDP-Ports. Streng genommen gibt es einen mehr, nämlich den speziellen Port 0. Bei Verbindungen zwischen
TCP-Ports findet eine Datenübertragung in beide Richtungen statt, bei UDP nur in
eine Richtung. Da bei UDP empfangene Daten nicht unbedingt bestätigt werden,
sind die Prüfungen für UDP-Ports in der Regel langsamer.
Hervorzuheben sind die Ports 0 bis 1023 die als sogenannte privilegierte oder
System-Ports gelten und üblicherweise nicht durch Anwender-Programme geö net
werden können.
Bei der IANA (Internet Assigned Numbers Authority) können für Standard-Protokolle
Ports reserviert werden die dann mit einem Protokollnamen versehen sind wie
beispielsweise Port 80 für „http” oder Port 443 für „https”. Bei IANA sind über 5000
Ports registriert. Es ist jedoch einer Software durchaus möglich einen dieser Ports
für beliebige andere Zwecke zu verwenden, sofern er auf dem jeweiligen System
noch nicht verwendet wird.
Aus Analysen, bei denen sämtliche Ports sämtlicher Internet-zugängiger Rechner
geprüft wurden, sind Listen für die am häufigsten verwendeten Ports entstanden. Diese spiegeln nicht unbedingt die IANA-Liste wieder, denn es existiert keine
Verpflichtung dort einen Dienst-Typ für einen bestimmten Port zu registrieren.
Typischerweise sind bei Desktop-Rechnern weniger Ports o en als bei Servern.
Aktive Netzwerk-Komponenten wie Router, Drucker und IP-Telefone haben in der
Regel nur einige wenige Ports o en, nämlich nur die, die für ihre eigentliche Aufgabe
und für deren Wartung erforderlich sind.
17.1.1.2
Welche Port-Liste für welche Scan-Aufgabe
Die Wahl der Port-Liste ist immer eine Abwägung zwischen Erkennungsleistung und
Scan-Dauer.
Die Dauer des Port-Scans wird vor allem durch die Anzahl der zu prüfenden Ports
und durch Netzwerk-Konfigurationen bestimmt. So kann es beispielsweise ab einer bestimmten Anzahl geprüfter Ports zu einer Ausbremsung seitens NetzwerkElementen oder seitens des geprüften Systems kommen.
Bei der Erkennungsleistung ist es o ensichtlich, dass Dienste, die an nicht in der
Liste enthalten Ports gebunden sind, auch nicht auf Schwachstellen geprüft werden.
Ebenso werden auch Schadprogramme die sich an solche Ports gebunden haben natürlich nicht erkannt. Zumeist ö nen die Schadprogramme Ports die üblicherweise
nicht verwendet werden und weit jenseits der System-Ports liegen.
214
KAPITEL 17. PERFORMANZ
17.1. SCAN PERFORMANZ
Ein weiteres Kriterium sind Abwehreinrichtungen, die bei bestimmten, zumeist umfangreichen, Port-Prüfungen aktiviert werden und Gegenmaßnahmen oder einen
Alarm einleiten. Schon bei normalen Port-Scans könnten Firewalls vortäuschen,
dass alle 65535 Ports aktiv sind und verlangsamen so den eigentlichen Scan dieser
Ports die dann ins Leere laufen, also in sogenannte Timeouts".
Zu beachten ist auch, dass bei jedem Port, der angefragt wird, der Dienst dahinter
mindestens mit einem Log-Eintrag reagiert. Einige Dienste sollen möglicherweise
aus organisatorischen Gründen nicht oder nur zu vereinbarten Zeiten angesprochen
werden.
Die folgende Tabelle gibt Anhaltspunkte welche Port-Listen für welche Aufgabenstellung sinnvoll sein könnten.
Aufgabe/Fragestellung
Anfangsverdacht,
Penetrationstest,
Hochsicherheit,
Erst-Scan unbekannter
Systeme in geringer Zahl
Hintergrundprüfung einer Umgebung
mit bekannter bzw. definierter Umgebung (Server) in großer Zahl oder in hoher Frequenz
Erst-Scan unbekannter Systeme in
großer Zahl oder in hoher Frequenz
Port-Liste
- All TCP und All UDP
- Spezifische Liste für die bekannten
Dienste
- All IANA TCP
- All IANA TCP
- Nmap Top 1000 TCP und Top 100 UDP
Die letztendliche Abwägung muss durch den Verantwortlichen für die Scans erfolgen.
Es sollte mindestens eine Dokumentation der Ziele bzw. Fragestellungen der Scans
hierbei erfolgen, um die Wahl der Port-Liste zu begründen.
Auf der einen Seite kann “auf Nummer sicher gehen”, also immer sämtliche Ports
scannen, zur Nicht-Erfüllung der eigentlichen Aufgabe führen weil schlichtweg nicht
alle Systeme in der verfügbaren Zeit geprüft werden können oder aber weil eine
Störung im Betriebsablauf erzeugt wird.
Auf der anderen Seite kann “superschnell”, also einfach nur alle privilegierten TCPPorts, für unbekannte Systeme mit hohem Sicherheitsbedarf als ungeeignet erscheinen wenn später ein Schadensfall durch eine eigentlich leicht aundbare
Schwachstelle festgestellt wird. Beispiele dafür sind Datenbankdienste.
Zu beachten ist auch, dass einige Systeme keine feste Port-Zuordnung verwenden
sondern diese sogar im laufenden Betrieb ständig ändern. Das erschwert natürlich
das Port-Profiling für eine spezifische Port-Liste.
17.1.1.3
Scan-Dauer
Sämtliche TCP- und UDP-Ports zu prüfen kann in Situationen mit Scan-Ausbremsung
durchaus 24 Stunden und mehr für einen einzelnen Rechner bedeuten. Da die Scans
215
17.1. SCAN PERFORMANZ
KAPITEL 17. PERFORMANZ
parallel ausgeführt werden, dauern zwei Rechner natürlich nur unwesentlich länger
als ein einzelner Rechner. Jedoch hat die Parallelisierung auf Grund der SystemRessourcen bzw. Netzwerk-Leistung auch ihre Grenzen.
Sämtliche IANA TCP-Ports hingegen benötigen in der Regel nicht mehr als wenige
Minuten.
Da einige Abwehrmechanismen die Scan-Dauer erhöhen können, besteht auch die
Möglichkeit, auf der Seite der Abwehrsystem durch Konfigurationsanpassung eine
Ausbremsung zu verhindern.
Insgesamt lernt man letztlich die zu scannenden Netzbereiche und wie diese auf die
Scans reagieren mit der Zeit kennen, und man kann seine Routineaufgaben darauf
hin optimieren.
Bei Verdachtsfällen einer Kompromittierung oder höchsten Sicherheitsansprüchen
bleibt ein vollumfänglicher Scan natürlich unerlässlich.
17.1.1.4
Totale Sicherheit
Auch bei den Port-Scans gilt natürlich der Grundsatz, dass es keine totale Sicherheit
gibt. Dies bedeutet, auch wenn „All TCP und All UDP” verwendet wurde, so kann der
voreingestellte Timeout der Port-Prüfung zu kurz sein um ein sich versteckendes
Schad-Programme zu einer Antwort zu verleiten.
Oder es kommt gerade durch die große Anzahl Ports zur Abwehr durch die Infrastruktur. Weniger kann also sogar gelegentlich mehr bedeuten.
Liegt ein Anfangsverdacht vor, so sollten auf einen erfahrenen Penetrationstester zurückgegri en werden, der die eigentlichen Scan-Tools mit Erfahrung und
berufsbedingtem Gespür ergänzt sowie die Fein-Parametrisierung für die Scans
beherrscht.
17.1.2
Scan-Konfiguration
Auch die Scan-Konfiguration hat eine Auswirkung auf die Dauer des Scans. Der GSM
bietet für den Schwachstellenscan vier verschiedene Scan-Konfiguarationen:
• Full and fast
• Full and fast ultimate
• Full and very deep
• Full and very deep ultimate
216
KAPITEL 17. PERFORMANZ
17.2. BACKEND PERFORMANZ
Die beiden Scan-Konfigurationen ”Full and fast” und ”Full and fast ultimate” optimieren ihren Ablauf mit Hilfe der bereits gewonnenen Informationen. Dadurch können
viele NVTs optimiert werden und müssen im Zweifelsfall nicht geprüft werden. Die
beiden anderen Scan-Konfigurationen ignorieren die bereits gewonnenen Informationen und führen daher alle NVTs aus. Hierzu gehören auch diejenigen NVTs, die
auf Grund vorher gewonnener Informationen nicht sinnvoll sind.
17.1.3
Tasks
Bei dem Ablauf des Scans wird ein Fortschrittsbalken erzeugt. Dieser Fortschrittsbalken soll den prozentualen Ablauf des Scans wiederspiegeln. In den meisten Fällen
handelt es sich hierbei nur um eine grobe Schätzung denn wie sich die noch nicht
gescannten Systeme oder Dienste im Vergleich zu den bisher gescannten Systemen
und Diensten verhalten ist für dem GSM schwer vorhersagbar.
Dies kann an einem Beispiel am besten verstanden werden. Gegeben sei ein Netz
192.168.0.0/24 mit 5 Hosts: 192.168.0.250-254. Sie konfigurieren einen Scan dieses
Netzes. Der Scan erfolgt sequentiell. Da zu Beginn des Netzes die IP-Adressen
nicht genutzt werden, läuft der Scan sehr schnell und erreicht 95%. Dann jedoch
werden Systeme erkannt, die über viele Dienste verfügen. Der Scan ist entsprechend
langsamer, da alle diese Dienste geprüft werden müssen. Der Fortschrittsbalken
macht nun nur noch geringe Sprünge. Um dieses Verhalten anzupassen, kann im
Scanner-Dialog die ”Order for target hosts” angepasst werden. Sinnvoll ist hier die
Einstellung ”Random”.
17.2
Backend Performanz
Das Webinterface greift mit Hilfe des OMP-Protokolls auf den GSM zu. Einige Operationen benötigen hier mehr Zeit als andere. Um eine Analyse und Untersuchung
der Geschwindigkeit des OMP-Backends zu ermöglichen, zeigt jede Webseite die
von ihr benötigte Zeit zur Aufbereitung der Daten unten auf der Webseite an.
Abbildung 17.1: Die Verarbeitungszeiten des Backends werden angezeigt.
217
17.3. APPLIANCE PERFORMANZ
17.3
KAPITEL 17. PERFORMANZ
Appliance Performanz
Die Gesamt-Performanz des GSM kann durch die integrierte Überwachung kontrolliert werden. Unter Extras stellt der GSM eine eigene Performance-Überwachung
zur Verfügung. Hier kann die Ressourcennutzung der GSM für die letzte Stunde, Tag,
Woche, Monat und Jahr angezeigt werden. Dabei kann der Bericht auch für einen
Slave angezeigt werden.
Abbildung 17.2: Die Ressourcennutzung kann in der Weboberfläche angezeigt werden.
Hierbei sind die folgenden Punkte wichtig:
• Prozesse - Eine hohe Zahl Prozesse ist nicht kritisch. Es sollten jedoch in erster
Regel nur schlafende (Sleeping) und laufende (Running) Prozesse angezeigt
werden.
• System Load - Eine dauerhaft hohe Last ist kritisch. Dabei gilt eine Last von 4
auf einem System mit 4 Kernen als OK.
• CPU Usage - Hier ist besonders ein hoher Wait-IO kritisch.
• Memory Usage - Der GSM nutzt aggressives Caching. Die Nutzung des größten
Teils des Arbeitsspeichers als Cache ist in Ordnung.
• Swap - Eine Nutzung des Swap-Speichers zeigt auf eine potentielle Überlastung des Systems hin.
218
K A P I T E L 18
Master und Slave Setups
Der Greenbone Security Manager erlaubt den Aufbau von verteilten Scan-Systemen.
Hierbei ist es möglich, dass ein GSM einen anderen GSM zum Zwecke eines Scans
fernsteuert.
Dabei wird der steuernde GSM als Master und der gesteuerte GSM als Slave bezeichnet. Sobald zwei GSM als Master und Slave konfiguriert wurden, kann ein Anwender
einen Scan für den Scan-Slave in der Weboberfläche des Scan-Master je nach Bedarf und Berechtigung individuell konfigurieren. Jeder GSM ab der Midrange-Klasse
aufwärts kann als Scan-Master genutzt werden und einen oder mehr Scan-Slaves
steuern. Jeder GSM kann als Scan-Slave arbeiten.
Die Scan-Slaves sind eigenständige GSM. Daher muss der Administrator die FeedUpdates und Release-Updates auch auf den Slaves lokal konfigurieren und deren
Ausführung sicherstellen. Ein Scan-Slave verfügt weiterhin über eine eigene grafische Oberfläche und eigene Verwaltung. Er kann daher auch lokal komplett eigenständig genutzt werden, obwohl einige Scans von einem Scan-Master ausgeführt
werden.
Zusätzlich kann der Slave als Sensor konfiguriert werden. Ein Scan-Sensor ist ein
GSM der ausschließlich für die Funktion als Scan-Slave gedacht ist und außerdem
vollständig durch einen zugeordneten Master verwaltet wird. Diese Verwaltung
beinhaltet sowohl die automatische Aktualisierung des Feeds als auch automatische Release-Updates. Ein Sensor benötigt keinerlei Netzwerk-Verbindungen außer
zu seinem Sensor-Master und nach der Ersteinrichtung keinerlei administrative
Tätigkeiten.
Scan-Sensoren wie -Slaves können in einem Scan-Master integriert werden, um
auch die Netzwerk-Segmente auf Schwachstellen zu prüfen, die auf anderen Wegen
nicht erreichbar sind.
219
18.1. ANBINDUNG EINES SLAVES
KAPITEL 18. MASTER UND SLAVE SETUPS
Abbildung 18.1: Aufrufen eines Tasks auf dem Slave
Grundsätzlich baut der Master die Verbindung zu den abgesetzten Scan-Slaves auf.
Die Verbindung erfolgt dabei über das OpenVAS Management Protocol (OMP), das
TCP Port 9390 benutzt. Für die Feed- und Release-Updates auf einem Scan-Sensor
ist zusätzlich der Port 22/tcp (SSH) nötig.
18.1
Anbindung eines Slaves
Wie bei jedem anderen GSM auch erfolgt die Grundkonfiguration des Scan Slaves
über die serielle Schnittstelle. Neben den Netzwerkeinstellungen und dem Administrator Zugang sind zwei zusätzliche Grundparameter für die Nutzung als Slave
erforderlich:
• Setzen eines Scan-Administrators auf dem Slave, mit dem der Master den
Scan-Slave steuern kann. Dieser wird auf dem Slave im GOS-Admin-Menü
unter U s e r und dann A d d We b A d m i n gesetzt.
• Aktivieren des Remote OMP Features. Dies kann in dem GOS-Admin-Menü
unter Re m o t e und O M P gesetzt werden. Alternativ kann es direkt auf der
Kommandozeile mit der Variable public_omp gesetzt werden:
220
KAPITEL 18. MASTER UND SLAVE SETUPS
18.2. SENSOR
set public_omp enabled
Beachten Sie: Das Aktivieren des Remote OMP Features erfordert einen Reboot des
Scan Slaves.
Auf dem Master kann anschließend der Slave eingerichtet werden und ein Task auf
den Slave übertragen werden:
18.2
Sensor
Häufig ist aus Sicherheitsgründen das Scannen eines Netzwerksegments nicht
direkt möglich. Meist ist dann auch der direkte Zugri aus diesem Segment auf das
Internet unerwünscht. Damit ein Scan Sensor auch in diesen Fällen über aktuelle
NVTs verfügt, ist es möglich, den Greenbone Security Feed vom Master auf den
Scan Sensor zu übertragen und so eine Feed-Synchronisation mit dem Sensor zu
ermöglichen. Dies erfolgt nach der Einrichtung automatisch. Sobald der Master sich
mit dem Feed Server synchronisiert hat, überträgt er die Informationen auch auf
den Sensor.
Hierzu nutzt der Master das SSH-Protokoll. Die folgenden Schritte erlauben dem
Master die passwortlose Anmeldung auf dem Sensor via SSH für die Übertragung
dieser Informationen.
Abbildung 18.2: Aktivieren des SSH-Zugangs
Zunächst muss der ö entliche SSH-Key des Masters (Masterkey) auf den Sensor
übertragen werden. Dann kann der Master automatisch die SSH-Verbindung zum
Sensor aufbauen.
Hierzu zeigen Sie auf dem Master der Schlüssel an. Dafür verwenden Sie das Kommando show masterkey. Den angezeigten Schlüssel kopieren Sie in die Zwischenablage.
gsm - master > show masterkey
ssh - dss A A A A B 3 .... r o o t @ g s m
221
18.2. SENSOR
KAPITEL 18. MASTER UND SLAVE SETUPS
Anschließend verbinden Sie sich auf den Sensor und geben hier auf der Kommandozeile das Kommando masterkeydownload ein. Dann kopieren Sie den Schlüssel
aus der Zwischenablage auf die Kommandozeile und schließen die Eingabe mit
Strg-D ab.
gsm - sensor > masterkeydownload
P l e a s e p a s t e the m a s t e r key into the CLI , END with &
CTRL - D
ssh-dss AAAAB3 .... root@gsm
gsm - sensor > show masterkey
ssh - dss A A A A B 3 .... r o o t @ g s m
Eine anschließende Kontrolle des Schlüssels ist speziell bei der Nutzung eines
USB/Seriell-Adapters ratsam. Viele derartige Adapter übertragen einzelne Zeichen
fehlerhaft.
Zusätzlich muss der Administrator auf dem Sensor den SSH-Zugangs aktivieren.
Dies kann entweder über die Variable ssh oder über das GOS-Admin-Menü erfolgen.
Abbildung 18.3: Der Feed des Sensors wird vom Master übertragen
Damit der Sensor nicht mehr versucht den Feed direkt zu beziehen, muss diese
Funktion deaktiviert werden. Diese Einstellung findet der Administrator im GOSAdmin-Menü Feed unter Automatic Sync. Zusätzlich müssen der Administrator
in diesem Menü die Aktualisierung des Feeds durch den Master aktivieren (Fe e d
f ro m M a s t e r). Zum Abschluss müssen diese Einstellungen durch ein C o m m i t
bestätigt werden.
Da der Master die Verbindungen zu den Sensoren aufbaut, müssen die Sensoren
noch in die Verwaltung des Masters aufgenommen werden. Diese Funktion finden
Sie auf dem Master im GOS-Admin-Menü unter S e n s o r s. Aktivieren Sie hier die
Funktion A u t o m a t i c S e n s o r Sy n c. Anschließend fügen Sie die IP-Adresse des
Sensors zur Sensorliste (Sensors) hinzu. Hierbei handelt es sich um eine Liste von
IP-Adressen, die mit Leerzeichen separiert wurden.
Mit dem Sensor-Check kann die Erreichbarkeit der Sensoren geprüft werden.
222
KAPITEL 18. MASTER UND SLAVE SETUPS
18.2. SENSOR
Abbildung 18.4: Eintragen der Sensoren auf dem Master
Abbildung 18.5: Bei dem Sensorcheck prüft der GSM die Erreichbarkeit.
18.2.1
Kommunikation der Sensoren
Die Slaves/Sensoren kommunzieren über zwei Protokolle: OMP (Slaves und Sensoren) und SSH (nur Sensor). Diese Protokolle müssen durch die möglicherweise
vorhandenen Firewall-Systeme zugelassen werden. Dabei baut immer der Master
die Verbindung zum Slave/Sensor auf.
Das Feed Update der abgesetzten Scan Sensoren erfolgt wahlweise entweder direkt von den Greenbone Update Servern oder über den Master. Für Updates vom
Master zum Scan Sensor wird SSH (TCP Port 22) benutzt. Wenn dieses Feature nicht
benutzt wird, ist darauf zu achten, dass eine gegebenenfalls zwischen Master und
Scan Sensor platzierte Firewall die Verbindungen nicht ohne Rückmeldung blockiert
(Einstellung Drop oder Deny). Statt dessen sollte der Verbindungsaufbau zugelassen (Accept oder Permit) oder mit Rückmeldung verhindert (Reject) werden, da der
Master immer versucht, die Feed Updates auf den Scan Sensor zu übertragen.
223
18.2. SENSOR
KAPITEL 18. MASTER UND SLAVE SETUPS
224
K A P I T E L 19
Kopplung/Integration mit weiteren Systemen
Die Greenbone GSM Appliance kann mit weiteren Systemen gekoppelt werden. Dieses Kapitel zeigt die hierzu möglichen Wege auf. Einige Systeme sind auch durch
Greenbone Networks bereits in den GSM integriert worden. Hierzu zählen das Verinice ITSM System, die Sourcefire IPS Defense Center und das Nagios Monitoring
System. Die folgenden Abschnitte weisen Sie in diese Möglichkeiten ein und geben
Hinweise für die Konfiguration.
19.1
Integration von Drittherstellern
Die GSM verfügt über eine Vielzahl von Schnittstellen, die eine Kommunikation mit
Produkten von Drittherstellern ermöglichen. Dieser Abschnitt zeigt die Möglichkeiten für eine Integration und Kopplung mit anderen Systemen auf.
Die GSM bietet hierzu die folgenden Schnittstellen:
• OpenVAS Management Protokoll (OMP)
Das OpenVAS Management Protokoll erlaubt die komplette Fernsteuerung
der GSM Appliance. Das Protokoll unterstützt das Anlegen von Benutzern,
Erzeugen und Starten von Scan-Tasks, Beziehen von Reports, etc.
• Anbindung weiterer Scanner über OSP
Das OpenVAS Scanner Protokoll (OSP) ist eine einheitliche Schnittstelle für
unterschiedliche Schwachstellenscanner. Über diese Schnittstelle kann der
225
19.1. INTEGRATION VON DRITTHERSTELLERN
KAPITEL 19. KOPPLUNG
GSM diese steuern und in den Scanprozess aufnehmen. Ihre Ergebnisse können
in den Bericht importiert werden (siehe Abschnitt 19.1.1).
• Report Format
Die GSM kann die Scan-Ergebnisse in einem beliebigen Format präsentieren.
Dazu bringt die GSM bereits eine Reihe vorinstallierter Report Formats mit.
Weitere Report-Formats können von Greenbone bezogen oder in Zusammenarbeit mit Greenbone erstellt werden. Eine digitale Signatur des Plugins seitens
Greenbone ist notwendig um es auf dem GSM ausführen zu können.
• Alerts via Syslog, E-Mail, SNMP-Trap oder HTTP
• Automatische Ergebnisweiterleitung über Konnektoren
Diese Konnektoren werden von Greenbone erstellt, geprüft und auf dem GSM
integriert.
• Überwachung via SNMP
Auf der Webseite http://www.greenbone.net/technology/snmp.de.
html stellt Greenbone die aktuelle MIB-Datei (Management Information Base) bereit. MIB-Dateien beschreiben die Daten die über SNMP über das Gerät
abgefragt werden können.
19.1.1
OSP Scanner
Das OpenVAS Scanner Protokoll ähnelt dem OpenVAS Management Protokoll (OMP,
siehe Abschnitt 13). Es ist XML-basiert, zustandlos und benötigt keine dauerhafte
Verbindung für die Kommunikation. Das Design erlaubt die Einbindung zusätzlicher
Scanner mit einem Wrapper. Dieser Wrapper ist der OSPD. Den OSPD können Sie
von https://svn.wald.intevation.org/svn/openvas/trunk/ospd/ beziehen. Dieser stellt die notwendigen Python-Klassen für die Kommunikation via OSP
zur Verfügung. Basierend auf dieser API können dann eigene Scanner hinzugefügt
werden.
Beispiele, wie diese Integration alternativer Scanner aussehen kann, finden Sie unter https://svn.wald.intevation.org/svn/openvas/trunk/
osp-servers/. Hier befinden sich die Wrapper für w3af, ovaldi (OVAL Interpreter)
und ancor1 .
1 ANCOR ist ein Analyse und Korrelationswerkzeug (www.secpod.com/tech.html).
226
KAPITEL 19. KOPPLUNG
19.2
19.2. VERINICE
Verinice
Verinice ist ein freies OpenSource Information Security Management System (ISMS).
Verinice eignet sich:
• zur Umsetzung der BSI IT-Grundschutz Kataloge
• zum Durchführen einer Risikoanalyse nach ISO 27005
• für den Betrieb eines ISMS nach ISO 27001
• für das Durchführen eines IS-Assessments nach VDA Vorgaben
• für den Nachweis von Compliance mit Standards wie ISO 27002, IDW PS 330
Der Greenbone Security Manager kann sowohl bei der Modellierung und Umsetzung
von BSI IT-Grundschutz als auch bei dem Betrieb eines ISMS unterstützen.
Hierzu stellt Greenbone für den Export der Daten aus dem GSM in verinice zwei
Report-Plugins zur Verfügung:
• “Verinice-ISM” mit sämtlichen Scan-Ergebnissen
• “Verinice-ITG” mit Scan-Ergebnissen eines BSI IT-Grundschutz Scans
Es besteht die Möglichkeit der vollautomatischen Übertragung der Daten vom
Greenbone Security Manager an verinice.PRO, der Server-Erweiterung von verinice.
Im Folgenden betrachten wir den manuellen Import der Berichte aus dem GSM in die
freie verinice Version. Für Unterstützung bei der Anwendung des Connector wenden
Sie sich bitte an SerNET oder Greenbone.
19.2.1
IT Security Management
Das Report-Plugin für verinice ist vorkonfiguriert im GSM verfügbar als “VeriniceISM”.
Mit diesem Report-Plugin unterstützt Greenbone Sie bei der Schwachstellenverfolgung in Verinice.
Hierbei spielen die Notizen (Notes-Objekte, siehe Kapitel 6.5) der Scan-Ergebnisse
für das “Verinice-ISM” Plugin eine zentrale Rolle. Über die Notizen werden in verinice Objekte zu Schwachstellen für die Bearbeitung angelegt. Gibt es zu einem
Scan-Task keine Notizen, so werden lediglich die Assets übernommen sowie der
227
19.2. VERINICE
KAPITEL 19. KOPPLUNG
Gesamt-Schwachstellen-Bericht. Ausschließlich solche Schwachstellen die mit einer Notiz versehen sind werden in verinice auch als Schwachstelle übernommen.
Damit können Sie den Import feingranular steuern.
Anschließend müssen Sie Ihren Bericht als ”Verinice ISM”-Report speichern. Sie
erhalten eine .vna Datei. Hierbei handelt es sich um ein ZIP-Archiv mit den Daten
des GSM-Scans.
Starten Sie für den Import Verinice. Ö nen Sie ein Verinice die ISM Perspektive.
Importieren Sie den Katalog ”Implementierungshilfe für ISO27001”. Erzeugen Sie
Ihre Organisation. Anschließend sieht Ihre Arbeitsfläche ähnlich wie in Abbildung
19.1 aus.
Abbildung 19.1: Verinice bietet eine ISM Perspektive.
19.2.1.1
Import des ISM-Scans
Wählen Sie in der verinice Oberfläche die Import-Funktion im Informationssicherheitsmodell aus.
Wählen Sie nun Ihren ISM-Report aus. Die restlichen Parameter können auf ihren
Default-Einstellungen verbleiben.
228
KAPITEL 19. KOPPLUNG
19.2. VERINICE
Abbildung 19.2: Der Import-Button befindet sich im Fenster Informationssicherheitsmodell.
Abbildung 19.3: Wählen Sie im Dialog Ihren Report aus.
Die Ergebnisse des ISM-Reports wurden importiert und können in den Verinice
ausgeklappt werden. Dabei wurden nur die Ergebnisse importiert, die im GSMBericht mit Notizen versehen wurden.
Der Prozess zur Verfolgung von Schwachstellen für die importierte Organisation
gliedert sich in zwei Unterprozesse:
• Erzeugung von Aufgaben
• Beheben von Schwachstellen
19.2.1.2
Erzeugung von Aufgaben
Vor dem Erzeugen von Aufgaben müssen die Daten in der Organisation mit den
folgenden Schritten vorbereitet werden:
• Nach dem ersten Import einer Organisation, muss diese aus der Gruppe der
importierten Objekte auf die oberste Ebene verschoben werden. Schneiden Sie
229
19.2. VERINICE
KAPITEL 19. KOPPLUNG
Abbildung 19.4: Über das Setzen der Notizen können Sie den Import der Schwachstellen steuern.
dazu die Organisation aus und fügen Sie diese auf der höchsten Ebene wieder
ein.
Abbildung 19.5: Die importierte Organisation muss auf die höchsten Ebene verschoben werden.
• Die Assets und Controls müssen gruppiert werden. Wählen Sie im Kontextmenü
der obersten Asset- und Control-Gruppe die Funktion ”Gruppiere mit Tags...”
aus. In der Abbildung 19.6 wurde dies bereits für die Assets durchgeführt.
• Allen Asset-Gruppen muss eine verantwortliche Person zugewiesen werden.
Verknüpfen Sie dazu eine Person mit einer oder mehreren Asset-Gruppen.
Hierzu legen Sie die Personen an und verknüpfen diese mit Drag&Drop. Die
erfolgreiche Verknüpfung wird im Fenster ”Relations” angezeigt.
• Nachdem allen Asset-Gruppen eine verantwortliche Person zugeordnet wurde,
kann über das Kontextmenü der Organisation der Prozess zum Beheben von
Schwachstellen gestartet werden. Wählen Sie aus dem Kontextmenü einer
Organisation Aufgaben ”Greenbone: Start Schwachstellenverfolgung”. Zuerst
wird geprüft, ob allen Asset-Gruppen eine Person zugeordnet und ob Assets
und Controls gruppiert sind. Das Ergebnis der Überprüfung wird in einem
Dialog angezeigt. Der Benutzer kann fortfahren und Aufgaben erzeugen oder
die Erzeugung abbrechen.
230
KAPITEL 19. KOPPLUNG
19.2. VERINICE
Abbildung 19.6: Die Assets wurden bereits gruppiert.
Abbildung 19.7: Die Verknüfungen einzelner Objekte lassen sich im Relations Fenster
nachkontrollieren.
19.2.1.3
Beheben von Schwachstellen
Die erzeugten Aufgaben können mit Hilfe des Aufgaben-Views oder des Webfrontends in der Version verinice.PRO (unter: ISO 27000 Aufgaben) bearbeitet werden.
Die Aufgabe zum Beheben von Schachstellen hat den Titel Schwachstellen beheben.
Eine Aufgabe enthält Controls, Szenarios und Assets, die mit einer Control-Gruppe
verknüpft sind und zu einer verantwortlichen Person gehören.
Dieser Vorgang erfolgt nun in den folgenden Schritten:
• Die verantwortliche Person muss nun die Schwachstelle für alle Assets beheben.
• Wenn der Termin für die Aufgabe Schwachstellen beheben abläuft, wird per
E-Mail eine Erinnerung an die verantwortliche Person verschickt.
231
19.2. VERINICE
KAPITEL 19. KOPPLUNG
• Nach Abschluss einer Aufgabe mit dem Titel Schwachstellen beheben, werden alle Verknüpfungen zwischen Assets und Szenarios, die einer Aufgabe
zugeordnet waren, gelöscht.
• Ein Control wird als umgesetzt markiert, wenn dem Szenario keine Assets
mehr zugeordnet sind. Wenn noch andere Verknüpfungen zu Assets bestehen,
wird der Status eines Controls als teilweise markiert. Anschließend wird der
Prozess beendet.
232
KAPITEL 19. KOPPLUNG
19.2.2
19.2. VERINICE
IT-Grundschutz
Greenbone stellt sowohl eine spezielle Scankonfiguration (IT-Grundschutz-Scan
inkl. Discovery für verinice) als auch ein IT-Grundschutz-Report-Plugin unter http:
//greenbone.net/learningcenter/verinice.de.html zur Verfügung, welches den Export der Berichte in einem für Verinice geeigneten Format erlaubt.
Für die optimalen Ergebnisse müssen Sie sowohl die Scan-Konfiguration importieren
als auch das Report-Plugin importieren, verifizieren und anschließend aktivieren
(siehe auch Abschnitt 7.2.1).
Für die optimalen Ergebnisse im Scan, ist es hilfreich, einen authentifizierten Scan
durchzuführen (siehe Abschnitt 6.3).
Sobald der Scan abgeschlossen ist, exportieren Sie den Bericht im Verinice ITG
Format. Sie erhalten eine Datei mit der Endung .vna. Hierbei handelt es sich um ein
ZIP-Archiv, in dem die Ergebnisse des Scans gespeichert wurden. Diese Datei kann
direkt von Verinice geladen werden.
Im Folgenden verwenden wir für die Übersichtlichkeit einen Scan, in dem nur ein
Host gescannt wurde.
Ö nen Sie Verinice und wechseln Sie in die BSI-Grundschutz Startperspektive (Abbildung 19.8). Falls Sie noch keinen IT-Verbund angelegt haben, ist die mittlere Sicht
noch leer.
19.2.2.1
Import des ITG-Scans
Wählen Sie in der verinice Oberfläche die Import-Funktion im Grundschutz-Modell
aus.
Wählen Sie nun Ihren ITG-Report aus. Die restlichen Parameter können auf ihren
Default-Einstellungen verbleiben.
Die Ergebnisse des ITG-Reports wurden importiert und können in den Verinice ausgeklappt werden.
Die importierten Objekte sind nach ihrem Ziel im GSM oder ihrer IP-Adresse benannt. Jedes der importierten Objekte besitzt ein Tochterobjekt GSM result mit den
Maßnahmenergebnissen des Scans.
Nun können Sie die IT-Grundschutz-Module hinzugefügt werden. Dazu wählen Sie
den Server mit einem Rechts-Mausklick aus. Im Kontext-Menü wählen Sie ”Greenbone: Bausteine automatisch zuordnen”. Verinice wird nun auf Grund der von dem GSM
gesetzten Tags automatisch die richtigen Bausteine für Modellierung des Systems
auswählen.
Nun können Sie die Ergebnisse des Scans auf den Maßnahmenkatalog übertragen.
Hierzu markieren Sie das Server-Objekt und rufen im Kontextmenü die Funktion
”Greenbone. Automatischer Basis-Sicherheitscheck” auf.
233
19.2. VERINICE
KAPITEL 19. KOPPLUNG
Abbildung 19.8: Verinice ö net den bereits modellierten IT-Verbund.
Abbildung 19.9: Der Import-Button befindet sich im Fenster BSI-Modell.
234
KAPITEL 19. KOPPLUNG
19.2. VERINICE
Abbildung 19.10: Wählen Sie im Dialog Ihren Report aus.
Abbildung 19.11: Die importierten Daten können in Verinice ausgeklappt werden.
Abbildung 19.12: Die IT-Grundschutzbausteine können nun automatisch gewählt
werden.
235
19.3. NAGIOS
19.3
KAPITEL 19. KOPPLUNG
Nagios
Nagios kann die Scan-Ergebnisse in seine Monitoring-Aufgaben als weitere Prüfung
integrieren. Es findet dabei eine automatische Zuordnung der gescannten Systeme
zu den überwachten Systemen statt. Damit stehen letztendlich die Scan-Ergebnisse
auch den Alarmierungsregeln und sonstigen Abläufen von Nagios zur Verfügung.
Bei der Kopplung von Nagios mit GSM übernimmt Nagios die Steuerungsfunktion.
Nagios ermittelt regelmäßig selbständig die neuesten Scan-Ergebnisse vom Greenbone Security Manager. Dies erfolgt über ein Nagios-Plugin welches von Greenbone unter http://greenbone.net/learningcenter/nagios.de.html zur
Verfügung gestellt wird.
Im Folgenden finden Sie eine exemplarische Schritt-für-Schritt Anleitung für die
Anbindung des GSM an Nagios im Rahmen des Open Monitoring Distribution2 (OMD).
Abbildung 19.13: Die Konfiguration erfolgt am Beispiel einer leeren Beispiel-Site.
19.3.1
Installation des Plugins
Greenbone stellt das check_omp Nagios Plugin unter http://greenbone.net/
download/tools/check_omp zur Verfügung. Für die Analyse des Quelltexts
ist unter http://greenbone.net/download/sources/check_omp-src.
r18825.tar.gz auch dieser einsehbar.
Laden Sie das Plugin auf Ihrem Monitoring System herunter und machen Sie es
ausführbar:
2 http://omdistro.org/
236
KAPITEL 19. KOPPLUNG
19.3. NAGIOS
omd - host :~# wget -q http://greenbone.net/download/tools/check_omp
omd - host :~# chmod 755 check_omp
omd - host :~# ./check_omp --version
Check - OMP N a g i o s C o m m a n d P l u g i n 1.3+ beta3
C o p y r i g h t ( C ) 2013 G r e e n b o n e N e t w o r k s GmbH
L i c e n s e G P L v2 +: GNU GPL v e r s i o n 2 or later
This is free s o f t w a r e : you are free to c h a n g e and &
r e d i s t r i b u t e it .
Th e r e is NO WARRANTY , to the e x t e n t p e r m i t t e d by law .
Dieses Plugin kopieren Sie nun nach /opt/omd/sites/<site>/local/lib/nagios/plugins/.
19.3.2
Konfiguration des GSM-Nutzers
Das Plugin benötigt für den Zugri einen Benutzer, der Eigentümer der zu prüfenden
Tasks ist. Außerdem muss ein Netzwerkzugri via OMP auf die GSM Appliance
möglich sein. Der OMP-Zugang muss daher im GOS-Admin-Menü oder über die
Kommandozeile freigeschaltet werden (siehe Abschnitt 13.1 und 4.6.3).
Dieser Benutzer muss nun die entsprechenden Tasks erzeugen. Diese sollten als
geplante Tasks regelmäßig ausgeführt werden.
237
19.3. NAGIOS
19.3.3
KAPITEL 19. KOPPLUNG
Konfiguration des Plugins
Prüfen Sie zunächst, ob das Plugin den GSM über das Netzwerk erreichen kann, OMP
aktiviert wurde und der Benutzer richtig angelegt wurde. Ersetzen Sie im folgenden
Aufruf die IP-Adresse durch die Adresse Ihres GSM und geben Sie den Benutzernamen und das Kennwort ein, welches Sie angelegt haben.
omd - host # /opt/omd/sites/<site>/local/lib/nagios/plugins/check_omp \
> -H 192.168.255.12 -u omd -w password –ping
OMP OK : A l i v e and k i c k i n g !
Prüfen Sie anschließend, ob Sie auch Zugri auf die Daten haben. Dies geschieht am
einfachsten auf der Kommandozeile:
omd - host # /opt/omd/sites/<site>/local/lib/nagios/plugins/check_omp -H 192.168.255.12 \
> -u omd -w password --status -T KVM-Hosts --last-report -F 192.168.255.199
OMP C R I T I C A L : 4 v u l n e r a b i l i t i e s f o u n d - High : 1 M e d i u m : 1 Low : 2
| High =1 M e d i u m =1 Low =2
Abbildung 19.14: Der Host-Tag kennzeichnet die Rechner, die von dem GSM überwacht
werden.
Sofern diese Tests erfolgreich waren, können Sie den Check in OMD über das WebAdministrationsfrontend WATO einbauen. Wechseln Sie hierzu auf die Weboberfläche Multisite für Ihre OMD-Site (siehe Abbildung 19.13).
Legen Sie zunächst einen Host-Tag (Abbildung 19.14) an. Dieser kennzeichnet die
Hosts, die auch von der GSM Appliance gescannt werden. Hierzu rufen Sie im linken
Menü die “Host Tags” auf und erzeugen hier einen neuen Tag.
238
KAPITEL 19. KOPPLUNG
19.3. NAGIOS
Abbildung 19.15: Diese Regel prüft für jeden Host mit dem Tag “Monitored by GSM”
den Status im GSM.
Nun erstellen Sie eine neue Regel (Abbildung 19.15), die den Host-Tag auswertet.
Hierzu wechseln Sie im linken Menü in “Host & Service Parameters”. Wählen Sie hier
“Active Checks”. Im nächsten Menü wählen Sie “Classical Active and Passive Nagios
Checks”. Dann erzeugen Sie eine neue Regel (Abbildung 19.15) im aktuellen Ordner
(“Create Rule in Folder Main Directory”). Achten Sie hierbei darauf, den folgenden
Aufruf zu verwenden:
$ U S E R 2 $ / c h e c k _ o m p - H < gsm - ip > - u < user > - w < password > -- s t a t u s - T < &
report > -- last - r e p o r t - F $ H O S T A D D R E S S $
239
19.3. NAGIOS
KAPITEL 19. KOPPLUNG
Nun müssen Sie noch den Host anlegen bzw. so anpassen, dass er über das entsprechende Host-Tag verfügt (siehe Abbildung 19.16).
Abbildung 19.16: Jeder von dem GSM gescannte Host muss nun das Tag erhalten.
Nachdem Sie die Änderungen in der Multisite aktiviert haben (“Activate Changes”)
stehen die Status-Informationen in der grafischen Oberfläche zur Verfügung.
Abbildung 19.17: Der GSM-Status wird nun in der Multisite angezeigt.
240
KAPITEL 19. KOPPLUNG
19.3. NAGIOS
Damit der Benutzername und das Kennwort nicht in der grafischen Oberfläche angezeigt werden, können diese in der Datei
/opt/omd/sites/<site>/etc/nagios/resource.cfg als Variablen hinterlegt werden:
############################################
# OMD settings , p l e a s e use them to make your c o n f i g
# portable , but dont c h a n g e them
$ U S E R 1 $ =/ omd / sites / p r o d u k t i v / lib / n a g i o s / p l u g i n s
$ U S E R 2 $ =/ omd / sites / p r o d u k t i v / local / lib / n a g i o s / p l u g i n s
$USER3$ = produktiv
$ U S E R 4 $ =/ omd / sites / p r o d u k t i v
############################################
# set your own m a c r o s here :
$ U S E R 5 $ = omd
$USER6$ = kennwort
Nun können Sie den Benutzernamen und das Kennwort in WATO durch die Variablen
USER5 bzw. USER6 ersetzen.
241
19.4. SOURCEFIRE
19.4
KAPITEL 19. KOPPLUNG
Sourcefire Defense Center
Das Sourcefire Intrusion Prevention System (IPS) ist eine der führenden Lösungen
für die Einbruchserkennung und -abwehr in Rechnernetzen. Als Network Intrusion
Detection System (NIDS) hat es die Aufgabe, Angri e gegen das Netz zu erkennen,
zu melden und abzuwehren.
Das Sourcefire IPS benötigt für eine korrekte Erkennung und Zuordnung der Angriffe möglichst exakte Informationen über die im Netz vorhandenen Systeme, dort
installierte Applikationen sowie deren mögliche Schwachstellen. Hierzu hält das
Sourcefire System eine eigene Asset-Datenbank vor, die über den GSM mit Informationen ergänzt werden kann. Außerdem kann das Sourcefire System bei Verdachtsmomenten einen automatischen Scan anstoßen.
Es existieren zwei Kopplungsmethoden:
1. Automatischer Daten-Transfer von GSM nach NIDS/IPS
Sind GSM und NIDS/IPS entsprechend konfiguriert, so ist der Datentransfer von
GSM nach NIDS/IPS so einfach nutzbar, wie jede andere Alert-Funktionalität
beim GSM. Nach Abschluss eines Scans wird entsprechend der gewünschten
Kriterien das Scan-Ergebnis als Alert automatisch an das NIDS/IPS übertragen.
Läßt man diesen Scan-Auftrag jede Woche automatisch ausführen, erhält man
ein vollautomatisiertes Melde- und Optimierungssystem.
2. Aktive Steuerung des GSM durch NIDS/IPS
Beim Betrieb des NIDS/IPS können Verdachtsmomente zu Systemen mit besonderer Gefährdung entstehen. Das NIDS/IPS kann in einem solchen Fall den
GSM anweisen, das System zu überprüfen3 .
Um diese Kopplung in den Varianten 1 oder 2 zu nutzen, muss sowohl das GSM als
auch das Sourcefire Defense Center vorbereitet werden. Auf dem GSM müssen Sie
ein Report Plugin installieren und auf dem Defense Center müssen Sie die Annahme
der Daten erlauben.
3 Diese Steuerung existiert im Moment noch nicht als fertige ”Remediation” für das Sourcefire System,
kann jedoch via OMP realisiert werden (siehe Kapitel 13).
242
KAPITEL 19. KOPPLUNG
19.4.1
19.4. SOURCEFIRE
Installation des Report Export Plugins
Das Report Plugin erhalten sie auf der Greenbone Webseite unter http://
greenbone.net/technology/report_formats.de.html. Laden Sie das Plugin herunter und installieren Sie es in dem GSM. Denken Sie daran, nach dem Import
das Plugin zu verifizieren und zu aktivieren (siehe Abschnitt 7.2.1).
Abbildung 19.18: Das Report Plugin bereitet die Daten für Sourcefire auf.
19.4.2
Konfiguration des Host-Input-API-Clients
Abbildung 19.19: Der GSM muss in dem Defense Center angelegt werden.
Melden Sie sich auf Ihrem Sourcefire Defense Center an und erzeugen Sie einen
Host-Input-Client. Die Host-Input-API ist die Schnittstelle, über die das Defense
Center Daten für seine Asset Datenbank von anderen Anwendungen annimmt. Sie
finden diese Funktion in der Weboberfläche des Defense Centers unter System>Local->Registration. Dort wechseln Sie zur Registerkarte “Host Input Client”. Hier
legen Sie die GSM-Appliance an. Wichtig ist, dass Sie hier die IP-Adresse der Appliance eintragen, mit der sich die Appliance mit dem Defense Center verbindet.
Diese Verbindung ist TLS-verschlüsselt. Das Defense-Center erzeugt automatisch
einen privaten Schlüssel und ein Zertifikat. In dem Zertifikat wird die angegebene
IP-Adresse als Common Name eingetragen und bei dem Verbindungsaufbau des Clients geprüft. Wenn der Client eine andere IP-Adresse nutzt, schlägt die Verbindung
fehl.
Die erzeugte PKCS12-Datei wird optional mit einem Kennwort gesichert.
243
19.4. SOURCEFIRE
KAPITEL 19. KOPPLUNG
Anschließend wird das Zertifikat und der Schlüssel erzeugt und als PKCS12-Datei
zum
Download angeboten. Laden Sie diese Datei herunter.
Abbildung 19.20: Die erzeugte PKCS12 Datei muss heruntergeladen werden.
244
KAPITEL 19. KOPPLUNG
19.4.3
19.4. SOURCEFIRE
Konfiguration des Alerts auf dem GSM
Nun müssen Sie auf dem GSM einen entsprechenden Alert einrichten. Hierzu wechseln Sie auf C o n f i g u r a t i o n/A l e r t s. Geben Sie hier die Daten des SourcefireSystems und die PKCS12-Datei an.
Abbildung 19.21: Die PKCS12-Datei nutzt der Connector zur Authentifizierung.
Wenn Sie bei der Erzeugung des Clients ein Kennwort angegeben haben, müssen
Sie die PKCS12-Datei vor dem Laden auf dem GSM entschlüsseln. Hierzu können Sie
unter Linux das folgende Kommando nutzen:
$ openssl pkcs12 -in encrypted.pkcs12 -nodes -out decrypted.pcks12
E n t e r I m p o r t P a s s w o r d : password
MAC v e r i f i e d OK
$
245
19.4. SOURCEFIRE
KAPITEL 19. KOPPLUNG
246
K A P I T E L 20
CLI Kommandoreferenz
Dieses Kapitel führt sämtliche Kommandos in alphabetischer Reihenfolge auf. Zu
jedes Kommando wird eine Kurzbeschreibung angegeben und auf die Abschnitte
verwiesen, wo das Kommando genauer betrachtet wird.
• addadmin
Mit diesem Befehl können Sie einen Web- bzw. Scanadministrator anlegen.
Der Befehl erwartet den Benutzernamen und das Kennwort durch einen Doppelpunkt getrennt (siehe Abschnitt 4.3.2).
• certdownload
Mit diesem Befehl können Sie ein durch Ihre CA signiertes Zertifikat auf den
GSM übertragen (siehe Abschnitt 4.4.2).
• commit
Hiermit können Sie noch nicht aktivierte Änderungen auf der Kommandozeile
bestätigen (siehe Abschnitt 4.2).
• ethtool
Der Befehl ethtool zeigt den aktuellen Zustand der Netzwerkkarten einschließlich Link-Status an (siehe Abschnitt 4.8.1).
• exit
Hiermit melden Sie sich auf der Kommandozeile ab.
• feedstartsync
Hiermit starten Sie die Synchronisation des Feeds auf der Kommandozeile
(siehe Abschnitt 4.7.2).
247
KAPITEL 20. CLI KOMMANDOREFERENZ
• feedsyncstatus
Hiermit kontrollieren Sie, ob in diesem Moment eine Synchronisation erfolgt
(siehe Abschnitt 4.7.2).
• feedversion
Dieses Kommando zeigt die aktuelle Version. Hierbei handelt es sich um das
Datum und die Uhrzeit, z.B. 201502090646 ist 6:46 Uhr am 09.02.2015 (siehe
Abschnitt 4.7.2).
• gbfw
Dies ist ein Frontend für die lokale Greenbone Firewall und nur für Experten
gedacht.
• getip
Dieser Befehl zeigt die aktuelle IP-Konfiguration an (siehe Abschnitt 4.8.1).
• getroute
Dieser Befehl zeigt die aktuelle IP-Routing-Konfiguration an (siehe Abschnitt
4.8.1).
• getusers
Dieser Befehl zeigt die aktuell auf der Kommandozeile angemeldeten Benutzer
an.
• gos-admin-menu
Dieser Befehl ruft das GOS Admin Menü auf (siehe Abschnitt 3.4).
• gsmuser
Dies ist ein alternatives Kommando für die Benutzerverwaltung.
• ip
Mit diesem Kommando können verschiedenste Informationen der Netzwerkkonfiguration angezeigt werden (siehe Abschnitt 4.8.1).
• ldapacertdownload
Mit diesem Kommando können Sie das Zertifikat des LDAP-Servers auf dem
GSM hinterlegen (siehe Abschnitt 12.1.8.1).
• masterkeydownload
Hiermit hinterlegen Sie auf einem Slave den Schlüssel des Masters (siehe
Abschnitt 18).
• ntpq
Dieser Befehl zeigt Ihnen die Zeitsynchronisation des Systems mit externen
Quellen (siehe Abschnitt 4.5.2.6).
• passwd
Hiermit können Sie das Kennwort des Benutzers auf der Kommandozeile ändern (siehe Abschnitt 4.3.1).
248
KAPITEL 20. CLI KOMMANDOREFERENZ
• ps
Hiermit könne Sie die laufenden Prozesse anzeigen. Um alle Prozesse zu sehen,
nutzen Sie ps -ef.
• reboot
Hiermit lösen Sie einen Reboot der Appliance auf der Kommandozeile aus
(siehe Abschnitt 4.5.1).
• rollback
Hiermit verwerfen Sie Ihre Änderungen vor einem Commit (siehe Abschnitt
4.2)
• shell
Nach der Anmeldung als Admin arbeiten Sie in einer Restricted-Shell. Hiermit
rufen Sie von der Kommandozeile eine vollständige UNIX-Shell auf.
• show
Dieser Befehl zeigt Ihnen einzelne Dateien oder den Schedule an (siehe Abschnitt 3.5).
• shutdown
Hiermit lösen Sie das Herunterfahren der Appliance auf der Kommandozeile
aus (siehe Abschnitt 4.5.1).
• softwarestartsync
Hiermit wird die Synchronisation von System Upgrades gestartet (siehe Abschnitt 5.2).
• softwaresyncstatus
Hiermit prüfen Sie die Synchronisation von System Upgrades (siehe Abschnitt
5.2).
• softwareversion
Hiermit zeigen Sie die aktuelle Softwareversion an (siehe Abschnitt 5.2).
• sslcatkey
Dieser Befehl zeigt den SSL-Sign-Request für ein zu unterzeichnendes Zertifikat an (siehe Abschnitt 4.4.2).
• sslcatreq
Dieser Befehl zeigt wie sslcatkey den SSL-Sign-Request für ein zu unterzeichnendes Zertifikat an (siehe Abschnitt 4.4.2).
• sslcatself
Dieser Befehl zeigt das durch den GSM selbstsignierte Zertifikat an (siehe
Abschnitt 4.4.1).
• sslcheck
Dieser Befehl prüft bei Zertifikaten, welche durch ein Trustcenter ausgestellt
wurden, ihre Zertifikatskette (siehe Abschnitt 4.4.2).
249
KAPITEL 20. CLI KOMMANDOREFERENZ
• ssldownload
Mit diesem Befehl können Sie ein Zertifikat nach der Signatur durch ein Trustcenter auf den GSM laden (siehe Abschnitt 4.4.2 und auch certdownload).
• sslreq
Hiermit stossen Sie die Erzeugung eines SSL-Sign-Request an (siehe Abschnitt
4.4.2).
• sslselfsign
Hiermit stossen Sie die Erzeugung eines durch den GSM selbst signierten
Zertifikats an (siehe Abschnitt 4.4.1).
• subscriptiondownload
Hiermit laden Sie den Aktivierungsschlüssel auf den GSM (siehe Abschnitt 3.5).
• systembackup
Hiermit starten Sie das Backup des Systems (siehe Abschnitt 5.3).
• systembackupstatus
Hiermit zeigen Sie den Status des Backup des Systems an (siehe Abschnitt
5.3).
• systemfeedbackup
Hiermit starten Sie das Backup des Feedss (siehe Abschnitt 5.3).
• systemfeedbackupstatus
Hiermit zeigen Sie den Status des Backup des Feeds an (siehe Abschnitt 5.3).
• systemrecoverbackup
Hiermit führen Sie eine Rücksicherung durch (siehe Abschnitt 5.3).
• systemrecoverbackupstatus
Hiermit zeigen Sie den Status einer Rücksicherung an (siehe Abschnitt 5.3).
• systemrecoversnapshot
Hiermit führen Sie eine Rücksicherung eines Snapshots durch (siehe Abschnitt
5.3.2).
• systemrecoversnapshotstatus
Hiermit zeigen Sie den Status einer Rücksicherung eines Snapshots an (siehe
Abschnitt 5.3.2).
• systemsnapshot
Hiermit erzeugen Sie einen Snapshot (siehe Abschnitt 5.3.2).
• systemsnapshotstatus
Hiermit zeigen Sie den Snapshotstatus an (siehe Abschnitt 5.3.2).
• systemupgrade
Hiermit starten Sie ein Upgrade (siehe Abschnitt 5.2).
• systemupgradestatus
Hiermit zeigen Sie den Upgrade-Status an (siehe Abschnitt 5.2).
250
KAPITEL 20. CLI KOMMANDOREFERENZ
• systemuserdatabackup
Hiermit führen Sie ein Backup der Benutzerdaten durch (siehe Abschnitt 5.3.3).
• systemuserdatabackupstatus
Hiermit zeigen Sie den Status des Backups der Benutzerdaten an (siehe Abschnitt 5.3.3).
251
KAPITEL 20. CLI KOMMANDOREFERENZ
252
K A P I T E L 21
CLI Einstellungsreferenz
Dieses Kapitel führt sämtliche Einstellungen in alphabetischer Reihenfolge auf. Zu
jeder Einstellung wird eine Kurzbeschreibung angegeben und auf die Abschnitte
verwiesen, wo die Einstellung genauer betrachtet wird.
• address_ethX_ipv4
IPv4 Adresse der Netzwerkkarte Ethernet-X mit Netzmaske. Alternativ kann
hier der Wert dhcp stehen. In Abhängigkeit der Appliance kann X einen Wert
zwischen 0 und 19 annehmen. Siehe Abschnitt 4.5.2.4. Die Angabe einer IPv4
Adresse für die Netzwerkkarte Ethernet-0 ist verpflichtend alle weiteren IPAdressen sind optional.
• address_ethX_ipv6
Dies ist die IPv6 Adresse der Ethernet-X Schnittstelle. Siehe Abschnitt 4.5.2.4.
Die Angabe ist optional.
• airgap
Default: disabled
Dies ist die Rolle in einem Airgap Synchronisationsszenario. Die möglichen
Werte sind: disabled, master oder slave. Siehe Abschnitt 5.4.
• airgap_ftp_location
Default: nicht gesetzt
Die Adresse des FTP-Servers für die Airgap Synchronisation. Hierbei kann auch
ein Verzeichnis mitangegeben werden (Beispiel: your.ftp.server/subdirectory).
Siehe Abschnitt 5.4.
• airgap_ftp_password
Default: nicht gesetzt
253
KAPITEL 21. CLI EINSTELLUNGSREFERENZ
Dies ist dass Passwort, mit dem die Anmeldung auf dem FTP-Server für die
Airgap-Funktionalität erfolgt. Siehe Abschnitt 5.4.
• airgap_ftp_user
Default: nicht gesetzt
Die ist der Benutzername, mit dem die Anmeldung auf dem FTP-Server für die
Airgap-Funktionalität erfolgt. Siehe Abschnitt 5.4.
• airgap_type
Default: usb
Dies ist die Airgap-Methode. Mögliche Werte sind ftp und usb. Siehe Abschnitt
5.4.
• autoslavesync
Default: disabled
Diese Variable entscheidet, ob Slaves automatisch vom Master mit NVTFeeds im Push-Verfahren versorgt werden. Mögliche Werte sind enabled
und disabled. Siehe Abschnitt 18.
• default_route_ipv4
Default: nicht gesetzt
Dies ist die Default-Route für IPv4. Per Default ist das System via DHCP konfiugriert. Dann wird die Default-Route auch via DHCP bezogen. Siehe Abschnitt
4.5.2.5. Die Angabe ist optional.
• dns1
Default: 8.8.8.8
Dies ist der erste Nameserver, der von dem GSM verwendet wird. Ist dieser
Nameserver ausgefallen, wird der zweite Nameserver genutzt. Als Wert ist nur
eine IPv4-Adresse erlaubt. IPv6 Nameserver werden noch nicht unterstützt.
Der Default-Wert ist ein DNS-Server von Google. Siehe Abschnitt 4.5.2.3
• dns2
Default: 8.8.4.4
Dies ist der zweite Nameserver, der von dem GSM verwendet wird. Diese Angabe ist optional. Ist dieser Nameserver ausgefallen, wird der dritte Nameserver
genutzt. Als Wert ist nur eine IPv4-Adresse erlaubt. IPv6 Nameserver werden
noch nicht unterstützt. Der Default-Wert ist ein DNS-Server von Google. Siehe
Abschnitt 4.5.2.3
• dns3
Default: nicht gesetzt
Dies ist der dritte Nameserver, der von dem GSM verwendet wird. Diese Angabe
ist optional. Ist dieser Nameserver ausgefallen, ist eine Namensauflösung
nicht möglich. Als Wert ist nur eine IPv4-Adresse erlaubt. IPv6 Nameserver
werden noch nicht unterstützt. Siehe Abschnitt 4.5.2.3.
• domainname
Default: greenbone.net
Dies ist die Domäne der Appliance. Durch Voranstellen des Hostnamens ergibt
sich der vollqualifizierte Name der Appliance. Siehe Abschnitt 4.5.2.2.
254
KAPITEL 21. CLI EINSTELLUNGSREFERENZ
• fancontrol
Default: enabled
Hiermit steuern Sie das Lüfterverhalten. Ist die Funktionalität aktiviert, so
werden die Lüfter nur bei Bedarf eingeschaltet. Mögliche Werte sind enabled
und disabled.
• feedfrommaster
Default: disabled
Diese Variable definiert, ob der Slave Feeds vom Master erwartet und entgegennimmt. Mögliche Werte sind enabled oder disabled. Siehe Abschnitt
18.
• feedsync
Default: enabled
Diese Variable definiert, ob eine Synchronisation mit Greenbone Security Feed
erfolgt. Mögliche Werte sind enabled und disabled. Siehe Abschnitt 4.7.2.
• guest_login
Default: disabled
Diese Variable schaltet den Gast-Zugri über das Webinterface ein bzw. aus.
Mögliche Werte sind enabled und disabled. Siehe Abschnitt 12.1.4.
• guest_password
Default: nicht gesetzt
Diese Variable definiert das Kennwort für den Gastzugri . Siehe Abschnitt
12.1.4.
• guest_user
Default: nicht gesetzt
Diese Variable definiert den Benutzernamen für den Gastzugri . Siehe Abschnitt 12.1.4.
• hostname
Default: gsm
Dies ist der Rechnername der Appliance. Durch Anfügen der Domäne ergibt
sich der vollqualifizierte Name der Appliance. Siehe Abschnitt 4.5.2.1.
• ifadm
Default: all
Dies ist die Netzwerkkarte, über die auf die Weboberfläche und die SSHSchnittstelle zugegri en werden darf. Mögliche Werte sind all oder die spezifsche Netzwerkkarte (z.B. eth0). Siehe Abschnitt 3.4.3.
• ipv6support
Default: enabled
Mit dieser Variable kann die IPv6-Unterstützung ein- und ausgeschaltet werden. Bei eingeschalteter IPv6-Unterstützung erzeugt der GSM Link-Local IPv6
Adressen. Mögliche Werte sind enabled und disabled. Siehe Abschnitt
4.5.2.4.
255
KAPITEL 21. CLI EINSTELLUNGSREFERENZ
• keyboard_layout
Default: DE
Hiermit konfigurieren Sie das Tastaturlayout für die CLI-Schnittstelle. Mögliche
Werte sind: DE, ES, FR, IT, PL, SE, UK und US. Siehe Abschnitt 3.4.1.
• mailhub
Default: mail.example.com
Der GSM kann E-Mails z.B. mit Berichten versenden. Hierzu wird der in dieser
Einstellung angegebene Mailserver verwendet. Als Wert sollte ein vollqualifizierter DNS-Name angegeben werden. Siehe Abschnitt 4.5.2.7.
• netmode
Default: default
Hiermit wählen Sie den Netzwerkkonfigurationsmodus aus. Mögliche Werte
sind default und expert. Siehe Abschnitt 4.5.3.
• ntp_server1
Dies ist der erste NTPv5 Zeitserver. Als Wert wird hier eine IPv4-Adresse erwartet. Siehe Abschnitt 4.5.2.6.
• ntp_server2
Dies ist der zweite NTPv5 Timeserver. Die Angabe des zweiten NTP-Servers
ist optional. Siehe Abschnitt 4.5.2.6.
• omp_ciphers
Default:
SECURE128:-AES-128-CBC:-CAMELLIA-128-CBC:-VERS-SSL3.0:-VERS-TLS1.0
Hiermit wählen Sie die via OMP unterstützten TLS Cipher aus. Siehe Abschnitt
4.6.3.
• proxy_credentials
Default: nicht gesetzt
Der GSM kann seine Feeds über eine HTTP-Proxy beziehen. Wenn der Proxy
eine Authentifizierung erwartet, können in dieser Variable Benutzernamen
und Kennwort hinterlegt werden (username:password). Siehe Abschnitt 4.7.3.
• proxy_feed
Default: nicht gesetzt
Der GSM kann seine Feeds über eine HTTP-Proxy beziehen. Hier können Sie
den Proxy für den Bezug der Feeds angeben. Siehe Abschnitt 4.7.3.
• proxy_update
Default: nicht gesetzt
Der GSM kann seine Greenbone OS Updates über eine HTTP-Proxy beziehen.
Hier können Sie den Proxy für den Bezug der Updates angeben. Siehe Abschnitt
4.7.3.
• public_omp
Default: disabled
Hiermit schalten Sie den OMP-Zugri auf Port 9390 ein bzw. aus. Siehe Abschnitt 4.6.3.
256
KAPITEL 21. CLI EINSTELLUNGSREFERENZ
• selfsigssl
Default: enabled
Diese Einstellung erlaubt die Erzeugung und Verwendung von selbstsignierten
Zertifikaten für die Authentifizierung des GSM. Siehe Abschnitt 4.4.1.
• sensors
Default: nicht gesetzt
Dies ist eine Liste der durch den GSM verwalteten Sensoren. Diese Liste wird
durch Leerzeichen separiert. Siehe Abschnitt 18.2.
• snmp
Default: disabled
Diese Einstellung erlaubt den Zugri von außen via SNMP v3. Siehe Abschnitt
4.5.2.9.
• snmp_contact
Default: Greenbone_Unspecified_contact Dies ist der in der SNMPAusgabe angegebene Kontakt. Siehe Abschnitt 4.5.2.9.
• snmp_key
Default: nicht gesetzt
Dies ist das Privacy Kennwort für SNMPv3 Anfragen. Das Kennwort muss
mindestens 8 Zeichen lang sein. Siehe Abschnitt 4.5.2.9.
• snmp_location
Default: Hildesheim
Dies ist der in der SNMP-Ausgabe angegebene Ort. Siehe Abschnitt 4.5.2.9.
• snmp_password
Default: nicht gesetzt
Dies ist das Authentifizierungskennwort für SNMPv3 Anfragen. Das Kennwort
muss mindestens 8 Zeichen lang sein. Siehe Abschnitt 4.5.2.9.
• snmp_trap
Default: disabled
Hiermit aktivieren Sie das Versenden von SNMP Traps. Siehe Abschnitt 4.5.2.9.
• snmp_trapcommunity
Default: public
Hiermit definieren Sie den Community String für SNMP Traps. Siehe Abschnitt
4.5.2.9.
• snmp_trapreceiver
Default: 192.168.0.1
Hiermit konfigurieren Sie die Empfänger der SNMP Traps. Siehe Abschnitt
4.5.2.9.
• snmp_user
Default: nicht gesetzt
Dies ist der Benutzername für SNMPv3 Abfragen. Siehe Abschnitt 4.5.2.9.
257
KAPITEL 21. CLI EINSTELLUNGSREFERENZ
• ssh
Default: disabled
Dies ist der Zustand des SSH-Servers. Mögliche Werte sind enabled und
disabled. Siehe Abschnitt 4.6.2.
• superuser
Default: disabled
Hiermit können Sie den Superuser-Zugang via SSH für Debuggingzwecke aktivieren. Mögliche Werte sind enabled und disabled. Siehe Abschnitt 4.3.3.
• superuserpassword
Default: disabled
Wenn der Superuser aktiviert wurde, können Sie hiermit dessen Kennwort einstellen. Mögliche Werte sind disabled oder ein 8-Zeichen langes Kennwort.
Siehe Abschnitt 4.3.3.
• syncport
Default: 24
Dies ist der Port für die Synchronisation mit dem Greenbone Security Feed.
Mögliche Werte sind 24 oder 443. Siehe Abschnitt 4.7.2.
• synctime
Default: 06:25
Dies ist die Uhrzeit für die tägliche Synchronisation des Greenbone Security
Feed. Das Format wird in HH:MM in der UTC-Zeitzone angegeben. Zwischen
10:00 und 13:00 Uhr ist eine Synchronisation nicht möglich. Siehe Abschnitt
4.7.2.
• syslog_server1
Default: nicht gesetzt
Dies ist der erste Syslog-Server. Siehe Abschnitt 4.5.2.8
• syslog_server2
Default: nicht gesetzt
Dies ist der zweite Syslog-Server. Siehe Abschnitt 4.5.2.8
• web_ciphers
Default: SECURE128:-AES-128-CBC:-CAMELLIA-128-CBC:-VERS-SSL3.0:-VERS-T
Hiermit wählen Sie die unterstützten SSL/TLS-Cipher aus.
• web_interface
Default: classic
Dies ist das aktuelle Webinterface. Siehe Abschnitt 11.
• webtimeout
Default: 15
Dies ist das Timeout der HTTPS Browser Sitzung in Minuten. Siehe Abschnitt
4.6.1.
258
Index
LAN1, 22
eth0, 21
Advisory, 210
Airgap, 61
Alert, 43, 44, 88, 245
Benutzereinstellungen
Filter, 194
NVT Filter, 148
Password, 193
Rows Per Page, 144, 193
Severity Class, 194
Timezone, 193
User Interface Language, 193
Wizard Rows, 194
Berechtigungen
authenticate, 172
describe_cert, 172
describe_feed, 172
describe_scap, 172
get_alerts, 182
get_configs, 153, 182
get_filters, 181
get_groups, 178
get_notes, 182
get_overrides, 182
get_roles, 178
get_schedules, 182
get_settings, 172
get_tags, 182
get_targets, 182
get_tasks, 182
get_users, 91, 178, 181
help, 172
sync_cert, 172
sync_feed, 172
sync_scap, 172
write_settings, 172
BSI IT-Grundschutz, 227
CERT-Bund, 195
Common Platform Enumeration, 202
Common Vulnerability Scoring System,
207
Compliance, 227
Container Task, 95, 132
CPE, 195, 202
CVE, 195
CVSS, 207
Default-Gateway, 22
Delta-Report, 128
DFN, 210
DFN-CERT, 196, 210
DNS-Server, 23
False Positive, 124
Firewall-Einstellungen, 23
Gast, 174
GOS-Admin-Menü
Add Super Admin, 176
Add Web Admin, 25, 220
Airgap Management, 78
Airgap management, 75
Airgap role, 78
Airgap type, 78
Automatic Sensor Sync, 222
Automatic Sync, 222
Backup, 66, 68, 70, 72
Backup server address, 72
Backup server fingerprint, 72
Backup server password, 72
Backup server user, 72
259
INDEX
INDEX
Backup Userdata, 68, 72
Commit, 20, 22, 23, 164, 175, 222
Copy Userdata from USB, 70
Copy Userdata to server, 72
Copy Userdata to USB, 69
Create System Backup, 66
Credentials, 65
Default Route, 22
DNS, 21
Email, 21
ETH, 21, 22
eth0, 22
Feed, 51, 65, 75, 222
Feed from Master, 222
FTP location, 78
FTP password, 78
FTP user, 78
GSM Admin, 24
Guest login, 175
Guest user, 175
HTTPS Timeout, 49
HTTPS web interface, 164
Keyboard, 20
Network, 21, 22, 43
NTP, 21
OMP, 50, 187, 220
Proxy Update, 64
Refresh, 63
Remote, 30, 43, 49, 50, 164, 187, 220
Remote Backup, 72
Restore from Partition, 66
Restore System Backup, 66
Restore Userdata, 70
Rollback, 20
Self-Signed, 26, 35
SelfCheck, 28
Sensors, 222
Show USB contents, 69
Snapshot Backup, 68
SNMP, 21, 43
SNMP Configuration, 43
SSH, 50
SSH Fingerprint, 30
SSL, 26, 35
Switch Release, 64
Sync, 62
Synctime, 78
Test FTP, 78
Upgrade, 62–64
User, 24, 25, 175, 176, 220
Greenbone Security Explorer, 129
Greenbone Security Feed, 197
GSM 500, 10
GSM 510, 10
GSM 550, 10
GSM 600, 10
GSM 650, 10
GSM-Kommandozeile
addadmin, 32, 247
certdownload, 37, 247, 250
check_omp, 236
commit, 31, 45, 247
ethtool, 55, 247
exit, 247
feedstartsync, 52, 247
feedsyncstatus, 52, 248
feedversion, 52, 248
gbfw, 248
getip, 53, 54, 248
getroute, 53, 55, 248
getusers, 248
get, 31
gos-admin-menu, 248
gsmuser, 248
ifconfig, 46
ip, 46, 48, 54, 55, 248
ldapacertdownload, 248
ldapcacertdownload, 184
masterkeydownload, 222, 248
nano, 46
ntpq, 41, 54, 248
omp, 188, 189
passwd, 32, 248
ps, 249
reboot, 38, 45, 249
rollback, 31, 249
route, 46
set, 31
shell, 32, 45, 249
show masterkey, 221
show schedule, 51
show, 249
shutdown, 38, 249
snmpwalk, 44
260
INDEX
INDEX
softwarestartsync, 249
fancontrol, 255
softwaresyncstatus, 249
feedfrommaster, 255
softwareversion, 61, 249
feedsync, 51, 255
sslcatkey, 36, 249
guest_login, 175, 255
sslcatreq, 249
guest_password, 255
sslcatself, 35, 249
guest_user, 255
sslcheck, 249
hostname, 39, 255
ssldownload, 37, 250
ifadm, 22, 255
sslreq, 36, 250
ipv6support, 41, 255
sslselfsign, 250
keyboard_layout, 20, 256
subscriptiondownload, 27, 250
mailhub, 42, 256
su, 33
netmode, 256
systembackupstatus, 250
ntp_server1, 41, 256
systembackup, 250
ntp_server2, 41, 256
systemfeedbackupstatus, 250
omp_ciphers, 256
systemfeedbackup, 250
proxy_credentials, 52, 256
systemrecoverbackupstatus,
proxy_feed, 52, 256
250
proxy_update, 52, 256
systemrecoverbackup, 250
public_omp, 50, 220, 256
systemrecoversnapshotstatus,
selfsigssl, 36, 257
250
sensors, 257
systemrecoversnapshot, 250
snmp_contact, 44, 257
systemsnapshotstatus, 250
snmp_key, 44, 257
systemsnapshot, 67, 250
snmp_location, 44, 257
systemupgradestatus, 51, 250
snmp_password, 44, 257
systemupgrade, 51, 250
snmp_trapcommunity, 44, 257
systemuserdatabackupstatus,
snmp_trapreceiver, 44, 257
251
snmp_trap, 44, 257
systemuserdatabackup, 251
snmp_user, 44, 257
unset, 31, 40, 41
snmp, 44, 257
vconfig, 46
ssh, 50, 222, 258
vim, 46
superuserpassword, 33, 258
vi, 46
superuser, 33, 258
GSM-Variable
syncport, 51, 258
address_ethX_ipv4, 40, 253
synctime, 51, 258
address_ethX_ipv6, 40, 253
syslog_server1, 43, 258
airgap_ftp_location, 253
syslog_server2, 43, 258
airgap_ftp_password, 253
web_ciphers, 258
airgap_ftp_user, 254
web_interface, 258
airgap_type, 254
webtimeout, 49, 258
airgap, 253
GSM-WebUI
autoslavesync, 254
Add Override, 124
default_route_ipv4, 41, 254
Administration, 58, 168, 171
dns1, 40, 254
Alerts, 135, 245
dns2, 40, 254
Auth. DN, 183
dns3, 40, 254
Autogenerate Credential, 117
domainname, 39, 254
261
INDEX
INDEX
Configuration, 84, 86, 102, 118, 133,
135, 148, 152, 154, 164, 181, 245
Container Task, 95
Credentials, 102
CVSS-Calculator, 208
Extras, 193, 208, 218
Filters, 148
Group, 91
Groups (optional), 59, 169
Host Access, 59, 169
Interface Access, 60, 170
LDAP Host, 184, 185
Login Name, 59, 168
My Settings, 193
MySettings, 144
New Note, 120
New Target, 84
Notes, 121
NVTs, 147
Password, 59, 169
Performance, 218
Permissions, 181
Permisssions, 181
Port Lists, 86
Report Format, 164
Report Formats, 133
role, 91
Roles, 171
Roles (optional), 59, 169
Scan Configs, 152, 154
Scan Configurations, 164
Scan Management, 87, 93, 121, 127
Scanner Preferences, 155
Scanners, 164
Schedules, 118
SecInfo Management, 147, 195, 212
Switch Filter, 147
Targets, 84
Tasks, 87, 93, 127
User, 91
IPS, 242
ISMS, 227
ISO 27001, 227
ISO 27005, 227
LCD-Display
Airgap Master U1 updating USB..., 77
Airgap Master U2 USB stick ready.,
77
Airgap Slave DL1 updating from USB.,
77
Airgap Slave S0 ......., 77
USB MEM PRESENT ok to remove
., 77
Link-Status, 55
Liste der IP-Adressen, 54
Liste der Netzwerkkarten, 54
Liste der Routen, 55
Mitre, 204
Multisite, 238
Nagios, 236
NASL Wrapper, 156
Network Intrusion Detection System, 242
Network Vulnerability Test, 120, 197
NIDS, 242
Nmap, 156, 157
Note, 120
NTP, 41
NVT, 120, 152, 195, 197
NVT-Familie, 152
Observer, 91
OMD, 236
OMP, 58, 167, 187
OMP-Kommandos
create_target, 189
Open Monitoring Distribution, 236
Open Vulnerability and Assessment Language, 204
OpenVAS Management Protocol, 187
OVAL Definition, 195
Override, 123
Overrides, 98, 123
Ping, 156
Port-Scanner, 156
Powerfilter
and, 145
first, 144
not, 145
or, 145
rows, 144
262
INDEX
INDEX
sort, 144
sort-reverse, 144
tag, 145
Preferences
auto_enable_dependencies, 156
cgi_path, 156
checks_read_timeout, 156
Do a TCP ping, 159
Do an ICMP ping, 159
Do not randomize the order in which
ports are scanned, 160
Do not scan targets not in the file,
160, 161
drop_privileges, 156
File containing grepable results, 160,
161
Fragment IP packets, 160
Get Identd info, 160
Host Timeout, 160
host_expansion, 157
Identify the remote OS, 160
Initial RTT timeout, 160
log_whole_attack, 157
Mark unrechable Hosts as dead, 159
Max RTT timeout, 160
max_sysload, 157
Min RTT Timeout, 160
Minimum wait between probes, 160
network_scan, 157
nmap addtional ports for -PA, 159
nmap: try also with only -sP, 159
non_simult_ports, 158
optimize_test, 158
plugins_timeout, 158
Ports scanned in parallel (max), 160
Ports scanned in parallel (min), 160
Report about reachable Hosts, 159
Report about unrechable Hosts, 159
report_host_details, 158
reverse_lookup, 158
RPC port scan, 160
Run dangerous port scans even if
safe checks are set, 160
safe_checks, 158, 160
Service scan, 160
Source port, 160
TCP ping tries also TCP-SYN ping, 159
TCP scanning technique, 161
Timing policy, 161
unscanned_closed, 158
unscanned_closed_udp, 158
Use ARP, 159
Use hidden option to identify the remote OS, 160
Use Nmap, 159
use_mac_addr, 158
vhosts, 158, 159
vhosts_ip, 158, 159
Prognosis, 211
pure-ftpd, 78
QoD, 198
Quality of Detection, 198
Risikoanalyse, 227
Rollen
Admin, 171
Administrator, 169
Guest, 171, 174
Info, 169, 171
Maintenance, 172
Monitor, 171
Observer, 169, 171
ScanConfigAdmin, 172
Scanner, 172
Super Admin, 171
TargetAdmin, 172
TaskAdmin, 172, 173
User, 59, 169, 171
Routing, 45
Routing-Tabelle, 55
Scan Administrator, 25
Scan Config, 89
Schedule, 88
SecInfo Dashboard, 174
Slave, 90
Solution Type, 81
Solution-Type, 197
Sourcefire, 242
Status Code, 191
Super Admin, 32, 176, 177
Super Permissions, 177
Tag, 145
263
INDEX
INDEX
Target, 84, 88
Trend, 127
VendorFix, 81
Verinice, 227
VLAN, 45
WATO, 238
Web-Administrator, 25
264
INDEX
INDEX
265