Schwachstellen im Netzwerk mit GVM-20.08 finden

Im vorangegangenen Beitrag haben wir gezeigt, wie Sie die neuste Version des Schwachstellenscanners von Greenbone auf einem Ubuntu Server 20.04 installieren. Dabei hatten wir den unter Github bereitgestellten Quellcode genutzt und kompiliert.

Wir müssen leider diejenigen Leser enttäuschen die glauben, den Scanner ohne weitere Vorbereitungen auf ihr Netzwerk loslassen zu können. Natürlich ist ein schneller Start möglich. Sie werden aber ohne Kenntnis des genauen Ablaufs keine zufriedenstellenden Ergebnisse erreichen. Außerdem könnte die falsche Anwendung des Scanners ohne adäquate Ergebnisse ein falsches Resultat hervorbringen. Schon so manchem Administrator hat dies ein falsches Gefühl an Sicherheit gegeben.

Was sollten Sie wissen, bevor Sie anfangen?

  • Ein Schwachstellenscanner basiert, ähnlich wie es auch bei Virenschutzprogrammen üblich ist, auf Signaturen. Diese beschreiben die mögliche Schwachstelle. Oftmals werden hier z.B. die Versionen einer Softwarekomponente festgehalten, bei der die Schwachstelle auftritt. Eine Liste der bekannten Schwachstellen stellt Greenbone als sogenannten „Community Feed“ zur Verfügung. Wir hatten sie im vorangegangenen Beitrag mit dem Befehl greenbone-nvt-sync heruntergeladen. Natürlich werden auch hier weitere Prüfungen, z.B. auf Standardpasswörter oder Fehlkonfigurationen veranlasst und das Ergebnis in Berichten festgehalten.
  • Um u.a. die Version der auf den Zielsystemen installierten Software festzustellen, benötigt der Scanner Berechtigungen. Auf Linux-Systemen ist ein unprivilegierter Benutzer ausreichend und kann auf die meisten relevanten Informationen zugreifen. Auf Windows-Systemen ist in der Regel ein administrativer Account erforderlich. Bei Systemen mit Domänen-Controller muss der genutzte Benutzeraccount Mitglied der Gruppe Domain Administrators sein, um die bestmöglichen Ergebnisse zu erhalten. Wer dies nicht beachtet, wird kaum zufriedenstellende Berichte bekommen.
  • Zur Prüfung einzelne Windows-Systeme, die nicht mit einer Domäne verbunden sind, muss vor Beginn des Scans auf den Clients folgenden Registrierungsschlüssel festgelegt werden:
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
  • Eine häufige Fehlerquelle ist tatsächlich, dass der Scanner keine ausreichenden Berechtigungen hatte, um die Prüfungen auf dem Zielsystem auszuführen.
  • Das Prüfergebnis ist nur so gut, wie aktuell die bereitgestellten Signaturen sind. Daher sollte dies vor jedem Scan geprüft werden.

Ersten Scan einrichten

Feeds aktualisieren

Nachdem Sie sich in die Weboberfläche des Scanners eingeloggt haben, sollte der erste Blick in den Bereich Administration – Feed-Status gehen.









Wenn der Status unter NVTs nicht auf „Aktuell“ stehen sollte, führen Sie hier noch mal den Befehl greenbone-nvt-sync aus. Die anderen Listen können sie mit folgenden Kommandos aktualisieren:

greenbone-scapdata-sync --type GVMD_DATA &&\
greenbone-scapdata-sync --type SCAP &&\
greenbone-scapdata-sync --type CERT 

Anmeldedaten festlegen

Weiter oben haben wir bereits über die Bedeutung von Anmeldedaten gesprochen. Hier sollten Sie Nutzerkonten eintragen, die den Zugriff auf die Zielsysteme gewährleisten. Hierzu haben Sie verschiedene Möglichkeiten. Für Windows-Systeme hat sich bewährt, vor den Nutzernamen die Domäne anzugeben. Bei Stand-Alone PC konnten wir gute Ergebnisse erzielen, wenn wir vor den Nutzernamen den Namen des PC gesetzt hatten:

firmadomain\openvasadmin
Win7Client\john

Sie können neue Anmeldedaten festlegen, wenn Sie oben links auf das Symbol mit dem Stern („Neue Anmeldedaten“) klicken.












Ziele festlegen

Unter Konfiguration-Ziele haben Sie die Möglichkeit die Zielsysteme einzutragen. Dabei können Sie sowohl einzelne Systeme per IP-Adresse als auch komplette Netzwerkbereiche (z.B. 192.168.171.0/24) eintragen. Es ist auch möglich, eine Liste von Einzelsystemen aus einer bereitgestellten Textdatei einzulesen. Besonders wichtig ist es, hier die vorher angelegten Anmeldedaten zu hinterlegen, mit denen auf die Zielsysteme zugegriffen werden soll.














Aufgabe einrichten

Abschließend müssen wir noch eine „Aufgabe“ anlegen, die letztendlich GVM anweist, einen Schwachstellenscan auszuführen. Die Angaben sollten hier eigentlich selbsterklärend sein. In einer Aufgabe können Sie verschiedene Ziele eintragen und diese nach festgelegten Zeitplänen abarbeiten. Für den Anfang empfehlen wir die Scan-Konfiguration „Full and fast“ zu wählen und an den anderen Optionen nichts zu ändern.














Eingerichtete Aufgaben können Sie später über die Symbole auf der rechten Seite starten, stoppen, löschen, bearbeiten, klonen und exportieren.

Sobald eine Aufgabe gestartet wurde, beginnt GVM die Zielsysteme zu scannen und auszuwerten. Je nach installierter Hardware und verfügbaren Ressourcen kann das etwas Zeit in Anspruch nehmen.

Ergebnisse anzeigen und auswerten

Eine Zusammenfassung durchgeführter Schwachstellenscans werden Sie unter Scans-Berichte finden. Mit einem Klick auf den Bericht erhalten Sie eine detaillierte Auswertung des Scans. Ein erster Blick sollte dem Aktenreiter „Hosts“ gelten. Hier wird in der Spalte „Auth.“ angezeigt, ob eine Anmeldung auf dem Zielsystem mit den bereitgestellten Zugangsdaten möglich war.










Über den Aktenreiter „Ergebnisse“ finden Sie die umfangreiche Liste der gefundenen Schwachstellen in den Schweregraden „Hoch“ bis „Niedrig“. Bei diesem Beispiel handelt es sich um einen Windows 7 PC, der schon lange keine Updates mehr erhalten hatte.

















Fazit

Diese kurze Anleitung konnte natürlichen keinen umfassenden Einblick in alle Funktionen des neuen Schwachstellenscanners von Greenbone geben. Vielleicht hat sie aber dazu beigetragen, die Arbeitsweise der Software zu verstehen und einen ersten Scan im eigenen Testlabor auszuführen. Wer tiefer in die Materie einsteigen möchte, den empfehlen wir, die ausführliche Dokumentation zu lesen.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.