Testreihe Security-Tools, Teil 1: OpenVAS
Schwachstellen erkennen und schließen
Der Schwachstellenscanner OpenVAS untersucht Zielsysteme mittels aktiver Anfragen auf Schwachstellen. Die kostenfreie Open-Source-Version bietet im Vergleich zu den kommerziellen Greenbone Enterprise Appliances einen reduzierten Funktionsumfang. Aufgrund der einfachen Bedienbarkeit per Web-Konsole eignet sich der Open-Source-Scanner trotzdem gut für den Einstieg in das Schwachstellen-Management.
Bekannte Schwachstellen sind für Angreifer nach wie vor ein beliebtes Einfallstor in Unternehmensnetze. Deshalb sollten auch kleinere Unternehmen regelmäßig Scans ihrer IT-Systeme durchführen und die erkannten Sicherheitslücken möglichst schnell schließen, um Angriffsflächen zu reduzieren. Ein leistungsfähiges Tool, verfügbar als Open-Source- oder kommerzielle Variante, stellt der von Greenbone Networks mitentwickelte Schwachstellenscanner OpenVAS (Open Vulnerability Assessment System) bereit. Die kostenpflichtigen Greenbone Enterprise Appliances, erhältlich als Hardware oder virtuelle Server, bieten zusätzliche Sicherheitsfunktionen und unterstützen auch Compliance-Richtlinien. Greenbone bietet die Schwachstellenscans zudem als Cloud-Service an. Im ersten Teil der LANline-Security-Testreihe nehmen wir OpenVAS unter die Lupe und zeigen, wie sich damit Sicherheitslücken im lokalen Netz aufspüren lassen.
Im Unterschied zu passiven Schwachstellenscannern, die den Datenverkehr im Netz zum Beispiel über Port-Mirroring auslesen, führt OpenVAS aktive Scans durch und schickt Anfragen an die Anwendungs-Ports der Zielsysteme. Passive Scans können nicht alle Anwendungen erkennen und sind nur so gut wie die in der Datenbank des jeweiligen Herstellers enthaltenen Infos zur Erkennung von Schadsoftware-Signaturen oder Angriffsmustern. OpenVAS ist zudem in der Lage, sich an den Zielsystemen anzumelden, wenn der Administrator bei der Scankonfiguration ein dafür berechtigtes Benutzerkonto angibt. Das Tool kann sich an Windows-, Linux-, Unix- und ESXi-Systemen sowie an Netzkomponenten anmelden. Die umfangreichsten Informationen lassen sich mit Scan-Tools erfassen, die einen auf den Zielgeräten installierten Software-Client verwenden. OpenVAS und Greenbones Appliances unterstützen diese Option jedoch nicht.
Wie oft ein Unternehmen in seinem Netzwerk Schwachstellenscans durchführen sollte, hängt von der Einschätzung der Bedrohungslage ab. Am besten wäre ein täglicher Scan aller IT-Systeme. Mit der Zahl der Systeme steigt aber auch die mit den Scans einhergehende Belastung der Systeme und des Netzwerks. Würde dies die IT-Services im Tagesbetrieb beeinträchtigen, wäre ein regelmäßiger Wochenendscan die zweitbeste Lösung. In größeren Netzen lässt sich die von den Scannern erzeugte Last durch eine verteilte Architektur mit eigenen Scansystemen in jeder Netzwerkzone reduzieren.
Installationsvarianten
Die Installationspakete der Open-Source-Version von OpenVAS lassen sich über GitHub herunterladen. Für die kostenfreie Greenbone Source Edition betreibt Greenbone eine eigene Community-Website. Für den LANline-Test kam Kali Linux mit OpenVAS zum Einsatz, das auf einem Lenovo-Notebook lief. Zusätzlich luden wir uns bei Greenbone die vorkonfigurierte virtuelle Appliance Greenbone Enterprise Trial herunter und importierten die OVA-Datei auf einen Testrechner mit VMware Workstation. Die Trial-Appliance ist auch für Oracle Virtual Box erhältlich. Nach dem Einschalten der VM startet in der lokalen VM-Konsole ein textbasierter Konfigurationsassistent, mit dem unter anderem der Benutzer für den Web-Konsolenzugriff angelegt wird. Gibt der Nutzer keinen Abo-Lizenzschlüssel ein, verwendet die Appliance als Basis für die Schwachstellenscans den Greenbone Community Feed mit abgespecktem Funktionsumfang. Um das komplette Feature-Set mit mehr als 100.000 Schwachstellentests nutzen zu können, ist der kostenpflichtige Greenbone Enterprise Feed zu abonnieren. Beim Einsatz von OpenVAS in der Open-Source-Version ist es wichtig, regelmäßig die Module zu aktualisieren, damit das System auf dem aktuellen Stand bleibt und für Scans die neuesten Informationen bereitstehen. Die kommerziellen Appliances führen diese Updates automatisch durch.
Die Bedienung von OpenVAS erfolgt über eine Web-Browser-Konsole, die sich durch Eingabe der IP-Adresse und des Ports 9392 öffnen lässt. Für die Scankonfiguration bietet OpenVAS einen Task-Assistenten. Die meisten Optionen stehen zur Verfügung, wenn der Administrator den Task manuell konfiguriert. Der Scanvorgang läuft in mehreren Schritten ab. Zunächst werden die im Netzsegment vorhandenen Systeme standardmäßig per ICMP-Ping ermittelt. Dann führt OpenVAS einen umfangreichen Port-Scan durch, um möglichst viele Informationen über die Konfiguration zu sammeln, zum Beispiel welche OS-Version und welche Applikationen auf einem Server laufen. Im nächsten Schritt testet die Software die Systeme aktiv darauf, ob die vom Port-Scan erkannten Anwendungen bekannte Sicherheitslücken aufweisen. Das Tool greift dafür auf eine umfangreiche Datenbank zu, die Beschreibungen zu zahlreichen Sicherheitslücken enthält und Softwaremodule für eine aktive Prüfung der Schwachstellen bereitstellt. Ist in der Scankonfiguration ein Benutzerkonto mit Log-in-Rechten angegeben, erfasst OpenVAS weitere sicherheitsrelevante Informationen, zum Beispiel ob alle aktuellen Betriebssystem-Patches installiert sind.
Ein Task Scheduler und eine automatische Alarmierung per E-Mail oder SNMP sind den kommerziellen Versionen vorbehalten. Mit der Open-Source-Variante kann sich der Administrator mit Linux-Tools eigene Automatisierungslösungen basteln, um zum Beispiel Scanjobs zeitgesteuert zu starten. Das Konfigurationsmenü bietet umfangreiche Optionen, um die Scanvorgänge individuell anzupassen. So lassen sich hier die Zielnetze definieren, eigene Port-Listen erstellen und Templates mit unterschiedlichen Scaneinstellungen anlegen. Den Default-Scan führt OpenVAS mit der Option Full and Fast durch, um die Beeinträchtigungen im Netzwerk und auf den untersuchten Systemen im vertretbaren Rahmen zu halten.
- Schwachstellen erkennen und schließen
- Im Testbetrieb
Lesen Sie mehr zum Thema
