OpenVAS-4

Schwachstellen-Management

• Home
• Magazin
• Know How
• IT-Security Themen & Trends

OpenVAS (Open Vulnerability Assessment System) ist ein freies Software-Framework aus verschiedenen Diensten und Werkzeugen und bildet eine praxiserprobte Lösung für Schwachstellen-Scanning und Schwachstellen-Management. Dieser Artikel enthält eine Vorstellung des OpenVAS in der aktuellen Version und beschreibt sowohl die Installation als auch den Einsatz des Schwachstellen-Scanner.

In diesem Artikel erfahren Sie...

• Vorstellung des OpenVAS-4
• Vorstellung der Installation von OpenVAS-4 auf Debian GNU/Linux "Lenny"
• Vorstellung der Bedienung von OpenVAS-4 über den Greenbone Security Assistant (GSA)
• Vorstellung professioneller Business-Services um das "Ökosystem" OpenVAS

Was Sie vorher wissen sollten...

• Grundkenntnisse zum Penetration-Testing
• Grundkenntnisse zu OpenVAS/Nessus
• Grundkenntnisse zu GNU/Linux
• Grundkenntnisse zum Schwachstellen-Management

OpenVAS übertrifft mit seinem Umfang klassische Vulnerability-Scanner, die ein System ausschließlich auf Schwachstellen prüfen und mit ausführlichem Reporting auf erforderliche Verbesserungen hinweisen.

So stellt das unter Beteiligung des BSI entwickelte OpenVAS nicht nur eine umfassende Sammlung von Werkzeugen für die Sicherheitsanalyse in Netzwerken zur Verfügung, sondern integriert zusätzlich eine Vielzahl von weiteren Sicherheitsanwendungen. Neben der Verzahnung mit verinice, einem ISMS-Tool für das Management von Informationssicherheit zur ISO 27001 auf der Basis von BSI IT-Grundschutz, ist OpenVAS durch die Funktion "Local Access Credentials" in der Lage, auch Schwachstellen aus der Innensicht eines Scanziels zu erkunden. Dazu greift es per SSH oder SMB auf das Zielsystem zu und prüft Anwendungszustände, die von außen nicht erkennbar sind, wie etwa der Patchstand von Anwendungen oder die Komplexität der lokalen Kennwörter.

Das Herzstück vom Open Vulnerability Assessment System bildet eine Serverkomponente, die eine Sammlung von Network Vulnerability Tests (NVT) nutzt, um Sicherheitsprobleme in Netzwerksystem und -anwendungen aufzuspüren. OpenVAS hat seine Wurzeln im zwischenzeitlich proprietär gewordenen Vulnerability Scanner Nessus. Seit der Abspaltung von Nessus wurde OpenVAS eigenständig weiterentwickelt und u.a. durch optional erhältliche Enterprise-Funktionen erweitert wie beispielsweise dem "Greenbone Security Feed" oder dem Greenbone Security Manager (GSM).

Zur erfolgreichen Einbindung des OpenVAS in der aktuellen Version 4 auf einem Debian GNU/Linux "Lenny" bedarf es – dem openSUSE Build Service (OBS) sei Dank – nur noch weniger Handgriffe, die im Folgenden exemplarisch verdeutlicht werden. Es beginnt mit der Hinzufügung des OpenVAS-Repositories nebst Integration des Keyfiles:

Nachkommend erfolgt die Einbindung der essenziellen Pakete z.B. in Form der Libraries, des Scanners und des Web-GUIs:

Es folgt die Erstellung eines Server-Zertifikats. Anschließend beginnt die erste Kontaktaufnahme mit einem OpenVAS NVT Feed – im Übrigen ein Procedere, was regelmäßig erfolgen muss falls ein Interesse daran besteht, stets über aktuelle Pattern zu verfügen. So empfiehlt es sich, mindestens vor jedem Scanning die Synchronisation der eigenen NVT-Sammlung mit einem OpenVAS NVT-Feed vorzunehmen um sicherzustellen, den jeweils aktuellsten Feed zu verwenden. Das OpenVAS-Projekt beschert uns freundlicherweise einen voreingestellten NVT Feed Service, der mit dem Synchronisationsskript "openvas-nvt-sync" aufgerufen wird und per Rsync oder Wget die neusten Plugins herunterlädt. Falls etwa ein qualitätsgesicherter Feed Service eingesetzt werden soll empfiehlt sich ein Blick auf die Website von Firma Greenbone.

Die folgenden Schritte dienen der Erstellung des Client-Zertifikats, der Hinzufügung von Benutzern und der Initialisierung/Konfiguration von sowohl Manager-Layer, OpenVAS Security Scanner als auch Webinterface.

Grundsätzlich ist die Installation vom OpenVAS-4 damit abgeschlossen, allerdings wird die Einbindung zusätzlicher Tools dringend empfohlen. So versteht sich OpenVAS nicht nur auf den Umgang mit Nmap, sondern lässt sich auch durch weitere Komponenten wie Nikto, ike-scan, snmpwalk, amap, pnscan, portbunny und auch strobe erweitern. Während ein paar der genannten Pakete zu kompilieren sind, lassen sich andere bequem über das Debian-Repository einbinden.

Da wir in unserem Beispiel über den Greenbone Security Assistant zugreifen wollen, reicht die Eingabe von "gsad" und der Webzugang steht per HTTPS zur Verfügung. Alternative Möglichkeiten des Zugriffs bestehen u.a. im OpenVAS-Client oder dem Greenbone Security Desktop, das Webinterface soll im Rahmen dieser kurzen Vorstellung jedoch das Vehikel unserer Wahl darstellen.

Die Anmeldung am Webinterface ist denkbar einfach: Den Webbrowser der Wahl starten, URL/IP vom OpenVAS eingeben und anmelden, hier z.B. an der https://192.168.1.215

Nach erfolgreicher Anmeldung erwartet den Nutzer eine aufgeräumte Oberfläche, die ohne unnötigen Ballast wie Java-Script oder Flash daherkommt und sich mit jedem beliebigem Webbrowser bedienen lässt.

Die wesentlichen Schritte, die zur Aufnahme des ersten Scanvorgangs erforderlich sind, gestalten sich vom Aufbau her wie folgt:

1. Einbindung der Ziele unter "Targets" (z.B. das Netz 192.168.1.0/24)
2. Erstellung des Scan-Jobs unter "New Task" nebst Wahl einer Scan Config und Scan Targets (z.B. Scan Config "Full and fast")
3. Betätigung des grünen Pfeils hinter dem gewünschten Task mit "Start Task"

An dieser Stelle darf nicht verschwiegen werden, dass der Scanvorgang erhebliche CPU-Ressourcen einfordert und somit je nach Größe des zu sichtenden Scopes unterschiedlich viel Zeit in Anspruch nimmt. Nicht unerheblich hängt dies auch von der Scan Config ab, die sich nicht nur um zusätzliche Elemente wie einer "Conficker Search Scan Config" erweitern, sondern auch optimieren lässt. An dieser Stelle sicherheitshalber der Hinweis, dass invasive Scans im schlimmsten Fall auf Zielen einen Dienst zum Absturz bringen oder Ressourcen beanspruchen. So führt die Option "Safe-Checks" zwar zu einem weniger zuverlässigen Bericht, macht aber eine Einschränkung der Funktionalität des Zielrechners während des Scanvorgangs weniger wahrscheinlich und ist somit für erste "Kontaktaufnahmen" die bessere Wahl.

Die Ergebnisse des Scanvorgangs, die sich im Übrigen bereits während des Ablaufs anteilig einsehen lassen, gleichen denen wie bei Abbildung 6 und 7. OpenVAS liefert im Report eine Beschreibung zur Schwachstelle und hilfreiche Informationen zu CVSS-Quellen, zudem besteht die Möglichkeit des Exports in verschiedenste Formate wie CPE, HTML, ITG, LaTeX, NBE, PDF, TXT und XML.

Nicht unerwähnt bleiben dürfen die zusätzlichen und liebevoll erweiterten Merkmale des quelloffenen OpenVAS-4 in Form des Report Format Plugin Framework, dem Master-Slave Mode für verteilte Installationen, den neuen und erweiterten Escalatoren, den editierbaren Credentials und beispielsweise den vielfältigen Möglichkeiten des Scheduling. Eine zum Download angebotene VM lädt zum Ausprobieren ein.

Fazit

Durch OpenVAS lassen sich im Rahmen eines Schwachstellen-Managements IT-Systeme entdecken, die in Schieflage geraten sind und netzwerkseitig "angeschossen" werden können. OpenVAS entfaltet seine vielfältigen Möglichkeiten erst bei intensiver Integration mit den zu prüfenden Komponenten, so dass viel Vorbereitung und Feinabstimmung notwendig ist, um optimalste Ergebnisse einzuspielen.

Für einen "kurzen Scan" ist OpenVAS schlichtweg zu schade. Wer die Lösung jedoch koordiniert und erfolgreich in sein Security Management integriert und stetig ausbaut, kann sich sicher sein, alle bedeutenden Schachstellen automatisiert abzuklopfen. Ein anfälliges IT-System lässt sich über diesen Weg sehr wirkungsvoll enttarnen, ermöglicht Rückschlüsse auf potenzielle Mängel im Informationssicherheitsmanagement und sorgt damit für eine stetige Verbesserung des Sicherheitsniveaus.

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.

blog comments powered by Disqus

Weitere Artikel zum Thema

alle Artikel zum Thema