Installation von GFI LANguard NSS

Transcription

GFI LANguard Network Security Scanner 6
Handbuch
GFI Software Ltd.
GFI SOFTWARE Ltd.
http://www.gfisoftware.de
E-Mail: info@gfisoftware.de
Die Informationen in diesem Dokument können ohne vorherige
Ankündigung geändert werden. Die in den Beispielen verwendeten
Firmen, Namen und Daten sind, wenn nicht anders angegeben, rein
fiktiv. Ohne vorherige ausdrückliche und schriftliche Zustimmung von
GFI Software Ltd. darf dieses Dokument weder ganz noch teilweise in
irgendeiner Form, sei es elektronisch oder mechanisch oder zu
irgendeinem anderen Zweck reproduziert bzw. übertragen werden.
GFI LANguard ist ein urheberrechtlich geschütztes Produkt von GFI
SOFTWARE Ltd. 2000-2004 GFI SOFTWARE Ltd. Alle Rechte
vorbehalten.
Handbuch Version 6.0 – Letzte Änderung: 27.01.05
Inhaltsverzeichnis
Einführung
5
Funktionsweise des GFI LANguard Network Security Scanner .................................... 5
Potenzieller Schwachpunkt interne Netzwerk-Sicherheit .............................................. 5
Hauptmerkmale.............................................................................................................. 6
Komponenten von GFI LANguard N.S.S. ...................................................................... 7
Information zur Lizenzierung.......................................................................................... 8
Installation von GFI LANguard N.S.S.
9
Systemanforderungen.................................................................................................... 9
Installationsablauf .......................................................................................................... 9
Eingabe des Registrierschlüssels nach der Installation............................................... 11
Erste Schritte: Durchführung eines Sicherheits-Audits
13
Einführung.................................................................................................................... 13
Durchführung eines Scan-Vorgangs............................................................................ 13
Analyse der Scan-Ergebnisse...................................................................................... 15
IP, Rechnername, Betriebssystem und installierte Service
Packs .............................................................................................................. 15
Knoten für Sicherheitslücken („Vulnerabilities“).............................................. 15
Knoten für potenzielle Sicherheitslücken („Potential
Vulnerabilities“) ............................................................................................... 17
Freigaben (Shares) ......................................................................................... 18
Passwort-Richtlinien („Password Policy“) ....................................................... 18
Registry ........................................................................................................... 18
Richtlinien für Sicherheitsüberwachungen („Security Audit
Policy“) ............................................................................................................ 19
Offene Ports .................................................................................................... 20
Benutzer und Gruppen („Users & Groups“) .................................................... 21
Angemeldete Benutzer („Logged On Users”) ................................................. 21
Dienste ............................................................................................................ 22
System Patching-Status.................................................................................. 23
Network Devices ............................................................................................. 23
USB Devices ................................................................................................... 24
Zusätzliche Ergebnisse................................................................................................ 25
Computer ........................................................................................................ 25
Durchführung von On-Site- und Off-Site-Scans .......................................................... 25
On-Site-Scan................................................................................................... 26
Off-Site-Scan................................................................................................... 26
Vergleich von On-Site- und Off-Site-Scans .................................................... 26
Speicherung und Abruf von Scan-Ergebnissen
29
Einführung.................................................................................................................... 29
Speicherung von Scan-Ergebnissen in einer externen Datei ...................................... 29
Abruf von Scan-Ergebnissen ....................................................................................... 29
Abruf gespeicherter Scan-Daten aus der Datenbank ..................................... 29
Abruf gespeicherter Scans aus einer externen Datei ..................................... 30
GFI LANguard N.S.S. Handbuch
Inhaltsverzeichnis • i
Filtern der Scan-Ergebnisse
31
Einführung.................................................................................................................... 31
Auswahl der Quelle für die Scan-Ergebnisse .............................................................. 32
Erstellung eigener Scan-Filter...................................................................................... 32
Konfigurierung von GFI LANguard N.S.S.
35
Einführung.................................................................................................................... 35
Scan-Profile.................................................................................................................. 35
Zu überprüfende TCP/UDP-Ports („TCP/UDP Ports“)................................................. 36
Hinzufügen/Bearbeiten/Entfernen von Ports .................................................. 36
Zu überprüfende Betriebssysteminformationen („OS Data“) ....................................... 37
Zu überprüfende Sicherheitslücken („Vulnerabilities“ )................................................ 38
Verschiedene Arten von Sicherheitslücken .................................................... 38
Download der neuesten Informationen zu Sicherheitslücken......................... 39
Zu überprüfende Patches („Patches“).......................................................................... 39
Scanner-Optionen ........................................................................................................ 40
Network Discovery Methods ........................................................................... 41
Sonstige Geräte („Devices”) ........................................................................................ 42
Network Devices ............................................................................................. 43
USB Devices ................................................................................................... 44
Scans nach festem Zeitplan......................................................................................... 46
Parameter-Dateien....................................................................................................... 48
Einsatz von GFI LANguard N.S.S. per Befehlszeile .................................................... 49
Patch-Installation
51
Einführung.................................................................................................................... 51
Agent für die Patch-Installation ....................................................................... 51
Schritt 1: Durchführen eines Netzwerk-Scans ............................................................. 52
Schritt 2: Auswahl von Rechnern, auf denen Patches installiert
werden sollen ............................................................................................................... 52
Schritt 3: Auswahl der zu installierenden Patches....................................................... 53
Schritt 4: Download der Patch- und Service Pack-Dateien ......................................... 54
Download der Patches.................................................................................... 55
Schritt 5: Installationsparameter für Patch-Dateien ..................................................... 55
Schritt 6: Installation der Updates ................................................................................ 56
Installation eigener Software........................................................................................ 57
Schritt 1: Auswahl der Rechner für die Installation von
Software/Patches ............................................................................................ 58
Schritt 2: Angabe der zu installierenden Software.......................................... 58
Schritt 3: Beginn der Installation ..................................................................... 59
Installationsoptionen .................................................................................................... 60
Allgemein ........................................................................................................ 60
Erweitert .......................................................................................................... 61
Download-Verzeichnis .................................................................................... 61
Vergleich von Scan-Ergebnissen
63
Warum Ergebnisse vergleichen? ................................................................................. 63
Interaktiver Vergleich von Scan-Ergebnissen.............................................................. 63
Ergebnis-Vergleich nach einem festen Zeitplan .......................................................... 64
GFI LANguard N.S.S. Status-Monitor
65
Anzeige geplanter Aktionen ......................................................................................... 65
Active Scheduled Scan ................................................................................... 65
Installationen nach festem Zeitplan ................................................................ 66
Inhaltsverzeichnis • ii
Datenbank-Wartung – Optionen
69
Einführung.................................................................................................................... 69
Änderung der Datenbank............................................................................................. 69
MS Access ...................................................................................................... 69
MS SQL Server ............................................................................................... 70
Verwaltung gespeicherter Scan-Ergebnisse................................................................ 71
Weitere Optionen ......................................................................................................... 71
Werkzeuge
73
Einführung.................................................................................................................... 73
DNS-Lookup................................................................................................................. 73
Traceroute.................................................................................................................... 74
Whois-Client................................................................................................................. 75
SNMP Walk.................................................................................................................. 75
SNMP Audit.................................................................................................................. 76
MS SQL Server Audit................................................................................................... 76
Enumerate Computers................................................................................................. 77
Start eines Sicherheits-Scans......................................................................... 77
Installation eigener Patches............................................................................ 78
Aktivierung von Überwachungsrichtlinien ....................................................... 78
Enumerate Users ......................................................................................................... 78
Hinzufügen von Sicherheitschecks per Bedingungen/Skripten
79
Einführung.................................................................................................................... 79
GFI LANguard N.S.S. VBScript ................................................................................... 79
GFI LANguard N.S.S. SSH-Modul ............................................................................... 79
Stichwörter: ..................................................................................................... 80
Hinzufügen von auf individuellen vbs-Skripten basierenden
Sicherheitschecks ........................................................................................................ 83
Schritt 1: Erstellung des Skripts ...................................................................... 83
Schritt 2: Hinzufügen des neuen Sicherheitschecks:...................................... 83
Hinzufügen von auf individuellen SSH-Skripten basierenden
Sicherheitschecks ........................................................................................................ 85
Schritt 1: Erstellung des Skripts ...................................................................... 85
Schritt 2: Hinzufügen des neuen Sicherheitschecks:...................................... 85
Hinzufügen eines Sicherheitschecks für CGI-Schwachstellen .................................... 87
Hinzufügen weiterer Kontrollen für Sicherheitslücken ................................................. 88
Troubleshooting
93
Einführung.................................................................................................................... 93
Knowledge Base .......................................................................................................... 93
Allgemeine FAQs ......................................................................................................... 93
Support-Fragen per E-Mail .......................................................................................... 93
Support-Anfrage per Web-Chat ................................................................................... 94
Support-Anfrage per Telefon ....................................................................................... 94
Web-Forum .................................................................................................................. 94
Mitteilungen zu neuen Builds ....................................................................................... 94
Index
95
Inhaltsverzeichnis • iii
Einführung
Funktionsweise des GFI LANguard Network Security Scanner
GFI LANguard Network Security Scanner (N.S.S.) ist ein Tool, mit
dem sich Sicherheitsüberprüfungen von Netzwerken schnell und
problemlos durchführen lassen. Zudem erstellt GFI LANguard N.S.S.
Berichte, mit deren Hilfe Sicherheitsprobleme in einem Netzwerk
schnell erkannt und beseitigt werden können. Ein weiteres
Leistungsmerkmal des Produkts ist die Verwaltung von Patches.
Im Gegensatz zu anderen Sicherheits-Scannern liefert der N.S.S.
keine unübersichtliche Flut von Informationen, die mühevoll bewertet
und
analysiert
werden
müssen.
Stattdessen
bietet
die
Sicherheitslösung
eine
übersichtliche
Aufstellung
aller
netzwerkrelevanten Informationen. Ferner werden Hyperlinks zu
Sicherheits-Sites bereitgestellt, wo sich weitergehende Informationen
zu den jeweils festgestellten Sicherheitslücken abrufen lassen.
Mit Hilfe seiner intelligenten Scan-Funktionen sammelt GFI LANguard
N.S.S. rechnerspezifische Informationen wie Benutzernamen,
Gruppen, Netzwerk-Freigaben, USB-Geräte, Wireless-Geräte und
andere Daten, die über eine Windows-Domäne verfügbar sind.
Zusätzlich
identifiziert
der
N.S.S.
auch
andere
Sicherheitsschwachstellen wie Konfigurationsprobleme bei FTPServern, Exploits auf Microsoft IIS- und Apache Web-Servern,
fehlerhaft konfigurierte Windows-Sicherheitsrichtlinien sowie eine
Vielzahl anderer potenzieller Gefahrenquellen.
Potenzieller Schwachpunkt interne Netzwerk-Sicherheit
Das Problem der internen Netzwerk-Sicherheit wird in den meisten
Fällen von Administratoren nicht genügend beachtet und unterschätzt.
Oftmals besteht kein Schutz gegen Angriffe von innen, sodass es für
Benutzer ein Leichtes ist, mit Hilfe von bekannten Exploits,
Vertrauensstellungen oder sogar Standardeinstellungen auf Rechner
von Kollegen zuzugreifen. Für den überwiegenden Teil dieser Angriffe
ist kein oder nur wenig Fachwissen erforderlich, und die Integrität des
Netzwerks kann jederzeit kompromittiert werden.
Ein universeller Zugriff auf alle Rechner, Verwaltungsfunktionen,
Netzwerk-Geräte u. ä. durch sämtliche Mitarbeiter ist in den meisten
Fällen nicht erforderlich und sollte zudem auch nicht ermöglicht
werden. Für den normalen Betrieb interner Netzwerke ist jedoch ein
hohes Maß an Flexibilität erforderlich. Mit Regeln, die maximale
Sicherheit garantieren, wäre die Produktivität zu sehr eingeschränkt.
Fehlen jedoch entsprechende Sicherheitsmechanismen, können
interne Benutzer zu einer großen Gefahr für das Intranet werden.
Einführung • 5
Mitarbeiter innerhalb eines Unternehmens haben oftmals bereits weit
reichenden Zugriff auf viele interne Quellen. Um an vertrauliche Daten
im internen Netzwerk zu kommen, müssen sie nicht einmal Firewalls
oder andere Sicherheitsbarrieren überwinden, die zum Schutz vor
Anfragen aus nicht vertrauenswürdigen externen Quellen (z. B. aus
dem Internet) errichtet wurden. Interne Benutzer können mit ein wenig
Fachkenntnis sogar an administrative Netzwerk-Rechte für den
Fernzugriff gelangen. Dieser Missbrauch bleibt oftmals vollkommen
unerkannt oder ist nur sehr schwer als ein solcher zu identifizieren.
80% aller Netzwerk-Angriffe werden innerhalb des Firewallgeschützten Bereichs verübt (ComputerWorld, Januar 2002).
Eine unzureichende Netzwerk-Sicherheit bedeutet zudem, dass beim
erfolgreichen Zugriff eines externen Hackers auf nur einen Rechner
des Netzwerks auch das übrige interne Netzwerk ohne größere
Probleme kontrolliert werden kann. Versierte Angreifer hätten somit
die Möglichkeit, vertrauliche E-Mails und Dokumente zu lesen, diese
zu veröffentlichen oder Rechner unbrauchbar zu machen, indem z. B.
wichtige Systemdaten gelöscht werden. Zudem können Ihr Netzwerk
und die Netzwerk-Ressourcen auch selbst als Ausgangspunkt für
weitere Angriffe auf andere Sites eingesetzt werden. Wird ein solcher
Angriff zurückverfolgt, sind nur Sie und Ihr Unternehmen als
Verursacher erkennbar, jedoch nicht der Hacker!
Die meisten Angriffe erfolgen über bekannte Exploit-Schwachstellen
von Netzwerken, die sich problemlos beseitigen lassen.
Voraussetzung hierfür ist jedoch, dass der Administrator über die
Sicherheitslücken informiert ist. Diese Aufgabe übernimmt der N.S.S.
und hilft Administratoren somit bei der Identifizierung von
Gefahrenquellen.
Hauptmerkmale
6 • Einführung
•
Identifizierung schädlicher Dienste und offener TCP- und UDPPorts
•
Erkennung bekannter Sicherheitsschwachstellen in den Bereichen
CGI, DNS, FTP, E-Mail, RPC u.v.m.
•
Erkennung von Funkverbindungen mit zugehörigen Geräten
•
Identifizierung von Backdoor-Usern
•
Erkennung von offenen Freigaben und Auflistung von Anwendern,
die darauf Zugriff haben, inkl. Berechtigungen
•
Auflistung von Gruppen und Gruppenmitgliedern
•
Auflistung von Benutzern, Diensten etc.
•
Auflistung von USB-Geräten
•
Auflistung von Netzwerk-Geräten und Identifizierung
Gerätetyps (kabel- oder funkbasiert, virtuelles Gerät)
•
Durchführung von Scans nach festem Zeitplan
•
Automatische
Aktualisierung
Sicherheitslücken
•
Identifizierung fehlender Hot Fixes und Service Packs für das
Betriebssystem
der
Suchroutinen
des
für
•
Identifizierung fehlender Hot Fixes und Service Packs für
unterstützte Anwendungen
•
Speicherung und Abruf von Scan-Ergebnissen
•
potenzieller Schwachstellen
•
Patch-Installation für Betriebssysteme (Windows-Systeme in den
Sprachen Englisch, Französisch, Deutsch, Italienisch, Spanisch)
und Office-Anwendungen (Englisch, Französisch, Deutsch,
Italienisch, Spanisch)
•
Identifizierung des Betriebssystems
•
Erkennung aktiver Hosts
•
Ausgabe von Ergebnissen in Datenbanken und HTML-, XSL- und
XML -Format
•
SNMP- & MS SQL-Auditing
•
VBScript-kompatible Skriptsprache, mit der maßgeschneiderte
Sicherheitsüberprüfungen erstellt werden können
•
SSH-Modul zum Starten von Sicherheitsskripten auf Linux/UnixRechnern
•
Gleichzeitiges Scannen mehrerer Rechner.
zur
Identifizierung
neuer
Komponenten von GFI LANguard N.S.S.
GFI LANguard N.S.S. baut auf einer leistungsfähigen Architektur auf
und umfasst folgende Komponenten:
GFI LANguard Network Security Scanner
Die Hauptoberfläche des Produkts. Mit Hilfe diese Anwendung können
Scan-Ergebnisse in Echtzeit abgerufen sowie Scan-Optionen, ScanProfile und Filter-Berichte konfiguriert werden. Zudem stehen spezielle
Tools für das Sicherheits-Management zur Verfügung.
GFI LANguard N.S.S. Attendant
Mit diesem Dienst werden planmäßige Netzwerk-Scans und PatchVerteilungen/Installationen durchgeführt. Der Dienst läuft im
Hintergrund.
GFI LANguard N.S.S. Patch-Agent
Dieser Dienst läuft auf den Zielrechnern, auf denen Patches, Service
Packs oder Software-Lösungen zu installieren sind. Er sorgt für die
korrekte Installation des jeweiligen Patches, Service Packs oder der
Software.
GFI LANguard N.S.S. Skript-Debugger
Nutzen Sie dieses Modul, um Skripten zu erstellen/eine
Fehlerbehebung für selbst erstellte Skripten durchzuführen.
GFI LANguard N.S.S. Monitor
Mit diesem Modul können Sie den Status der geplanten Scans und
aktuell durchgeführten Software-Updates kontrollieren. Geplante
Aktionen, die noch nicht ausgeführt wurden, können deaktiviert
werden.
Einführung • 7
Information zur Lizenzierung
Die Lizenzierung von GFI LANguard N.S.S. erfolgt auf Grundlage der
Anzahl der Rechner und Geräte, die gescannt werden sollen. Bei
einer Lizenz für 100 IPs können Sie zum Beispiel bis zu 100 Rechner
oder Geräte von einem einzigen Arbeitsplatzrechner/Server in Ihrem
Netzwerk aus scannen.
8 • Einführung
Installation von GFI LANguard N.S.S.
Systemanforderungen
Für die Installation von GFI LANguard Network Security Scanner sind
erforderlich:
•
Windows 2000/2003 oder Windows XP
•
Internet Explorer 5.1 oder höher.
•
Installierter Client für Microsoft Networks.
•
Während der Scan-Vorgänge darf KEINE persönliche/DesktopFirewall oder die in Windows XP integrierte InternetverbindungsFirewall aktiviert sein. Andernfalls könnte diese die ScanFunktionen des N.S.S. blockieren.
HINWEIS: Nähere Informationen zur Konfigurierung der Active
Directory-Richtlinien für die Unterstützung des Scannen von/auf
Rechnern mit Windows XP, auf denen Service Pack 2 installiert
ist,
finden
Sie
unter
http://kbase.gfi.com/showarticle.asp?id=KBID002177.
•
Zum Verteilen von Patches
Administratorrechte erforderlich.
auf
Remote-Rechner
sind
Installationsablauf
1. Sie starten die Installation von GFI LANguard Network Security
Scanner
mit
einem
Doppelklick
auf
die
Setup-Datei
languardnss6.exe. Bestätigen Sie, dass Sie GFI LANguard N.S.S.
installieren möchten. Daraufhin wird der Installationsassistent
gestartet. Klicken Sie auf „Weiter“.
2. Klicken Sie im Dialogfenster der Lizenzvereinbarung auf „Yes“, um
die Lizenzvereinbarung zu akzeptieren und mit der Installation
fortzufahren.
3. Geben Sie im folgenden Schritt ihre persönlichen Angaben und den
Registrierschlüssel ein.
Installation von GFI LANguard N.S.S. • 9
Angabe der Login-Daten des Domänen-Administrators/Verwendung eines lokalen Systemkontos
4. Setup fragt Sie nach den Anmeldeinformationen für den DomänenAdministrator, die für den GFI LANguard N.S.S. Attendant, der
planmäßige Scans durchführt, benötigt werden. Geben Sie die Daten
ein, und klicken Sie auf „Next”.
Auswahl des Datenbank-Backend
5. Sie werden aufgefordert, den Datenbank-Backend für die
Datenbank von GFI LANguard N.S.S. auszuwählen. Sie haben die
Auswahl zwischen Microsoft Access oder Microsoft SQL
Server/MSDE. Klicken Sie nach Ihrer Wahl auf „Next“.
HINWEIS: SQL Server/MSDE muss im gemischten Modus oder SQL
Server-Authentifizierungs-Modus
installiert
sein.
Der
NTAuthentifizierungsmodus allein reicht nicht aus.
10 • Installation von GFI LANguard N.S.S.
6. Wenn Sie Microsoft SQL Server/MSDE als Datenbank-Backend
ausgewählt haben, müssen Sie die SQL-Anmeldeinformationen
angeben, die für die Datenbankanmeldung erforderlich sind. Klicken
Sie auf „Next", um fortzufahren.
7. Sie werden nun nach der E-Mail-Adresse des Administrators und
dem Namen Ihres E-Mail-Servers gefragt. Diese Angaben werden für
den Versand der Administrator-Warnmeldungen benötigt.
8. Wählen Sie das Installationsverzeichnis für den N.S.S., und klicken
Sie auf „Next”. GFI LANguard N.S.S. benötigt ca. 40 MB freien
Festplattenspeicher.
9. Nachdem die Software erfolgreich installiert worden ist, können Sie
das Programm über das Start-Menü aufrufen.
Eingabe des Registrierschlüssels nach der Installation
Nachdem Sie GFI LANguard N.S.S. erworben haben, können Sie
Ihren Registrierschlüssel unter dem Knoten „General" > „Licensing"
eingeben.
Wenn Sie eine Testversion von GFI LANguard N.S.S. nutzen, können
Sie die Software (mit Evaluierungsschlüssel) nur für 60 Tage
einsetzen. Wenn Sie nach Ablauf dieser Frist GFI LANguard N.S.S.
kaufen möchten, brauchen Sie hier nur den endgültigen
Registrierschlüssel einzugeben, ohne das Produkt erneut installieren
zu müssen.
Sie müssen die Lizenz nach der von Ihnen gewünschten Anzahl der
zu scannenden Rechner und der Anzahl der Computer, auf denen der
N.S.S. laufen soll, auswählen. Wenn GFI LANguard N.S.S. z. B. von
drei Administratoren in Ihrem Unternehmen eingesetzt wird, müssen
Sie somit drei Lizenzen erwerben.
Bitte verwechseln Sie die Eingabe des Registrierschlüssels nicht mit
der Online-Registrierung Ihrer Firmendaten auf der GFI-Web-Site. Die
Online-Registrierung ist wichtig, um Ihnen bei Problemen schneller
helfen und Sie über wichtige Produktmitteilungen informieren zu
können. Bitte lassen Sie sich registrieren unter:
http://www.gfisoftware.de/de/pages/regfrm.htm
Hinweis: Hinweise zum Kauf von GFI LANguard N.S.S. finden Sie
unter dem entsprechenden Unterknoten zu den allgemeinen
Einstellungen.
Installation von GFI LANguard N.S.S. • 11
Erste Schritte: Durchführung eines
Sicherheits-Audits
Einführung
Mit Hilfe eines Sicherheits-Audits können Administratoren potenzielle
Sicherheitslücken in einem Netzwerk aufdecken. Eine manuelle
Überprüfung ist sehr zeitaufwändig, da sich viele Arbeitschritte und
Aufgaben wiederholen und für jeden einzelnen Netzwerk-Rechner
durchgeführt werden müssen. Mit GFI LANguard N.S.S. lassen sich
Sicherheitskontrollen Ihres Netzwerks automatisch durchführen, und
Ihr Netzwerk wird schnell und effektiv auf gängige Schwachstellen
überprüft.
Hinweis: Werden in Ihrem Unternehmen IDS-Produkte eingesetzt,
löst der Scan-Vorgang des GFI LANguard Network Security Scanner
sämtliche Alarme dieser Produkte aus. Sind Sie nicht mit der
Administration des IDS-Systems betraut, sollten Sie daher den
zuständigen Administrator über einen bevorstehenden Scan
informieren.
Neben den von den Scans verursachten IDS-Alarmen sollten Sie auch
beachten, dass viele der Scans auch in Protokolldateien verzeichnet
werden. UNIX-Logs, Web-Server usw. zeigen die Zugriffsversuche
des Rechners an, von dem der N.S.S. gestartet wird. Gibt es mehrere
Netzwerk-Administratoren in Ihrem Unternehmen, sollten Sie Ihre
Kollegen über bevorstehende Scans informieren.
Durchführung eines Scan-Vorgangs
Der erste Schritt zu Beginn eines Netzwerk-Audits besteht darin,
einen Scan der aktiven Netzwerk-Rechner und -Geräte
durchzuführen.
So starten Sie einen Netzwerk-Scan:
1. Klicken Sie auf „File“ > „New“.
2. Wählen Sie die zu scannenden Bereiche aus. Zur Auswahl stehen:
a. „Scan one Computer“ – Scann einen einzelnen Rechner.
b. „Scan Range of Computers“ – Scann einen bestimmten IPBereich.
c. „Scan List of Computers“ – Scannt eine selbst definierte
Liste mit Computern. Rechner können dieser Liste
hinzugefügt werden, indem Sie sie aus einer Übersicht der
verfügbaren Rechner auswählen, sie einzeln eingeben
oder über eine txt-Datei importieren.
Erste Schritte: Durchführung eines Sicherheits-Audits • 13
d. „Scan a Domain“ – Scannt eine gesamte WindowsDomäne.
e. „Scan Favorites“ – Scannt eine Favoriten-Liste mit von
Ihnen angegebenen Rechnern (über die Schaltfläche „Add
to favorites“).
3. Je nachdem, welche Scan-Funktion Sie wählen, müssen Sie die
Anfangs- und End-Adresse des zu überprüfenden Bereichs
angeben.
4. Klicken Sie auf „Start Scan“.
Durchführung eines Scan-Vorgangs
GFI LANguard N.S.S. führt nun den gewünschten Scan durch.
Zunächst werden sämtliche aktiven Hosts/Computer aufgelistet und
nur diese gescannt. Hierfür werden NetBIOS-Probes, ICMP-Ping und
SNMP-Anfragen eingesetzt.
Reagiert ein Gerät auf einen dieser Tests nicht, geht der N.S.S. davon
aus, dass es zum Zeitpunkt der Überprüfung unter keiner bestimmten
IP-Adresse erreichbar oder gerade deaktiviert ist.
Hinweis: Wenn ein Scan auch auf jeden Fall für IPs durchgeführt
werden soll, die zunächst nicht antworten, finden Sie die hierfür
notwendigen Einstellungen im Kapitel „Konfigurierung der ScanOptionen“.
14 • Erste Schritte: Durchführung eines Sicherheits-Audits
Analyse der Scan-Ergebnisse
Analyse der Scan-Ergebnisse
Nach jedem Scan-Vorgang sind unter allen vom N.S.S. gefundenen
Rechnern verschiedene Knoten aufgeführt. Im linken Fenster werden
sämtliche Rechner und Netzwerk-Geräte aufgelistet. Werden diese
erweitert, erscheinen weitere Unterknoten mit allen Informationen, die
zum jeweiligen Rechner oder dem Netzwerk-Gerät gesammelt werden
konnten. Durch einen Mausklick auf einen dieser Knoten werden die
Scan-Ergebnisse im rechten Fenster angezeigt.
Während eines Netzwerk-Scans findet der N.S.S. alle aktiven
Netzwerk-Geräte. Eine genaue Identifizierung der Geräte durch den
N.S.S. und die Art der abrufbaren Informationen sind abhängig vom
Gerätetyp und dem Anfragetyp, auf den das Gerät reagiert.
Ist die Überprüfung des Rechners/Geräts/Netzwerks abgeschlossen,
werden folgende Informationen angezeigt:
IP, Rechnername, Betriebssystem und installierte Service
Packs
Die IP-Adresse des Rechners/Geräts wird angegeben. Danach folgt
der NetBIOS-/DNS-Name, je nach Gerätetyp.
Zudem zeigt der
N.S.S. an, welches Betriebssystem auf den überprüften Rechnern
läuft. Bei Windows NT/2000/XP/2003 erhalten Sie zudem
Informationen zu den installierten Service Packs.
Knoten für Sicherheitslücken („Vulnerabilities“)
Der Knoten für Sicherheitslücken („Vulnerabilities“) informiert Sie über
bekannte Sicherheitsprobleme und gibt Tipps, wie diese zu beseitigen
sind. Zu diesen Sicherheitsgefahren zählen fehlende Patches und
Service Packs, HTTP-Schwachstellen, NetBIOS- und Konfigurationsprobleme etc.
Sicherheitslücken werden in folgende Kategorien eingeteilt: Fehlende
Service Packs („Missing Service Packs“), fehlende Patches („Missing
Patches“), kritische Sicherheitslücken („High Security Vulnerabilities“),
wichtige Sicherheitslücken („Medium security vulnerabilities“) und
kleinere Sicherheitslücken („Low security vulnerabilities“).
Unter
jeder
der
Kategorien
für
kritische/wichtige/kleinere
Sicherheitslücken erfolgt eine weitere Klassifizierung der gefundenen
Probleme in: CGI-Missbrauch, Schwachstellen aus den Bereichen
FTP, DNS, E-Mail, RPC, Dienste, Registry und sonstigen Bereichen.
Nach Abschluss des Scan-Vorgangs und der Auflistung der
verschiedenen Schwachstellen können Sie über einen Doppelklick auf
die Schwachstelle (oder per rechtem Mausklick > „More Details“)
deren Eigenschaften-Fenster aufrufen. Mit Hilfes dieses Dialoges und
seinen wichtigen Informationen können Sie sofort feststellen, wo und
wie die Schwachstelle aufgetreten ist. Ebenso können Sie auf weitere
Details wie eine umfangreichere Beschreibung abrufen, die im
Ergebnisbaum nicht abgebildet ist.
Folgende Informationen
Schwachstelle aufgeführt:
sind
im
Eigenschaften-Fenster
der
•
Name
•
Kurzbeschreibung
•
Sicherheitsebene
•
URL
•
Für Sicherheitscheck benötigte Zeit
•
Checks (um festzustellen, ob der Zielrechner für diesen Check
besteht)
•
Ausführliche Beschreibung
Missing patches: GFI LANguard N.S.S: sucht nach fehlenden
Patches, indem überprüft wird, welche Patches für ein bestimmtes
Produkt bereits installiert und welche zusätzlich verfügbar sind. Fehlen
Patches, sieht die entsprechende Warnmeldung in etwa wie folgt aus:
Als Erstes erscheint die Meldung, für welches Produkt ein Patch fehlt.
Mit einem Klick auf das Produkt erfahren Sie dann, welcher Patch im
Einzelnen fehlt. Über den angegebenen Link können Sie diesen Patch
dann herunterladen.
CGI Abuses informiert Sie über Probleme bei Apache-, Netscape-,
IIS- und anderen Web-Servern.
FTP Vulnerabilities, DNS Vulnerabilities, Mail Vulnerabilities, RPC
Vulnerabilities und Miscellaneous Vulnerabilities bieten Links zu
Bugtraq oder anderen Sicherheits-Sites, wo Sie weitere Informationen
zu den vom N.S.S. gefundenen Problemen finden.
Service Vulnerabilities können verschiedenste Bereiche betreffen:
Sie können sich auf aktuelle Dienste beziehen, die auf dem
untersuchten Gerät laufen sind, oder auch auf bisher ungenutzte
Rechner-Konten.
Registry Vulnerabilities werden für Schwachstellen ausgegeben, die
zu Beginn des Scans in der Registrierdatenbank eines WindowsRechners gefunden werden. Hierbei können über entsprechende
Links zur Microsoft-Site oder anderen Security-Sites nähere
Informationen abgerufen werden, warum die betreffenden RegistryEinträge geändert werden sollten.
Information Vulnerabilities sind Sicherheitsmitteilungen, die in der
Datenbank gespeichert werden und über die der Administrator
informiert sein muss; sie beschreiben Sicherheitslücken, die jedoch
nur bedingt gefährlich sind.
Knoten für potenzielle Sicherheitslücken („Potential
Vulnerabilities“)
Im Knoten für potenzielle Sicherheitslücken („Potential Vulnerabilities“)
erhalten Sie Angaben zu möglichen Schwachstellen, wichtigen
Informationen sowie zu Checks, die keine Sicherheitslücken
aufzeigen. Falls z. B. nicht festgestellt werden konnte, ob ein
bestimmter Patch installiert ist, wird dieser bei den Scan-Ergebnissen
unter dem Knoten „Non-detectable Patches“ aufgeführt. Der
Administrator muss daraufhin die entsprechenden Überprüfungen
manuell durchführen.
Knoten für potenzielle Sicherheitslücken
Freigaben (Shares)
Der Knoten „Shares" informiert Sie über alle Freigaben auf einem
Rechner und welche Anwender darauf Zugriff haben. Sämtliche
Netzwerk-Freigaben müssen gesichert werden. Administratoren
sollten sicherstellen, dass:
1. kein Benutzer anderen Anwendern Zugriff auf die gesamte
Festplatte gewährt
2. ein anonymer/nicht authentifizierter Zugriff auf Freigaben nicht
erlaubt ist
3. Auto-Start-Ordner oder ähnliche Systemdateien nicht gemeinsam
genutzt werden können. Andernfalls hätten Benutzer mit
eingeschränkten Zugriffsrechten dennoch die Möglichkeit,
Programme/Code auf Zielrechnern zu starten.
Diese Warnungen gelten für alle Rechner, jedoch insbesondere für
solche, die wichtig für die Systemintegrität sind, z. B. der Primary
Domain Controller (PDC). Wird der Autostart-Ordner (oder das
Verzeichnis mit dem Autostart-Ordner) auf dem PDC vom
Administrator für alle Benutzer freigegeben, kann dies schwer
wiegende Folgen haben. Mit den entsprechenden Zugriffsrechten
können Benutzer problemlos ausführbare Dateien in den AutostartOrdner kopieren, die dann beim nächsten interaktiven Login des
Administrators gestartet werden.
Hinweis: Wenn Sie einen Scan durchführen, während Sie als
Administrator angemeldet sind, werden auch die administrativen
Freigaben angezeigt, z. B. „C$ - Standardfreigabe“. Diese Freigaben
stehen normalen Anwendern jedoch nicht zur Verfügung.
Aufgrund der neuartigen Verbreitung des Klez-Virus und anderer
neuer Viren über offene Freigaben sollten alle nicht benötigten
Freigaben deaktiviert werden. Alle anderen sollten durch ein Passwort
gesichert sein.
HINWEIS: Die Anzeige der administrativen Freigaben lässt sich
verhindern, indem Sie die Scan-Profile über „Configuration“ >
„Scanning Profiles“ > „OS Data“ > „Enumerate Shares“ ändern.
Passwort-Richtlinien („Password Policy“)
Mit Hilfe dieses Knotens können Sie kontrollieren, ob die PasswortRichtlinien genügend Sicherheit bieten. Beispielsweise können Sie
die maximale Gültigkeitsdauer festlegen und die PasswortProtokollierung aktivieren. Die minimale Passwort-Länge sollte 8
Zeichen betragen. Wenn Sie Windows 2000 verwenden, können Sie
mit Hilfe eines GPO (Group Policy Object) in Active Directory eine
netzwerkweite Richtlinie für sichere Passwörter erstellen.
Registry
Dieser Knoten liefert wichtige Informationen zur Remote-Registry.
Klicken Sie auf den Knoten „Run“ um herauszufinden, welche
Programme beim Booten des Rechners automatisch gestartet
werden.
Stellen Sie sicher, dass die automatisch gestarteten Applikationen
keine Trojaner oder sogar erwünschte Programme sind, über die per
Fernzugriff auf einen Rechner zugegriffen werden kann (wenn solche
Software nicht in Ihrem Netzwerk eingesetzt werden darf). Jede
Remote-Access-Software kann sich u. U. als Backdoor-Schwachstelle
herausstellen und von Hackern ausgenutzt werden.
HINWEIS: Die Liste der abzurufenden Registry-Schlüssel und -Werte
lässt
sich
über
eine
Bearbeitung
der
XML-Datei
„toolcfg_regparams.xml"
aus
dem
Verzeichnis
„%LNSS_INSTALL_DIR%\Data“ ändern.
Richtlinien für Sicherheitsüberwachungen („Security Audit
Policy“)
Über diesen Knoten werden Sie informiert, welche verschiedenen
Audit-Richtlinien auf dem Remote-Rechner aktiviert sind. Folgende
Überwachungsrichtlinien sind zu empfehlen:
Überwachungsrichtlinie
Anmeldeversuche
Erfolg
Ja
Fehler
Ja
Kontenverwaltung
Ja
Ja
Active Directory-Zugriff
Ja
Ja
Anmeldeereignisse
Ja
Ja
Objektzugriffsversuch
Ja
Ja
Richtlinienänderungen
Ja
Ja
Rechteverwendung
Nein
Nein
Vorgangsprotokollierung
Nein
Nein
Systemereignisse
Ja
Ja
Die Überwachung kann direkt über GFI LANguard N.S.S. aktiviert
werden. Klicken Sie hierfür mit der rechten Maustaste auf einen der
Rechner im linken Fenster, und wählen Sie „Enable auditing“.
Hierdurch
wird
der
Administrations-Assistent
für
Überwachungsrichtlinien gestartet.
Geben Sie an, welche Audit-Richtlinien aktiviert werden sollen. Unter
Windows NT stehen sieben und unter Windows 2000 neun
Überwachungsrichtlinien zur Verfügung. Aktivieren Sie die
gewünschten Richtlinien auf den zu überwachenden Rechnern.
Klicken Sie hierfür auf „Next“.
Aktivierung von Überwachungsrichtlinien auf Remote-Rechnern
Treten keine Fehler auf, wird der Abschlussdialog angezeigt.
Andernfalls erscheint ein Dialogfenster, das Sie darüber informiert, auf
welchen Rechnern die Richtlinienaktivierung fehlgeschlagen ist.
Ergebnisdialog im Assistenten für Sicherheitsrichtlinien
Offene Ports
Der Knoten „Open Ports“ führt alle offenen Ports auf, die auf dem
Rechner gefunden wurden (Port-Scan). GFI LANguard N.S.S. führt
einen eingeschränkten Port-Scan durch, d. h., es werden nicht
standardmäßig alle 65535 TCP- und 65535 UPD-Ports gescannt,
sondern nur solche, die von Ihnen festgelegt wurden. Über die ScanOptionen lassen sich die zu überprüfenden Ports im Einzelnen
festlegen. Weitere Informationen hierzu finden Sie im Kapitel
„Konfigurierung von GFI LANguard N.S.S.“
Jeder offene Port steht für einen Dienst/eine Applikation. Ist einer
dieser Dienste nur unzureichend vor Missbrauch geschützt, können
Hacker ungehindert Zugriff auf diesen Rechner nehmen. Daher ist es
wichtig, nicht benötigte Ports zu schließen.
Hinweis: Bei Windows Networks sind die Ports 135, 139 und 445
immer offen.
Der N.S.S. zeigt alle offenen Ports an. Wird ein Port als ein bekannter
Trojaner-Port eingestuft, wird er vom Scanner ROT angezeigt.
Andernfalls erscheint ein GRÜNER Punkt. Dies zeigt folgender
Screenshot:
Hinweis: Selbst wenn ein Port als möglicher Trojaner-Port ROT
angezeigt wird, heißt dies jedoch nicht, dass auf dem betreffenden
Rechner tatsächlich ein Backdoor-Programm installiert ist. Einige
gültige Programme greifen auf dieselben Ports zurück wie
verschiedene, bereits bekannte Trojaner. Ein bekanntes Anti-VirenProgramm nutzt beispielsweise denselben Port wie der NetBus
Backdoor-Trojaner. Daher sollten Sie immer die angegebenen
Banner-Informationen kontrollieren und auf den betreffenden
Rechnern weitere Prüfungen durchführen.
Benutzer und Gruppen („Users & Groups“)
Diese beiden Knoten geben Aufschluss über lokale Gruppen und
Benutzer, die auf dem Rechner verfügbar sind. Überprüfen Sie die
Scan-Ergebnisse auf zusätzliche Benutzerkonten, und kontrollieren
Sie, ob das Gastkonto deaktiviert ist. Über diese Konten könnte durch
böswillige Benutzer und Gruppen eine Hintertür für den Zugriff auf das
Netzwerk geöffnet werden!
Einige Backdoor-Programme aktivieren das Gastkonto erneut und
versehen es mit Administrator-Rechten. Daher sollten Sie die
Angaben des Benutzer-Knotens überprüfen, um einen Überblick über
die Aktivitäten aller Konten und ihre Rechte zu erhalten.
Benutzer sollten sich nicht über ein lokales Konto anmelden können,
sondern nur in einer Domäne oder über ein Active Directory-Konto.
Zudem ist es auch noch wichtig zu überprüfen, ob Passwörter
eventuell bereits zu lange in Gebrauch sind.
Angemeldete Benutzer („Logged On Users”)
Dieser Knoten zeigt eine Liste der auf dem Zielrechner aktuell
angemeldeten Benutzer an. Die Liste ist in zwei Bereiche unterteilt.
Lokal angemeldete Benutzer („Locally Logged On Users”)
In dieser Übersicht sind alle Benutzer aufgeführt, die eine Sitzung
lokal gestartet haben. Falls verfügbar, werden folgende Informationen
zu jedem angemeldeten Benutzer bereitgestellt:
1. Logon date and time (Logon-Datum und -Zeit)
2. Elapsed time (Aktuelle Sitzungsdauer)
Remote angemeldete Benutzer („Remote Logged On Users”)
In dieser Übersicht sind alle Benutzer aufgeführt, die eine Sitzung per
Fernzugriff auf dem Zielrechner gestartet haben. Folgende
Informationen werden zu jedem angemeldeten Benutzer bereitgestellt:
1. Logon date and time (Logon-Datum und -Zeit)
2. Elapsed time (Aktuelle Sitzungsdauer)
3. Idle time (Leerlaufzeit)
4. Client type (Client-Typ)
5. Transport
Begriffserklärungen:
Logon date and time: Zeigt an, an welchem Tag und zu welcher
Uhrzeit sich der Benutzer am Zielrechner angemeldet hat. Dieses Feld
steht bei lokalen und Remote-Verbindungen zur Verfügung.
Elapsed time: Zeigt an, wie lang der Benutzer bereits auf dem
Zielrechner angemeldet ist. Dieses Feld steht bei lokalen und RemoteVerbindungen zur Verfügung.
Idle time: Zeigt an, wie lang sich die Verbindung bereits im Leerlauf
befindet. Die Leerlaufzeit wird bei vollständiger Inaktivität durch den
Benutzer/die Verbindung gemessen. Dieses Feld steht nur bei
Remote-Verbindungen zur Verfügung.
Client type: Zeigt an, von welcher Plattform der Benutzer die RemoteVerbindung gestartet hat. Im Allgemeinen ist dies das Betriebssystem
des Rechners, über den die Verbindung aufgebaut wurde. Dieses
Feld steht nur bei Remote-Verbindungen zur Verfügung.
Transport: Zeigt an, welcher Dienst für den Verbindungsaufbau
verwendet wurde. Dieses Feld steht nur bei Remote-Verbindungen
zur Verfügung.
Dienste
Sämtliche Dienste, die auf den überprüften Rechnern laufen, werden
aufgelistet. Es sollten nur tatsächlich benötigte Dienste aktiv sein.
Stellen Sie daher sicher, dass alle anderen Dienste deaktiviert sind.
Jeder Dienst stellt ein potenzielles Sicherheitsrisiko dar und könnte als
„Schlupfloch“ für Hacker dienen.
Werden überflüssige Dienste
geschlossen oder deaktiviert, sinkt das Sicherheitsrisiko automatisch.
System Patching-Status
Dieser Knoten informiert Sie darüber, welche Patches auf dem
Remote-Rechner installiert und registriert sind.
Network Devices
Dieser Knoten zeigt eine Liste aller installierten Netzwerk-Geräte an.
Die Geräte werden in folgende Kategorien unterteilt:
•
Physical devices – Wired (Physische Geräte – kabelgebunden)
•
Physical devices
Funkverbindung)
•
Virtuelle Geräte
–
Wireless
(Physische
Geräte
–
Identifizierte Netzwerk-Geräte
Für jedes Gerät werden (falls verfügbar) folgende Eigenschaften
aufgelistet:
•
MAC-Adresse
•
Zugewiesene IP-Adresse(n)
•
Host-Name
•
Domäne
•
DHCP-Angaben
•
WEP (falls verfügbar)
•
SSID (falls verfügbar)
•
Gateway
•
Status
HINWEIS: Die Suche nach neuen Netzwerk-Geräten sollte
regelmäßig durchgeführt werden. Unerlaubt angeschlossene
Wireless-Geräte können die Netzwerk-Sicherheit sowohl innerhalb als
auch außerhalb Ihrer Geschäftsräume kompromittieren.
USB Devices
Über diesen Knoten erfahren Sie, welche USB-Geräte zum Zeitpunkt
des Scans am Zielrechner angeschlossen sind. So können Sie
überprüfen, ob nicht autorisierte Geräte mit USB-Anschlüssen
verbunden sind. Vor allem tragbare Speichermedien stellen ein hohes
Sicherheitsrisiko dar. Aber auch nach USB-Funkadaptern wie
Bluetooth-Dongles sollte gesucht werden. Mit ihrer Hilfe können
Dateien unerlaubt zwischen Rechnern und Handys, PDAs und
anderen Bluetooth-fähigen Geräten ausgetauscht werden.
Liste auf Zielrechner gefundener USB-Geräte
HINWEIS: Sie können GFI LANguard N.S.S. so konfigurieren, dass
unautorisiert
angeschlossene
USB-Geräte
(z.
B.
„USBMassenspeicher“) als kritische Sicherheitslücke angezeigt werden.
Hierfür gehen Sie bitte auf „Configuration“ > „Scanning Profiles“ >
„Devices“ > „USB Devices“.
Als sicherheitsgefährdend eingestuftes USB-Gerät („Critical Vulnerability")
Zusätzliche Ergebnisse
Folgende Knoten und Ergebnisse sollten Sie kontrollieren, nachdem
Sie die bereits oben beschriebenen, wichtigeren Scan-Ergebnisse
überprüft haben.
NetBIOS names
Mit Hilfe dieses Knotens erfahren Sie im Detail, welche Dienste auf
einem Rechner installiert sind.
Computer
MAC gibt die MAC-Adresse der Netzwerk-Karte an.
Username gibt den Namen des aktuell angemeldeten Benutzers oder
den Rechnernamen an.
TTL gibt den jedem Gerät eigenen Time To Live-Wert (TTL) an. Die
Standardwerte sind 32, 64, 128 und 255. Der TTL-Wert basiert auf
diesen Werten und dem tatsächlichen TTL des Datenpakets und
informiert über den Abstand (Anzahl der Router-Hops) zwischen dem
N.S.S.-Rechner und dem gerade gescannten Computer.
Computer Usage informiert Sie darüber, ob der untersuchte Rechner
eine Workstation oder ein Server ist.
Domain informiert Sie über die vertrauenswürdige(n) Domäne(n),
wenn der gescannte Rechner Teil einer Domäne ist.
Gehört er zu keiner Domäne, wird die Arbeitsgruppe angezeigt, deren
Bestandteil er ist.
LAN manager bietet Angaben zum verwendeten LAN-Manager (und
zum Betriebssystem).
Sessions
Zeigt die IP-Adressen der Rechner an, die zum Zeitpunkt des ScanVorgangs mit dem Zielrechner verbunden waren. In den meisten
Fällen ist dies nur der Rechner, auf dem der N.S.S. eingesetzt wird
und der kurz zuvor eine Verbindung aufgebaut hat.
Hinweis: Da sich dieser Wert laufend ändert, wird er nicht im Bericht
gespeichert, sondern dient lediglich der allgemeinen Information.
Network Devices
Bietet eine Liste der Netzwerk-Geräte, die auf dem gescannten
Rechner zur Verfügung stehen.
Remote TOD
Tageszeit der Gegenstelle. Gibt die Netzwerk-Zeit auf dem
gescannten Rechner an, die vom Domänen-Controller bestimmt wird.
Durchführung von On-Site- und Off-Site-Scans
Es ist zu empfehlen, N.S.S.-Scans mit Hilfe zweier Methoden
durchzuführen, den so genannten On-Site- und Off-Site-Scans.
On-Site-Scan
Richten Sie einen Rechner ein, auf dem Sie GFI LANguard N.S.S.
installieren. Führen Sie einen Scan Ihres Netzwerks über eine NullSitzung durch. Wählen Sie hierfür „Null Session“ aus dem Drop-DownListenfeld aus.
Nach diesem ersten Scan ändern Sie die Einstellung über das
Listenfeld bitte auf „Currently logged on user“ (wenn Sie administrative
Rechte für Ihre Domäne besitzen) oder auf „Alternative credentials“,
über die administrative Rechte für die Domäne oder Active Directory
zur Verfügung stehen.
Sie sollten die Ergebnisse
Vergleichswerte speichern.
dieses
zweiten
Durchgangs
als
Mit der Null-Sitzung haben Sie die Möglichkeit herauszufinden, welche
Daten Benutzer sehen können, die eine Verbindung mit Ihrem
Netzwerk über eine solche Null-Sitzung herstellen.
Der mit
Administrator-Rechten durchgeführte Scan informiert Sie über alle Hot
Fixes und Patches, die auf dem Rechner fehlen.
Off-Site-Scan
Ist ein Netzwerk-Zugriff per DFÜ möglich oder eine High-SpeedInternet-Anbindung verfügbar, die nicht an Ihr Unternehmen gebunden
ist, sollten Sie nun Ihr Netzwerk auch von außen einem Scan
unterziehen.
Führen Sie einen Scan Ihres Netzwerks per Null-Sitzung durch.
Dadurch erfahren Sie, welche Informationen bei einem über das
Internet gestarteten Scan Ihres Netzwerks abrufbar sind. Der Scan
kann jedoch durch Firewalls in Ihrem Unternehmen oder bei Ihrem
ISP beeinträchtigt werden. Gleiches gilt auch für die Kommunikation
über Router, die bestimmte Pakettypen nicht weiterleiten.
Speichern Sie die Ergebnisse, um sie später als Vergleichswerte
heranziehen zu können.
Vergleich von On-Site- und Off-Site-Scans
Die von GFI LANguard Network Security Scanner gesammelten
Informationen sollten nun genauer analysiert werden.
Sind die Daten des Scans, der per Null-Sitzung aus dem Netzwerk
heraus erfolgt ist, mit denen des externen Scans identisch, scheint Ihr
Netzwerk keine funktionsfähige Firewall oder andere Sicherheitsfilter
zu besitzen. In diesem Fall sollten Sie sich zunächst um diese
Sicherheitslücken kümmern.
Überprüfen Sie danach, welche Informationen von außerhalb Ihres
Netzwerks abrufbar sind.
Sie sollten überprüfen, ob z. B. Ihre
Domain Controller für alle externen Benutzer sichtbar sind oder ob
eine Liste aller Computer-Konten öffentlich zugänglich ist.
Zudem sollten Sie bei Web-Servern, FTP-Zugängen und Ähnlichem
eigene Sicherheitsprioritäten festlegen.
Diese Vorgänge müssen von Ihnen selbst durchgeführt werden. So
ist es unter Umständen erforderlich, beispielsweise nach Patches für
Web-Server und FTP-Server zu suchen. Auch die Einstellungen für
SMTP-Server sollten überprüft und ggf. geändert werden. Kein
Netzwerk gleicht dem anderen. Der N.S.S. hilft Ihnen gezielt bei der
Suche nach Netzwerk-Schwachstellen und Sicherheitsproblemen und
verweist auf qualifizierte Web-Sites, die Lösungsvorschläge zur
Beseitigung dieser Gefahren bieten.
Wenn Sie Dienste finden, die aktiv sind aber nicht benötigt werden,
sollten Sie diese auf jeden Fall deaktivieren. Jeder Dienst stellt ein
potenzielles Sicherheitsrisiko dar, das Dritten einen unautorisierten
Zugriff auf Ihr Netzwerk ermöglicht. Es werden ständig neue BufferOverflow-Techniken und Exploits entwickelt, die Ihr Netzwerk
bedrohen. Schutzmaßnahmen, die gegenwärtig als zuverlässig
eingestuft werden, können sich sehr schnell als veraltet und somit als
Sicherheitsrisiko erweisen.
Daher sollten Sicherheits-Scans in regelmäßigen Abständen
durchgeführt werden.
Nur so können Sie sicher sein, dass
Schwachstellen entdeckt werden, bevor Hacker sich diese zum
Eindringen in Ihr Netzwerk zu Nutze machen können.
Speicherung und Abruf von ScanErgebnissen
Einführung
Nachdem GFI LANguard N.S.S. einen Sicherheits-Scan beendet hat,
werden die Scan-Resultate automatisch im Datenbank-Backend
gesichert (MS Access/MS SQL Server).
Die Ergebisse können aber auch in einer externen XML-Datei
gesichert werden.
Zur weiteren Verarbeitung oder zum Vergleichen von Ergebnissen
lassen sich Scan-Daten über die Benutzeroberfläche des N.S.S.
erneut abrufen. Das Laden gespeicherter Scan-Daten ist vor allem
dann von Nutzen, wenn Berichte zu einem unveränderten System
erstellt oder darauf Patches installiert werden müssen, für das kein
erneutes Scannen erforderlich ist.
Speicherung von Scan-Ergebnissen in einer externen Datei
Nach Abschluss eines Sicherheits-Scans sind alle Ergebnisse bereits
automatisch im Datenbank-Backend gesichert. Um die Resultate in
einer externen Datei zu speichern, gehen Sie wie folgt vor:
•
Gehen Sie auf „Datei“ > „Save scan results…“
•
Übernehmen Sie den vorgegebenen Dateinamen oder wählen
Sie einen eigenen.
•
Klicken Sie auf „Save“.
Abruf von Scan-Ergebnissen
Abruf gespeicherter Scan-Daten aus der Datenbank
GFI LANguard N.S.S. speichert in der Datenbank die letzten 30
Scans, die für einen Zielrechner mit einem bestimmten Scan-Profil
durchgeführt worden sind.
So rufen Sie die gesicherten Scan-Ergebnisse aus der Datenbank ab:
1. Klicken Sie mit der rechten Maustaste auf „GFI LANguard N.S.S.“
> „Security Scanner“.
2. „Load saved scan results from…“ > „Database“. Der Dialog zur
Auswahl der Scan-Ergebnisse wird aufgerufen.
3. Wählen Sie aus der Liste den abzurufenden Scan aus.
4. Klicken Sie auf „OK“.
Speicherung und Abruf von Scan-Ergebnissen • 29
Abruf gespeicherter Scan-Ergebnisse im Haupfenster
Abruf gespeicherter Scans aus einer externen Datei
So rufen Sie die gesicherten Scan-Ergebnisse aus einer externen
Datei ab:
1. Klicken Sie mit der rechten Maustaste auf „GFI LANguard N.S.S.“
> „Security Scanner“.
2. „Load saved scan results from…“ > „XML…“. Der Dialog zum
Öffnen von in XML-Dateien gespeicherten Scan-Ergebnissen wird
aufgerufen.
3. Wählen Sie den Scan aus, dessen Ergebnisse aufgerufen werden
sollen.
4. Klicken Sie auf „OK“.
30 • Speicherung und Abruf von Scan-Ergebnissen
Filtern der Scan-Ergebnisse
Einführung
Nachdem GFI LANguard N.S.S. einen Scan durchgeführt hat, werden
die Ergebnisse im zugehörigen Fenster „Scan results“ angezeigt.
Wenn Sie jedoch eine großen Anzahl von Rechnern gescannt haben,
ist es u. U. empfehlenswert, die Daten über den Knoten „Scan Filters“
zu filtern. Durch Anklicken dieses Knotens und Auswahl eines
vorgegebenen Filters werden die Scan-Ergebnisse nach den von
Ihnen gewünschten Kriterien sortiert. Im Lieferumfang von GFI
LANguard N.S.S. sind bereits mehrere Standard-Filter enthalten.
Zudem können Sie eigene Scan-Filter erstellen.
Scan-Filter
Folgende Scan-Filter sind bereits im Lieferumfang enthalten:
Full report: Zeigt sämtliche während eines Scans gesammelten
sicherheitsbezogenen Daten an.
Vulnerabilities [High Security]: Informiert über Sicherheitsprobleme,
die dringend behoben werden sollten – fehlende Service
Packs/Patches, schwer wiegende Sicherheitsschwachstellen und
offene Ports.
Vulnerabilities
[Medium
Security]:
Informiert
über
Sicherheitsprobleme, die vom Administrator untersucht werden sollten
– z. B. mittelschwere Sicherheitsprobleme und Patches, die nicht
entdeckt werden können.
Filtern der Scan-Ergebnisse • 31
Vulnerabilities[All]:
Zeigt
sämtliche
identifizierten
Sicherheitsprobleme an – fehlende Patches/Service Packs,
potenzielle Schwachstellen, nicht auffindbare Patches, wichtige und
kritische Sicherheitsprobleme.
Missing patches and service packs: Führt sämtliche auf den
überprüften Rechnern fehlenden Service Packs und Patches auf.
Important devices – USB: Führt sämtlichte USB-Geräte auf, die mit
den gescannten Geräten verbunden sind.
Important devices – Wireless: Führt sämtliche WirelessNetzwerkkarten (PCI und USB) auf, die mit den gescannten Geräten
verbunden sind.
Open Ports: Informiert über alle offenen TCP- und UDP-Ports.
Open Shares: Führt sämtliche offenen Freigaben auf und informiert
darüber, wer darauf Zugriff hat.
Auditing Policies: Listet die Einstellungen der Audit-Richtlinien jedes
einzelnen überprüften Rechners auf.
Password Policies: Listet die aktiven Passwort-Richtlinien jedes
einzelnen überprüften Rechners auf.
Groups and users: Listet die auf jedem überprüften Rechner
identifizierten Benutzer und Gruppen auf.
Computer properties: Zeigt die Eigenschaften jedes kontrollierten
Rechners an.
Auswahl der Quelle für die Scan-Ergebnisse
Die Filter sind standardmäßig so eingerichtet, dass stets die aktuellen
Scan-Daten analysiert werden. Es ist jedoch auch möglich, eine
andere Datenquelle für die Scan-Ergebnisse auszuwählen und die
Filter auf deren Dateien anzuwenden (aus XML-Datei oder
Datenbank). Dazu gehen Sie folgendermaßen vor:
1. Gehen Sie über die Scanner-Oberfläche des N.S.S. auf den
Knoten „Security Scanner“.
2. Klicken Sie mit der rechten Maustaste, und wählen Sie „Load
saved scan results from…”.
3. Wählen Sie die Datenquellen aus, in denen die zu filternden
Ergebnisse gespeichert sind.
4. Selektieren Sie den Datenbank-Eintrag oder die XML-Datei, in
dem/der sich die benötigten Scan-Ergebnisse gesichert sind.
5. Klicken Sie auf „OK“. Die gespeicherten Scan-Ergebnisse werden
nun abgerufen und entsprechend präsentiert.
6. Alle Filter verarbeiten dabei die Daten des gewählten Datensatzes
und zeigen die Ergebnisse an.
Erstellung eigener Scan-Filter
Eigene Scan-Filter werden wie folgt erstellt:
1. Klicken Sie mir der rechten Maustaste im Security-Scanner auf den
Knoten „Scan Filters“, und wählen Sie „New“ > „Filter…“.
2. Der Eigenschaften-Dialog für den Scan-Filter wird geöffnet.
32 • Filtern der Scan-Ergebnisse
Scan-Filter – Registerkarte „Allgemein”
3. Benennen Sie den Scan-Filter.
4. Über die Schaltfläche “Add…” fügen Sie die Bedingungen hinzu,
nach denen die Scan-Ergebnisse gefiltert werden sollen. Es können
mehrere Bedingungen festgelegt werden. Für jede einzelne sind die
Eigenschaft, die Operatoren „Und“ oder „Oder“ sowie der Wert
anzugeben. Zu den verfügbaren Eigenschaften zählen das
Betriebssystem, Hostname, angemeldeter Benutzer, Domäne, Service
Pack, Freigaben usw.
Dialogfenster zum Hinzufügen von Filtereigenschaften
Filtern der Scan-Ergebnisse • 33
5. Über „Report Items” können Sie auswählen, welche verschiedenen
Informationsbereiche vom Filter berücksichtigt werden sollen.
6. Klicken Sie auf „OK", um den Filter zu erstellen.
Scan-Filter – „Report Items”
Hierdurch wird unter dem Knoten für die Scan-Filter ein neuer,
dauerhaft nutzbarer Filter erstellt.
HINWEIS: Durch einen rechten Mausklick auf einen Filter unter dem
Knoten „Scan Filters“ kann dieser per “Delete…/Properties“
gelöscht/geändert werden.
Beispiel 1 – Suche nach Rechnern ohne bestimmtem Patch
Sie können Ihr Windows-Netzwerk nach Rechnern durchsuchen
lassen, auf denen ein bestimmter Patch fehlt, z. B. MS03-026.
(hierbei handelt es sich um den Patch für den Blaster-Virus).
Konfigurieren Sie den Filter wie folgt:
1. Bedingung 1: Das Betriebsystem enthält („includes“) Windows.
2. Bedingung 2: Hot Fix (Patch) ist nicht installiert („is not installed“)
MS03-026
Beispiel 2 – Auflisten aller Sun-Stations mit einem Web-Server
Um alle Sun-Stations zu finden, die auf Port 80 einen Web-Server
betreiben, muss die Suchanfrage wie folgt aussehen:
1. Das Betriebsystem enthält („includes“) SunOS.
2. TCP-Port ist offen 80.
34 • Filtern der Scan-Ergebnisse
Konfigurierung von GFI LANguard
N.S.S.
Einführung
Die Konfigurierung von GFI LANguard N.S.S. erfolgt über den Knoten
„Configuration“. Hier können Sie Scan-Optionen, Scan-Profile mit
unterschiedlichen
Scan-Optionen,
Scans
nach
Zeitplan,
Warnmeldungen und vieles mehr einrichten.
Scan-Profile
Scan-Profile
Mit Hilfe von Scan-Profilen können Sie verschiedene Arten von Scans
konfigurieren, um speziell nach von Ihnen gewünschten Informationen
suchen zu können.
Erstellen Sie ein Scan-Profil, indem Sie auf den Knoten
„Configuration" gehen und unter „Scanning Profiles" mit einem rechten
Mausklick „Neu“ > „Scan Profile“ auswählen.
Für jedes Profil lassen sich folgende Optionen konfigurieren:
1. „TCP Ports“ (zu überprüfende TCP-Ports)
2. „UDP Ports“ (zu überprüfende UDP-Ports)
3. „OS Data“ (zu überprüfende Betriebssysteminformationen)
4. „Vulnerabilities“ (zu überprüfende Sicherheitslücken)
5. „Patches“ (zu überprüfende Patches)
Konfigurierung von GFI LANguard N.S.S. • 35
6. „Scanner Options“ (Scanner-Optionen)
7. „Devices” (sonstige Geräte)
Zu überprüfende TCP/UDP-Ports („TCP/UDP Ports“)
Die Registerkarte für zu überprüfende TCP/UDP-Ports ermöglicht es
Ihnen festzulegen, welche TCP- und UDP-Ports gescannt werden
sollen. Um einen Port hinzuzufügen, aktivieren Sie bitte das
Kontrollkästchen neben dem gewünschten Port.
Konfigurierung über ein Profil zu scannender Ports
Hinzufügen/Bearbeiten/Entfernen von Ports
Wenn Sie eigene TCP/UDP-Ports hinzufügen möchten, klicken Sie
bitte auf die Schaltfläche „Add“. Der Dialog zum Hinzufügen von Ports
wird aufgerufen.
36 • Konfigurierung von GFI LANguard N.S.S.
Hinzufügen eines Ports
Geben Sie die Port-Nummer oder einen Port-Bereich ein, und fügen
Sie eine Beschreibung zum Programm hinzu, das diesen Port nutzen
soll. Wenn es sich bei dem mit diesem Port verbundenen Programm
um einen bekannten Trojaner-Port handelt, aktivieren Sie das
Kontrollkästchen „Is a Trojan port“.
In diesem Fall ist der Kreis neben dem betreffenden Port (s. o.) rot
dargestellt.
Hinweis: Bitte beachten Sie, dass Sie diesen Port im richtigen
Protokoll-Fenster eintragen, entweder „TCP Ports“ oder „UDP Ports“.
Ports lassen sich mit einem Mausklick auf die Schaltflächen „Edit“
oder „Remove“ bearbeiten bzw. entfernen.
Zu überprüfende Betriebssysteminformationen („OS Data“)
Über die Registerkarte zu den zu überprüfenden BetriebssystemInformationen werden die gewünschten Informationen angegeben, die
der N.S.S. während des Scan-Vorgangs abrufen soll. Zurzeit können
nur Daten zu Windows-Betriebssystemen abgerufen werden. Der
N.S.S. wird jedoch für die Unterstützung von UNIX vorbereitet.
Zu überprüfende Sicherheitslücken („Vulnerabilities“ )
Festlegung der zu überprüfenden Sicherheitslücken
Über die Registerkarte zu den zu überprüfenden Sicherheitslücken
werden alle Schwachstellen angegeben, nach denen sich mit dem
N.S.S. scannen lässt. Sämtliche Scans nach Sicherheitslücken
können über die Deaktivierung des Kontrollkästchens „Check for
vulnerabilities” außer Kraft gesetzt werden.
Der N.S.S ist standardmäßig so konfiguriert, dass nach allen
bekannten
Sicherheitslücken
gescannt
wird.
Einzelne
Sicherheitslücken können jedoch durch Deaktivieren des
Kontrollkästchens von der Überprüfung ausgeschlossen werden.
Über das rechte Fenster lassen sich die einzelnen zu überprüfenden
Schwachstellen mit einem Doppelklick öffnen und bearbeiten. Über
die Option „Security Level” lassen lässt sich die Gefährdungsstufe
einer Sicherheitslücke verändern.
Verschiedene Arten von Sicherheitslücken
Sicherheitslücken werden in folgende Kategorien eingeteilt: Fehlende
Patches, nicht identifizierbare Patches, CGI-Missbräuche, FTPSicherheitslücken, DNS-Sicherheitslücken, E-Mail-Sicherheitslücken,
RPC-Sicherheitslücken,
Service-Sicherheitslücken,
RegistrySicherheitslücken und sonstige Sicherheitslücken.
Erweiterte Optionen für Sicherheitschecks
Durch Anklicken der Schaltfläche „Advanced” stehen Ihnen folgende
Optionen zur Verfügung:
•
Internal Checks überprüft anonyme FTP-Passwörter, unsichere
Passwörter usw.
•
CGI Probing sollten Sie aktivieren, wenn Sie Web-Server haben,
die auf CGI zurückgreifen. Wenn Sie einen Proxy-Server
verwenden, können Sie diesen ebenfalls angeben.
•
New vulnerabilities are enabled by default aktiviert/deaktiviert
die Berücksichtigung neu hinzugefügter Sicherheitslücken bei
allen Scan-Profilen.
Download der neuesten Informationen zu Sicherheitslücken
Um die Sicherheitslücken-Datenbank zu aktualisieren, wählen Sie
über das Menü des N.S.S. „Help“ > „Check for updates“. Es wird eine
Verbindung zur GFI Web-Site hergestellt, um die neuesten
Informationen zu Sicherheitslücken herunterzuladen. Dabei werden
auch die Fingerprint-Dateien aktualisiert, mit denen sich feststellen
lässt, welches Betriebssystem auf einem Gerät installiert ist.
HINWEIS: Die Datenbank kann bereits beim Starten von GFI
LANguard N.S.S. automatisch aktualisiert werden. Wenn Sie dies
wünschen, können Sie die entsprechenden Einstellungen über den
Knoten „GFI LANguard N.S.S.“ > „General“ > „Product Updates“
festlegen.
Zu überprüfende Patches („Patches“)
Konfigurierung der zu überprüfenden Patches im Rahmen eines Scan-Profils
Die Registerkarte „Patches” ermöglicht es Ihnen festzulegen, ob mit
Hilfe eines Scan-Profils nach fehlenden Patches und/oder Service
Packs gesucht werden soll.
Es werden sämtliche Patches aufgeführt, nach denen der N.S.S.
sucht. Wenn ein bestimmter Patch von der Suche ausgenommen
werden soll, können Sie das entsprechende Kontrollkästchen neben
der Patch-Beschreibung deaktivieren.
Eine aktuelle Patch-Liste kann von der Web-Site von GFI
heruntergeladen werden. Diese Liste wird von Microsoft zur
Verfügung gestellt (mssecure.xml). GFI kontrolliert diese Liste auf
Fehler, bevor sie verfügbar gemacht wird.
Erweiterte Informationen zum Sicherheits-Bulletin
Für weitere Informationen zu einem einzelnen Bulletin doppelklicken
Sie bitte darauf oder rufen Sie die Angaben über die rechte Maustaste
und „Properties“ auf. Sie erhalten weitere Details zur Sicherheitslücke,
welche Patches verfügbar sind und welche Produkte betroffen sind.
Scanner-Optionen
Mit Hilfe dieser Registerkarte können Sie Optionen festlegen, wie GFI
LANguard N.S.S.Scans durchführen soll.
Eigenschaften des Sicherheits-Scanners
Network Discovery Methods
Hier können Sie angeben, welche Methoden der N.S.S. verwenden
soll, um Rechner im Netzwerk zu identifizieren.
Über die Option „NetBIOS Queries” können NetBIOS- oder SMBAnfragen verwendet werden. Ist auf dem Windows-Rechner der
Client for Microsoft Networks installiert (bzw. Samba Services auf
einem UNIX-Rechner), reagiert dieser Rechner auf die NetBIOSAnfrage.
Zudem ist es möglich, dieser Anfrage eine ScopeID hinzuzufügen.
Dies ist nur dann erforderlich, wenn Systeme eine ScopeID besitzen.
Wurde in Ihrem Unternehmen eine ScopeID für NetBIOS definiert,
geben Sie diese bitte an.
Über die Option „SNMP Queries” können SNMP-Pakete mit dem
Community-String verschickt werden, der in der Registerkarte
„General“ definiert wurde. Reagiert das Gerät auf diese Anfrage,
fordert der N.S.S. dessen Objektkennung (OID) an, die mit einer
Datenbank verglichen wird, um den Gerätetyp festzustellen.
„Ping Sweep” überprüft jedes Netzwerk-Gerät mit einem ICMP-Ping.
(Bitte beachten Sie den Hinweis weiter unten.)
Custom TCP Port Discovery führt auf den Zielrechnern eine Suche
nach einem bestimmten offenen Port durch.
Hinweis: Die verschiedenen Anfragen können einzeln deaktiviert
werden. Der Gerätetyp und das installierte Betriebssystem lassen sich
jedoch nur dann vom N.S.S. feststellen, wenn alle Anfragen
durchgeführt werden. Andernfalls ist eine Identifizierung u. U. nicht
sehr zuverlässig.
Hinweis:
Einige persönliche Firewalls unterbinden sogar das
Verschicken eines ICMP-Echos durch den Rechner, sodass dieser
nicht vom N.S.S. aufgespürt werden kann. Wenn Sie vermuten, dass
auf vielen Rechnern Ihres Netzwerks Desktop-Firewalls eingerichtet
sind, sollten Sie für jede einzelne IP Ihres Netzwerks einen Scan
durchsetzen.
Optionen für die Netzwerk-Erkennung
Mit Hilfe der Parameter für die Netzwerk-Erkennung lässt sich die
Bestandsaufnahme innerhalb des Netzwerks optimieren, um Rechner
innerhalb kürzester Zeit noch zuverlässiger identifizieren zu können.
Folgende Parameter können verändert werden:
•
Scanning Delay gibt den Zeitabstand an, mit dem der N.S.S. die
TCP/UDP-Kontrollpakete verschickt. Der Standardwert beträgt
100 ms. Abhängig von Ihrer Netzwerk-Anbindung und dem von
Ihnen genutzten Netzwerk-Typ (LAN/WAN/MAN), muss diese
Einstellung eventuell geändert werden. Bei zu niedrigen Werten
wird Ihr Netzwerk u. U. mit vom N.S.S. verschickten Paketen
überschwemmt. Zu hohe Werte hingegen führen dazu, dass die
Überprüfung zu lange dauert und somit wertvolle Zeit kostet.
•
Wait for Responses gibt an, wie lange der N.S.S. maximal auf
eine Antwort vom Gerät warten soll. Führen Sie den Scan in
einem langsamen oder stark ausgelasteten Netzwerk durch, kann
es erforderlich sein, den Standardwert dieser Timeout-Funktion
(500 ms) zu erhöhen.
•
Mit Number of retries legen Sie die Anzahl der Wiederholungen
für jeden Scan-Typ fest. Unter normalen Testbedingungen sollte
diese Einstellung nicht geändert werden. Wird dieser Wert neu
festgelegt, erhöht sich jedoch auch entsprechend die Anzahl der
Scan-Durchgänge für jeden einzelnen Scan-Typ (NetBIOS, SNMP
und ICMP).
•
Include non-responsive computers ist eine Option, mit der GFI
LANguard N.S.S. versucht, einen Rechner zu scannen, der
bislang auf keine Erkennungsmethode reagiert hat.
Optionen für die NetBIOS-Anfrage
Eine NetBIOS Scope ID wird eingesetzt, um eine Gruppe von
Rechnern im Netzwerk zu isolieren, die nur mit anderen Computern
kommunizieren kann, denen eine identische NetBIOS Scope ID
zugewiesen wurde.
NetBIOS-Programme, die auf einem Rechner mit einer NetBIOS
Scope ID gestartet werden, können mit NetBIOS-Programmen, die auf
einem Rechner mit einer anderen NetBIOS Scope ID laufen, nicht
kommunizieren (Mitteilungen empfangen oder verschicken).
Der N.S.S. unterstützt NetBIOS Scope ID, um Zugriff auf diese
isolierten Rechner zu haben, damit auch sie gescannt werden können.
Optionen für die SNMP-Anfrage
Die Option „Load SNMP Enterprise Numbers” erweitert die
Unterstützung von SNMP-Scans. Ist diese Option nicht ausgewählt,
werden für per SNMP gefundene Geräte, die dem N.S.S. nicht
bekannt sind, keine Herstellerangaben geliefert. Sie sollten diese
Option nur dann deaktivieren, wenn sie Probleme verursacht.
Standardmäßig wird bei den meisten SNMP-fähigen Geräten der
Community Sting „public“ verwendet. Aus Sicherheitsgründen wird
dieser jedoch von den meisten Administratoren geändert. Wenn Sie
den vorgegebenen SNMP Community Name Ihrer Netzwerk-Geräte
geändert haben, müssen Sie die Änderungen auch in der vom N.S.S.
verwendeten Liste eintragen.
Hinweis: Sie können mehr als einen SNMP Community Name
verwenden. Für jeden von Ihnen hinzugefügten Community Name
muss eine zusätzliche SNMP-Überprüfung durchgeführt werden. Ist
bei Ihrem Community Name String sowohl „public“ als auch „private“
vorgegeben, wird der SNMP-Scan zwei Mal für den gesamten
angegebenen IP-Bereich durchgeführt: Zuerst für den Public-String,
dann für den Private-String.
Optionen für die Anzeige der Scanner-Aktivität
Mit den Ausgabeoptionen können Sie festlegen, welche Daten im
Fenster für die Scanner-Aktivität angezeigt werden. Eine Aktivierung
kann nützliche Informationen liefern. Aktivieren Sie „Verbose” oder
„Display packets” jedoch nur in Ausnahmefällen zur Fehlerbehebung.
Sonstige Geräte („Devices”)
Hier können Sie angeben, welche Maßnahmen GFI LANguard N.S.S.
einleiten soll, wenn ein bestimmtes Netzwerk- oder USB-Gerät
entdeckt wird. Der Scanner kann Sie über einen Sicherheitshinweis
benachrichtigen, wenn ein bestimmtes Gerät gefunden wird. Ebenso
können bestimmte Geräte von vornherein vom N.S.S. ignoriert
werden, z. B. USB-Tastaturen oder -Mäuse.
Network Devices
Für jedes gefundene Netzwerk-Geräte wird ein Anzeigename
angegeben. Enthält der gefundene Gerätename einen der StringEinträge in der Liste „Create a high security vulnerability for network
devices whose name contains:“ (einen pro Eintrag), wird eine kritische
Sicherheitswarnung erzeugt und für den Rechner ausgegeben, an den
das Geräte anschlossen ist.
Netzwerk-Gerät – Konfigurierung des Namens eines sicherheitsgefährdenden Geräts
HINWEIS: Die Listen werden für jedes Profil eingerichtet, sodass Sie
die Anforderungen für jeden Sicherheits-Scan individuell festlegen
können.
Warnhinweis „kritischen Sicherheitslücke“ für ein als sicherheitsgefährdend eingestuftes
Netzwerk-Gerät
HINWEIS: Wenn Sie über Geräte, die Sie als sicher einstufen, nicht
informiert werden möchten, geben Sie den Gerätenamen in der Liste
„Ignore (Do not list/save to db) devices whose name contains:“ ein.
Wird ein Gerät mit diesen Eigenschaften von GFI LANguard N.S.S.
identifiziert, erfolgt keine Speicherung/Anzeige hierzu in den ScanErgebnissen.
USB Devices
Für jedes gefundene USB-Gerät wird ein Anzeigename angegeben.
Enthält der gefundene Gerätename einen der String-Einträge in der
Liste „Create a high security vulnerability for USB devices whose
name contains:“ (einen pro Eintrag), wird eine kritische
Sicherheitswarnung erzeugt und für den Rechner ausgegeben, an den
das Geräte anschlossen ist.
USB-Gerät – Konfigurierung des Namens eines sicherheitsgefährdenden Geräts
HINWEIS: Die Listen werden für jedes Profil eingerichtet, sodass Sie
die Anforderungen für jeden Sicherheits-Scan individuell festlegen
können.
Warnhinweis „kritischen Sicherheitslücke“ für ein als sicherheitsgefährdend eingestuftes USBGerät
HINWEIS: Wenn Sie über Geräte, die Sie als sicher einstufen, nicht
informiert werden möchten, geben Sie den Gerätenamen in der Liste
„Ignore (Do not list/save to db) devices whose name contains:“ ein.
Wird ein Gerät mit diesen Eigenschaften von GFI LANguard N.S.S.
identifiziert, erfolgt keine Speicherung/Anzeige hierzu in den ScanErgebnissen.
Scans nach festem Zeitplan
Die Funktion für Scans nach Zeitplan erlaubt es Ihnen, Scans zu
konfigurieren, die automatisch an einem bestimmten Datum/zu einer
Uhrzeit durchgeführt werden. Für diese Art von Scans lassen sich
auch feste Zeitintervalle festlegen. So können Sie einen Scan nachts
oder in den Morgenstunden durchführen lassen und gleichzeitig die
Funktion für den Ergebnisvergleich nutzen, um sofort bei
Arbeitsbeginn per E-Mail über Änderungen informiert zu werden.
Alle geplanten Scans werden standardmäßig in der Datenbank
gespeichert. Optional können Sie sämtliche Ergebnisse geplanter
Scans auch in einer XML-Datei speichern (eine Datei pro geplantem
Scan). Klicken Sie hierfür mit der rechten Maustaste auf den Knoten
„Scheduled Scan“, wählen Sie „Properties“, aktivieren Sie die Option
„Save Scheduled Scan“, und geben Sie einen Speicherpfad für die
XML-Dateien an.
Konfigurierung eines Scans nach festem Zeitplan
Scans nach Zeitplan erstellen Sie wie folgt:
1. Klicken Sie im Security Scanner-Modul mit der rechten Maustaste
auf „Configuration” > „Scheduled scans” > „New” > „Scheduled
scan…”.
2. Das Dialogfenster „New Scheduled Scan” öffnet sich.
Erstellung eines Scans nach Zeitplan
In diesem
vornehmen:
Dialogfenster
können
Sie
folgende
Einstellungen
1. Scan target: Geben Sie hier die Computer-Namen oder den IPBereich an, der gescannt werden soll. Das Scan-Ziel kann wie
folgt angegeben werden.
i. Host-Name – z. B. ANDREMDEV
ii. IP-Adresse – z. B. 192.168.100.9
iii. IP-Bereich – z. B. 192.168.100.1 - 192.168.100.255
iv. Eine Text-Datei mit einer Liste von Rechnern, z. B.
file:c:\test.txt (vollständigen Pfad angeben). Die in dieser Datei
enthaltenen Angaben können alle der unter i-iii aufgeführten
Formate oder Ziele enthalten.
2. Scanning Profile: Wählen Sie das für diesen Scan vorgesehene
Scan-Profil aus.
3. Next scan: Geben Sie Datum und Zeitpunkt des Scan-Beginns an.
4. Perform a scan every: Legen Sie fest, ob der Scan nur ein Mal
oder mehrmals laufen soll.
5. Beschreibung: Geben Sie eine Beschreibung für den geplanten
Scan an, die in der Liste für geplante Scans aufgeführt wird.
Klicken Sie auf „OK”, um den neuen geplanten Scan zu erstellen.
Um
die
Ergebnisse
eines
geplanten
Scans
zu
analysieren/anzuzeigen, müssen Sie hierfür über den Knoten für
Scan-Filter eine entsprechende XML-Datei erstellen. Dazu gehen Sie
folgendermaßen vor:
1. Klicken Sie mit der rechten Maustaste auf den Hauptknoten „Scan
Filters“, und wählen Sie „Filter saved scan results XML file…“.
2. Richten Sie für die Protokollierung der Ergebnisse des geplanten
Scans eine XML-Datei ein.
3. Die in dieser Datei gespeicherten Ergebnisse werden nun über den
Filter-Knoten angezeigt.
Parameter-Dateien
Der Knoten für die Parameter-Dateien hilft Ihnen bei der direkten
Bearbeitung der von GFI LANguard N.S.S. verwendeten, im txtFormat gehaltenen Parameter-Dateien. Diese Dateien sollten nur von
fortgeschrittenen Anwendern verändert werden. Ihre fehlerhafte
Bearbeitung hat zur Folge, dass GFI LANguard N.S.S. den Typ eines
gefundenen Geräts nicht zuverlässig bestimmen kann.
•
Ethercodes.txt – Diese Datei enthält eine Liste mit MAC-Adressen
und dem zugehörigen Hersteller, dem diese zugewiesen wurden.
•
ftp.txt – In dieser Datei ist eine Liste mit FTP-Server-Bannern
enthalten, die intern vom N.S.S. verwendet wird, um über den
FTP-Server herauszufinden, mit welchem Betriebssystem ein
Rechner läuft.
•
Identd.txt – Diese Datei enthält identd-Banner, die ebenfalls intern
vom N.S.S. verwendet werden, um mit Hilfe der Banner-Daten das
Betriebsystem zu identifizieren.
•
Object_ids.txt – Diese Datei enthält SNMP object_ids und
Informationen, zu welchem Hersteller und Produkt sie gehören.
Findet der GFI LANguard Network Security Scanner ein Gerät,
das auf SNMP-Anfragen reagiert, vergleicht er dessen Objekt-IDInformation mit der in dieser Datei gespeicherten.
•
Passwords.txt – Diese Datei enthält eine Liste mit Passwörtern,
mit deren Hilfe unsichere Passwörter festgestellt werden.
•
Rpc.txt – Diese Datei enthält eine Übersicht über die vom RPCProtokoll zurückgegebenen Dienstnummern und den mit den
jeweiligen Nummern verbundenen Dienstnamen. Wird festgestellt,
dass auf einem Rechner RCP-Services laufen (normalerweise
unter UNIX oder Linux), werden die empfangenen Informationen
mit dieser Datei abgeglichen.
•
Smtp.txt – Enthält eine Liste mit Bannern und den zugehörigen
Betriebssystemen. Wie bei den FTP- und ident-Dateien werden
diese Banner intern vom N.S.S. verwendet, um das
Betriebssystem des Zielrechners zu ermitteln.
•
Snmp-pass.txt – Diese Datei enthält eine Liste mit Community
Strings, die vom N.S.S. eingesetzt wird, um zu überprüfen, ob
diese auf dem getesteten SNMP-Server vorhanden sind. Falls
verfügbar, informiert das SNMP-Scan-Tool über diese Strings.
•
telnet.txt – In dieser Datei sind verschiedene Telnet Server-Banner
enthalten, die vom N.S.S. zur Identifizierung des Betriebssystems
des Zielrechners verwendet werden.
•
www.txt – Diese Datei enthält Web-Server-Banner, mit denen das
Betriebssystem des Zielrechners festgestellt wird.
•
Enterprise numbers.txt – Liste mit Object Identifier-/EnterpriseCodes (Hersteller/Universität). Findet der N.S.S. ein Gerät, für
das ihm keine näheren Informationen zur Verfügung stehen (über
die Datei object_ids.txt), überprüft der Scanner die
herstellerspezifischen Informationen und gibt zumindest den
Hersteller des gefundenen Produkts an. Diese Information basiert
auf den SMI Network Management Private Enterprise Codes, die
unter
http://www.iana.org/assignments/enterprise-numbers
eingesehen werden können.
Einsatz von GFI LANguard N.S.S. per Befehlszeile
Der Scan-Vorgang kann auch per Befehlszeile gestartet werden.
Hierdurch ist es Ihnen möglich, den Scanner von einer anderen
Anwendung aus oder einfach über einen festen Zeitplan mit Ihren
eigenen Optionen aufzurufen.
Verwendung:
lnsscmd
<Target>
[/profile=profileName]
[/report=reportPath]
[/output=pathToXmlFile]
[/user=username
/password=password]
[/email=emailAddress] [/DontShowStatus] [/?]
Legende:
Target (erforderlich): Zu scannender IP/Rechner oder IP/RechnerBereich.
/Profile (optional): Das für den Scan zu verwendende Profil. Bei
fehlender Angabe wird das gerade aktive Profil eingesetzt.
/Output (optional): Vollständiger Pfad (inkl. Dateiname) für die
Speicherung der XML-Datei mit den Scan-Ergebnissen.
/Report (optional): Vollständiger Pfad (inkl. Dateiname) für die
Erstellung des Scan-Berichts im HTML-Format.
/User (optional): Scan des angegebenen Ziels unter Verwendung der
mit Hilfe der Parameter „/User“ und „/Password“ angegebenen
alternativen Anmeldeinformationen.
/Password (optional): Scan des angegebenen Ziels unter Verwendung
der mit Hilfe der Parameter „/User“ und „/Password“ angegebenen
alternativen Anmeldeinformationen.
/Email (optional): Versand des Scan-Berichts an eine alternative EMail-Adresse. Erfolgt über den Mail-Server, der unter „Configuration“,
Knoten „Alerting Options” angegeben wurde.
/DontShowStatus (optional): Der Scan-Ablauf wird nicht detailliert
angezeigt.
HINWEIS: Bei den vollständigen Pfaden und Profilnamen müssen
doppelte Anführungsstriche gesetzt werden, z. B. “c:\temp\test.xml“,
“Default“.
/? (optional): Blendet
lnsscmd.exe ein.
Hilfe-Bildschirm
zur
Verwendung
von
Makros:
%INSTALLDIR% - wird durch den Pfad zum Installationsverzeichnis
von GFI LANguard N.S.S. ersetzt.
%TARGET% - wird durch das Scan-Ziel ersetzt.
%SCANDATE% - wird durch das Scan-Datum ersetzt.
%SCANTIME% - wird durch die Scan-Zeit ersetzt.
Beispiel:
lnsscmd.exe 127.0.0.1 /Profile="Default" /Output="c:\out.xml"
/Report="c:\result.html" /email="lnss@127.0.0.1"
Durch die obigen Angaben wird ein Sicherheits-Scan des Rechners
mit der IP 127.0.0.1 durchgeführt, die XML-Datei wird unter c:\out.xml
ausgegeben. Nach Beendigung des Scans wird ein HTML-Bericht
unter c:\result.html erstellt und an die E-Mail-Adresse lnss@127.0.0.1
geschickt.
Patch-Installation
Einführung
Mit Hilfe des Tools für die Patch-Verteilung stellen Sie sicher, dass auf
Ihren mit Windows NT, 2000, XP und 2003 betriebenen Rechnern
immer die neuesten Sicherheits-Patches und Service Packs installiert
sind. Um Patches und Service Packs zu installieren, sind folgende
Schritte erforderlich:
Schritt 1: Durchführen eines Netzwerk-Scans
Schritt 2: Auswahl von Rechnern, auf denen Patches installiert werden
sollen
Schritt 3: Auswahl der zu installierenden Patches
Schritt 4: Download der Patch- und Service Pack-Dateien
Schritt 5: Installationsparameter für Patch-Dateien
Schritt 6: Installation der Updates
Voraussetzung für die Verteilung:
•
Sie müssen für den zu scannenden Rechner administrative
Rechte besitzen.
•
Auf dem Remote-Rechner muss NetBIOS aktiviert sein.
Agent für die Patch-Installation
Für die Verteilung von Patches steht unter GFI LANguard N.S.S.5 ein
spezieller Agent zur Verfügung, der im Hintergrund auf dem RemoteRechner installiert wird, um Patches, Service Packs und
benutzerspezifische Software zu installieren. Bei dem Agent für die
Patch-Verteilung handelt es sich um einen Dienst, der die Installation
zu einem zuvor festgelegten Zeitpunkt gemäß Ihrer Vorgaben
durchführt.
Diese
Unterstützung
garantiert
eine
größere
Zuverlässigkeit. Ein weiterer Vorteil ist die automatische Installation,
ohne dass der Administrator eingreifen muss.
Hinweis: Es kann vorkommen, dass Patches von Microsoft
zurückgezogen werden, da sie veraltet sind. In diesem Fall verbleiben
die Hinweise auf diesen Patch dennoch in der Datei mssecure.xml.
GFI LANguard N.S.S. weist diesen Patch somit als fehlend aus,
obwohl er nicht installiert werden kann. Wenn Sie für diese fehlenden
Patches keine Warnmeldung vom N.S.S. erhalten wollen, müssen Sie
über „Configuration“ > „Scanning Profiles“ > „Patches“ die jeweiligen
Sicherheits-Bulletins deaktivieren.
Patch-Installation • 51
Schritt 1: Durchführen eines Netzwerk-Scans
Informationen zu fehlenden Patches und Service Packs sind Teil der
Warnmeldungen, die von GFI LANguard N.S.S. nach einem
erfolgreichen Scan ausgegeben werden. Hierfür werden die RegistryEinstellungen,
Datum-/Zeitstempel
der
Dateien
und
Versionsinformationen des Remote-Rechners mit den Informationen
der von Microsoft bereit gestellten Datei mssecure.xml abgeglichen.
Als Erstes überprüft der N.S.S., welche Produkte auf dem Zielrechner
installiert sind, für die er Patch-Informationen besitzt (z. B. Microsoft
Office). Danach wird kontrolliert, welche Patches und Service Packs
für das jeweilige Produkt verfügbar sind, und Sie werden unter dem
Knoten „High Security Vulnerabilities“ > „Missing Patches" über
fehlende Patches informiert.
Informationen zu fehlenden Patches
Für alle fehlenden Service Packs/Patches gibt GFI LANguard N.S.S.
Links an, unter dem die Dateien heruntergeladen werden können
sowie weitere Informationen zu den einzelnen Sicherheits-Bulletins.
Patches, deren Fehlen sicher festgestellt werden konnte, werden bei
den Scan-Ergebnissen unter dem Knoten „Missing patches and
service packs" aufgelistet.
Patches, bei denen sich aufgrund unzureichender Scan-Daten nicht
mit Sicherheit feststellen lasst, ob sie installiert sind oder nicht,
werden bei den Scan-Ergebnissen unter dem Knoten „Potential
vulnerabilities“ aufgeführt.
Beispielinformationen zu nicht identifizierbaren Patches
Schritt 2: Auswahl von Rechnern, auf denen Patches installiert
werden sollen
Nachdem der Netzwerk-Scan beendet ist, werden alle fehlenden
Service Packs und Patches im Fenster für die Scan-Ergebnisse
aufgelistet. Sie müssen nun auswählen, auf welchen Rechnern die
fehlenden Updates installiert werden sollen. Patches können auf nur
einem Rechner, auf allen oder auf ausgewählten Rechnern installiert
werden.
52 • Patch-Installation
Installation fehlender Patches auf nur einem Rechner:
Klicken Sie mit der rechten Maustaste auf den Rechner, der
aktualisiert werden soll, dann auf „Deploy Microsoft updates“ >
„[Bezeichnung des Updates]“ > „This computer“.
Installation fehlender Patches auf allen Rechnern:
Klicken Sie mit der rechten Maustaste auf einen Rechner im
Ergebnisbaum, dann auf „Deploy Microsoft updates“ > „[Bezeichnung
des Updates]“ > „All computers“.
Installation fehlender Patches auf ausgewählten Rechnern:
Über die Kontrollkästchen auf der linken Seite der Scan-Ergebnisse
können Sie auswählen, welche Rechner aktualisiert werden sollen.
Klicken Sie mit der rechten Maustaste auf einen Rechner im
Ergebnisbaum, dann auf „Deploy Microsoft updates“ > „[Bezeichnung
des Updates]“ > „Selected computers“.
Festlegung der Rechner, auf denen die erforderlichen Updates installiert werden sollen.
Schritt 3: Auswahl der zu installierenden Patches
Nachdem Sie die Zielrechner ausgewählt haben, auf denen die
Microsoft-Patches installiert werden sollen, wird der Knoten „Deploy
Microsoft Updates“ aufgerufen. Dieser Knoten bietet nähere
Informationen zu den ausgewählten Rechnern und welche
Patches/Service Packs darauf installiert werden müssen.
Es stehen Ihnen zwei Ansichten zur Verfügung, über die Sie die
Installationsoptionen verwalten können.
(1) Sort by computers: Wählen Sie einen Rechner aus, um
festzustellen, welche Patches/Updates darauf installiert werden
müssen.
(2) Sort by patches: Wählen Sie einen Patch aus, um herauszufinden,
auf welchen Rechnern dieses Update fehlt.
Knoten zur Installation von Microsoft-Patches
Standardmäßig sind alle Patches zur Installation ausgewählt. Falls
einzelne Patches nicht installiert werden sollen, können Sie deren
Auswahl durch einen Mausklick auf das Kontrollkästchen neben dem
Patch rückgängig machen.
Schritt 4: Download der Patch- und Service Pack-Dateien
Nachdem Sie die zu installierenden Patches/Service Packs
ausgewählt haben, müssen die entsprechenden Patch-Dateien
heruntergeladen werden. Dieser Vorgang erfolgt überwiegend
automatisch. GFI LANguard N.S.S. legt die Dateien je nach der
Sprachversion des zu aktualisierenden Produkts in den dafür
vorgesehenen Verzeichnissen ab.
Anzeige der herunterzuladenden Patch-Dateien
Der N.S.S. informiert Sie mit Hilfe einer Liste zu installierender
Patches darüber, welche Dateien heruntergeladen werden müssen.
Jede benötigte Patch-Datei wird aufgeführt und in der Liste fehlender
Patches mit einem der folgenden Status-Indikatoren versehen:
Heruntergeladen
Noch aktiver Download
Wartezustand: Anwender muss auf zugehörige Web-Seite gehen
und für den Download der Datei auf den entsprechenden Link klicken.
Update nicht heruntergeladen
Download der Patches
Die in der Datei mssecure.xml aufgeführten Microsoft-Patches lassen
sich in drei Hauptkategorien einteilen:
(1) Patches mit einer URL für den sofortigen Download
(2) Patches, für deren Download zu Web-Seiten navigiert werden
muss
(3) Patches, für die keine Patch-Datei verfügbar ist
Download von Patches mit einem Direkt-Link:
Bei Patches, für deren Download ein Direkt-Link verfügbar ist, klicken
Sie bitte mit der rechten Maustaste auf die Patch-Datei und wählen
„Download File“. Die Datei wird heruntergeladen und nach
Beendigung des Downloads automatisch im zugehörigen Verzeichnis
abgelegt.
Download von Patches ohne Download-Link, aber mit Web-Seite
als Quelle
Findet GFI LANguard N.S.S. eine Datei, die manuell von der
Microsoft-Web-Site heruntergeladen werden muss, wird die
zugehörige Web-Seite im unteren Bereich des Installations-Tools vom
N.S.S. angezeigt. Dort müssen Sie dann den benötigten DownloadLink suchen und darauf klicken, um den Download zu starten. GFI
LANguard N.S.S. überwacht diese Web-Sitzung. Sobald der Scanner
feststellt, dass Sie auf einen Direkt-Download-Link geklickt haben,
startet er den Download der Datei automatisch für Sie. Das Navigieren
auf der Web-Seite ist bereits Teil des Download-Vorgangs. Wenn Sie
den Download abbrechen möchten, müssen Sie auf den Patch klicken
und „Cancel Download" wählen. Ist der Download beendet, wird die
Datei automatisch im zugehörigen Verzeichnis abgelegt.
Download eines Patches von einer Web-Seite per Download-Assistent
Schritt 5: Installationsparameter für Patch-Dateien
Optional können Sie auch von Patch zu Patch jeweils andere
Installationsparameter festlegen. Dazu gehen Sie folgendermaßen
vor:
1. Klicken Sie mit der rechten Maustaste auf die Patch-Datei, und
wählen Sie „Properties".
2. Sie können optional auch eine alternative Download-URL
angeben.
3. Ebenso optional ist die Angabe von Befehlszeilenparametern, die
während der Installation beachtet werden sollen.
Indem Sie mit der rechten Maustaste auf die Patch-Datei klicken und
„Bulletin Info…“ wählen, können Sie überprüfen, für welches
Sicherheits-Bulletin der Patch gedacht ist.
Eigenschaften einer Patch-Datei
Schritt 6: Installation der Updates
Nachdem Sie die Rechner ausgewählt haben, auf denen die Patches
installiert werden sollen und danach der Download der Patches erfolgt
ist, können diese nun installiert werden.
Klicken Sie auf „Start“, um mit der Installation zu beginnen.
Installationsbeginn
Die Installation der Patches beginnt. Über die Registerkarte
„Deployment Status“ können Sie den Vorgang überwachen.
Überwachung des Download-Vorgangs
Installation eigener Software
Das Tool zur Installation eigener Software eignet sich sehr gut zum
raschen, netzwerkweiten Installieren eigener Patches oder sogar
Software. Auch die netzwerkweite Installation von Viren-Signaturen
lässt sich hiermit durchführen. Die Vorgehensweise beim Installieren
eigener Software ist dem Prozess des Patchen eines Rechners sehr
ähnlich.
Installation eigener Software
Schritt 1: Auswahl der Rechner für die Installation von
Software/Patches
1. Gehen Sie auf den Knoten „Deploy custom patches“.
2. Klicken Sie auf die Schaltfläche „Add“, um einen einzelnen
Rechner hinzuzufügen oder auf „Select“, um mehrere Rechner
auszuwählen, auf denen die Software installiert werden soll.
Hinweis: Es ist auch möglich, Rechner für die Installation eigener
Software über den Knoten „Security Scanner“ und „Tools“ >
„Enumerate Computers“ auszuwählen.
Schritt 2: Angabe der zu installierenden Software
Klicken Sie unter „Patches:” auf die Schaltfläche „Add…“, um den
Speicherort
der
Datei
anzugeben,
und
legen
Sie
Befehlszeilenparameter fest, die für die Installation der Datei benötigt
werden.
Angabe der zu installierenden Software
Optional können Sie auch einen Zeitpunkt für die Installation der
Software festlegen.
Schritt 3: Beginn der Installation
Nachdem Sie die zu installierende Software und die für die Installation
vorgesehenen Rechner angegeben haben, können Sie mit einem
Klick auf die Schaltfläche „Start“ den Installationsvorgang starten.
Zuweisung von Rechnern für die Installation eigener Patches
Installationsoptionen
Allgemeine Installationsoptionen
Die Installationsoptionen lassen sich konfigurieren, indem Sie den
Mauszeiger über die Schaltfläche „Options“ auf der rechten
Bildschirmseite führen. Hier können Sie:
Allgemein
•
Festlegen, dass der Installations-Agent
Anmeldeinformationen gestartet werden soll.
•
Einen Neustart der Zielrechner nach der Patch-Installation
durchführen. Bei einigen Patches muss nach deren Installation
ein Neustart durchgeführt werden. Aktivieren Sie dieses
Optionsfeld, wenn nach der Installation eines oder mehrerer
Patches ein Neustart erforderlich ist.
•
Den Rechner nach
herunterfahren.
•
Anwender auf eine bevorstehende Installation hinweisen: Vor der
Installation wird eine Mitteilung an den Zielrechner geschickt.
•
Dienste vor der Installation beenden: Mit dieser Option werden die
ISS und SQL Server-Dienste vor der Installation beendet.
der
Installation
der
mit
alternativen
Software-Updates
•
GFI LANguard N.S.S. so konfigurieren, dass die Updates über
administrative Freigaben oder eine eingeschränkte Freigabe
installiert wird (wird letztere verwendet, sind administrative
Freigaben nicht notwendig. Für eine erhöhte Sicherheit können sie
deaktiviert werden.)
•
Nach der Installation die auf den Remote-Rechner kopierten
Dateien löschen.
•
Einzelne Filterbedingungen festlegen, auf
angewandt werden soll („Computer filters…“).
die
der
Patch
Erweitert
•
Die Anzahl der zu verwendenden Installations-Threads festlegen.
•
Ein Installations-Timeout festlegen.
Erweiterte Installationsoptionen
Download-Verzeichnis
•
Das Verzeichnis festlegen, in dem heruntergeladene Patches
gesichert werden müssen.
Optionen für das Download-Verzeichnis
HINWEIS: Beim Tool zum Installieren eigener Patches gelten die
„Computer Filters“ nicht für solche Rechner, die noch nicht vom
Security-Scanner überprüft wurden.
Warum Ergebnisse vergleichen?
Netzwerk-Audits sollten regelmäßig durchgeführt und Ergebnisse von
vorherigen Scans zum Vergleich herangezogen werden. So erhalten
Sie einen besseren Überblick darüber, welche Sicherheitslöcher
immer wieder auftreten oder von Benutzern wiederholt geöffnet
werden.
Nur auf diese Weise können Sie effizientere
Gegenmaßnahmen einleiten und Ihr Netzwerk wesentlich sicherer
machen.
Der GFI LANguard Network Security Scanner unterstützt Sie bei
dieser Arbeit und vergleicht die Scan-Ergebnisse. Unterschiede
werden hervorgehoben, damit Sie schneller informiert sind und
eingreifen können. Ergebnisse lassen sich manuell vergleichen oder
mit Hilfe von zeitlich festgelegten Scans.
Interaktiver Vergleich von Scan-Ergebnissen
Führt GFI LANguard N.S.S. einen geplanten Scan durch, werden die
Scan-Ergebnisse als XML-Datei im Installationsverzeichnis des N.S.S
unter Data\Reports gespeichert.
Aktuelle Scan-Ergebnisse lassen sich auch in einer XML-Datei
speichern, indem Sie mit der rechten Maustaste auf den Knoten
„Security Scanner“ klicken und „Save scan results to XML file…“
wählen.
Die Scan-Ergebnisse aus zwei XML-Dateien lassen sich wie folgt
vergleichen:
1. Gehen Sie auf „Result comparison” unter „GFI LANguard N.S.S.“ >
„Security Scanner“.
2. Wählen Sie zwei Scan-Resultate aus (aus XML-Dateien oder einem
Datenbank-Backend), die aufgrund gleicher Scan-Vorgaben auf
denselben Rechnern ausgegeben wurden, jedoch zu verschiedenen
Zeiten, und klicken Sie dann auf „Compare“.
Vergleich von Scan-Ergebnissen • 63
Ergebnisvergleich
Ein solcher Ergebnisvergleich ist in obigem Screenshot abgebildet.
Hier können Sie sehen, welche Aktivierungen oder Deaktivierungen
oder sonstigen Netzwerk-Änderungen seit dem letzten Scan
vorgenommen wurden:
•
„New items” informiert Sie über alle Änderungen, die sich nach
dem ersten Scan ergeben haben.
•
„Removed items” zeigt alle Geräte/Probleme an, die seit dem
ersten Scan entfernt/beseitigt wurden.
•
„Changed items” informiert Sie über veränderte Objekte, z. B.
Dienste, die zwischen zwei Scans aktiviert oder deaktiviert
wurden.
Ergebnis-Vergleich nach einem festen Zeitplan
Als Alternative zu manuellen Netzwerk-Scans, die täglich, wöchentlich
oder monatlich durchgeführt werden, können Sie Ihr Netzwerk auch
regelmäßig nach einem festen Zeitplan überprüfen lassen. Ein
geplanter Scan wird automatisch zu einem bestimmten Zeitpunkt
gestartet und informiert Administratoren per E-Mail über alle
Veränderungen, die zwischen zwei geplanten Scans aufgetreten sind.
Beispiel: Administratoren können mit Hilfe des „Scheduled Scan“ jede
Nacht nach einem festen Zeitplan um 23:00 Uhr einen Scan
durchführen. Der Attendant von GFI LANguard N.S.S. startet um
diese Uhrzeit eine Sicherheitsüberprüfung für die gewählten
Zielrechner. Die Ergebnisse werden dann in einer zentralen
Datenbank gespeichert. Danach wird das aktuelle Scan-Ergebnis mit
dem des Vortags verglichen und ein Bericht erstellt, falls
Veränderungen aufgetreten sind.
HINWEIS: Wird ein geplanter Scan zum ersten Mal durchgeführt oder
lassen sich keine Veränderungen zum vorherigen Scan feststellen,
erhalten Sie keinen Bericht per E-Mail. Berichte werden nur dann
verschickt, wenn sich Objekte/Daten verändert haben!
64 • Vergleich von Scan-Ergebnissen
GFI LANguard N.S.S. Status-Monitor
Anzeige geplanter Aktionen
Der Status-Monitor von GFI LANguard N.S.S. erlaubt die StatusÜberwachung aktiver geplanter Scans und Software-UpdateInstallationen. Zudem können Sie geplante Installationen löschen.
Active Scheduled Scan
Um den Status aktiver geplanter Scans anzuzeigen, klicken Sie im der
Systemablage von Windows auf das Symbol des GFI LANguard
N.S.S. Status-Monitors, und gehen Sie auf die Registerkarte „Active
scheduled scans". Alle aktiven geplanten Scans inklusive
Startzeitpunkt werden angezeigt.
Hinweis: Es werden nur die aktuell aktiven Scans angezeigt. Um zu
kontrollieren, welche Scans generell per festem Zeitplan festgelegt
wurden und um einen oder mehrere dieser Scans zu löschen, öffnen
Sie den N.S.S. und klicken Sie auf „GFI LANguard N.S.S.“ >
„Configuration“ > „Scheduled Scans“.
Nach festem Zeitplan durchgeführte Scans – beendet
Um einen aktiven geplanten Scan abzubrechen, wählen Sie diesen
aus, und klicken Sie auf die Schaltfläche „Stop Selected Scan(s)“.
GFI LANguard N.S.S. Status-Monitor • 65
Abgebrochener Scan
Installationen nach festem Zeitplan
Um den Status geplanter Installationen anzuzeigen, klicken Sie im der
Systemablage von Windows auf das Symbol des GFI LANguard
N.S.S. Status-Monitors, und gehen Sie auf die Registerkarte
„Scheduled deployments".
Installationen nach festem Zeitplan
Um eine geplante Software-Update-Installation zu widerrufen, wählen
Sie den entsprechenden Eintrag aus, und klicken Sie auf „Cancel
selected deployment".
66 • GFI LANguard N.S.S. Status-Monitor
Widerrufene Installation
GFI LANguard N.S.S. Status-Monitor • 67
68 • GFI LANguard N.S.S. Status-Monitor
Datenbank-Wartung – Optionen
Einführung
Mit Hilfe des Knotens „Database Maintenance Options" können Sie
das Datenbank-Backend für die Speicherung der Scan-Ergebnisse
auswählen. Zudem können Sie Wartungsoptionen konfigurieren, z. B.
das automatische Löschen aller Scan-Ergebnisse vor einem
bestimmten Datum.
Wenn Sie Microsoft Access als Datenbank-Backend einsetzen, lässt
sich die Datenbank-Komprimierung als Task planen, um
Datenkorruption zu vermeiden. Die Wartungsoptionen stehen zur
Verfügung unter:
1. „GFI LANguard N.S.S.” > „Configuration” > Rechtsklick auf
„Database Maintenance Options”.
2. Wählen Sie „Properties“.
Änderung der Datenbank
Über die Registerkarte „Change database“ können Sie das von GFI
LANguard N.S.S. verwendete Datenbank-Backend ändern, in dem die
Scan-Ergebnisse gesichert werden. Als Backends werden Microsoft
Access oder Microsoft SQL Server unterstützt.
MS Access
Geben Sie den vollständigen Pfad (inklusive Dateiname) für MS
Access als Datenbank-Backend an. HINWEIS: Sollte die Datei noch
nicht existieren, wird sie nun erstellt.
Datenbank-Wartung – Optionen • 69
Änderung der Datenbank – MS Access
MS SQL Server
Geben Sie den Namen/die IP des Servers an, auf dem MS SQL
Server installiert ist. Geben Sie auch die Anmeldeinformationen für
den Zugriff auf SQL Server an. (Der NT-Authentifizierungsmodus wird
von GFI LANguard N.S.S. nicht unterstützt).
HINWEIS: Sind die Angaben zum Server und die Anmeldedaten
korrekt, meldet sich GFI LANguard N.S.S. am SQL Server an und
erstellt die benötigten Datenbanktabellen. Bereits bestehende
Datenbanktabellen werden weiterverwendet.
70 • Datenbank-Wartung – Optionen
Änderung der Datenbank – SQL Server
Verwaltung gespeicherter Scan-Ergebnisse
Die Registerkarte „Change Database” bietet Optionen zum Löschen
von im Datenbank-Backend gespeicherten Scan-Ergebnissen.
Ergebnisse lassen sich manuell löschen oder nach ihrem Alter.
Weitere Optionen
Die Registerkarte „Advanced” erlaubt es Ihnen festzulegen, wann die
Komprimierung der Datenbank durchgeführt werden soll. Hierfür steht
auch der Attendant zur Verfügung, der die Komprimierung
automatisch erledigt.
HINWEIS: Durch die Datenbank-Komprimierung werden als zu
löschen markierten Einträge dauerhaft entfernt.
Datenbank-Wartung – Optionen • 71
Optionen der Datenbank-Wartung – Komprimierung
72 • Datenbank-Wartung – Optionen
Werkzeuge
Einführung
Folgende Tools stehen unter dem Menü „Tools“ bereit:
•
DNS-Lookup
•
Whois-Client
•
Traceroute
•
SNMP Walk
•
SNMP-Überwachung
•
MS SQL Server-Überwachung
•
Aufgelistete Rechner
DNS-Lookup
Mit Hilfe dieses Tools wird der Domänenname in die entsprechende
IP-Adresse aufgelöst. Zusätzlich erhalten Sie weitere Informationen
zum Domänennamen, z. B., ob er einen MX-Eintrag besitzt.
Tool für DNS-Lookup
So erhalten Sie Informationen über den Domänennamen:
1. Gehen Sie auf den Knoten „Tools“ > „DNS Lookup“.
Werkzeuge • 73
2. Geben Sie den Host-Namen an, der aufgelöst werden soll.
3. Geben Sie die abzurufenden Informationen an:
•
Basic Information – d.h., Host-Name und zugehörige IP.
•
Host Information (HINFO) – bietet Informationen zur Hardware
und dem Betriebssystem der angegebenen Domäne (aus
Sicherheitsgründen sind diese Daten in den meisten DNSEinträgen nicht enthalten).
•
Aliases – ruft Informationen ab, welche A-Einträge die Domäne u.
U. enthält.
•
MX Records (Mail Exchanger Records) – zeigen an, welche(r)
Mail-Server (ggf. in welcher Reihenfolge) für die Domäne
zuständig sind/ist.
•
NS Records – geben an, welche Name-Server für die Domäne
zuständig sind.
Zudem kann ein alternativer DNS-Server angegeben werden.
Traceroute
Traceroute-Tool
Dieses Werkzeug zeigt den Netzwerk-Pfad an, über den der N.S.S.
den Zielrechner erreicht hat. Wenn Sie eine Traceroute-Überprüfung
durchführen, erscheint neben jedem Hop ein Symbol.
•
74 • Werkzeuge
Zeigt an, dass ein Hop innerhalb normaler Parameter
erfolgreich war.
•
Zeigt einen erfolgreichen Hop mit relativ langer Antwortzeit an.
•
Zeigt einen erfolgreichen Hop mit zu langer Antwortzeit an.
•
Zeigt einen Hop mit Zeitüberschreitung an. (d. h., 1000 ms
wurden überschritten).
Whois-Client
Whois-Tool
Mit diesem Tool können Sie Informationen zu einer Domäne oder IPAdresse abrufen. Wählen Sie den gewünschten Whois-Server aus
den Optionen aus, oder nutzen Sie die Standardeinstellung „Default“,
damit der N.S.S. einen Server für Sie auswählt.
SNMP Walk
Mit SNMP Walk können Sie SNMP-Informationen zusammentragen.
Im rechten Fenster ist eine Liste mit Namen aufgeführt, die für
bestimmte Objekt-IDs auf dem Gerät stehen. Für eine nähere
Erklärung der Daten aus dem SNMP Walk müssen Sie sich an den
jeweiligen Hersteller wenden. Einige Hersteller stellen sehr detaillierte
Informationen zur Verfügung, während andere diesen Service nicht
anbieten, obwohl ihre Geräte SNMP unterstützen.
Sie können das Utility über „Tools“ > „SNMP Walk“ aufrufen. Geben
Sie die IP-Adresse eines Rechners oder Geräts ein, den/das Sie
scannen möchten.
Hinweis: SNMP sollte bereits vom Router/der Firewall blockiert
werden, sodass Internet-Benutzer keinen SNMP-Scan Ihres
Netzwerks durchführen können.
Es ist möglich, alternative Community-Strings bereitzustellen.
Hinweis: Per SNMP können böswillige Benutzer an sehr viele
Informationen über Ihr Netzwerk gelangen, die eine PasswortEntschlüsselung oder ähnliche Angriffe erleichtern. SNMP sollte stets
deaktiviert sein, es sei denn, dieser Dienst wird unbedingt benötigt.
Werkzeuge • 75
SNMP Audit
Sie können Ihr Netzwerk auch einem SNMP-Audit unterziehen und es
auf unsichere Community-Strings überprüfen.
Einige Netzwerk-Geräte weisen alternative oder nicht-standardmäßige
Community-Strings auf. In der Wörterbuch-Datei ist eine Liste
gängiger Community-Strings enthalten, nach denen gesucht werden
kann. Für den Wörterbuch-Angriff wird die Standard-Datei snmppass.txt verwendet. Sie können diese Datei erweitern und neue
Community-Namen eintragen oder den SNMP-Audit mit Hilfe einer
anderen Datei ablaufen lassen.
Starten Sie die Überprüfung, indem Sie die IP-Adresse des Rechners
eingeben, auf dem SNMP aktiviert ist, und klicken Sie auf „Retrieve“.
MS SQL Server Audit
Mit diesem Tool können Sie einen Rechner mit Microsoft SQL Server
überprüfen. Eine Überprüfung ist sowohl für das SA-Konto als auch
alle SQL-Konten möglich.
Standardmäßig wird bei der Kontrolle die Wörterbuch-Datei
passwords.txt verwendet.
Sie können diese Datei mit neuen
Passwörtern erweitern oder eine eigene Datei verwenden.
Für eine SQL Server-Überwachung müssen Sie die IP-Adresse des
Rechners angeben, auf dem MS SQL läuft. Wenn Sie versuchen
möchten, die Passwörter aller SQL-Konten zu entschlüsseln, müssen
Sie einen Benutzernamen und ein Passwort für die SQL-Anmeldung
eingeben, um Zugriff auf alle Benutzerkonten zu haben.
Überwachungs-Tool für SQL-Konten
76 • Werkzeuge
Enumerate Computers
Tool zum Auflisten von Rechnern
Mit diesem Utility können Sie Ihr Netzwerk nach Domänen und/oder
Arbeitsgruppen durchsuchen lassen. Ist diese Bestandsaufnahme
abgeschlossen, können Sie eine erneute Suche nach allen Rechnern
durchführen. Nach dieser Überprüfung informiert Sie das Tool über
das auf den Rechnern installierte Betriebssystem und alle eventuellen
NetBIOS-Meldungen.
Rechner lassen sich mit Hilfe folgender Methoden auflisten:
•
Über Active Directory – Diese Methode ist effizienter und führt
zudem Rechner auf, die zum Zeitpunkt des Scans nicht
eingeschaltet sind.
•
Über den Windows Explorer – Diese Methode ist zeitaufwändiger
und erfasst keine Rechner, die zum Zeitpunkt des Scans
ausgeschaltet sind.
Die gewünschte Methode kann über die Registerkarte „Information
Source“ ausgewählt werden. Bitte beachten Sie, dass der Scan über
ein Konto erfolgen muss, für das Zugriffsrechte auf Active Directory
bestehen.
Start eines Sicherheits-Scans
Sind alle Rechner einer Domäne aufgeführt, können Sie einen Scan
für ausgewählte Computer durchführen, indem Sie mit der rechten
Maustaste auf den gewünschten Rechner klicken und „Scan“ wählen.
Wenn der Scan gestartet werden soll, ohne das Tool zur Auflistung
der Rechner zu schließen, wählen Sie bitte „Scan in background“.
Werkzeuge • 77
Installation eigener Patches
Wählen Sie die Rechner aus, auf denen die Updates installiert werden
sollen, klicken Sie mit der rechten Maustaste auf einen der markierten
Rechner, und wählen Sie dann „Deploy Custom Patches“.
Aktivierung von Überwachungsrichtlinien
Wählen Sie die Rechner aus, auf denen die Überwachungsrichtlinien
aktiviert werden sollen, klicken Sie mit der rechten Maustaste auf
einen der markierten Rechner, und wählen Sie dann „Enable Auditing
Policies“.
Enumerate Users
Die Funktion „Enumerate Users” ist an Active Directory angebunden
und ruft sämtliche Anwender und Kontakte aus Active Directory ab.
78 • Werkzeuge
Hinzufügen von Sicherheitschecks per
Bedingungen/Skripten
Einführung
GFI LANguard N.S.S. erlaubt die Erstellung von Warnmeldungen für
selbst definierte Sicherheitslücken. Hierfür gibt es zwei Möglichkeiten:
Durch das Erstellen eines Skripts oder die Verwendung von
Bedingungen. Unabhängig davon, welche Methode Sie einsetzen
wollen, muss die neue Sicherheitslücke unter Angabe des SkriptNamens oder der anzuwendenden Bedingungen über die
Benutzeroberfläche des N.S.S. hinzugefügt werden.
Hinweis: Neue Warnmeldungen sollten nur von erfahrenen Benutzern
erstellt werden, da durch eine fehlerhafte Konfigurierung u. U.
Fehlalarme ausgelöst oder gar keine Warnhinweise ausgegeben
werden.
GFI LANguard N.S.S. VBScript
GFI LANguard N.S.S. bietet eine VBScript-kompatible Skriptsprache.
Diese Sprache wurde entwickelt, damit Sie auch eigene
Sicherheitschecks problemlos zu den bereits vorhandenen hinzufügen
können. Zudem kann GFI dank der Skriptsprache rasch neue
Sicherheitschecks entwickeln und diese über seine Web-Site zum
Download bereitstellen. Mit Hilfe des in GFI LANguard N.S.S.
integrierten Script-Editors können Sie Syntax hervorheben lassen und
Debugging-Funktionen starten.
Weitere Informationen zum Erstellen von Skripten finden Sie in der
Hilfe-Datei
„Scripting
documentation“,
die
Sie
über
die
Programmgruppe von GFI LANguard N.S.S. aufrufen können.
WICHTIGER HINWEIS: Für die Analyse selbst erstellter Skripten, die
fehlerhaft sind, kann der GFI-Support nicht in Anspruch genommen
werden. Fragen zur Skript-Erstellung mit dem N.S.S. können unter
forums.gfi.com gestellt werden, das als P2P-Forum für Benutzer von
GFI LANguard N.S.S. und zum Austausch von Skripten gedacht ist.
GFI LANguard N.S.S. SSH-Modul
Im Lieferumfang von GFI LANguard N.S.S. ist ein SSH-Modul
enthalten,
sodass
sich
Skripten
zur
Überprüfung
von
Sicherheitslücken auch auf Linux-Systemen ausführen lassen. Das
SSH-Modul analysiert die über das Skript ausgegebenen
Konsolendaten. Dies hat den Vorteil, dass sich jede vom LinuxSystem unterstützte Skript/Programmiersprache verwenden lässt, die
Ergebnisse über die Konsole (Textmodus) ausgeben kann.
Hinzufügen von Sicherheitschecks per Bedingungen/Skripten • 79
Stichwörter:
Das SSH-Modul kann jedes Skript starten, das unterstützt wird und
auf dem Linux-Zielrechner über das Terminal-Fenster gestartet
werden kann.
Beim Start eines SSH-basierten Sicherheitschecks wird das SSHSkript über eine Verbindung mit dem SSH-Server, die mit den zu
Scan-Beginn angegebenen Anmeldeinformationen aufgebaut wurde,
auf den Zielrechner kopiert. Der kopierten Datei werden dann
Executable Permissions zugewiesen, und sie wird auf dem
Zielrechner gestartet. Der über dieses Skript ausgegebene Text wird
dann abschließend vom SSH-Modul analysiert. Dadurch erkennt das
SSH-Modul, wenn das Skript beendet ist und ob ein erfolgreiches
Erebnis vorliegt.
Folgende Stichwörter werden vom SSH-Modul verarbeitet und als
Anweisungen für GFI LANguard N.S.S. interpretiert:
•
TRUE:
•
FALSE:
•
AddListItem
•
SetDescription
•
!!SCRIPT_FINISHED!!
Erkennt das SSH-Modul eine der dieser Ausgaben, wird der String je
nach gefundenem Stichwort unterschiedlich verarbeitet.
TRUE: und FALSE:
Erkennt das SSH-Modul einen der folgenden Strings, wird als
Ergebnis des Sicherheitschecks als TRUE oder FALSE ausgegeben.
AddListItem
Bei „AddListItem” handelt es sich um eine interne Funktion, mit der
Ergebnisse wie in der Benutzeroberfläche angezeigt dem Baum des
Sicherheitschecks hinzugefügt werden. Die korrekte Syntax für diese
Funktion lautet:
AddListItem([[[<parent node>]]],[[[<actual string>]]])
Der erste Paramter [[[<parent node>]]] gibt den Namen des
Vaterknoten an. Der zweite Parameter [[[<actual string>]]] gibt den
Wert dieses Knotens im Baum an.
HINWEIS: Erfolgt keine Angabe für den Parameter „Vaterknoten”, fügt
die Funktion den angegebenen String dem Knoten hinzu, der für
diesen Check an erster Stelle steht. Jeder Sicherheitscheck hat
seinen eigenen Startknoten. Über den Befehl „AddListItem“ wird unter
dem Sicherheitslücken-Knoten des Checks stets ein Kinderknoten
erstellt.
SetDescription
SetDescription ist eine interne Funktion, welche die standardmäßige
Beschreibung, die im Sicherheitscheck festgelegt ist, überschreiben
kann. Bei einigen Sicherheitschecks ist es möglicherweise notwendig,
den im Baum angezeigten, vorgegebenen Namen zu ändern.
SetDescription(<New description>)
80 • Hinzufügen von Sicherheitschecks per Bedingungen/Skripten
!!SCRIPT_FINISHED!!
Jedes Skript gibt den Text „!!SCRIPT_FINISHED!!“ aus. Dieser String
zeigt das Ende jeder Skriptausführung an. Das SSH-Modul sucht nach
diesem String, bis er gefunden wird oder das Skript wegen
Zeitüberschreitung abgebrochen wird. Sollte der Vorgang wegen
Zeitüberschreitung abgebrochen werden, weil „!!SCRIPT_FINISHED!!“
nicht in der vorgegebenen Zeit empfangen wurde, ignoriert das SSHModul das Skript. In diesem Fall wird die Sicherheitslücke nicht
angezeigt, auch wenn „TRUE:“ vor dem Timeout erfolgreich an das
SSH-Modul ausgegeben wird.
Daher ist es wichtig, dass jedes Skript, ungeachtet des CheckUmfangs, immer „!!SCRIPT_FINISHED!!“ am Ende der Verarbeitung
ausgeben muss.
WICHTIGER HINWEIS: Für Erstellung und Fehleranalyse von
Skripten kann der GFI-Support nicht in Anspruch genommen werden.
Fragen zur Skript-Erstellung mit dem N.S.S. können unter
forums.gfi.com gestellt werden, das als P2P-Forum für Benutzer von
GFI LANguard N.S.S. und zum Austausch von Skripten gedacht ist.
Beispiel:
Anhand folgender Schritt-für-Schritt-Anleitung zum Erstellen eines
Sicherheitschecks sollen die oben beschriebenen Paramater praktisch
erklärt werden.
Zuerst wird ein SSH-Skript mit nur grundlegenden Funktionen erstellt.
Dabei werden alle oben präsentierten Stichwörter verwendet, einfach
eine neue Beschreibung erstellt und dem Sicherheitslücken-Baum
zwei Objekte hinzugefügt.
Das SSH-Skript mit dem Namen test.sh besteht aus folgendem Code:
#!/bin/bash
echo "TRUE:"
time=`date`
echo "SetDescription(New Script Generated Description at :$time)"
echo "AddListItem([[[Child 1]]],[[[Added Item 1]]])"
echo "AddListItem([[[Child 2]]],[[[Added Item 2]]])"
echo "!!SCRIPT_FINISHED!!"
Danach wird ein Sicherheitscheck erstellt, der dieses Skript auf einem
mit Linux betriebenen Remote-Rechner ausführen soll. Er sieht wie
folgt aus:
Das
Scannen
eines
Linux-Rechners
mit
korrekten
Anmeldeinformationen löst diesen Check aus. Dieser Check bewirkt
folgende Ausgabe:
SSH-basierte Skript-Ausgabe mit Skript-Feedback
Weitere Beispiele von SSH-Skripten finden Sie unter
[Hauptverzeichnis von GFI LANguard N.S.S.]\data\scripts\
Alle Dateien mit der Endung .sh sind SSH-Skripten. (Beachten Sie,
dass SSH-Skripten beliebige Endungen haben können, da sie auch
mit anderen Erweiterungen als .sh funktionieren.)
Hinzufügen von auf individuellen vbs-Skripten basierenden
Sicherheitschecks
Es ist möglich, Sicherheitschecks hinzuzufügen, bei denen ein von
Ihnen erstelltes Skript verwendet wird. Skripten lassen sich mit Hilfe
des Editors/Debuggers von GFI LANguard N.S.S. erstellen. Dazu
gehen Sie folgendermaßen vor:
Schritt 1: Erstellung des Skripts
1. Der Script Debugger wird über „Start“ > „Programme“ > „GFI
LANguard Network Security Scanner“ > „Script Debugger“ gestartet.
2. Wählen Sie „File” > „New…”.
3. Erstellen Sie nun Ihr Skript. Das folgende Skript soll als Beispiel
dienen, das Sie im Debugger eingeben können.
Function Main
echo "Script has run successfully"
Main = true
End Function
4. Speichern Sie die Datei, z. B. unter „c:\myscript.vbs“.
Schritt 2: Hinzufügen des neuen Sicherheitschecks:
1. Gehen Sie auf den Knoten „Configuration“ > „Scanning Profiles“.
2. Rufen Sie die Registerkarte „Vulnerabilities” auf, und wählen Sie die
Kategorie aus, zu der die neue Sicherheitslücke zählen soll.
3. Klicken Sie auf die Schaltfläche „Hinzufügen". Das Dialogfenster
„Add vulnerability” wird geöffnet.
Hinzufügen eines neuen Sicherheitschecks
4. Geben Sie grundlegende Informationen ein, wie den Namen des
Checks, eine kurze Beschreibung, die Sicherheitsstufe und eine
BugtraqID/URL (falls zutreffend). Des Weiteren können Sie angeben,
wie viel Zeit die Ausführung dieses Sicherheitscheck in Anspruch
nimmt.
5. Klicken Sie auf die Schaltfläche „Add…“.
6. Wählen Sie „Script“ aus der Liste der Kontrollarten aus.
Auswahl eines Skripts mit Code für den neuen Sicherheitscheck
7. Geben Sie den Speicherort des Skripts „c:\myscript.vbs“ an. Klicken
Sie auf „Add”, um den neuen Check hinzuzufügen. Beim nächsten
Scan nach Sicherheitslücken wird Ihr neues Skript ebenfalls
berücksichtigt.
8. Für einen Testdurchlauf können Sie einfach Ihren lokalen Host
scannen, und der neue Warnhinweis sollte unter dem Knoten
„Vulnerabilities“ > „Miscellaneous Alerts“ erscheinen.
Hinzufügen von auf individuellen SSH-Skripten basierenden
Sicherheitschecks
Sie können Sicherheitschecks hinzufügen, bei denen ein
benutzerdefiniertes Skript verwendet wird, das vom SSH-Modul auf
dem gescannten Linux-Rechner gespeichert und ausgeführt wird. Das
Skript kann in jeder Skript- oder Programmiersprache erstellt werden,
die das Drucken auf die Konsole unterstützt. Für das folgende Beispiel
wird das Bash-Skripting verwendet, das standardmäßig auf allen
Linux-Systemen verfügbar ist.
Schritt 1: Erstellung des Skripts
1. Öffnen Sie Ihren Text-Editor.
2. Erstellen Sie ein neues, leeres Dokument, und speichern Sie es
unter „[Hauptverzeichnis von GFI LANguard N.S.S. ]\data\scripts“.
3. Geben Sie folgende Zeilen im Editor ein:
#!/bin/bash
if [ -e test.file ]
then
echo "TRUE:"
else
echo "FALSE:"
if
echo "!!SCRIPT_FINISHED!!"
4. Sichern Sie die Datei z. B. unter „C:\Program Files\GFI\LANguard
Network Security Scanner 6.0\Data\Scripts\myscript".
Schritt 2: Hinzufügen des neuen Sicherheitschecks:
2. Rufen Sie die Registerkarte „Vulnerabilities” auf, und wählen Sie die
Kategorie aus, zu der die neue Sicherheitslücke zählen soll.
3. Klicken Sie auf die Schaltfläche „Hinzufügen". Das Dialogfenster
„Add vulnerability” wird geöffnet.
Hinzufügen eines neuen Sicherheitschecks
nimmt.
5. Klicken Sie auf die Schaltfläche „Add…“.
6. Wählen Sie „SSH Script“ aus der Liste der Kontrollarten aus.
Auswahl eines Skripts mit Code für den neuen Sicherheitscheck
Geben Sie den Speicherort des Skripts wie zuvor festgelegt an:
„C:\Program Files\GFI\LANguard Network Security Scanner
6.0\Data\Scripts\myscript“. Klicken Sie auf „Add”, um den neuen
Check hinzuzufügen. Beim nächsten Scan nach Sicherheitslücken
wird Ihr neues Skript ebenfalls berücksichtigt.
Um den Check zu testen, scannen Sie einfach den Linux-Rechner.
Erstellen Sie die Datei test.file, um die Sicherheitswarnung
auszulösen. Hierfür melden Sie sich auf Ihrem Linux-Rechner an,
navigieren zum für den Scan-Vorgang vorgesehenen User, dann zum
Heimatverzeichnis und geben den Befehl „touch test.file“ ein. Nach
Abschluss des Scans sollten Sie die gerade erstellte
Sicherheitswarnung unter dem Sicherheitslücken-Knoten sehen.
Hinzufügen eines Sicherheitschecks für CGI-Schwachstellen
Neue Sicherheitskontrollen können auch ohne das Erstellen von
Skripten hinzugefügt werden. Dies gilt z. B. für Überprüfungen auf
CGI-Sicherheitslücken. Dazu gehen Sie folgendermaßen vor:
2. In der Registerkarte „Vulnerabilities” wählen Sie bitte den Knoten
„CGI vulnerabilities“ aus. Klicken Sie dann auf „Add”.
Das
Dialogfenster „New CGI vulnerability check” wird geöffnet.
Erstellen einer Warnmeldung für eine neue CGI-Sicherheitslücke
nimmt.
4. HTTP Method – unterstützt für den CGI-Bereich die beiden
Methoden GET und HEAD.
5. URL to check – die vom N.S.S. abzufragende URL.
6: Return String – gibt an, nach welchen Informationen der N.S.S. in
den Rückmeldungen suchen soll um festzustellen, ob der Rechner für
diese Art von Angriff anfällig ist.
Hinzufügen weiterer Kontrollen für Sicherheitslücken
Zusätzliche andere Sicherheitskontrollen können ebenfalls ohne das
Erstellen von Skripten hinzugefügt werden. Hierbei kommt dasselbe
Format wie bei den CGI-Kontrollen zum Einsatz, jedoch können
umfangreichere Bedingungen definiert werden. Dazu gehen Sie
folgendermaßen vor:
2. In der Registerkarte „Vulnerabilities” wählen Sie bitte den Typ der
Sicherheitslücke aus, die Sie hinzufügen möchten, indem Sie auf die
Kategorie klicken, zu der die neue Sicherheitslücke zählen soll.
Klicken Sie dann auf „Add”.
Erstellen einer neuen Sicherheitslücke
nimmt.
4. Nun müssen Sie angeben, wonach im Detail gesucht werden soll:
Um die neue Sicherheitslücke zu definieren, nach der gesucht werden
soll, klicken Sie mit der rechten Maustaste im Fenster „Trigger
condition", und fügen Sie den neuen Check hinzu.
5. Folgende Komponenten können für die Definition einer neuen
Sicherheitslücke verwendet werden:
•
•
Operating System
o
Is
o
Is Not
Registry Key
o
Exists
o
Not Exists
Hinweis: Funktioniert nur unter HKEY_LOCAL_MACHINE
•
Registry Path
o
Exists
o
Not Exists
•
Registry Value
o
Is Equal With
o
Is Not Equal With
o
Is Less Than
o
Is Greater Than
•
•
•
•
Service Pack
o
Is
o
Is Not
o
Is Lower Than
o
Is Higher Than
Hot Fix
o
Is Installed
o
Is Not Installed
o
Is Installed
o
Is Not Installed
IIS
IIS-Version
o
Is
o
Is Not
o
Is Lower Than
o
Is Higher Than
•
RPC-Service
•
o
Is Installed
o
Is Not Installed
NT-Service
•
o
Is Installed
o
Is Not Installed
NT Service running
•
o
Is running
o
Is not running
NT Service startup type
•
o
Automatic
o
Handbuch
o
Deaktiviert
Port (TCP)
•
o
Is Open
o
Is Closed
UDP-Port
•
o
Is Open
o
Is Closed
FTP-Banner
o
Is
o
Is Not
Hinweis: Sie können Suchmuster erstellen, die nach Version 1.0
bis 1.4 suchen, sowie nach Version 2.0 bis 2.2, jedoch nicht nach
Version 1.5 bis 1.9. Siehe Beispiele weiter unten.
•
HTTP-Banner
o
Is
o
Is Not
Hinweis:
Sie können Suchmuster erstellen, die nach
Version 1.0 bis 1.4 suchen, sowie nach Version 2.0 bis 2.2,
jedoch nicht nach Version 1.5 bis 1.9. Siehe Beispiele weiter
unten.
•
SMTP-Banner
o
Is
o
Is Not
Hinweis:
unten.
•
POP3-Banner
o
Is
o
Is Not
Hinweis:
unten.
•
DNS-Banner
o
Is
o
Is Not
Hinweis:
unten.
•
SSH-Banner
o
Is
o
Is Not
Hinweis:
unten.
•
Telnet-Banner
o
Is
o
Is Not
Hinweis:
unten.
•
•
Script
o
Returns: True (1)
o
Returns: False (0)
SSH Script
o
Returns True (TRUE:)
o
Returns False (FALSE:)
6. Für jede der vorgestellten Optionen gelten eigene Kriterien, die für
den Sicherheitscheck gelten. Wenn Sie beim Erstellen einer neuen
Warnmeldung zu allgemeine Angaben machen, erhalten Sie zu viele
fehlerhafte Berichte. Möchten Sie eigene Warnmeldungen erstellen,
sollten diese daher genau abgegrenzt und so spezifisch wie möglich
sein.
Das Auslösen einer Warnmeldung kann auch nur dann erfolgen, wenn
mehrere Bedingungen gleichzeitig vorliegen. So könnten Sie Checks
mit mehreren Bedingungen definieren wie:
•
Betriebssystem überprüfen
•
Port XYZ
•
Banner “ABC”
•
LANS-Skript QRS Run und Schwachstellen-Überprüfung
Nur wenn alle diese Kriterien gemeinsam zutreffen, wird die
Warnmeldung ausgelöst.
Hinweis: Mit Hilfe der Suchmuster lassen sich Warnmeldungen wie
die folgende erstellen, mit der die Apache-Version auf einem Rechner
überprüft werden kann. ~.*Apache/(1\.([0-2]\.[0-9]|3\.([0-9][^0-9]|[01][0-9]|2[0-5]))|2\.0.([0-9][^0-9]|[0-2][0-9]|3[0-8])).
Benutzern mit Programmiererfahrung in C oder Perl sollten mit diesem
sehr ähnlichen Format keine Probleme haben. Im Internet gibt es
zudem viele Quellen zu diesem Thema. Mit folgenden Beispielen soll
das Generieren von Suchmustern näher erläutert werden. Weitere
Hilfe finden Sie unter dem am Ende dieses Kapitels angegebenen
Link.
Wenn Sie ein Beispiel/eine schrittweise Anleitung zum Erstellen einer
neuen Warnmeldung mit einem Skript wünschen, finden Sie diese in
der Programmgruppe des GFI LANguard N.S.S. in der Hilfe-Datei
„Scripting Documentation“.
Troubleshooting
Einführung
In diesem Kapitel erfahren Sie, welche Hilfsmöglichkeiten es bei
Problemen gibt. Folgende Informationsquellen stehen zur Verfügung:
1. Das Handbuch – Die meisten Probleme lassen sich mithilfe des
Handbuchs lösen.
2. Die GFI Knowledge Base unter http://kbase.gfi.com
3. Die GFI Support-Site unter http://support.gfi.com
4. E-Mail-Anfrage an den GFI-Support an support@gfisoftware.de
5. Kontaktaufnahme
mit
dem
GFI-Support
englischsprachigen
Live-Support
http://support.gfi.com/livesupport.asp.
über
den
unter
6. Telefonische Kontaktaufnahme mit dem GFI-Support.
Knowledge Base
Die Knowledge-Base von GFI hält Antworten zu den am häufigsten
gestellten Fragen bereit. Bei Problemen sollten Sie zunächst die
Knowledge-Base konsultieren. Die Wissensdatenbank bietet immer
die neuesten Informationen zu Support-Fragen und Patches.
Sie kann unter http://kbase.gfi.com aufgerufen werden.
Allgemeine FAQs
Support-Fragen per E-Mail
Wenn Sie Ihre Probleme mit Hilfe der Wissensdatenbank und dem
Handbuch nicht lösen konnten, können Sie sich an den GFI-Support
wenden. Sie sollten den Support per E-Mail kontaktieren, da Sie an
Ihre Nachricht wichtige Informationen anhängen können, die helfen,
Ihre Fragen schneller zu beantworten.
Das Programm Troubleshooter aus der Programmgruppe generiert
automatisch eine Reihe von Dateien, die GFI zur Problemanalyse
benötigt. Die Dateien beinhalten u. a. Angaben zur Konfiguration. Um
diese Dateien zu erzeugen, starten Sie den Troubleshooter, und
folgen Sie den Anweisungen des Programms.
Neben dem Sammeln von Informationen stellt Ihnen das Programm
einige Fragen. Bitte nehmen Sie sich die Zeit, diese korrekt zu
beantworten. Ohne die richtigen Informationen ist es dem
Kundendienst nicht möglich, Ihr Problem genauer zu diagnostizieren.
Troubleshooting • 93
Öffnen Sie danach den Ordner „support’, der sich im Unterverzeichnis
des Programmverzeichnisses befindet, ZIPPEN Sie die Dateien, und
senden Sie diese an support@gfisoftware.de.
Stellen Sie jedoch zuvor bitte sicher, dass Sie Ihr Produkt auf der
GFI-Web-Site
unter
http://www.gfisoftware.de/de/pages/regfrm.htm registriert haben!
Ihre Anfrage wird innerhalb von 24 Stunden beantwortet.
Support-Anfrage per Web-Chat
Sie erhalten weiteren Support über unseren Live-Chat im Web. Die
Kontaktaufnahme mit dem GFI-Support über den Live-Support erfolgt
unter http://support.gfi.com/livesupport.asp.
Stellen Sie jedoch zuvor bitte sicher, dass Sie Ihr Produkt auf
unserer Web-Site unter http://www.gfisoftware.de/de/pages/
regfrm.htm registriert haben!
Support-Anfrage per Telefon
Für technische Hilfe können Sie auch telefonischen Kontakt mit dem
Support-Team aufnehmen. Die entsprechenden Rufnummern für Ihr
Land finden Sie auf der Support-Site von GFI.
Support-Web-Site:
http://support.gfi.com/?lcode=de
Stellen Sie jedoch zuvor bitte sicher, dass Sie Ihr Produkt auf
unserer Web-Site unter http://www.gfisoftware.de/de/pages/
regfrm.htm registriert haben!
Web-Forum
Über das Web-Forum steht Ihnen der User-to-User-Support zur
Verfügung. Das Forum erreichen Sie unter
http://forums.gfi.com/
Mitteilungen zu neuen Builds
Es wird empfohlen, für aktuelle Informationen zu den neuesten
Produkt-Builds den entsprechenden GFI-Newsletter zu abonnieren.
Um stets über die neusten Builds auf dem Laufenden zu sein, können
Sie die Mitteilungen abonnieren unter:
http://support.gfi.com/?lcode=de
94 • Troubleshooting
U
User 18, 79
Index
X
XML 7
A
Anwender 18
B
Benutzer 5, 79
Betriebssystem 7
D
Dienste 6
DNS-Lookup 73, 75, 76, 77,
78
F
Freigaben (Shares) 18
G
Gruppen 21
H
Hot Fixes 23
HTML 7
O
Offene Ports 6
Operating System 7
P
Passwort-Richtlinien 18
R
Registry 18
S
Sicherheitsrichtlinien 5
SNMP 76
SNMP-Auditing 76
Systemanforderungen 9
T
Traceroute 74
Troubleshooting • 95

Installation von GFI LANguard NSS

Transcription

Similar documents

Software Update Services

Südsudan

Programmierte Unsicherheit – SySS knackt einen weiteren USB