Testreihe Security-Tools, Teil 1: OpenVAS
Schwachstellen erkennen und schließen
Fortsetzung des Artikels von Teil 1
Im Testbetrieb
Für den Test erstellten wir einen manuellen Scan-Task und gaben das komplette IP-Subnetz unseres Testnetzes an. Es ist auch möglich, nur einzelne IP-Adressen zu scannen. Im Task-Menü fügten wir Benutzerkonten für Linux, ESXi und Windows hinzu, damit OpenVAS sich beim Scannen an den Systemen anmelden kann. Dann starteten wir den Scan per Klick auf den Play-Button. Für den Scan im Testnetz mit zehn Servern, drei PCs und einem Internet-Router benötigte OpenVAS knapp zwei Stunden. Unter den Zielsystemen befanden sich ein DSL-Router, zwei ESXi-Hosts, eine VM mit Ubuntu Linux sowie mehrere virtuelle und physische Windows-Server. Während der Scan lief, zeigte die Web-Konsole bereits erste Ergebnisse an.
Sobald ein Scan abgeschlossen ist, listet die Reportansicht die Ergebnisse nach der Gefährlichkeit der entdeckten Sicherheitslücken auf. OpenVAS verwendet für die Klassifizierung die CVSS-Skala (Common Vulnerability Scoring System), die von 1 bis 10 reicht. Der Wert 10 stellt die höchste Gefährdungsstufe dar, Werte ab 7 gelten als sehr kritisch. Der zusätzlich angegebene QoD-Wert (Quality of Detection) bezieht sich darauf, wie zuverlässig die Software eine Sicherheitslücke feststellen konnte. Liegt der Wert zwischen 95 und 100 Prozent, konnte OpenVAS die Sicherheitslücke durch den Scantest aktiv ausnutzen. Im LANline-Test fand OpenVAS auf den gescannten Systemen zahlreiche Sicherheitslücken, etwa fehlende Security-Hotfixes und unzureichend gehärtete Protokoll-
implementierungen.
Um die Beschreibung einer gefundenen Schwachstelle anzuzeigen, klickt der Administrator in der Scanergebnisliste auf die Sicherheitslücke. Daraufhin erscheinen detaillierte Erläuterungen und meist auch Hinweise, durch welche Maßnahmen sich die Lücke schließen lässt. Die Reportlisten bieten Filterfunktionen, um nicht relevante Scanmeldungen und bekannte False-Positive-Meldungen auszublenden. Die Scanergebnisse lassen sich für die weitere Bearbeitung in verschiedenen Formate wie .pdf, .txt, .xml oder .csv exportieren. Sobald der Scanreport ausgewertet ist, beginnt die eigentliche Arbeit. Zuerst sollte ein IT-Team die kritischsten Sicherheitslücken schließen, dann die weiteren gefundenen Schwachstellen. Ob die Maßnahmen erfolgreich waren, wird der nächste Scan zeigen.
Spürhund für Schwachstellen
OpenVAS ist ein leistungsfähiger Schwachstellenscanner, der per Web-Konsole einfach zu bedienen ist. Die kostenfreie Open-Source-Version, von der Greenbone Community als Greenbone Source Edition bereitgestellt, verfügt im Vergleich zu den kommerziellen Enterprise Appliances über einen reduzierten Funktionsumfang. Für einen ersten Einstieg in das Schwachstellen-Management eignet sich aber auch die abgespeckte Open-Source-Version aufgrund einfacher Bedienung gut. Den schnellsten Start ermöglicht die Greenbone Enterprise Trial Appliance, die sich von der Hersteller-Website als VM herunterladen lässt und mit dem Community Feed kostenfrei bereitsteht.
Für einen dauerhaften Einsatz des OpenVAS-Schwachstellenscanners empfiehlt es sich, bei Greenbone Networks eine Enterprise Appliance Subscription zu erwerben, die neben der vollständigen Scanfunktionalität auch Support umfasst. Preise für die Appliance-Versionen und den Cloud-Service sind beim Hersteller auf Anfrage erhältlich.
- Schwachstellen erkennen und schließen
- Im Testbetrieb
Lesen Sie mehr zum Thema
