Praxistest: Interest Security Scanner
Security-Scanner für den Admin
Gleich zwei Sicherheitsspezialisten und Penetration-Tester haben sich für LANline einen Security-Scanner vorgenommen, der auch Systemverwaltern bei der Bestimmung des SicherheitsLevels im eigenen Netz helfen soll.
Security Scanner sind wichtige Tools für Administratoren, um sich einen Überblick über die
Sicherheit ihrer wichtigen Systeme zu verschaffen und Sicherheitsprobleme zu beseitigen. Einige
renommierte Produkte – teils kostenlos, teils hochpreisig – stehen bereits zur Verfügung. Nun
bringt der Interest-Verlag ein weiteres Produkt auf den Markt. Der Hersteller wirbt mit der
Bündelung aller wesentlichen Funktionen in einem Programm: Der Administrator soll mit nur einem
einzigen Werkzeug Sicherheitsanalysen seiner Systeme durchführen können. Zu den Funktionen gehören
Informationsgewinnung über Whois-Abfragen und das Durchsuchen von Webseiten, Traceroutes, Portscans
inklusive Banner Grabbing, Password Checks sowie die Suche nach bekannten Sicherheitslücken.
Echte Hacker besitzen für jede dieser Funktionen ein eigenes Werkzeug, welches seine Aufgabe mit
größtmöglicher Zuverlässigkeit und Effizienz erledigt. Für einen Systemverwalter ist ein
All-in-One-Werkzeug allerdigns tatsächlich hilfreicher, da der Einbruch in Systeme üblicherweise
nicht zu seinen Aufgaben gehört.
Der erste Programmstart des Scanners verspricht bereits einiges an Funktionalität. Neben den
schon aufgeführten Funktionen sind ein kleiner Protokoll-Analyzer enthalten sowie einige sehr
nützliche Client Tools wie etwa TFTP-Server und -Client, SMTP- und POP3-Client sowie FTP, Telnet,
REXEC und SNMP-Clients.
Zusätzlich gibt es innerhalb des Programms eine Schnittstelle für den Zugriff auf die
Sicherheitsdatenbank des Interest-Verlags, in der der Administrator Detailinformationen zu gefunden
Sicherheitsproblemen nachschlagen kann – ein nützliches und wichtiges Feature.
Praxistest
Um die Praxistauglichkeit des Scanners zu prüfen, wurden in einer Laborumgebung zwei
Angriffsziele vorbereitet. Beim ersten handelt es sich um ein Windows-2000-Server-System ohne
Service-Pack. Neben den Standarddiensten läuft hier ein Internet Information Server 5.0 mit
diversen Sicherheitsproblemen, der für einen Angreifer eine leichte Beute darstellt.
Um einen generellen Überblick über das Zielsystem zu erhalten, bietet Securitx die
Analysefunktion "Technischer Audit" an. Hier werden Funktionen wie Whois, Traceroute und Portscan
mit Banner Grabbing ausgeführt. Mit diesen Funktionen wird der Angreifer bereits in die Lage
versetzt, das Zielsystem in seinem Labor nachzubauen und so einen Angriff in aller Ruhe
vorzubereiten. Zusätzlich wird an dieser Stelle noch auf typische Webserverprobleme geprüft wie
etwa erreichbare administrative Schnittstellen. Das Ergebnis sieht vielversprechend aus: Portscan
und Banner Grabbing wurden zuverlässig erledigt.
Der Webserver-Scan fördert die bekannten Probleme eines ungepatchten IIS 5 zu Tage wie zum
Beispiel die bekannte "Unicode Directory Traversal"-Sicherheitslücke. Allerdings enthält das
Ergebnis auch eine Menge Fehlalarme – beispielsweise werden einige Lotus-Notes-Schwächen gefunden,
obwohl kein Notes auf dem Zielsystem installiert ist. Fehlalarme bei solchen Scans sind durchaus
üblich, wenn Webserver nicht mit den Standardfehlermeldungen antworten. Da dies hier allerdings
nicht der Fall ist, scheint im Programm noch Feintuning bei der Interpretation der Ergebnisse
notwendig zu sein. Auch die Überprüfung der SNMP Community Strings (SNMP Zugangspasswort) wirft
Probleme auf: Es werden Passwörter gemeldet, die sich bei einer manuellen Prüfung als nicht korrekt
erweisen.
Ein weiteres Analysewerkzeug des Scanners ist das "Exploit Tool". Dieses Werkzeug soll das
Zielsystem auf bekannte Sicherheitslücken überprüfen, mit deren Hilfe ein Angreifer das System
übernehmen kann. In einer Datenbank sind die notwendigen Checks (346 in der getesteten Version)
hinterlegt, die über die Webseite des Interest-Verlages regelmäßig aktualisiert werden können. Auch
dieses Tool wird gegen das präparierte Zielsystem eingesetzt. Das Ergebnis scheint hier allerdings
nicht sehr glaubwürdig (Bild 1).
Ein weiterer Test gegen das zweite Laborsystem, einem auf Red Hat 7.2 basierten Linux-System,
führt zu vergleichbaren Ergebnissen. Ein schneller Check mit einem Sniffer zeigt, dass keine
Netzwerkpakete gesendet werden. Auch auf einem zweiten Testsystem funktioniert das "Exploit Modul"
nicht. Der Test des "Exploit Moduls" musste an dieser Stelle abgebrochen werden.
Als letzter Test wird mit dem "Password Audit Modul" die Sicherheit der Benutzer/
Passwort-Kombinationen eines FTP-Servers geprüft. Das Modul findet schwache Authentifizierungsdaten
zuverlässig, wie in Bild 2 zu erkennen ist.
Das Password Audit Modul vermag die folgenden Dienste zu prüfen: Windows, POP3, FTP, SNMP, RSH,
REXEC und MySQL. Der Administrator kann sowohl dedizierte Benutzernamen als auch Listen von
Benutzernamen Wörterbuch- und Brute-Force-Angriffen unterziehen. Wünschenswert wäre an dieser
Stelle allerdings die Unterstützung weiterer Dienste wie SSH, Telnet oder HTTP-Authentifizierung,
die heute doch häufiger im Einsatz sind als RSH und REXEC.
Fazit
Mit dem Security-Scanner bringt der Interest-Verlag ein Werkzeug auf den Markt, das die
wesentlichen Funktionen für die Überprüfung der Sicherheit von Systemen enthält. Der
Funktionsumfang ist im Vergleich zu alternativen Produkten aber kein Alleinstellungsmerkmal. Auch
weist das Produkt noch einige Kinderkrankheiten in Bezug auf die Zuverlässigkeit der Ergebnisse
auf, die in zukünftigen Versionen abgestellt werden sollten. Die Zahl der dem System bekannten
Sicherheitslücken ist noch ausbaufähig, hier liegen etablierte Programme bereits bei über 10.000.
Mit einem Preis von 248 Euro gehört der Scanner zu den günstigen Produkten, vor allem weil keine
Limitierung in Bezug auf die Anzahl der zu untersuchenden Systeme enthalten ist. Allerdings sind
für Updates alle sechs Monate weitere 200 Euro zu entrichten.
Lesen Sie mehr zum Thema
