Installation von GFI LANguard NSS
Transcription
Installation von GFI LANguard NSS
GFI LANguard Network Security Scanner 6 Handbuch GFI Software Ltd. GFI SOFTWARE Ltd. http://www.gfisoftware.de E-Mail: [email protected] Die Informationen in diesem Dokument können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten Firmen, Namen und Daten sind, wenn nicht anders angegeben, rein fiktiv. Ohne vorherige ausdrückliche und schriftliche Zustimmung von GFI Software Ltd. darf dieses Dokument weder ganz noch teilweise in irgendeiner Form, sei es elektronisch oder mechanisch oder zu irgendeinem anderen Zweck reproduziert bzw. übertragen werden. GFI LANguard ist ein urheberrechtlich geschütztes Produkt von GFI SOFTWARE Ltd. 2000-2004 GFI SOFTWARE Ltd. Alle Rechte vorbehalten. Handbuch Version 6.0 – Letzte Änderung: 27.01.05 Inhaltsverzeichnis Einführung 5 Funktionsweise des GFI LANguard Network Security Scanner .................................... 5 Potenzieller Schwachpunkt interne Netzwerk-Sicherheit .............................................. 5 Hauptmerkmale.............................................................................................................. 6 Komponenten von GFI LANguard N.S.S. ...................................................................... 7 Information zur Lizenzierung.......................................................................................... 8 Installation von GFI LANguard N.S.S. 9 Systemanforderungen.................................................................................................... 9 Installationsablauf .......................................................................................................... 9 Eingabe des Registrierschlüssels nach der Installation............................................... 11 Erste Schritte: Durchführung eines Sicherheits-Audits 13 Einführung.................................................................................................................... 13 Durchführung eines Scan-Vorgangs............................................................................ 13 Analyse der Scan-Ergebnisse...................................................................................... 15 IP, Rechnername, Betriebssystem und installierte Service Packs .............................................................................................................. 15 Knoten für Sicherheitslücken („Vulnerabilities“).............................................. 15 Knoten für potenzielle Sicherheitslücken („Potential Vulnerabilities“) ............................................................................................... 17 Freigaben (Shares) ......................................................................................... 18 Passwort-Richtlinien („Password Policy“) ....................................................... 18 Registry ........................................................................................................... 18 Richtlinien für Sicherheitsüberwachungen („Security Audit Policy“) ............................................................................................................ 19 Offene Ports .................................................................................................... 20 Benutzer und Gruppen („Users & Groups“) .................................................... 21 Angemeldete Benutzer („Logged On Users”) ................................................. 21 Dienste ............................................................................................................ 22 System Patching-Status.................................................................................. 23 Network Devices ............................................................................................. 23 USB Devices ................................................................................................... 24 Zusätzliche Ergebnisse................................................................................................ 25 Computer ........................................................................................................ 25 Durchführung von On-Site- und Off-Site-Scans .......................................................... 25 On-Site-Scan................................................................................................... 26 Off-Site-Scan................................................................................................... 26 Vergleich von On-Site- und Off-Site-Scans .................................................... 26 Speicherung und Abruf von Scan-Ergebnissen 29 Einführung.................................................................................................................... 29 Speicherung von Scan-Ergebnissen in einer externen Datei ...................................... 29 Abruf von Scan-Ergebnissen ....................................................................................... 29 Abruf gespeicherter Scan-Daten aus der Datenbank ..................................... 29 Abruf gespeicherter Scans aus einer externen Datei ..................................... 30 GFI LANguard N.S.S. Handbuch Inhaltsverzeichnis • i Filtern der Scan-Ergebnisse 31 Einführung.................................................................................................................... 31 Auswahl der Quelle für die Scan-Ergebnisse .............................................................. 32 Erstellung eigener Scan-Filter...................................................................................... 32 Konfigurierung von GFI LANguard N.S.S. 35 Einführung.................................................................................................................... 35 Scan-Profile.................................................................................................................. 35 Zu überprüfende TCP/UDP-Ports („TCP/UDP Ports“)................................................. 36 Hinzufügen/Bearbeiten/Entfernen von Ports .................................................. 36 Zu überprüfende Betriebssysteminformationen („OS Data“) ....................................... 37 Zu überprüfende Sicherheitslücken („Vulnerabilities“ )................................................ 38 Verschiedene Arten von Sicherheitslücken .................................................... 38 Download der neuesten Informationen zu Sicherheitslücken......................... 39 Zu überprüfende Patches („Patches“).......................................................................... 39 Scanner-Optionen ........................................................................................................ 40 Network Discovery Methods ........................................................................... 41 Sonstige Geräte („Devices”) ........................................................................................ 42 Network Devices ............................................................................................. 43 USB Devices ................................................................................................... 44 Scans nach festem Zeitplan......................................................................................... 46 Parameter-Dateien....................................................................................................... 48 Einsatz von GFI LANguard N.S.S. per Befehlszeile .................................................... 49 Patch-Installation 51 Einführung.................................................................................................................... 51 Agent für die Patch-Installation ....................................................................... 51 Schritt 1: Durchführen eines Netzwerk-Scans ............................................................. 52 Schritt 2: Auswahl von Rechnern, auf denen Patches installiert werden sollen ............................................................................................................... 52 Schritt 3: Auswahl der zu installierenden Patches....................................................... 53 Schritt 4: Download der Patch- und Service Pack-Dateien ......................................... 54 Download der Patches.................................................................................... 55 Schritt 5: Installationsparameter für Patch-Dateien ..................................................... 55 Schritt 6: Installation der Updates ................................................................................ 56 Installation eigener Software........................................................................................ 57 Schritt 1: Auswahl der Rechner für die Installation von Software/Patches ............................................................................................ 58 Schritt 2: Angabe der zu installierenden Software.......................................... 58 Schritt 3: Beginn der Installation ..................................................................... 59 Installationsoptionen .................................................................................................... 60 Allgemein ........................................................................................................ 60 Erweitert .......................................................................................................... 61 Download-Verzeichnis .................................................................................... 61 Vergleich von Scan-Ergebnissen 63 Warum Ergebnisse vergleichen? ................................................................................. 63 Interaktiver Vergleich von Scan-Ergebnissen.............................................................. 63 Ergebnis-Vergleich nach einem festen Zeitplan .......................................................... 64 GFI LANguard N.S.S. Status-Monitor 65 Anzeige geplanter Aktionen ......................................................................................... 65 Active Scheduled Scan ................................................................................... 65 Installationen nach festem Zeitplan ................................................................ 66 Inhaltsverzeichnis • ii GFI LANguard N.S.S. Handbuch Datenbank-Wartung – Optionen 69 Einführung.................................................................................................................... 69 Änderung der Datenbank............................................................................................. 69 MS Access ...................................................................................................... 69 MS SQL Server ............................................................................................... 70 Verwaltung gespeicherter Scan-Ergebnisse................................................................ 71 Weitere Optionen ......................................................................................................... 71 Werkzeuge 73 Einführung.................................................................................................................... 73 DNS-Lookup................................................................................................................. 73 Traceroute.................................................................................................................... 74 Whois-Client................................................................................................................. 75 SNMP Walk.................................................................................................................. 75 SNMP Audit.................................................................................................................. 76 MS SQL Server Audit................................................................................................... 76 Enumerate Computers................................................................................................. 77 Start eines Sicherheits-Scans......................................................................... 77 Installation eigener Patches............................................................................ 78 Aktivierung von Überwachungsrichtlinien ....................................................... 78 Enumerate Users ......................................................................................................... 78 Hinzufügen von Sicherheitschecks per Bedingungen/Skripten 79 Einführung.................................................................................................................... 79 GFI LANguard N.S.S. VBScript ................................................................................... 79 GFI LANguard N.S.S. SSH-Modul ............................................................................... 79 Stichwörter: ..................................................................................................... 80 Hinzufügen von auf individuellen vbs-Skripten basierenden Sicherheitschecks ........................................................................................................ 83 Schritt 1: Erstellung des Skripts ...................................................................... 83 Schritt 2: Hinzufügen des neuen Sicherheitschecks:...................................... 83 Hinzufügen von auf individuellen SSH-Skripten basierenden Sicherheitschecks ........................................................................................................ 85 Schritt 1: Erstellung des Skripts ...................................................................... 85 Schritt 2: Hinzufügen des neuen Sicherheitschecks:...................................... 85 Hinzufügen eines Sicherheitschecks für CGI-Schwachstellen .................................... 87 Hinzufügen weiterer Kontrollen für Sicherheitslücken ................................................. 88 Troubleshooting 93 Einführung.................................................................................................................... 93 Knowledge Base .......................................................................................................... 93 Allgemeine FAQs ......................................................................................................... 93 Support-Fragen per E-Mail .......................................................................................... 93 Support-Anfrage per Web-Chat ................................................................................... 94 Support-Anfrage per Telefon ....................................................................................... 94 Web-Forum .................................................................................................................. 94 Mitteilungen zu neuen Builds ....................................................................................... 94 Index GFI LANguard N.S.S. Handbuch 95 Inhaltsverzeichnis • iii Einführung Funktionsweise des GFI LANguard Network Security Scanner GFI LANguard Network Security Scanner (N.S.S.) ist ein Tool, mit dem sich Sicherheitsüberprüfungen von Netzwerken schnell und problemlos durchführen lassen. Zudem erstellt GFI LANguard N.S.S. Berichte, mit deren Hilfe Sicherheitsprobleme in einem Netzwerk schnell erkannt und beseitigt werden können. Ein weiteres Leistungsmerkmal des Produkts ist die Verwaltung von Patches. Im Gegensatz zu anderen Sicherheits-Scannern liefert der N.S.S. keine unübersichtliche Flut von Informationen, die mühevoll bewertet und analysiert werden müssen. Stattdessen bietet die Sicherheitslösung eine übersichtliche Aufstellung aller netzwerkrelevanten Informationen. Ferner werden Hyperlinks zu Sicherheits-Sites bereitgestellt, wo sich weitergehende Informationen zu den jeweils festgestellten Sicherheitslücken abrufen lassen. Mit Hilfe seiner intelligenten Scan-Funktionen sammelt GFI LANguard N.S.S. rechnerspezifische Informationen wie Benutzernamen, Gruppen, Netzwerk-Freigaben, USB-Geräte, Wireless-Geräte und andere Daten, die über eine Windows-Domäne verfügbar sind. Zusätzlich identifiziert der N.S.S. auch andere Sicherheitsschwachstellen wie Konfigurationsprobleme bei FTPServern, Exploits auf Microsoft IIS- und Apache Web-Servern, fehlerhaft konfigurierte Windows-Sicherheitsrichtlinien sowie eine Vielzahl anderer potenzieller Gefahrenquellen. Potenzieller Schwachpunkt interne Netzwerk-Sicherheit Das Problem der internen Netzwerk-Sicherheit wird in den meisten Fällen von Administratoren nicht genügend beachtet und unterschätzt. Oftmals besteht kein Schutz gegen Angriffe von innen, sodass es für Benutzer ein Leichtes ist, mit Hilfe von bekannten Exploits, Vertrauensstellungen oder sogar Standardeinstellungen auf Rechner von Kollegen zuzugreifen. Für den überwiegenden Teil dieser Angriffe ist kein oder nur wenig Fachwissen erforderlich, und die Integrität des Netzwerks kann jederzeit kompromittiert werden. Ein universeller Zugriff auf alle Rechner, Verwaltungsfunktionen, Netzwerk-Geräte u. ä. durch sämtliche Mitarbeiter ist in den meisten Fällen nicht erforderlich und sollte zudem auch nicht ermöglicht werden. Für den normalen Betrieb interner Netzwerke ist jedoch ein hohes Maß an Flexibilität erforderlich. Mit Regeln, die maximale Sicherheit garantieren, wäre die Produktivität zu sehr eingeschränkt. Fehlen jedoch entsprechende Sicherheitsmechanismen, können interne Benutzer zu einer großen Gefahr für das Intranet werden. GFI LANguard N.S.S. Handbuch Einführung • 5 Mitarbeiter innerhalb eines Unternehmens haben oftmals bereits weit reichenden Zugriff auf viele interne Quellen. Um an vertrauliche Daten im internen Netzwerk zu kommen, müssen sie nicht einmal Firewalls oder andere Sicherheitsbarrieren überwinden, die zum Schutz vor Anfragen aus nicht vertrauenswürdigen externen Quellen (z. B. aus dem Internet) errichtet wurden. Interne Benutzer können mit ein wenig Fachkenntnis sogar an administrative Netzwerk-Rechte für den Fernzugriff gelangen. Dieser Missbrauch bleibt oftmals vollkommen unerkannt oder ist nur sehr schwer als ein solcher zu identifizieren. 80% aller Netzwerk-Angriffe werden innerhalb des Firewallgeschützten Bereichs verübt (ComputerWorld, Januar 2002). Eine unzureichende Netzwerk-Sicherheit bedeutet zudem, dass beim erfolgreichen Zugriff eines externen Hackers auf nur einen Rechner des Netzwerks auch das übrige interne Netzwerk ohne größere Probleme kontrolliert werden kann. Versierte Angreifer hätten somit die Möglichkeit, vertrauliche E-Mails und Dokumente zu lesen, diese zu veröffentlichen oder Rechner unbrauchbar zu machen, indem z. B. wichtige Systemdaten gelöscht werden. Zudem können Ihr Netzwerk und die Netzwerk-Ressourcen auch selbst als Ausgangspunkt für weitere Angriffe auf andere Sites eingesetzt werden. Wird ein solcher Angriff zurückverfolgt, sind nur Sie und Ihr Unternehmen als Verursacher erkennbar, jedoch nicht der Hacker! Die meisten Angriffe erfolgen über bekannte Exploit-Schwachstellen von Netzwerken, die sich problemlos beseitigen lassen. Voraussetzung hierfür ist jedoch, dass der Administrator über die Sicherheitslücken informiert ist. Diese Aufgabe übernimmt der N.S.S. und hilft Administratoren somit bei der Identifizierung von Gefahrenquellen. Hauptmerkmale 6 • Einführung • Identifizierung schädlicher Dienste und offener TCP- und UDPPorts • Erkennung bekannter Sicherheitsschwachstellen in den Bereichen CGI, DNS, FTP, E-Mail, RPC u.v.m. • Erkennung von Funkverbindungen mit zugehörigen Geräten • Identifizierung von Backdoor-Usern • Erkennung von offenen Freigaben und Auflistung von Anwendern, die darauf Zugriff haben, inkl. Berechtigungen • Auflistung von Gruppen und Gruppenmitgliedern • Auflistung von Benutzern, Diensten etc. • Auflistung von USB-Geräten • Auflistung von Netzwerk-Geräten und Identifizierung Gerätetyps (kabel- oder funkbasiert, virtuelles Gerät) • Durchführung von Scans nach festem Zeitplan • Automatische Aktualisierung Sicherheitslücken • Identifizierung fehlender Hot Fixes und Service Packs für das Betriebssystem der Suchroutinen des für GFI LANguard N.S.S. Handbuch • Identifizierung fehlender Hot Fixes und Service Packs für unterstützte Anwendungen • Speicherung und Abruf von Scan-Ergebnissen • Vergleich von Scan-Ergebnissen potenzieller Schwachstellen • Patch-Installation für Betriebssysteme (Windows-Systeme in den Sprachen Englisch, Französisch, Deutsch, Italienisch, Spanisch) und Office-Anwendungen (Englisch, Französisch, Deutsch, Italienisch, Spanisch) • Identifizierung des Betriebssystems • Erkennung aktiver Hosts • Ausgabe von Ergebnissen in Datenbanken und HTML-, XSL- und XML -Format • SNMP- & MS SQL-Auditing • VBScript-kompatible Skriptsprache, mit der maßgeschneiderte Sicherheitsüberprüfungen erstellt werden können • SSH-Modul zum Starten von Sicherheitsskripten auf Linux/UnixRechnern • Gleichzeitiges Scannen mehrerer Rechner. zur Identifizierung neuer Komponenten von GFI LANguard N.S.S. GFI LANguard N.S.S. baut auf einer leistungsfähigen Architektur auf und umfasst folgende Komponenten: GFI LANguard Network Security Scanner Die Hauptoberfläche des Produkts. Mit Hilfe diese Anwendung können Scan-Ergebnisse in Echtzeit abgerufen sowie Scan-Optionen, ScanProfile und Filter-Berichte konfiguriert werden. Zudem stehen spezielle Tools für das Sicherheits-Management zur Verfügung. GFI LANguard N.S.S. Attendant Mit diesem Dienst werden planmäßige Netzwerk-Scans und PatchVerteilungen/Installationen durchgeführt. Der Dienst läuft im Hintergrund. GFI LANguard N.S.S. Patch-Agent Dieser Dienst läuft auf den Zielrechnern, auf denen Patches, Service Packs oder Software-Lösungen zu installieren sind. Er sorgt für die korrekte Installation des jeweiligen Patches, Service Packs oder der Software. GFI LANguard N.S.S. Skript-Debugger Nutzen Sie dieses Modul, um Skripten zu erstellen/eine Fehlerbehebung für selbst erstellte Skripten durchzuführen. GFI LANguard N.S.S. Monitor Mit diesem Modul können Sie den Status der geplanten Scans und aktuell durchgeführten Software-Updates kontrollieren. Geplante Aktionen, die noch nicht ausgeführt wurden, können deaktiviert werden. GFI LANguard N.S.S. Handbuch Einführung • 7 Information zur Lizenzierung Die Lizenzierung von GFI LANguard N.S.S. erfolgt auf Grundlage der Anzahl der Rechner und Geräte, die gescannt werden sollen. Bei einer Lizenz für 100 IPs können Sie zum Beispiel bis zu 100 Rechner oder Geräte von einem einzigen Arbeitsplatzrechner/Server in Ihrem Netzwerk aus scannen. 8 • Einführung GFI LANguard N.S.S. Handbuch Installation von GFI LANguard N.S.S. Systemanforderungen Für die Installation von GFI LANguard Network Security Scanner sind erforderlich: • Windows 2000/2003 oder Windows XP • Internet Explorer 5.1 oder höher. • Installierter Client für Microsoft Networks. • Während der Scan-Vorgänge darf KEINE persönliche/DesktopFirewall oder die in Windows XP integrierte InternetverbindungsFirewall aktiviert sein. Andernfalls könnte diese die ScanFunktionen des N.S.S. blockieren. HINWEIS: Nähere Informationen zur Konfigurierung der Active Directory-Richtlinien für die Unterstützung des Scannen von/auf Rechnern mit Windows XP, auf denen Service Pack 2 installiert ist, finden Sie unter http://kbase.gfi.com/showarticle.asp?id=KBID002177. • Zum Verteilen von Patches Administratorrechte erforderlich. auf Remote-Rechner sind Installationsablauf 1. Sie starten die Installation von GFI LANguard Network Security Scanner mit einem Doppelklick auf die Setup-Datei languardnss6.exe. Bestätigen Sie, dass Sie GFI LANguard N.S.S. installieren möchten. Daraufhin wird der Installationsassistent gestartet. Klicken Sie auf „Weiter“. 2. Klicken Sie im Dialogfenster der Lizenzvereinbarung auf „Yes“, um die Lizenzvereinbarung zu akzeptieren und mit der Installation fortzufahren. 3. Geben Sie im folgenden Schritt ihre persönlichen Angaben und den Registrierschlüssel ein. GFI LANguard N.S.S. Handbuch Installation von GFI LANguard N.S.S. • 9 Angabe der Login-Daten des Domänen-Administrators/Verwendung eines lokalen Systemkontos 4. Setup fragt Sie nach den Anmeldeinformationen für den DomänenAdministrator, die für den GFI LANguard N.S.S. Attendant, der planmäßige Scans durchführt, benötigt werden. Geben Sie die Daten ein, und klicken Sie auf „Next”. Auswahl des Datenbank-Backend 5. Sie werden aufgefordert, den Datenbank-Backend für die Datenbank von GFI LANguard N.S.S. auszuwählen. Sie haben die Auswahl zwischen Microsoft Access oder Microsoft SQL Server/MSDE. Klicken Sie nach Ihrer Wahl auf „Next“. HINWEIS: SQL Server/MSDE muss im gemischten Modus oder SQL Server-Authentifizierungs-Modus installiert sein. Der NTAuthentifizierungsmodus allein reicht nicht aus. 10 • Installation von GFI LANguard N.S.S. GFI LANguard N.S.S. Handbuch 6. Wenn Sie Microsoft SQL Server/MSDE als Datenbank-Backend ausgewählt haben, müssen Sie die SQL-Anmeldeinformationen angeben, die für die Datenbankanmeldung erforderlich sind. Klicken Sie auf „Next", um fortzufahren. 7. Sie werden nun nach der E-Mail-Adresse des Administrators und dem Namen Ihres E-Mail-Servers gefragt. Diese Angaben werden für den Versand der Administrator-Warnmeldungen benötigt. 8. Wählen Sie das Installationsverzeichnis für den N.S.S., und klicken Sie auf „Next”. GFI LANguard N.S.S. benötigt ca. 40 MB freien Festplattenspeicher. 9. Nachdem die Software erfolgreich installiert worden ist, können Sie das Programm über das Start-Menü aufrufen. Eingabe des Registrierschlüssels nach der Installation Nachdem Sie GFI LANguard N.S.S. erworben haben, können Sie Ihren Registrierschlüssel unter dem Knoten „General" > „Licensing" eingeben. Wenn Sie eine Testversion von GFI LANguard N.S.S. nutzen, können Sie die Software (mit Evaluierungsschlüssel) nur für 60 Tage einsetzen. Wenn Sie nach Ablauf dieser Frist GFI LANguard N.S.S. kaufen möchten, brauchen Sie hier nur den endgültigen Registrierschlüssel einzugeben, ohne das Produkt erneut installieren zu müssen. Sie müssen die Lizenz nach der von Ihnen gewünschten Anzahl der zu scannenden Rechner und der Anzahl der Computer, auf denen der N.S.S. laufen soll, auswählen. Wenn GFI LANguard N.S.S. z. B. von drei Administratoren in Ihrem Unternehmen eingesetzt wird, müssen Sie somit drei Lizenzen erwerben. Bitte verwechseln Sie die Eingabe des Registrierschlüssels nicht mit der Online-Registrierung Ihrer Firmendaten auf der GFI-Web-Site. Die Online-Registrierung ist wichtig, um Ihnen bei Problemen schneller helfen und Sie über wichtige Produktmitteilungen informieren zu können. Bitte lassen Sie sich registrieren unter: http://www.gfisoftware.de/de/pages/regfrm.htm Hinweis: Hinweise zum Kauf von GFI LANguard N.S.S. finden Sie unter dem entsprechenden Unterknoten zu den allgemeinen Einstellungen. GFI LANguard N.S.S. Handbuch Installation von GFI LANguard N.S.S. • 11 Erste Schritte: Durchführung eines Sicherheits-Audits Einführung Mit Hilfe eines Sicherheits-Audits können Administratoren potenzielle Sicherheitslücken in einem Netzwerk aufdecken. Eine manuelle Überprüfung ist sehr zeitaufwändig, da sich viele Arbeitschritte und Aufgaben wiederholen und für jeden einzelnen Netzwerk-Rechner durchgeführt werden müssen. Mit GFI LANguard N.S.S. lassen sich Sicherheitskontrollen Ihres Netzwerks automatisch durchführen, und Ihr Netzwerk wird schnell und effektiv auf gängige Schwachstellen überprüft. Hinweis: Werden in Ihrem Unternehmen IDS-Produkte eingesetzt, löst der Scan-Vorgang des GFI LANguard Network Security Scanner sämtliche Alarme dieser Produkte aus. Sind Sie nicht mit der Administration des IDS-Systems betraut, sollten Sie daher den zuständigen Administrator über einen bevorstehenden Scan informieren. Neben den von den Scans verursachten IDS-Alarmen sollten Sie auch beachten, dass viele der Scans auch in Protokolldateien verzeichnet werden. UNIX-Logs, Web-Server usw. zeigen die Zugriffsversuche des Rechners an, von dem der N.S.S. gestartet wird. Gibt es mehrere Netzwerk-Administratoren in Ihrem Unternehmen, sollten Sie Ihre Kollegen über bevorstehende Scans informieren. Durchführung eines Scan-Vorgangs Der erste Schritt zu Beginn eines Netzwerk-Audits besteht darin, einen Scan der aktiven Netzwerk-Rechner und -Geräte durchzuführen. So starten Sie einen Netzwerk-Scan: 1. Klicken Sie auf „File“ > „New“. 2. Wählen Sie die zu scannenden Bereiche aus. Zur Auswahl stehen: a. „Scan one Computer“ – Scann einen einzelnen Rechner. b. „Scan Range of Computers“ – Scann einen bestimmten IPBereich. c. „Scan List of Computers“ – Scannt eine selbst definierte Liste mit Computern. Rechner können dieser Liste hinzugefügt werden, indem Sie sie aus einer Übersicht der verfügbaren Rechner auswählen, sie einzeln eingeben oder über eine txt-Datei importieren. GFI LANguard N.S.S. Handbuch Erste Schritte: Durchführung eines Sicherheits-Audits • 13 d. „Scan a Domain“ – Scannt eine gesamte WindowsDomäne. e. „Scan Favorites“ – Scannt eine Favoriten-Liste mit von Ihnen angegebenen Rechnern (über die Schaltfläche „Add to favorites“). 3. Je nachdem, welche Scan-Funktion Sie wählen, müssen Sie die Anfangs- und End-Adresse des zu überprüfenden Bereichs angeben. 4. Klicken Sie auf „Start Scan“. Durchführung eines Scan-Vorgangs GFI LANguard N.S.S. führt nun den gewünschten Scan durch. Zunächst werden sämtliche aktiven Hosts/Computer aufgelistet und nur diese gescannt. Hierfür werden NetBIOS-Probes, ICMP-Ping und SNMP-Anfragen eingesetzt. Reagiert ein Gerät auf einen dieser Tests nicht, geht der N.S.S. davon aus, dass es zum Zeitpunkt der Überprüfung unter keiner bestimmten IP-Adresse erreichbar oder gerade deaktiviert ist. Hinweis: Wenn ein Scan auch auf jeden Fall für IPs durchgeführt werden soll, die zunächst nicht antworten, finden Sie die hierfür notwendigen Einstellungen im Kapitel „Konfigurierung der ScanOptionen“. 14 • Erste Schritte: Durchführung eines Sicherheits-Audits GFI LANguard N.S.S. Handbuch Analyse der Scan-Ergebnisse Analyse der Scan-Ergebnisse Nach jedem Scan-Vorgang sind unter allen vom N.S.S. gefundenen Rechnern verschiedene Knoten aufgeführt. Im linken Fenster werden sämtliche Rechner und Netzwerk-Geräte aufgelistet. Werden diese erweitert, erscheinen weitere Unterknoten mit allen Informationen, die zum jeweiligen Rechner oder dem Netzwerk-Gerät gesammelt werden konnten. Durch einen Mausklick auf einen dieser Knoten werden die Scan-Ergebnisse im rechten Fenster angezeigt. Während eines Netzwerk-Scans findet der N.S.S. alle aktiven Netzwerk-Geräte. Eine genaue Identifizierung der Geräte durch den N.S.S. und die Art der abrufbaren Informationen sind abhängig vom Gerätetyp und dem Anfragetyp, auf den das Gerät reagiert. Ist die Überprüfung des Rechners/Geräts/Netzwerks abgeschlossen, werden folgende Informationen angezeigt: IP, Rechnername, Betriebssystem und installierte Service Packs Die IP-Adresse des Rechners/Geräts wird angegeben. Danach folgt der NetBIOS-/DNS-Name, je nach Gerätetyp. Zudem zeigt der N.S.S. an, welches Betriebssystem auf den überprüften Rechnern läuft. Bei Windows NT/2000/XP/2003 erhalten Sie zudem Informationen zu den installierten Service Packs. Knoten für Sicherheitslücken („Vulnerabilities“) Der Knoten für Sicherheitslücken („Vulnerabilities“) informiert Sie über bekannte Sicherheitsprobleme und gibt Tipps, wie diese zu beseitigen sind. Zu diesen Sicherheitsgefahren zählen fehlende Patches und Service Packs, HTTP-Schwachstellen, NetBIOS- und Konfigurationsprobleme etc. GFI LANguard N.S.S. Handbuch Erste Schritte: Durchführung eines Sicherheits-Audits • 15 Sicherheitslücken werden in folgende Kategorien eingeteilt: Fehlende Service Packs („Missing Service Packs“), fehlende Patches („Missing Patches“), kritische Sicherheitslücken („High Security Vulnerabilities“), wichtige Sicherheitslücken („Medium security vulnerabilities“) und kleinere Sicherheitslücken („Low security vulnerabilities“). Unter jeder der Kategorien für kritische/wichtige/kleinere Sicherheitslücken erfolgt eine weitere Klassifizierung der gefundenen Probleme in: CGI-Missbrauch, Schwachstellen aus den Bereichen FTP, DNS, E-Mail, RPC, Dienste, Registry und sonstigen Bereichen. Nach Abschluss des Scan-Vorgangs und der Auflistung der verschiedenen Schwachstellen können Sie über einen Doppelklick auf die Schwachstelle (oder per rechtem Mausklick > „More Details“) deren Eigenschaften-Fenster aufrufen. Mit Hilfes dieses Dialoges und seinen wichtigen Informationen können Sie sofort feststellen, wo und wie die Schwachstelle aufgetreten ist. Ebenso können Sie auf weitere Details wie eine umfangreichere Beschreibung abrufen, die im Ergebnisbaum nicht abgebildet ist. Folgende Informationen Schwachstelle aufgeführt: sind im Eigenschaften-Fenster der • Name • Kurzbeschreibung • Sicherheitsebene • URL • Für Sicherheitscheck benötigte Zeit • Checks (um festzustellen, ob der Zielrechner für diesen Check besteht) • Ausführliche Beschreibung Missing patches: GFI LANguard N.S.S: sucht nach fehlenden Patches, indem überprüft wird, welche Patches für ein bestimmtes Produkt bereits installiert und welche zusätzlich verfügbar sind. Fehlen Patches, sieht die entsprechende Warnmeldung in etwa wie folgt aus: Als Erstes erscheint die Meldung, für welches Produkt ein Patch fehlt. Mit einem Klick auf das Produkt erfahren Sie dann, welcher Patch im Einzelnen fehlt. Über den angegebenen Link können Sie diesen Patch dann herunterladen. CGI Abuses informiert Sie über Probleme bei Apache-, Netscape-, IIS- und anderen Web-Servern. FTP Vulnerabilities, DNS Vulnerabilities, Mail Vulnerabilities, RPC Vulnerabilities und Miscellaneous Vulnerabilities bieten Links zu 16 • Erste Schritte: Durchführung eines Sicherheits-Audits GFI LANguard N.S.S. Handbuch Bugtraq oder anderen Sicherheits-Sites, wo Sie weitere Informationen zu den vom N.S.S. gefundenen Problemen finden. Service Vulnerabilities können verschiedenste Bereiche betreffen: Sie können sich auf aktuelle Dienste beziehen, die auf dem untersuchten Gerät laufen sind, oder auch auf bisher ungenutzte Rechner-Konten. Registry Vulnerabilities werden für Schwachstellen ausgegeben, die zu Beginn des Scans in der Registrierdatenbank eines WindowsRechners gefunden werden. Hierbei können über entsprechende Links zur Microsoft-Site oder anderen Security-Sites nähere Informationen abgerufen werden, warum die betreffenden RegistryEinträge geändert werden sollten. Information Vulnerabilities sind Sicherheitsmitteilungen, die in der Datenbank gespeichert werden und über die der Administrator informiert sein muss; sie beschreiben Sicherheitslücken, die jedoch nur bedingt gefährlich sind. Knoten für potenzielle Sicherheitslücken („Potential Vulnerabilities“) Im Knoten für potenzielle Sicherheitslücken („Potential Vulnerabilities“) erhalten Sie Angaben zu möglichen Schwachstellen, wichtigen Informationen sowie zu Checks, die keine Sicherheitslücken aufzeigen. Falls z. B. nicht festgestellt werden konnte, ob ein bestimmter Patch installiert ist, wird dieser bei den Scan-Ergebnissen unter dem Knoten „Non-detectable Patches“ aufgeführt. Der Administrator muss daraufhin die entsprechenden Überprüfungen manuell durchführen. Knoten für potenzielle Sicherheitslücken GFI LANguard N.S.S. Handbuch Erste Schritte: Durchführung eines Sicherheits-Audits • 17 Freigaben (Shares) Der Knoten „Shares" informiert Sie über alle Freigaben auf einem Rechner und welche Anwender darauf Zugriff haben. Sämtliche Netzwerk-Freigaben müssen gesichert werden. Administratoren sollten sicherstellen, dass: 1. kein Benutzer anderen Anwendern Zugriff auf die gesamte Festplatte gewährt 2. ein anonymer/nicht authentifizierter Zugriff auf Freigaben nicht erlaubt ist 3. Auto-Start-Ordner oder ähnliche Systemdateien nicht gemeinsam genutzt werden können. Andernfalls hätten Benutzer mit eingeschränkten Zugriffsrechten dennoch die Möglichkeit, Programme/Code auf Zielrechnern zu starten. Diese Warnungen gelten für alle Rechner, jedoch insbesondere für solche, die wichtig für die Systemintegrität sind, z. B. der Primary Domain Controller (PDC). Wird der Autostart-Ordner (oder das Verzeichnis mit dem Autostart-Ordner) auf dem PDC vom Administrator für alle Benutzer freigegeben, kann dies schwer wiegende Folgen haben. Mit den entsprechenden Zugriffsrechten können Benutzer problemlos ausführbare Dateien in den AutostartOrdner kopieren, die dann beim nächsten interaktiven Login des Administrators gestartet werden. Hinweis: Wenn Sie einen Scan durchführen, während Sie als Administrator angemeldet sind, werden auch die administrativen Freigaben angezeigt, z. B. „C$ - Standardfreigabe“. Diese Freigaben stehen normalen Anwendern jedoch nicht zur Verfügung. Aufgrund der neuartigen Verbreitung des Klez-Virus und anderer neuer Viren über offene Freigaben sollten alle nicht benötigten Freigaben deaktiviert werden. Alle anderen sollten durch ein Passwort gesichert sein. HINWEIS: Die Anzeige der administrativen Freigaben lässt sich verhindern, indem Sie die Scan-Profile über „Configuration“ > „Scanning Profiles“ > „OS Data“ > „Enumerate Shares“ ändern. Passwort-Richtlinien („Password Policy“) Mit Hilfe dieses Knotens können Sie kontrollieren, ob die PasswortRichtlinien genügend Sicherheit bieten. Beispielsweise können Sie die maximale Gültigkeitsdauer festlegen und die PasswortProtokollierung aktivieren. Die minimale Passwort-Länge sollte 8 Zeichen betragen. Wenn Sie Windows 2000 verwenden, können Sie mit Hilfe eines GPO (Group Policy Object) in Active Directory eine netzwerkweite Richtlinie für sichere Passwörter erstellen. Registry Dieser Knoten liefert wichtige Informationen zur Remote-Registry. Klicken Sie auf den Knoten „Run“ um herauszufinden, welche Programme beim Booten des Rechners automatisch gestartet werden. Stellen Sie sicher, dass die automatisch gestarteten Applikationen keine Trojaner oder sogar erwünschte Programme sind, über die per Fernzugriff auf einen Rechner zugegriffen werden kann (wenn solche 18 • Erste Schritte: Durchführung eines Sicherheits-Audits GFI LANguard N.S.S. Handbuch Software nicht in Ihrem Netzwerk eingesetzt werden darf). Jede Remote-Access-Software kann sich u. U. als Backdoor-Schwachstelle herausstellen und von Hackern ausgenutzt werden. HINWEIS: Die Liste der abzurufenden Registry-Schlüssel und -Werte lässt sich über eine Bearbeitung der XML-Datei „toolcfg_regparams.xml" aus dem Verzeichnis „%LNSS_INSTALL_DIR%\Data“ ändern. Richtlinien für Sicherheitsüberwachungen („Security Audit Policy“) Über diesen Knoten werden Sie informiert, welche verschiedenen Audit-Richtlinien auf dem Remote-Rechner aktiviert sind. Folgende Überwachungsrichtlinien sind zu empfehlen: Überwachungsrichtlinie Anmeldeversuche Erfolg Ja Fehler Ja Kontenverwaltung Ja Ja Active Directory-Zugriff Ja Ja Anmeldeereignisse Ja Ja Objektzugriffsversuch Ja Ja Richtlinienänderungen Ja Ja Rechteverwendung Nein Nein Vorgangsprotokollierung Nein Nein Systemereignisse Ja Ja Die Überwachung kann direkt über GFI LANguard N.S.S. aktiviert werden. Klicken Sie hierfür mit der rechten Maustaste auf einen der Rechner im linken Fenster, und wählen Sie „Enable auditing“. Hierdurch wird der Administrations-Assistent für Überwachungsrichtlinien gestartet. Geben Sie an, welche Audit-Richtlinien aktiviert werden sollen. Unter Windows NT stehen sieben und unter Windows 2000 neun Überwachungsrichtlinien zur Verfügung. Aktivieren Sie die gewünschten Richtlinien auf den zu überwachenden Rechnern. Klicken Sie hierfür auf „Next“. GFI LANguard N.S.S. Handbuch Erste Schritte: Durchführung eines Sicherheits-Audits • 19 Aktivierung von Überwachungsrichtlinien auf Remote-Rechnern Treten keine Fehler auf, wird der Abschlussdialog angezeigt. Andernfalls erscheint ein Dialogfenster, das Sie darüber informiert, auf welchen Rechnern die Richtlinienaktivierung fehlgeschlagen ist. Ergebnisdialog im Assistenten für Sicherheitsrichtlinien Offene Ports Der Knoten „Open Ports“ führt alle offenen Ports auf, die auf dem Rechner gefunden wurden (Port-Scan). GFI LANguard N.S.S. führt einen eingeschränkten Port-Scan durch, d. h., es werden nicht standardmäßig alle 65535 TCP- und 65535 UPD-Ports gescannt, 20 • Erste Schritte: Durchführung eines Sicherheits-Audits GFI LANguard N.S.S. Handbuch sondern nur solche, die von Ihnen festgelegt wurden. Über die ScanOptionen lassen sich die zu überprüfenden Ports im Einzelnen festlegen. Weitere Informationen hierzu finden Sie im Kapitel „Konfigurierung von GFI LANguard N.S.S.“ Jeder offene Port steht für einen Dienst/eine Applikation. Ist einer dieser Dienste nur unzureichend vor Missbrauch geschützt, können Hacker ungehindert Zugriff auf diesen Rechner nehmen. Daher ist es wichtig, nicht benötigte Ports zu schließen. Hinweis: Bei Windows Networks sind die Ports 135, 139 und 445 immer offen. Der N.S.S. zeigt alle offenen Ports an. Wird ein Port als ein bekannter Trojaner-Port eingestuft, wird er vom Scanner ROT angezeigt. Andernfalls erscheint ein GRÜNER Punkt. Dies zeigt folgender Screenshot: Hinweis: Selbst wenn ein Port als möglicher Trojaner-Port ROT angezeigt wird, heißt dies jedoch nicht, dass auf dem betreffenden Rechner tatsächlich ein Backdoor-Programm installiert ist. Einige gültige Programme greifen auf dieselben Ports zurück wie verschiedene, bereits bekannte Trojaner. Ein bekanntes Anti-VirenProgramm nutzt beispielsweise denselben Port wie der NetBus Backdoor-Trojaner. Daher sollten Sie immer die angegebenen Banner-Informationen kontrollieren und auf den betreffenden Rechnern weitere Prüfungen durchführen. Benutzer und Gruppen („Users & Groups“) Diese beiden Knoten geben Aufschluss über lokale Gruppen und Benutzer, die auf dem Rechner verfügbar sind. Überprüfen Sie die Scan-Ergebnisse auf zusätzliche Benutzerkonten, und kontrollieren Sie, ob das Gastkonto deaktiviert ist. Über diese Konten könnte durch böswillige Benutzer und Gruppen eine Hintertür für den Zugriff auf das Netzwerk geöffnet werden! Einige Backdoor-Programme aktivieren das Gastkonto erneut und versehen es mit Administrator-Rechten. Daher sollten Sie die Angaben des Benutzer-Knotens überprüfen, um einen Überblick über die Aktivitäten aller Konten und ihre Rechte zu erhalten. Benutzer sollten sich nicht über ein lokales Konto anmelden können, sondern nur in einer Domäne oder über ein Active Directory-Konto. Zudem ist es auch noch wichtig zu überprüfen, ob Passwörter eventuell bereits zu lange in Gebrauch sind. Angemeldete Benutzer („Logged On Users”) Dieser Knoten zeigt eine Liste der auf dem Zielrechner aktuell angemeldeten Benutzer an. Die Liste ist in zwei Bereiche unterteilt. GFI LANguard N.S.S. Handbuch Erste Schritte: Durchführung eines Sicherheits-Audits • 21 Lokal angemeldete Benutzer („Locally Logged On Users”) In dieser Übersicht sind alle Benutzer aufgeführt, die eine Sitzung lokal gestartet haben. Falls verfügbar, werden folgende Informationen zu jedem angemeldeten Benutzer bereitgestellt: 1. Logon date and time (Logon-Datum und -Zeit) 2. Elapsed time (Aktuelle Sitzungsdauer) Remote angemeldete Benutzer („Remote Logged On Users”) In dieser Übersicht sind alle Benutzer aufgeführt, die eine Sitzung per Fernzugriff auf dem Zielrechner gestartet haben. Folgende Informationen werden zu jedem angemeldeten Benutzer bereitgestellt: 1. Logon date and time (Logon-Datum und -Zeit) 2. Elapsed time (Aktuelle Sitzungsdauer) 3. Idle time (Leerlaufzeit) 4. Client type (Client-Typ) 5. Transport Begriffserklärungen: Logon date and time: Zeigt an, an welchem Tag und zu welcher Uhrzeit sich der Benutzer am Zielrechner angemeldet hat. Dieses Feld steht bei lokalen und Remote-Verbindungen zur Verfügung. Elapsed time: Zeigt an, wie lang der Benutzer bereits auf dem Zielrechner angemeldet ist. Dieses Feld steht bei lokalen und RemoteVerbindungen zur Verfügung. Idle time: Zeigt an, wie lang sich die Verbindung bereits im Leerlauf befindet. Die Leerlaufzeit wird bei vollständiger Inaktivität durch den Benutzer/die Verbindung gemessen. Dieses Feld steht nur bei Remote-Verbindungen zur Verfügung. Client type: Zeigt an, von welcher Plattform der Benutzer die RemoteVerbindung gestartet hat. Im Allgemeinen ist dies das Betriebssystem des Rechners, über den die Verbindung aufgebaut wurde. Dieses Feld steht nur bei Remote-Verbindungen zur Verfügung. Transport: Zeigt an, welcher Dienst für den Verbindungsaufbau verwendet wurde. Dieses Feld steht nur bei Remote-Verbindungen zur Verfügung. Dienste Sämtliche Dienste, die auf den überprüften Rechnern laufen, werden aufgelistet. Es sollten nur tatsächlich benötigte Dienste aktiv sein. Stellen Sie daher sicher, dass alle anderen Dienste deaktiviert sind. Jeder Dienst stellt ein potenzielles Sicherheitsrisiko dar und könnte als „Schlupfloch“ für Hacker dienen. Werden überflüssige Dienste geschlossen oder deaktiviert, sinkt das Sicherheitsrisiko automatisch. 22 • Erste Schritte: Durchführung eines Sicherheits-Audits GFI LANguard N.S.S. Handbuch System Patching-Status Dieser Knoten informiert Sie darüber, welche Patches auf dem Remote-Rechner installiert und registriert sind. Network Devices Dieser Knoten zeigt eine Liste aller installierten Netzwerk-Geräte an. Die Geräte werden in folgende Kategorien unterteilt: • Physical devices – Wired (Physische Geräte – kabelgebunden) • Physical devices Funkverbindung) • Virtuelle Geräte – Wireless (Physische Geräte – Identifizierte Netzwerk-Geräte Für jedes Gerät werden (falls verfügbar) folgende Eigenschaften aufgelistet: • MAC-Adresse • Zugewiesene IP-Adresse(n) • Host-Name • Domäne • DHCP-Angaben • WEP (falls verfügbar) • SSID (falls verfügbar) • Gateway • Status HINWEIS: Die Suche nach neuen Netzwerk-Geräten sollte regelmäßig durchgeführt werden. Unerlaubt angeschlossene Wireless-Geräte können die Netzwerk-Sicherheit sowohl innerhalb als auch außerhalb Ihrer Geschäftsräume kompromittieren. GFI LANguard N.S.S. Handbuch Erste Schritte: Durchführung eines Sicherheits-Audits • 23 USB Devices Über diesen Knoten erfahren Sie, welche USB-Geräte zum Zeitpunkt des Scans am Zielrechner angeschlossen sind. So können Sie überprüfen, ob nicht autorisierte Geräte mit USB-Anschlüssen verbunden sind. Vor allem tragbare Speichermedien stellen ein hohes Sicherheitsrisiko dar. Aber auch nach USB-Funkadaptern wie Bluetooth-Dongles sollte gesucht werden. Mit ihrer Hilfe können Dateien unerlaubt zwischen Rechnern und Handys, PDAs und anderen Bluetooth-fähigen Geräten ausgetauscht werden. Liste auf Zielrechner gefundener USB-Geräte HINWEIS: Sie können GFI LANguard N.S.S. so konfigurieren, dass unautorisiert angeschlossene USB-Geräte (z. B. „USBMassenspeicher“) als kritische Sicherheitslücke angezeigt werden. Hierfür gehen Sie bitte auf „Configuration“ > „Scanning Profiles“ > „Devices“ > „USB Devices“. Als sicherheitsgefährdend eingestuftes USB-Gerät („Critical Vulnerability") 24 • Erste Schritte: Durchführung eines Sicherheits-Audits GFI LANguard N.S.S. Handbuch Zusätzliche Ergebnisse Folgende Knoten und Ergebnisse sollten Sie kontrollieren, nachdem Sie die bereits oben beschriebenen, wichtigeren Scan-Ergebnisse überprüft haben. NetBIOS names Mit Hilfe dieses Knotens erfahren Sie im Detail, welche Dienste auf einem Rechner installiert sind. Computer MAC gibt die MAC-Adresse der Netzwerk-Karte an. Username gibt den Namen des aktuell angemeldeten Benutzers oder den Rechnernamen an. TTL gibt den jedem Gerät eigenen Time To Live-Wert (TTL) an. Die Standardwerte sind 32, 64, 128 und 255. Der TTL-Wert basiert auf diesen Werten und dem tatsächlichen TTL des Datenpakets und informiert über den Abstand (Anzahl der Router-Hops) zwischen dem N.S.S.-Rechner und dem gerade gescannten Computer. Computer Usage informiert Sie darüber, ob der untersuchte Rechner eine Workstation oder ein Server ist. Domain informiert Sie über die vertrauenswürdige(n) Domäne(n), wenn der gescannte Rechner Teil einer Domäne ist. Gehört er zu keiner Domäne, wird die Arbeitsgruppe angezeigt, deren Bestandteil er ist. LAN manager bietet Angaben zum verwendeten LAN-Manager (und zum Betriebssystem). Sessions Zeigt die IP-Adressen der Rechner an, die zum Zeitpunkt des ScanVorgangs mit dem Zielrechner verbunden waren. In den meisten Fällen ist dies nur der Rechner, auf dem der N.S.S. eingesetzt wird und der kurz zuvor eine Verbindung aufgebaut hat. Hinweis: Da sich dieser Wert laufend ändert, wird er nicht im Bericht gespeichert, sondern dient lediglich der allgemeinen Information. Network Devices Bietet eine Liste der Netzwerk-Geräte, die auf dem gescannten Rechner zur Verfügung stehen. Remote TOD Tageszeit der Gegenstelle. Gibt die Netzwerk-Zeit auf dem gescannten Rechner an, die vom Domänen-Controller bestimmt wird. Durchführung von On-Site- und Off-Site-Scans Es ist zu empfehlen, N.S.S.-Scans mit Hilfe zweier Methoden durchzuführen, den so genannten On-Site- und Off-Site-Scans. GFI LANguard N.S.S. Handbuch Erste Schritte: Durchführung eines Sicherheits-Audits • 25 On-Site-Scan Richten Sie einen Rechner ein, auf dem Sie GFI LANguard N.S.S. installieren. Führen Sie einen Scan Ihres Netzwerks über eine NullSitzung durch. Wählen Sie hierfür „Null Session“ aus dem Drop-DownListenfeld aus. Nach diesem ersten Scan ändern Sie die Einstellung über das Listenfeld bitte auf „Currently logged on user“ (wenn Sie administrative Rechte für Ihre Domäne besitzen) oder auf „Alternative credentials“, über die administrative Rechte für die Domäne oder Active Directory zur Verfügung stehen. Sie sollten die Ergebnisse Vergleichswerte speichern. dieses zweiten Durchgangs als Mit der Null-Sitzung haben Sie die Möglichkeit herauszufinden, welche Daten Benutzer sehen können, die eine Verbindung mit Ihrem Netzwerk über eine solche Null-Sitzung herstellen. Der mit Administrator-Rechten durchgeführte Scan informiert Sie über alle Hot Fixes und Patches, die auf dem Rechner fehlen. Off-Site-Scan Ist ein Netzwerk-Zugriff per DFÜ möglich oder eine High-SpeedInternet-Anbindung verfügbar, die nicht an Ihr Unternehmen gebunden ist, sollten Sie nun Ihr Netzwerk auch von außen einem Scan unterziehen. Führen Sie einen Scan Ihres Netzwerks per Null-Sitzung durch. Dadurch erfahren Sie, welche Informationen bei einem über das Internet gestarteten Scan Ihres Netzwerks abrufbar sind. Der Scan kann jedoch durch Firewalls in Ihrem Unternehmen oder bei Ihrem ISP beeinträchtigt werden. Gleiches gilt auch für die Kommunikation über Router, die bestimmte Pakettypen nicht weiterleiten. Speichern Sie die Ergebnisse, um sie später als Vergleichswerte heranziehen zu können. Vergleich von On-Site- und Off-Site-Scans Die von GFI LANguard Network Security Scanner gesammelten Informationen sollten nun genauer analysiert werden. Sind die Daten des Scans, der per Null-Sitzung aus dem Netzwerk heraus erfolgt ist, mit denen des externen Scans identisch, scheint Ihr Netzwerk keine funktionsfähige Firewall oder andere Sicherheitsfilter zu besitzen. In diesem Fall sollten Sie sich zunächst um diese Sicherheitslücken kümmern. Überprüfen Sie danach, welche Informationen von außerhalb Ihres Netzwerks abrufbar sind. Sie sollten überprüfen, ob z. B. Ihre Domain Controller für alle externen Benutzer sichtbar sind oder ob eine Liste aller Computer-Konten öffentlich zugänglich ist. Zudem sollten Sie bei Web-Servern, FTP-Zugängen und Ähnlichem eigene Sicherheitsprioritäten festlegen. Diese Vorgänge müssen von Ihnen selbst durchgeführt werden. So ist es unter Umständen erforderlich, beispielsweise nach Patches für Web-Server und FTP-Server zu suchen. Auch die Einstellungen für SMTP-Server sollten überprüft und ggf. geändert werden. Kein Netzwerk gleicht dem anderen. Der N.S.S. hilft Ihnen gezielt bei der 26 • Erste Schritte: Durchführung eines Sicherheits-Audits GFI LANguard N.S.S. Handbuch Suche nach Netzwerk-Schwachstellen und Sicherheitsproblemen und verweist auf qualifizierte Web-Sites, die Lösungsvorschläge zur Beseitigung dieser Gefahren bieten. Wenn Sie Dienste finden, die aktiv sind aber nicht benötigt werden, sollten Sie diese auf jeden Fall deaktivieren. Jeder Dienst stellt ein potenzielles Sicherheitsrisiko dar, das Dritten einen unautorisierten Zugriff auf Ihr Netzwerk ermöglicht. Es werden ständig neue BufferOverflow-Techniken und Exploits entwickelt, die Ihr Netzwerk bedrohen. Schutzmaßnahmen, die gegenwärtig als zuverlässig eingestuft werden, können sich sehr schnell als veraltet und somit als Sicherheitsrisiko erweisen. Daher sollten Sicherheits-Scans in regelmäßigen Abständen durchgeführt werden. Nur so können Sie sicher sein, dass Schwachstellen entdeckt werden, bevor Hacker sich diese zum Eindringen in Ihr Netzwerk zu Nutze machen können. GFI LANguard N.S.S. Handbuch Erste Schritte: Durchführung eines Sicherheits-Audits • 27 28 • Erste Schritte: Durchführung eines Sicherheits-Audits GFI LANguard N.S.S. Handbuch Speicherung und Abruf von ScanErgebnissen Einführung Nachdem GFI LANguard N.S.S. einen Sicherheits-Scan beendet hat, werden die Scan-Resultate automatisch im Datenbank-Backend gesichert (MS Access/MS SQL Server). Die Ergebisse können aber auch in einer externen XML-Datei gesichert werden. Zur weiteren Verarbeitung oder zum Vergleichen von Ergebnissen lassen sich Scan-Daten über die Benutzeroberfläche des N.S.S. erneut abrufen. Das Laden gespeicherter Scan-Daten ist vor allem dann von Nutzen, wenn Berichte zu einem unveränderten System erstellt oder darauf Patches installiert werden müssen, für das kein erneutes Scannen erforderlich ist. Speicherung von Scan-Ergebnissen in einer externen Datei Nach Abschluss eines Sicherheits-Scans sind alle Ergebnisse bereits automatisch im Datenbank-Backend gesichert. Um die Resultate in einer externen Datei zu speichern, gehen Sie wie folgt vor: • Gehen Sie auf „Datei“ > „Save scan results…“ • Übernehmen Sie den vorgegebenen Dateinamen oder wählen Sie einen eigenen. • Klicken Sie auf „Save“. Abruf von Scan-Ergebnissen Abruf gespeicherter Scan-Daten aus der Datenbank GFI LANguard N.S.S. speichert in der Datenbank die letzten 30 Scans, die für einen Zielrechner mit einem bestimmten Scan-Profil durchgeführt worden sind. So rufen Sie die gesicherten Scan-Ergebnisse aus der Datenbank ab: 1. Klicken Sie mit der rechten Maustaste auf „GFI LANguard N.S.S.“ > „Security Scanner“. 2. „Load saved scan results from…“ > „Database“. Der Dialog zur Auswahl der Scan-Ergebnisse wird aufgerufen. 3. Wählen Sie aus der Liste den abzurufenden Scan aus. 4. Klicken Sie auf „OK“. GFI LANguard N.S.S. Handbuch Speicherung und Abruf von Scan-Ergebnissen • 29 Abruf gespeicherter Scan-Ergebnisse im Haupfenster Abruf gespeicherter Scans aus einer externen Datei So rufen Sie die gesicherten Scan-Ergebnisse aus einer externen Datei ab: 1. Klicken Sie mit der rechten Maustaste auf „GFI LANguard N.S.S.“ > „Security Scanner“. 2. „Load saved scan results from…“ > „XML…“. Der Dialog zum Öffnen von in XML-Dateien gespeicherten Scan-Ergebnissen wird aufgerufen. 3. Wählen Sie den Scan aus, dessen Ergebnisse aufgerufen werden sollen. 4. Klicken Sie auf „OK“. 30 • Speicherung und Abruf von Scan-Ergebnissen GFI LANguard N.S.S. Handbuch Filtern der Scan-Ergebnisse Einführung Nachdem GFI LANguard N.S.S. einen Scan durchgeführt hat, werden die Ergebnisse im zugehörigen Fenster „Scan results“ angezeigt. Wenn Sie jedoch eine großen Anzahl von Rechnern gescannt haben, ist es u. U. empfehlenswert, die Daten über den Knoten „Scan Filters“ zu filtern. Durch Anklicken dieses Knotens und Auswahl eines vorgegebenen Filters werden die Scan-Ergebnisse nach den von Ihnen gewünschten Kriterien sortiert. Im Lieferumfang von GFI LANguard N.S.S. sind bereits mehrere Standard-Filter enthalten. Zudem können Sie eigene Scan-Filter erstellen. Scan-Filter Folgende Scan-Filter sind bereits im Lieferumfang enthalten: Full report: Zeigt sämtliche während eines Scans gesammelten sicherheitsbezogenen Daten an. Vulnerabilities [High Security]: Informiert über Sicherheitsprobleme, die dringend behoben werden sollten – fehlende Service Packs/Patches, schwer wiegende Sicherheitsschwachstellen und offene Ports. Vulnerabilities [Medium Security]: Informiert über Sicherheitsprobleme, die vom Administrator untersucht werden sollten – z. B. mittelschwere Sicherheitsprobleme und Patches, die nicht entdeckt werden können. GFI LANguard N.S.S. Handbuch Filtern der Scan-Ergebnisse • 31 Vulnerabilities[All]: Zeigt sämtliche identifizierten Sicherheitsprobleme an – fehlende Patches/Service Packs, potenzielle Schwachstellen, nicht auffindbare Patches, wichtige und kritische Sicherheitsprobleme. Missing patches and service packs: Führt sämtliche auf den überprüften Rechnern fehlenden Service Packs und Patches auf. Important devices – USB: Führt sämtlichte USB-Geräte auf, die mit den gescannten Geräten verbunden sind. Important devices – Wireless: Führt sämtliche WirelessNetzwerkkarten (PCI und USB) auf, die mit den gescannten Geräten verbunden sind. Open Ports: Informiert über alle offenen TCP- und UDP-Ports. Open Shares: Führt sämtliche offenen Freigaben auf und informiert darüber, wer darauf Zugriff hat. Auditing Policies: Listet die Einstellungen der Audit-Richtlinien jedes einzelnen überprüften Rechners auf. Password Policies: Listet die aktiven Passwort-Richtlinien jedes einzelnen überprüften Rechners auf. Groups and users: Listet die auf jedem überprüften Rechner identifizierten Benutzer und Gruppen auf. Computer properties: Zeigt die Eigenschaften jedes kontrollierten Rechners an. Auswahl der Quelle für die Scan-Ergebnisse Die Filter sind standardmäßig so eingerichtet, dass stets die aktuellen Scan-Daten analysiert werden. Es ist jedoch auch möglich, eine andere Datenquelle für die Scan-Ergebnisse auszuwählen und die Filter auf deren Dateien anzuwenden (aus XML-Datei oder Datenbank). Dazu gehen Sie folgendermaßen vor: 1. Gehen Sie über die Scanner-Oberfläche des N.S.S. auf den Knoten „Security Scanner“. 2. Klicken Sie mit der rechten Maustaste, und wählen Sie „Load saved scan results from…”. 3. Wählen Sie die Datenquellen aus, in denen die zu filternden Ergebnisse gespeichert sind. 4. Selektieren Sie den Datenbank-Eintrag oder die XML-Datei, in dem/der sich die benötigten Scan-Ergebnisse gesichert sind. 5. Klicken Sie auf „OK“. Die gespeicherten Scan-Ergebnisse werden nun abgerufen und entsprechend präsentiert. 6. Alle Filter verarbeiten dabei die Daten des gewählten Datensatzes und zeigen die Ergebnisse an. Erstellung eigener Scan-Filter Eigene Scan-Filter werden wie folgt erstellt: 1. Klicken Sie mir der rechten Maustaste im Security-Scanner auf den Knoten „Scan Filters“, und wählen Sie „New“ > „Filter…“. 2. Der Eigenschaften-Dialog für den Scan-Filter wird geöffnet. 32 • Filtern der Scan-Ergebnisse GFI LANguard N.S.S. Handbuch Scan-Filter – Registerkarte „Allgemein” 3. Benennen Sie den Scan-Filter. 4. Über die Schaltfläche “Add…” fügen Sie die Bedingungen hinzu, nach denen die Scan-Ergebnisse gefiltert werden sollen. Es können mehrere Bedingungen festgelegt werden. Für jede einzelne sind die Eigenschaft, die Operatoren „Und“ oder „Oder“ sowie der Wert anzugeben. Zu den verfügbaren Eigenschaften zählen das Betriebssystem, Hostname, angemeldeter Benutzer, Domäne, Service Pack, Freigaben usw. Dialogfenster zum Hinzufügen von Filtereigenschaften GFI LANguard N.S.S. Handbuch Filtern der Scan-Ergebnisse • 33 5. Über „Report Items” können Sie auswählen, welche verschiedenen Informationsbereiche vom Filter berücksichtigt werden sollen. 6. Klicken Sie auf „OK", um den Filter zu erstellen. Scan-Filter – „Report Items” Hierdurch wird unter dem Knoten für die Scan-Filter ein neuer, dauerhaft nutzbarer Filter erstellt. HINWEIS: Durch einen rechten Mausklick auf einen Filter unter dem Knoten „Scan Filters“ kann dieser per “Delete…/Properties“ gelöscht/geändert werden. Beispiel 1 – Suche nach Rechnern ohne bestimmtem Patch Sie können Ihr Windows-Netzwerk nach Rechnern durchsuchen lassen, auf denen ein bestimmter Patch fehlt, z. B. MS03-026. (hierbei handelt es sich um den Patch für den Blaster-Virus). Konfigurieren Sie den Filter wie folgt: 1. Bedingung 1: Das Betriebsystem enthält („includes“) Windows. 2. Bedingung 2: Hot Fix (Patch) ist nicht installiert („is not installed“) MS03-026 Beispiel 2 – Auflisten aller Sun-Stations mit einem Web-Server Um alle Sun-Stations zu finden, die auf Port 80 einen Web-Server betreiben, muss die Suchanfrage wie folgt aussehen: 1. Das Betriebsystem enthält („includes“) SunOS. 2. TCP-Port ist offen 80. 34 • Filtern der Scan-Ergebnisse GFI LANguard N.S.S. Handbuch Konfigurierung von GFI LANguard N.S.S. Einführung Die Konfigurierung von GFI LANguard N.S.S. erfolgt über den Knoten „Configuration“. Hier können Sie Scan-Optionen, Scan-Profile mit unterschiedlichen Scan-Optionen, Scans nach Zeitplan, Warnmeldungen und vieles mehr einrichten. Scan-Profile Scan-Profile Mit Hilfe von Scan-Profilen können Sie verschiedene Arten von Scans konfigurieren, um speziell nach von Ihnen gewünschten Informationen suchen zu können. Erstellen Sie ein Scan-Profil, indem Sie auf den Knoten „Configuration" gehen und unter „Scanning Profiles" mit einem rechten Mausklick „Neu“ > „Scan Profile“ auswählen. Für jedes Profil lassen sich folgende Optionen konfigurieren: 1. „TCP Ports“ (zu überprüfende TCP-Ports) 2. „UDP Ports“ (zu überprüfende UDP-Ports) 3. „OS Data“ (zu überprüfende Betriebssysteminformationen) 4. „Vulnerabilities“ (zu überprüfende Sicherheitslücken) 5. „Patches“ (zu überprüfende Patches) GFI LANguard N.S.S. Handbuch Konfigurierung von GFI LANguard N.S.S. • 35 6. „Scanner Options“ (Scanner-Optionen) 7. „Devices” (sonstige Geräte) Zu überprüfende TCP/UDP-Ports („TCP/UDP Ports“) Die Registerkarte für zu überprüfende TCP/UDP-Ports ermöglicht es Ihnen festzulegen, welche TCP- und UDP-Ports gescannt werden sollen. Um einen Port hinzuzufügen, aktivieren Sie bitte das Kontrollkästchen neben dem gewünschten Port. Konfigurierung über ein Profil zu scannender Ports Hinzufügen/Bearbeiten/Entfernen von Ports Wenn Sie eigene TCP/UDP-Ports hinzufügen möchten, klicken Sie bitte auf die Schaltfläche „Add“. Der Dialog zum Hinzufügen von Ports wird aufgerufen. 36 • Konfigurierung von GFI LANguard N.S.S. GFI LANguard N.S.S. Handbuch Hinzufügen eines Ports Geben Sie die Port-Nummer oder einen Port-Bereich ein, und fügen Sie eine Beschreibung zum Programm hinzu, das diesen Port nutzen soll. Wenn es sich bei dem mit diesem Port verbundenen Programm um einen bekannten Trojaner-Port handelt, aktivieren Sie das Kontrollkästchen „Is a Trojan port“. In diesem Fall ist der Kreis neben dem betreffenden Port (s. o.) rot dargestellt. Hinweis: Bitte beachten Sie, dass Sie diesen Port im richtigen Protokoll-Fenster eintragen, entweder „TCP Ports“ oder „UDP Ports“. Ports lassen sich mit einem Mausklick auf die Schaltflächen „Edit“ oder „Remove“ bearbeiten bzw. entfernen. Zu überprüfende Betriebssysteminformationen („OS Data“) Über die Registerkarte zu den zu überprüfenden BetriebssystemInformationen werden die gewünschten Informationen angegeben, die der N.S.S. während des Scan-Vorgangs abrufen soll. Zurzeit können nur Daten zu Windows-Betriebssystemen abgerufen werden. Der N.S.S. wird jedoch für die Unterstützung von UNIX vorbereitet. GFI LANguard N.S.S. Handbuch Konfigurierung von GFI LANguard N.S.S. • 37 Zu überprüfende Sicherheitslücken („Vulnerabilities“ ) Festlegung der zu überprüfenden Sicherheitslücken Über die Registerkarte zu den zu überprüfenden Sicherheitslücken werden alle Schwachstellen angegeben, nach denen sich mit dem N.S.S. scannen lässt. Sämtliche Scans nach Sicherheitslücken können über die Deaktivierung des Kontrollkästchens „Check for vulnerabilities” außer Kraft gesetzt werden. Der N.S.S ist standardmäßig so konfiguriert, dass nach allen bekannten Sicherheitslücken gescannt wird. Einzelne Sicherheitslücken können jedoch durch Deaktivieren des Kontrollkästchens von der Überprüfung ausgeschlossen werden. Über das rechte Fenster lassen sich die einzelnen zu überprüfenden Schwachstellen mit einem Doppelklick öffnen und bearbeiten. Über die Option „Security Level” lassen lässt sich die Gefährdungsstufe einer Sicherheitslücke verändern. Verschiedene Arten von Sicherheitslücken Sicherheitslücken werden in folgende Kategorien eingeteilt: Fehlende Patches, nicht identifizierbare Patches, CGI-Missbräuche, FTPSicherheitslücken, DNS-Sicherheitslücken, E-Mail-Sicherheitslücken, RPC-Sicherheitslücken, Service-Sicherheitslücken, RegistrySicherheitslücken und sonstige Sicherheitslücken. Erweiterte Optionen für Sicherheitschecks Durch Anklicken der Schaltfläche „Advanced” stehen Ihnen folgende Optionen zur Verfügung: • Internal Checks überprüft anonyme FTP-Passwörter, unsichere Passwörter usw. • CGI Probing sollten Sie aktivieren, wenn Sie Web-Server haben, die auf CGI zurückgreifen. Wenn Sie einen Proxy-Server verwenden, können Sie diesen ebenfalls angeben. 38 • Konfigurierung von GFI LANguard N.S.S. GFI LANguard N.S.S. Handbuch • New vulnerabilities are enabled by default aktiviert/deaktiviert die Berücksichtigung neu hinzugefügter Sicherheitslücken bei allen Scan-Profilen. Download der neuesten Informationen zu Sicherheitslücken Um die Sicherheitslücken-Datenbank zu aktualisieren, wählen Sie über das Menü des N.S.S. „Help“ > „Check for updates“. Es wird eine Verbindung zur GFI Web-Site hergestellt, um die neuesten Informationen zu Sicherheitslücken herunterzuladen. Dabei werden auch die Fingerprint-Dateien aktualisiert, mit denen sich feststellen lässt, welches Betriebssystem auf einem Gerät installiert ist. HINWEIS: Die Datenbank kann bereits beim Starten von GFI LANguard N.S.S. automatisch aktualisiert werden. Wenn Sie dies wünschen, können Sie die entsprechenden Einstellungen über den Knoten „GFI LANguard N.S.S.“ > „General“ > „Product Updates“ festlegen. Zu überprüfende Patches („Patches“) Konfigurierung der zu überprüfenden Patches im Rahmen eines Scan-Profils Die Registerkarte „Patches” ermöglicht es Ihnen festzulegen, ob mit Hilfe eines Scan-Profils nach fehlenden Patches und/oder Service Packs gesucht werden soll. Es werden sämtliche Patches aufgeführt, nach denen der N.S.S. sucht. Wenn ein bestimmter Patch von der Suche ausgenommen werden soll, können Sie das entsprechende Kontrollkästchen neben der Patch-Beschreibung deaktivieren. Eine aktuelle Patch-Liste kann von der Web-Site von GFI heruntergeladen werden. Diese Liste wird von Microsoft zur Verfügung gestellt (mssecure.xml). GFI kontrolliert diese Liste auf Fehler, bevor sie verfügbar gemacht wird. GFI LANguard N.S.S. Handbuch Konfigurierung von GFI LANguard N.S.S. • 39 Erweiterte Informationen zum Sicherheits-Bulletin Für weitere Informationen zu einem einzelnen Bulletin doppelklicken Sie bitte darauf oder rufen Sie die Angaben über die rechte Maustaste und „Properties“ auf. Sie erhalten weitere Details zur Sicherheitslücke, welche Patches verfügbar sind und welche Produkte betroffen sind. Scanner-Optionen Mit Hilfe dieser Registerkarte können Sie Optionen festlegen, wie GFI LANguard N.S.S.Scans durchführen soll. Eigenschaften des Sicherheits-Scanners 40 • Konfigurierung von GFI LANguard N.S.S. GFI LANguard N.S.S. Handbuch Network Discovery Methods Hier können Sie angeben, welche Methoden der N.S.S. verwenden soll, um Rechner im Netzwerk zu identifizieren. Über die Option „NetBIOS Queries” können NetBIOS- oder SMBAnfragen verwendet werden. Ist auf dem Windows-Rechner der Client for Microsoft Networks installiert (bzw. Samba Services auf einem UNIX-Rechner), reagiert dieser Rechner auf die NetBIOSAnfrage. Zudem ist es möglich, dieser Anfrage eine ScopeID hinzuzufügen. Dies ist nur dann erforderlich, wenn Systeme eine ScopeID besitzen. Wurde in Ihrem Unternehmen eine ScopeID für NetBIOS definiert, geben Sie diese bitte an. Über die Option „SNMP Queries” können SNMP-Pakete mit dem Community-String verschickt werden, der in der Registerkarte „General“ definiert wurde. Reagiert das Gerät auf diese Anfrage, fordert der N.S.S. dessen Objektkennung (OID) an, die mit einer Datenbank verglichen wird, um den Gerätetyp festzustellen. „Ping Sweep” überprüft jedes Netzwerk-Gerät mit einem ICMP-Ping. (Bitte beachten Sie den Hinweis weiter unten.) Custom TCP Port Discovery führt auf den Zielrechnern eine Suche nach einem bestimmten offenen Port durch. Hinweis: Die verschiedenen Anfragen können einzeln deaktiviert werden. Der Gerätetyp und das installierte Betriebssystem lassen sich jedoch nur dann vom N.S.S. feststellen, wenn alle Anfragen durchgeführt werden. Andernfalls ist eine Identifizierung u. U. nicht sehr zuverlässig. Hinweis: Einige persönliche Firewalls unterbinden sogar das Verschicken eines ICMP-Echos durch den Rechner, sodass dieser nicht vom N.S.S. aufgespürt werden kann. Wenn Sie vermuten, dass auf vielen Rechnern Ihres Netzwerks Desktop-Firewalls eingerichtet sind, sollten Sie für jede einzelne IP Ihres Netzwerks einen Scan durchsetzen. Optionen für die Netzwerk-Erkennung Mit Hilfe der Parameter für die Netzwerk-Erkennung lässt sich die Bestandsaufnahme innerhalb des Netzwerks optimieren, um Rechner innerhalb kürzester Zeit noch zuverlässiger identifizieren zu können. Folgende Parameter können verändert werden: • Scanning Delay gibt den Zeitabstand an, mit dem der N.S.S. die TCP/UDP-Kontrollpakete verschickt. Der Standardwert beträgt 100 ms. Abhängig von Ihrer Netzwerk-Anbindung und dem von Ihnen genutzten Netzwerk-Typ (LAN/WAN/MAN), muss diese Einstellung eventuell geändert werden. Bei zu niedrigen Werten wird Ihr Netzwerk u. U. mit vom N.S.S. verschickten Paketen überschwemmt. Zu hohe Werte hingegen führen dazu, dass die Überprüfung zu lange dauert und somit wertvolle Zeit kostet. • Wait for Responses gibt an, wie lange der N.S.S. maximal auf eine Antwort vom Gerät warten soll. Führen Sie den Scan in einem langsamen oder stark ausgelasteten Netzwerk durch, kann es erforderlich sein, den Standardwert dieser Timeout-Funktion (500 ms) zu erhöhen. GFI LANguard N.S.S. Handbuch Konfigurierung von GFI LANguard N.S.S. • 41 • Mit Number of retries legen Sie die Anzahl der Wiederholungen für jeden Scan-Typ fest. Unter normalen Testbedingungen sollte diese Einstellung nicht geändert werden. Wird dieser Wert neu festgelegt, erhöht sich jedoch auch entsprechend die Anzahl der Scan-Durchgänge für jeden einzelnen Scan-Typ (NetBIOS, SNMP und ICMP). • Include non-responsive computers ist eine Option, mit der GFI LANguard N.S.S. versucht, einen Rechner zu scannen, der bislang auf keine Erkennungsmethode reagiert hat. Optionen für die NetBIOS-Anfrage Eine NetBIOS Scope ID wird eingesetzt, um eine Gruppe von Rechnern im Netzwerk zu isolieren, die nur mit anderen Computern kommunizieren kann, denen eine identische NetBIOS Scope ID zugewiesen wurde. NetBIOS-Programme, die auf einem Rechner mit einer NetBIOS Scope ID gestartet werden, können mit NetBIOS-Programmen, die auf einem Rechner mit einer anderen NetBIOS Scope ID laufen, nicht kommunizieren (Mitteilungen empfangen oder verschicken). Der N.S.S. unterstützt NetBIOS Scope ID, um Zugriff auf diese isolierten Rechner zu haben, damit auch sie gescannt werden können. Optionen für die SNMP-Anfrage Die Option „Load SNMP Enterprise Numbers” erweitert die Unterstützung von SNMP-Scans. Ist diese Option nicht ausgewählt, werden für per SNMP gefundene Geräte, die dem N.S.S. nicht bekannt sind, keine Herstellerangaben geliefert. Sie sollten diese Option nur dann deaktivieren, wenn sie Probleme verursacht. Standardmäßig wird bei den meisten SNMP-fähigen Geräten der Community Sting „public“ verwendet. Aus Sicherheitsgründen wird dieser jedoch von den meisten Administratoren geändert. Wenn Sie den vorgegebenen SNMP Community Name Ihrer Netzwerk-Geräte geändert haben, müssen Sie die Änderungen auch in der vom N.S.S. verwendeten Liste eintragen. Hinweis: Sie können mehr als einen SNMP Community Name verwenden. Für jeden von Ihnen hinzugefügten Community Name muss eine zusätzliche SNMP-Überprüfung durchgeführt werden. Ist bei Ihrem Community Name String sowohl „public“ als auch „private“ vorgegeben, wird der SNMP-Scan zwei Mal für den gesamten angegebenen IP-Bereich durchgeführt: Zuerst für den Public-String, dann für den Private-String. Optionen für die Anzeige der Scanner-Aktivität Mit den Ausgabeoptionen können Sie festlegen, welche Daten im Fenster für die Scanner-Aktivität angezeigt werden. Eine Aktivierung kann nützliche Informationen liefern. Aktivieren Sie „Verbose” oder „Display packets” jedoch nur in Ausnahmefällen zur Fehlerbehebung. Sonstige Geräte („Devices”) Hier können Sie angeben, welche Maßnahmen GFI LANguard N.S.S. einleiten soll, wenn ein bestimmtes Netzwerk- oder USB-Gerät 42 • Konfigurierung von GFI LANguard N.S.S. GFI LANguard N.S.S. Handbuch entdeckt wird. Der Scanner kann Sie über einen Sicherheitshinweis benachrichtigen, wenn ein bestimmtes Gerät gefunden wird. Ebenso können bestimmte Geräte von vornherein vom N.S.S. ignoriert werden, z. B. USB-Tastaturen oder -Mäuse. Network Devices Für jedes gefundene Netzwerk-Geräte wird ein Anzeigename angegeben. Enthält der gefundene Gerätename einen der StringEinträge in der Liste „Create a high security vulnerability for network devices whose name contains:“ (einen pro Eintrag), wird eine kritische Sicherheitswarnung erzeugt und für den Rechner ausgegeben, an den das Geräte anschlossen ist. Netzwerk-Gerät – Konfigurierung des Namens eines sicherheitsgefährdenden Geräts HINWEIS: Die Listen werden für jedes Profil eingerichtet, sodass Sie die Anforderungen für jeden Sicherheits-Scan individuell festlegen können. GFI LANguard N.S.S. Handbuch Konfigurierung von GFI LANguard N.S.S. • 43 Warnhinweis „kritischen Sicherheitslücke“ für ein als sicherheitsgefährdend eingestuftes Netzwerk-Gerät HINWEIS: Wenn Sie über Geräte, die Sie als sicher einstufen, nicht informiert werden möchten, geben Sie den Gerätenamen in der Liste „Ignore (Do not list/save to db) devices whose name contains:“ ein. Wird ein Gerät mit diesen Eigenschaften von GFI LANguard N.S.S. identifiziert, erfolgt keine Speicherung/Anzeige hierzu in den ScanErgebnissen. USB Devices Für jedes gefundene USB-Gerät wird ein Anzeigename angegeben. Enthält der gefundene Gerätename einen der String-Einträge in der Liste „Create a high security vulnerability for USB devices whose name contains:“ (einen pro Eintrag), wird eine kritische Sicherheitswarnung erzeugt und für den Rechner ausgegeben, an den das Geräte anschlossen ist. 44 • Konfigurierung von GFI LANguard N.S.S. GFI LANguard N.S.S. Handbuch USB-Gerät – Konfigurierung des Namens eines sicherheitsgefährdenden Geräts HINWEIS: Die Listen werden für jedes Profil eingerichtet, sodass Sie die Anforderungen für jeden Sicherheits-Scan individuell festlegen können. Warnhinweis „kritischen Sicherheitslücke“ für ein als sicherheitsgefährdend eingestuftes USBGerät HINWEIS: Wenn Sie über Geräte, die Sie als sicher einstufen, nicht informiert werden möchten, geben Sie den Gerätenamen in der Liste „Ignore (Do not list/save to db) devices whose name contains:“ ein. Wird ein Gerät mit diesen Eigenschaften von GFI LANguard N.S.S. identifiziert, erfolgt keine Speicherung/Anzeige hierzu in den ScanErgebnissen. GFI LANguard N.S.S. Handbuch Konfigurierung von GFI LANguard N.S.S. • 45 Scans nach festem Zeitplan Die Funktion für Scans nach Zeitplan erlaubt es Ihnen, Scans zu konfigurieren, die automatisch an einem bestimmten Datum/zu einer Uhrzeit durchgeführt werden. Für diese Art von Scans lassen sich auch feste Zeitintervalle festlegen. So können Sie einen Scan nachts oder in den Morgenstunden durchführen lassen und gleichzeitig die Funktion für den Ergebnisvergleich nutzen, um sofort bei Arbeitsbeginn per E-Mail über Änderungen informiert zu werden. Alle geplanten Scans werden standardmäßig in der Datenbank gespeichert. Optional können Sie sämtliche Ergebnisse geplanter Scans auch in einer XML-Datei speichern (eine Datei pro geplantem Scan). Klicken Sie hierfür mit der rechten Maustaste auf den Knoten „Scheduled Scan“, wählen Sie „Properties“, aktivieren Sie die Option „Save Scheduled Scan“, und geben Sie einen Speicherpfad für die XML-Dateien an. Konfigurierung eines Scans nach festem Zeitplan Scans nach Zeitplan erstellen Sie wie folgt: 1. Klicken Sie im Security Scanner-Modul mit der rechten Maustaste auf „Configuration” > „Scheduled scans” > „New” > „Scheduled scan…”. 2. Das Dialogfenster „New Scheduled Scan” öffnet sich. 46 • Konfigurierung von GFI LANguard N.S.S. GFI LANguard N.S.S. Handbuch Erstellung eines Scans nach Zeitplan In diesem vornehmen: Dialogfenster können Sie folgende Einstellungen 1. Scan target: Geben Sie hier die Computer-Namen oder den IPBereich an, der gescannt werden soll. Das Scan-Ziel kann wie folgt angegeben werden. i. Host-Name – z. B. ANDREMDEV ii. IP-Adresse – z. B. 192.168.100.9 iii. IP-Bereich – z. B. 192.168.100.1 - 192.168.100.255 iv. Eine Text-Datei mit einer Liste von Rechnern, z. B. file:c:\test.txt (vollständigen Pfad angeben). Die in dieser Datei enthaltenen Angaben können alle der unter i-iii aufgeführten Formate oder Ziele enthalten. 2. Scanning Profile: Wählen Sie das für diesen Scan vorgesehene Scan-Profil aus. 3. Next scan: Geben Sie Datum und Zeitpunkt des Scan-Beginns an. 4. Perform a scan every: Legen Sie fest, ob der Scan nur ein Mal oder mehrmals laufen soll. 5. Beschreibung: Geben Sie eine Beschreibung für den geplanten Scan an, die in der Liste für geplante Scans aufgeführt wird. Klicken Sie auf „OK”, um den neuen geplanten Scan zu erstellen. Um die Ergebnisse eines geplanten Scans zu analysieren/anzuzeigen, müssen Sie hierfür über den Knoten für GFI LANguard N.S.S. Handbuch Konfigurierung von GFI LANguard N.S.S. • 47 Scan-Filter eine entsprechende XML-Datei erstellen. Dazu gehen Sie folgendermaßen vor: 1. Klicken Sie mit der rechten Maustaste auf den Hauptknoten „Scan Filters“, und wählen Sie „Filter saved scan results XML file…“. 2. Richten Sie für die Protokollierung der Ergebnisse des geplanten Scans eine XML-Datei ein. 3. Die in dieser Datei gespeicherten Ergebnisse werden nun über den Filter-Knoten angezeigt. Parameter-Dateien Der Knoten für die Parameter-Dateien hilft Ihnen bei der direkten Bearbeitung der von GFI LANguard N.S.S. verwendeten, im txtFormat gehaltenen Parameter-Dateien. Diese Dateien sollten nur von fortgeschrittenen Anwendern verändert werden. Ihre fehlerhafte Bearbeitung hat zur Folge, dass GFI LANguard N.S.S. den Typ eines gefundenen Geräts nicht zuverlässig bestimmen kann. • Ethercodes.txt – Diese Datei enthält eine Liste mit MAC-Adressen und dem zugehörigen Hersteller, dem diese zugewiesen wurden. • ftp.txt – In dieser Datei ist eine Liste mit FTP-Server-Bannern enthalten, die intern vom N.S.S. verwendet wird, um über den FTP-Server herauszufinden, mit welchem Betriebssystem ein Rechner läuft. • Identd.txt – Diese Datei enthält identd-Banner, die ebenfalls intern vom N.S.S. verwendet werden, um mit Hilfe der Banner-Daten das Betriebsystem zu identifizieren. • Object_ids.txt – Diese Datei enthält SNMP object_ids und Informationen, zu welchem Hersteller und Produkt sie gehören. Findet der GFI LANguard Network Security Scanner ein Gerät, das auf SNMP-Anfragen reagiert, vergleicht er dessen Objekt-IDInformation mit der in dieser Datei gespeicherten. • Passwords.txt – Diese Datei enthält eine Liste mit Passwörtern, mit deren Hilfe unsichere Passwörter festgestellt werden. • Rpc.txt – Diese Datei enthält eine Übersicht über die vom RPCProtokoll zurückgegebenen Dienstnummern und den mit den jeweiligen Nummern verbundenen Dienstnamen. Wird festgestellt, dass auf einem Rechner RCP-Services laufen (normalerweise unter UNIX oder Linux), werden die empfangenen Informationen mit dieser Datei abgeglichen. • Smtp.txt – Enthält eine Liste mit Bannern und den zugehörigen Betriebssystemen. Wie bei den FTP- und ident-Dateien werden diese Banner intern vom N.S.S. verwendet, um das Betriebssystem des Zielrechners zu ermitteln. • Snmp-pass.txt – Diese Datei enthält eine Liste mit Community Strings, die vom N.S.S. eingesetzt wird, um zu überprüfen, ob diese auf dem getesteten SNMP-Server vorhanden sind. Falls verfügbar, informiert das SNMP-Scan-Tool über diese Strings. • telnet.txt – In dieser Datei sind verschiedene Telnet Server-Banner enthalten, die vom N.S.S. zur Identifizierung des Betriebssystems des Zielrechners verwendet werden. 48 • Konfigurierung von GFI LANguard N.S.S. GFI LANguard N.S.S. Handbuch • www.txt – Diese Datei enthält Web-Server-Banner, mit denen das Betriebssystem des Zielrechners festgestellt wird. • Enterprise numbers.txt – Liste mit Object Identifier-/EnterpriseCodes (Hersteller/Universität). Findet der N.S.S. ein Gerät, für das ihm keine näheren Informationen zur Verfügung stehen (über die Datei object_ids.txt), überprüft der Scanner die herstellerspezifischen Informationen und gibt zumindest den Hersteller des gefundenen Produkts an. Diese Information basiert auf den SMI Network Management Private Enterprise Codes, die unter http://www.iana.org/assignments/enterprise-numbers eingesehen werden können. Einsatz von GFI LANguard N.S.S. per Befehlszeile Der Scan-Vorgang kann auch per Befehlszeile gestartet werden. Hierdurch ist es Ihnen möglich, den Scanner von einer anderen Anwendung aus oder einfach über einen festen Zeitplan mit Ihren eigenen Optionen aufzurufen. Verwendung: lnsscmd <Target> [/profile=profileName] [/report=reportPath] [/output=pathToXmlFile] [/user=username /password=password] [/email=emailAddress] [/DontShowStatus] [/?] Legende: Target (erforderlich): Zu scannender IP/Rechner oder IP/RechnerBereich. /Profile (optional): Das für den Scan zu verwendende Profil. Bei fehlender Angabe wird das gerade aktive Profil eingesetzt. /Output (optional): Vollständiger Pfad (inkl. Dateiname) für die Speicherung der XML-Datei mit den Scan-Ergebnissen. /Report (optional): Vollständiger Pfad (inkl. Dateiname) für die Erstellung des Scan-Berichts im HTML-Format. /User (optional): Scan des angegebenen Ziels unter Verwendung der mit Hilfe der Parameter „/User“ und „/Password“ angegebenen alternativen Anmeldeinformationen. /Password (optional): Scan des angegebenen Ziels unter Verwendung der mit Hilfe der Parameter „/User“ und „/Password“ angegebenen alternativen Anmeldeinformationen. /Email (optional): Versand des Scan-Berichts an eine alternative EMail-Adresse. Erfolgt über den Mail-Server, der unter „Configuration“, Knoten „Alerting Options” angegeben wurde. /DontShowStatus (optional): Der Scan-Ablauf wird nicht detailliert angezeigt. HINWEIS: Bei den vollständigen Pfaden und Profilnamen müssen doppelte Anführungsstriche gesetzt werden, z. B. “c:\temp\test.xml“, “Default“. /? (optional): Blendet lnsscmd.exe ein. GFI LANguard N.S.S. Handbuch Hilfe-Bildschirm zur Verwendung von Konfigurierung von GFI LANguard N.S.S. • 49 Makros: %INSTALLDIR% - wird durch den Pfad zum Installationsverzeichnis von GFI LANguard N.S.S. ersetzt. %TARGET% - wird durch das Scan-Ziel ersetzt. %SCANDATE% - wird durch das Scan-Datum ersetzt. %SCANTIME% - wird durch die Scan-Zeit ersetzt. Beispiel: lnsscmd.exe 127.0.0.1 /Profile="Default" /Output="c:\out.xml" /Report="c:\result.html" /email="[email protected]" Durch die obigen Angaben wird ein Sicherheits-Scan des Rechners mit der IP 127.0.0.1 durchgeführt, die XML-Datei wird unter c:\out.xml ausgegeben. Nach Beendigung des Scans wird ein HTML-Bericht unter c:\result.html erstellt und an die E-Mail-Adresse [email protected] geschickt. 50 • Konfigurierung von GFI LANguard N.S.S. GFI LANguard N.S.S. Handbuch Patch-Installation Einführung Mit Hilfe des Tools für die Patch-Verteilung stellen Sie sicher, dass auf Ihren mit Windows NT, 2000, XP und 2003 betriebenen Rechnern immer die neuesten Sicherheits-Patches und Service Packs installiert sind. Um Patches und Service Packs zu installieren, sind folgende Schritte erforderlich: Schritt 1: Durchführen eines Netzwerk-Scans Schritt 2: Auswahl von Rechnern, auf denen Patches installiert werden sollen Schritt 3: Auswahl der zu installierenden Patches Schritt 4: Download der Patch- und Service Pack-Dateien Schritt 5: Installationsparameter für Patch-Dateien Schritt 6: Installation der Updates Voraussetzung für die Verteilung: • Sie müssen für den zu scannenden Rechner administrative Rechte besitzen. • Auf dem Remote-Rechner muss NetBIOS aktiviert sein. Agent für die Patch-Installation Für die Verteilung von Patches steht unter GFI LANguard N.S.S.5 ein spezieller Agent zur Verfügung, der im Hintergrund auf dem RemoteRechner installiert wird, um Patches, Service Packs und benutzerspezifische Software zu installieren. Bei dem Agent für die Patch-Verteilung handelt es sich um einen Dienst, der die Installation zu einem zuvor festgelegten Zeitpunkt gemäß Ihrer Vorgaben durchführt. Diese Unterstützung garantiert eine größere Zuverlässigkeit. Ein weiterer Vorteil ist die automatische Installation, ohne dass der Administrator eingreifen muss. Hinweis: Es kann vorkommen, dass Patches von Microsoft zurückgezogen werden, da sie veraltet sind. In diesem Fall verbleiben die Hinweise auf diesen Patch dennoch in der Datei mssecure.xml. GFI LANguard N.S.S. weist diesen Patch somit als fehlend aus, obwohl er nicht installiert werden kann. Wenn Sie für diese fehlenden Patches keine Warnmeldung vom N.S.S. erhalten wollen, müssen Sie über „Configuration“ > „Scanning Profiles“ > „Patches“ die jeweiligen Sicherheits-Bulletins deaktivieren. GFI LANguard N.S.S. Handbuch Patch-Installation • 51 Schritt 1: Durchführen eines Netzwerk-Scans Informationen zu fehlenden Patches und Service Packs sind Teil der Warnmeldungen, die von GFI LANguard N.S.S. nach einem erfolgreichen Scan ausgegeben werden. Hierfür werden die RegistryEinstellungen, Datum-/Zeitstempel der Dateien und Versionsinformationen des Remote-Rechners mit den Informationen der von Microsoft bereit gestellten Datei mssecure.xml abgeglichen. Als Erstes überprüft der N.S.S., welche Produkte auf dem Zielrechner installiert sind, für die er Patch-Informationen besitzt (z. B. Microsoft Office). Danach wird kontrolliert, welche Patches und Service Packs für das jeweilige Produkt verfügbar sind, und Sie werden unter dem Knoten „High Security Vulnerabilities“ > „Missing Patches" über fehlende Patches informiert. Informationen zu fehlenden Patches Für alle fehlenden Service Packs/Patches gibt GFI LANguard N.S.S. Links an, unter dem die Dateien heruntergeladen werden können sowie weitere Informationen zu den einzelnen Sicherheits-Bulletins. Patches, deren Fehlen sicher festgestellt werden konnte, werden bei den Scan-Ergebnissen unter dem Knoten „Missing patches and service packs" aufgelistet. Patches, bei denen sich aufgrund unzureichender Scan-Daten nicht mit Sicherheit feststellen lasst, ob sie installiert sind oder nicht, werden bei den Scan-Ergebnissen unter dem Knoten „Potential vulnerabilities“ aufgeführt. Beispielinformationen zu nicht identifizierbaren Patches Schritt 2: Auswahl von Rechnern, auf denen Patches installiert werden sollen Nachdem der Netzwerk-Scan beendet ist, werden alle fehlenden Service Packs und Patches im Fenster für die Scan-Ergebnisse aufgelistet. Sie müssen nun auswählen, auf welchen Rechnern die fehlenden Updates installiert werden sollen. Patches können auf nur einem Rechner, auf allen oder auf ausgewählten Rechnern installiert werden. 52 • Patch-Installation GFI LANguard N.S.S. Handbuch Installation fehlender Patches auf nur einem Rechner: Klicken Sie mit der rechten Maustaste auf den Rechner, der aktualisiert werden soll, dann auf „Deploy Microsoft updates“ > „[Bezeichnung des Updates]“ > „This computer“. Installation fehlender Patches auf allen Rechnern: Klicken Sie mit der rechten Maustaste auf einen Rechner im Ergebnisbaum, dann auf „Deploy Microsoft updates“ > „[Bezeichnung des Updates]“ > „All computers“. Installation fehlender Patches auf ausgewählten Rechnern: Über die Kontrollkästchen auf der linken Seite der Scan-Ergebnisse können Sie auswählen, welche Rechner aktualisiert werden sollen. Klicken Sie mit der rechten Maustaste auf einen Rechner im Ergebnisbaum, dann auf „Deploy Microsoft updates“ > „[Bezeichnung des Updates]“ > „Selected computers“. Festlegung der Rechner, auf denen die erforderlichen Updates installiert werden sollen. Schritt 3: Auswahl der zu installierenden Patches Nachdem Sie die Zielrechner ausgewählt haben, auf denen die Microsoft-Patches installiert werden sollen, wird der Knoten „Deploy Microsoft Updates“ aufgerufen. Dieser Knoten bietet nähere Informationen zu den ausgewählten Rechnern und welche Patches/Service Packs darauf installiert werden müssen. Es stehen Ihnen zwei Ansichten zur Verfügung, über die Sie die Installationsoptionen verwalten können. (1) Sort by computers: Wählen Sie einen Rechner aus, um festzustellen, welche Patches/Updates darauf installiert werden müssen. (2) Sort by patches: Wählen Sie einen Patch aus, um herauszufinden, auf welchen Rechnern dieses Update fehlt. GFI LANguard N.S.S. Handbuch Patch-Installation • 53 Knoten zur Installation von Microsoft-Patches Standardmäßig sind alle Patches zur Installation ausgewählt. Falls einzelne Patches nicht installiert werden sollen, können Sie deren Auswahl durch einen Mausklick auf das Kontrollkästchen neben dem Patch rückgängig machen. Schritt 4: Download der Patch- und Service Pack-Dateien Nachdem Sie die zu installierenden Patches/Service Packs ausgewählt haben, müssen die entsprechenden Patch-Dateien heruntergeladen werden. Dieser Vorgang erfolgt überwiegend automatisch. GFI LANguard N.S.S. legt die Dateien je nach der Sprachversion des zu aktualisierenden Produkts in den dafür vorgesehenen Verzeichnissen ab. Anzeige der herunterzuladenden Patch-Dateien Der N.S.S. informiert Sie mit Hilfe einer Liste zu installierender Patches darüber, welche Dateien heruntergeladen werden müssen. Jede benötigte Patch-Datei wird aufgeführt und in der Liste fehlender Patches mit einem der folgenden Status-Indikatoren versehen: Heruntergeladen Noch aktiver Download Wartezustand: Anwender muss auf zugehörige Web-Seite gehen und für den Download der Datei auf den entsprechenden Link klicken. Update nicht heruntergeladen 54 • Patch-Installation GFI LANguard N.S.S. Handbuch Download der Patches Die in der Datei mssecure.xml aufgeführten Microsoft-Patches lassen sich in drei Hauptkategorien einteilen: (1) Patches mit einer URL für den sofortigen Download (2) Patches, für deren Download zu Web-Seiten navigiert werden muss (3) Patches, für die keine Patch-Datei verfügbar ist Download von Patches mit einem Direkt-Link: Bei Patches, für deren Download ein Direkt-Link verfügbar ist, klicken Sie bitte mit der rechten Maustaste auf die Patch-Datei und wählen „Download File“. Die Datei wird heruntergeladen und nach Beendigung des Downloads automatisch im zugehörigen Verzeichnis abgelegt. Download von Patches ohne Download-Link, aber mit Web-Seite als Quelle Findet GFI LANguard N.S.S. eine Datei, die manuell von der Microsoft-Web-Site heruntergeladen werden muss, wird die zugehörige Web-Seite im unteren Bereich des Installations-Tools vom N.S.S. angezeigt. Dort müssen Sie dann den benötigten DownloadLink suchen und darauf klicken, um den Download zu starten. GFI LANguard N.S.S. überwacht diese Web-Sitzung. Sobald der Scanner feststellt, dass Sie auf einen Direkt-Download-Link geklickt haben, startet er den Download der Datei automatisch für Sie. Das Navigieren auf der Web-Seite ist bereits Teil des Download-Vorgangs. Wenn Sie den Download abbrechen möchten, müssen Sie auf den Patch klicken und „Cancel Download" wählen. Ist der Download beendet, wird die Datei automatisch im zugehörigen Verzeichnis abgelegt. Download eines Patches von einer Web-Seite per Download-Assistent Schritt 5: Installationsparameter für Patch-Dateien Optional können Sie auch von Patch zu Patch jeweils andere Installationsparameter festlegen. Dazu gehen Sie folgendermaßen vor: GFI LANguard N.S.S. Handbuch Patch-Installation • 55 1. Klicken Sie mit der rechten Maustaste auf die Patch-Datei, und wählen Sie „Properties". 2. Sie können optional auch eine alternative Download-URL angeben. 3. Ebenso optional ist die Angabe von Befehlszeilenparametern, die während der Installation beachtet werden sollen. Indem Sie mit der rechten Maustaste auf die Patch-Datei klicken und „Bulletin Info…“ wählen, können Sie überprüfen, für welches Sicherheits-Bulletin der Patch gedacht ist. Eigenschaften einer Patch-Datei Schritt 6: Installation der Updates Nachdem Sie die Rechner ausgewählt haben, auf denen die Patches installiert werden sollen und danach der Download der Patches erfolgt ist, können diese nun installiert werden. Klicken Sie auf „Start“, um mit der Installation zu beginnen. 56 • Patch-Installation GFI LANguard N.S.S. Handbuch Installationsbeginn Die Installation der Patches beginnt. Über die Registerkarte „Deployment Status“ können Sie den Vorgang überwachen. Überwachung des Download-Vorgangs Installation eigener Software Das Tool zur Installation eigener Software eignet sich sehr gut zum raschen, netzwerkweiten Installieren eigener Patches oder sogar Software. Auch die netzwerkweite Installation von Viren-Signaturen lässt sich hiermit durchführen. Die Vorgehensweise beim Installieren eigener Software ist dem Prozess des Patchen eines Rechners sehr ähnlich. GFI LANguard N.S.S. Handbuch Patch-Installation • 57 Installation eigener Software Schritt 1: Auswahl der Rechner für die Installation von Software/Patches 1. Gehen Sie auf den Knoten „Deploy custom patches“. 2. Klicken Sie auf die Schaltfläche „Add“, um einen einzelnen Rechner hinzuzufügen oder auf „Select“, um mehrere Rechner auszuwählen, auf denen die Software installiert werden soll. Hinweis: Es ist auch möglich, Rechner für die Installation eigener Software über den Knoten „Security Scanner“ und „Tools“ > „Enumerate Computers“ auszuwählen. Schritt 2: Angabe der zu installierenden Software Klicken Sie unter „Patches:” auf die Schaltfläche „Add…“, um den Speicherort der Datei anzugeben, und legen Sie Befehlszeilenparameter fest, die für die Installation der Datei benötigt werden. 58 • Patch-Installation GFI LANguard N.S.S. Handbuch Angabe der zu installierenden Software Optional können Sie auch einen Zeitpunkt für die Installation der Software festlegen. Schritt 3: Beginn der Installation Nachdem Sie die zu installierende Software und die für die Installation vorgesehenen Rechner angegeben haben, können Sie mit einem Klick auf die Schaltfläche „Start“ den Installationsvorgang starten. Zuweisung von Rechnern für die Installation eigener Patches GFI LANguard N.S.S. Handbuch Patch-Installation • 59 Installationsoptionen Allgemeine Installationsoptionen Die Installationsoptionen lassen sich konfigurieren, indem Sie den Mauszeiger über die Schaltfläche „Options“ auf der rechten Bildschirmseite führen. Hier können Sie: Allgemein • Festlegen, dass der Installations-Agent Anmeldeinformationen gestartet werden soll. • Einen Neustart der Zielrechner nach der Patch-Installation durchführen. Bei einigen Patches muss nach deren Installation ein Neustart durchgeführt werden. Aktivieren Sie dieses Optionsfeld, wenn nach der Installation eines oder mehrerer Patches ein Neustart erforderlich ist. • Den Rechner nach herunterfahren. • Anwender auf eine bevorstehende Installation hinweisen: Vor der Installation wird eine Mitteilung an den Zielrechner geschickt. • Dienste vor der Installation beenden: Mit dieser Option werden die ISS und SQL Server-Dienste vor der Installation beendet. 60 • Patch-Installation der Installation der mit alternativen Software-Updates GFI LANguard N.S.S. Handbuch • GFI LANguard N.S.S. so konfigurieren, dass die Updates über administrative Freigaben oder eine eingeschränkte Freigabe installiert wird (wird letztere verwendet, sind administrative Freigaben nicht notwendig. Für eine erhöhte Sicherheit können sie deaktiviert werden.) • Nach der Installation die auf den Remote-Rechner kopierten Dateien löschen. • Einzelne Filterbedingungen festlegen, auf angewandt werden soll („Computer filters…“). die der Patch Erweitert • Die Anzahl der zu verwendenden Installations-Threads festlegen. • Ein Installations-Timeout festlegen. Erweiterte Installationsoptionen Download-Verzeichnis • Das Verzeichnis festlegen, in dem heruntergeladene Patches gesichert werden müssen. Optionen für das Download-Verzeichnis HINWEIS: Beim Tool zum Installieren eigener Patches gelten die „Computer Filters“ nicht für solche Rechner, die noch nicht vom Security-Scanner überprüft wurden. GFI LANguard N.S.S. Handbuch Patch-Installation • 61 62 • Patch-Installation GFI LANguard N.S.S. Handbuch Vergleich von Scan-Ergebnissen Warum Ergebnisse vergleichen? Netzwerk-Audits sollten regelmäßig durchgeführt und Ergebnisse von vorherigen Scans zum Vergleich herangezogen werden. So erhalten Sie einen besseren Überblick darüber, welche Sicherheitslöcher immer wieder auftreten oder von Benutzern wiederholt geöffnet werden. Nur auf diese Weise können Sie effizientere Gegenmaßnahmen einleiten und Ihr Netzwerk wesentlich sicherer machen. Der GFI LANguard Network Security Scanner unterstützt Sie bei dieser Arbeit und vergleicht die Scan-Ergebnisse. Unterschiede werden hervorgehoben, damit Sie schneller informiert sind und eingreifen können. Ergebnisse lassen sich manuell vergleichen oder mit Hilfe von zeitlich festgelegten Scans. Interaktiver Vergleich von Scan-Ergebnissen Führt GFI LANguard N.S.S. einen geplanten Scan durch, werden die Scan-Ergebnisse als XML-Datei im Installationsverzeichnis des N.S.S unter Data\Reports gespeichert. Aktuelle Scan-Ergebnisse lassen sich auch in einer XML-Datei speichern, indem Sie mit der rechten Maustaste auf den Knoten „Security Scanner“ klicken und „Save scan results to XML file…“ wählen. Die Scan-Ergebnisse aus zwei XML-Dateien lassen sich wie folgt vergleichen: 1. Gehen Sie auf „Result comparison” unter „GFI LANguard N.S.S.“ > „Security Scanner“. 2. Wählen Sie zwei Scan-Resultate aus (aus XML-Dateien oder einem Datenbank-Backend), die aufgrund gleicher Scan-Vorgaben auf denselben Rechnern ausgegeben wurden, jedoch zu verschiedenen Zeiten, und klicken Sie dann auf „Compare“. GFI LANguard N.S.S. Handbuch Vergleich von Scan-Ergebnissen • 63 Ergebnisvergleich Ein solcher Ergebnisvergleich ist in obigem Screenshot abgebildet. Hier können Sie sehen, welche Aktivierungen oder Deaktivierungen oder sonstigen Netzwerk-Änderungen seit dem letzten Scan vorgenommen wurden: • „New items” informiert Sie über alle Änderungen, die sich nach dem ersten Scan ergeben haben. • „Removed items” zeigt alle Geräte/Probleme an, die seit dem ersten Scan entfernt/beseitigt wurden. • „Changed items” informiert Sie über veränderte Objekte, z. B. Dienste, die zwischen zwei Scans aktiviert oder deaktiviert wurden. Ergebnis-Vergleich nach einem festen Zeitplan Als Alternative zu manuellen Netzwerk-Scans, die täglich, wöchentlich oder monatlich durchgeführt werden, können Sie Ihr Netzwerk auch regelmäßig nach einem festen Zeitplan überprüfen lassen. Ein geplanter Scan wird automatisch zu einem bestimmten Zeitpunkt gestartet und informiert Administratoren per E-Mail über alle Veränderungen, die zwischen zwei geplanten Scans aufgetreten sind. Beispiel: Administratoren können mit Hilfe des „Scheduled Scan“ jede Nacht nach einem festen Zeitplan um 23:00 Uhr einen Scan durchführen. Der Attendant von GFI LANguard N.S.S. startet um diese Uhrzeit eine Sicherheitsüberprüfung für die gewählten Zielrechner. Die Ergebnisse werden dann in einer zentralen Datenbank gespeichert. Danach wird das aktuelle Scan-Ergebnis mit dem des Vortags verglichen und ein Bericht erstellt, falls Veränderungen aufgetreten sind. HINWEIS: Wird ein geplanter Scan zum ersten Mal durchgeführt oder lassen sich keine Veränderungen zum vorherigen Scan feststellen, erhalten Sie keinen Bericht per E-Mail. Berichte werden nur dann verschickt, wenn sich Objekte/Daten verändert haben! 64 • Vergleich von Scan-Ergebnissen GFI LANguard N.S.S. Handbuch GFI LANguard N.S.S. Status-Monitor Anzeige geplanter Aktionen Der Status-Monitor von GFI LANguard N.S.S. erlaubt die StatusÜberwachung aktiver geplanter Scans und Software-UpdateInstallationen. Zudem können Sie geplante Installationen löschen. Active Scheduled Scan Um den Status aktiver geplanter Scans anzuzeigen, klicken Sie im der Systemablage von Windows auf das Symbol des GFI LANguard N.S.S. Status-Monitors, und gehen Sie auf die Registerkarte „Active scheduled scans". Alle aktiven geplanten Scans inklusive Startzeitpunkt werden angezeigt. Hinweis: Es werden nur die aktuell aktiven Scans angezeigt. Um zu kontrollieren, welche Scans generell per festem Zeitplan festgelegt wurden und um einen oder mehrere dieser Scans zu löschen, öffnen Sie den N.S.S. und klicken Sie auf „GFI LANguard N.S.S.“ > „Configuration“ > „Scheduled Scans“. Nach festem Zeitplan durchgeführte Scans – beendet Um einen aktiven geplanten Scan abzubrechen, wählen Sie diesen aus, und klicken Sie auf die Schaltfläche „Stop Selected Scan(s)“. GFI LANguard N.S.S. Handbuch GFI LANguard N.S.S. Status-Monitor • 65 Abgebrochener Scan Installationen nach festem Zeitplan Um den Status geplanter Installationen anzuzeigen, klicken Sie im der Systemablage von Windows auf das Symbol des GFI LANguard N.S.S. Status-Monitors, und gehen Sie auf die Registerkarte „Scheduled deployments". Installationen nach festem Zeitplan Um eine geplante Software-Update-Installation zu widerrufen, wählen Sie den entsprechenden Eintrag aus, und klicken Sie auf „Cancel selected deployment". 66 • GFI LANguard N.S.S. Status-Monitor GFI LANguard N.S.S. Handbuch Widerrufene Installation GFI LANguard N.S.S. Handbuch GFI LANguard N.S.S. Status-Monitor • 67 68 • GFI LANguard N.S.S. Status-Monitor GFI LANguard N.S.S. Handbuch Datenbank-Wartung – Optionen Einführung Mit Hilfe des Knotens „Database Maintenance Options" können Sie das Datenbank-Backend für die Speicherung der Scan-Ergebnisse auswählen. Zudem können Sie Wartungsoptionen konfigurieren, z. B. das automatische Löschen aller Scan-Ergebnisse vor einem bestimmten Datum. Wenn Sie Microsoft Access als Datenbank-Backend einsetzen, lässt sich die Datenbank-Komprimierung als Task planen, um Datenkorruption zu vermeiden. Die Wartungsoptionen stehen zur Verfügung unter: 1. „GFI LANguard N.S.S.” > „Configuration” > Rechtsklick auf „Database Maintenance Options”. 2. Wählen Sie „Properties“. Änderung der Datenbank Über die Registerkarte „Change database“ können Sie das von GFI LANguard N.S.S. verwendete Datenbank-Backend ändern, in dem die Scan-Ergebnisse gesichert werden. Als Backends werden Microsoft Access oder Microsoft SQL Server unterstützt. MS Access Geben Sie den vollständigen Pfad (inklusive Dateiname) für MS Access als Datenbank-Backend an. HINWEIS: Sollte die Datei noch nicht existieren, wird sie nun erstellt. GFI LANguard N.S.S. Handbuch Datenbank-Wartung – Optionen • 69 Änderung der Datenbank – MS Access MS SQL Server Geben Sie den Namen/die IP des Servers an, auf dem MS SQL Server installiert ist. Geben Sie auch die Anmeldeinformationen für den Zugriff auf SQL Server an. (Der NT-Authentifizierungsmodus wird von GFI LANguard N.S.S. nicht unterstützt). HINWEIS: Sind die Angaben zum Server und die Anmeldedaten korrekt, meldet sich GFI LANguard N.S.S. am SQL Server an und erstellt die benötigten Datenbanktabellen. Bereits bestehende Datenbanktabellen werden weiterverwendet. 70 • Datenbank-Wartung – Optionen GFI LANguard N.S.S. Handbuch Änderung der Datenbank – SQL Server Verwaltung gespeicherter Scan-Ergebnisse Die Registerkarte „Change Database” bietet Optionen zum Löschen von im Datenbank-Backend gespeicherten Scan-Ergebnissen. Ergebnisse lassen sich manuell löschen oder nach ihrem Alter. Weitere Optionen Die Registerkarte „Advanced” erlaubt es Ihnen festzulegen, wann die Komprimierung der Datenbank durchgeführt werden soll. Hierfür steht auch der Attendant zur Verfügung, der die Komprimierung automatisch erledigt. HINWEIS: Durch die Datenbank-Komprimierung werden als zu löschen markierten Einträge dauerhaft entfernt. GFI LANguard N.S.S. Handbuch Datenbank-Wartung – Optionen • 71 Optionen der Datenbank-Wartung – Komprimierung 72 • Datenbank-Wartung – Optionen GFI LANguard N.S.S. Handbuch Werkzeuge Einführung Folgende Tools stehen unter dem Menü „Tools“ bereit: • DNS-Lookup • Whois-Client • Traceroute • SNMP Walk • SNMP-Überwachung • MS SQL Server-Überwachung • Aufgelistete Rechner DNS-Lookup Mit Hilfe dieses Tools wird der Domänenname in die entsprechende IP-Adresse aufgelöst. Zusätzlich erhalten Sie weitere Informationen zum Domänennamen, z. B., ob er einen MX-Eintrag besitzt. Tool für DNS-Lookup So erhalten Sie Informationen über den Domänennamen: 1. Gehen Sie auf den Knoten „Tools“ > „DNS Lookup“. GFI LANguard N.S.S. Handbuch Werkzeuge • 73 2. Geben Sie den Host-Namen an, der aufgelöst werden soll. 3. Geben Sie die abzurufenden Informationen an: • Basic Information – d.h., Host-Name und zugehörige IP. • Host Information (HINFO) – bietet Informationen zur Hardware und dem Betriebssystem der angegebenen Domäne (aus Sicherheitsgründen sind diese Daten in den meisten DNSEinträgen nicht enthalten). • Aliases – ruft Informationen ab, welche A-Einträge die Domäne u. U. enthält. • MX Records (Mail Exchanger Records) – zeigen an, welche(r) Mail-Server (ggf. in welcher Reihenfolge) für die Domäne zuständig sind/ist. • NS Records – geben an, welche Name-Server für die Domäne zuständig sind. Zudem kann ein alternativer DNS-Server angegeben werden. Traceroute Traceroute-Tool Dieses Werkzeug zeigt den Netzwerk-Pfad an, über den der N.S.S. den Zielrechner erreicht hat. Wenn Sie eine Traceroute-Überprüfung durchführen, erscheint neben jedem Hop ein Symbol. • 74 • Werkzeuge Zeigt an, dass ein Hop innerhalb normaler Parameter erfolgreich war. • Zeigt einen erfolgreichen Hop mit relativ langer Antwortzeit an. • Zeigt einen erfolgreichen Hop mit zu langer Antwortzeit an. • Zeigt einen Hop mit Zeitüberschreitung an. (d. h., 1000 ms wurden überschritten). GFI LANguard N.S.S. Handbuch Whois-Client Whois-Tool Mit diesem Tool können Sie Informationen zu einer Domäne oder IPAdresse abrufen. Wählen Sie den gewünschten Whois-Server aus den Optionen aus, oder nutzen Sie die Standardeinstellung „Default“, damit der N.S.S. einen Server für Sie auswählt. SNMP Walk Mit SNMP Walk können Sie SNMP-Informationen zusammentragen. Im rechten Fenster ist eine Liste mit Namen aufgeführt, die für bestimmte Objekt-IDs auf dem Gerät stehen. Für eine nähere Erklärung der Daten aus dem SNMP Walk müssen Sie sich an den jeweiligen Hersteller wenden. Einige Hersteller stellen sehr detaillierte Informationen zur Verfügung, während andere diesen Service nicht anbieten, obwohl ihre Geräte SNMP unterstützen. Sie können das Utility über „Tools“ > „SNMP Walk“ aufrufen. Geben Sie die IP-Adresse eines Rechners oder Geräts ein, den/das Sie scannen möchten. Hinweis: SNMP sollte bereits vom Router/der Firewall blockiert werden, sodass Internet-Benutzer keinen SNMP-Scan Ihres Netzwerks durchführen können. Es ist möglich, alternative Community-Strings bereitzustellen. Hinweis: Per SNMP können böswillige Benutzer an sehr viele Informationen über Ihr Netzwerk gelangen, die eine PasswortEntschlüsselung oder ähnliche Angriffe erleichtern. SNMP sollte stets deaktiviert sein, es sei denn, dieser Dienst wird unbedingt benötigt. GFI LANguard N.S.S. Handbuch Werkzeuge • 75 SNMP Audit Sie können Ihr Netzwerk auch einem SNMP-Audit unterziehen und es auf unsichere Community-Strings überprüfen. Einige Netzwerk-Geräte weisen alternative oder nicht-standardmäßige Community-Strings auf. In der Wörterbuch-Datei ist eine Liste gängiger Community-Strings enthalten, nach denen gesucht werden kann. Für den Wörterbuch-Angriff wird die Standard-Datei snmppass.txt verwendet. Sie können diese Datei erweitern und neue Community-Namen eintragen oder den SNMP-Audit mit Hilfe einer anderen Datei ablaufen lassen. Starten Sie die Überprüfung, indem Sie die IP-Adresse des Rechners eingeben, auf dem SNMP aktiviert ist, und klicken Sie auf „Retrieve“. MS SQL Server Audit Mit diesem Tool können Sie einen Rechner mit Microsoft SQL Server überprüfen. Eine Überprüfung ist sowohl für das SA-Konto als auch alle SQL-Konten möglich. Standardmäßig wird bei der Kontrolle die Wörterbuch-Datei passwords.txt verwendet. Sie können diese Datei mit neuen Passwörtern erweitern oder eine eigene Datei verwenden. Für eine SQL Server-Überwachung müssen Sie die IP-Adresse des Rechners angeben, auf dem MS SQL läuft. Wenn Sie versuchen möchten, die Passwörter aller SQL-Konten zu entschlüsseln, müssen Sie einen Benutzernamen und ein Passwort für die SQL-Anmeldung eingeben, um Zugriff auf alle Benutzerkonten zu haben. Überwachungs-Tool für SQL-Konten 76 • Werkzeuge GFI LANguard N.S.S. Handbuch Enumerate Computers Tool zum Auflisten von Rechnern Mit diesem Utility können Sie Ihr Netzwerk nach Domänen und/oder Arbeitsgruppen durchsuchen lassen. Ist diese Bestandsaufnahme abgeschlossen, können Sie eine erneute Suche nach allen Rechnern durchführen. Nach dieser Überprüfung informiert Sie das Tool über das auf den Rechnern installierte Betriebssystem und alle eventuellen NetBIOS-Meldungen. Rechner lassen sich mit Hilfe folgender Methoden auflisten: • Über Active Directory – Diese Methode ist effizienter und führt zudem Rechner auf, die zum Zeitpunkt des Scans nicht eingeschaltet sind. • Über den Windows Explorer – Diese Methode ist zeitaufwändiger und erfasst keine Rechner, die zum Zeitpunkt des Scans ausgeschaltet sind. Die gewünschte Methode kann über die Registerkarte „Information Source“ ausgewählt werden. Bitte beachten Sie, dass der Scan über ein Konto erfolgen muss, für das Zugriffsrechte auf Active Directory bestehen. Start eines Sicherheits-Scans Sind alle Rechner einer Domäne aufgeführt, können Sie einen Scan für ausgewählte Computer durchführen, indem Sie mit der rechten Maustaste auf den gewünschten Rechner klicken und „Scan“ wählen. Wenn der Scan gestartet werden soll, ohne das Tool zur Auflistung der Rechner zu schließen, wählen Sie bitte „Scan in background“. GFI LANguard N.S.S. Handbuch Werkzeuge • 77 Installation eigener Patches Wählen Sie die Rechner aus, auf denen die Updates installiert werden sollen, klicken Sie mit der rechten Maustaste auf einen der markierten Rechner, und wählen Sie dann „Deploy Custom Patches“. Aktivierung von Überwachungsrichtlinien Wählen Sie die Rechner aus, auf denen die Überwachungsrichtlinien aktiviert werden sollen, klicken Sie mit der rechten Maustaste auf einen der markierten Rechner, und wählen Sie dann „Enable Auditing Policies“. Enumerate Users Die Funktion „Enumerate Users” ist an Active Directory angebunden und ruft sämtliche Anwender und Kontakte aus Active Directory ab. 78 • Werkzeuge GFI LANguard N.S.S. Handbuch Hinzufügen von Sicherheitschecks per Bedingungen/Skripten Einführung GFI LANguard N.S.S. erlaubt die Erstellung von Warnmeldungen für selbst definierte Sicherheitslücken. Hierfür gibt es zwei Möglichkeiten: Durch das Erstellen eines Skripts oder die Verwendung von Bedingungen. Unabhängig davon, welche Methode Sie einsetzen wollen, muss die neue Sicherheitslücke unter Angabe des SkriptNamens oder der anzuwendenden Bedingungen über die Benutzeroberfläche des N.S.S. hinzugefügt werden. Hinweis: Neue Warnmeldungen sollten nur von erfahrenen Benutzern erstellt werden, da durch eine fehlerhafte Konfigurierung u. U. Fehlalarme ausgelöst oder gar keine Warnhinweise ausgegeben werden. GFI LANguard N.S.S. VBScript GFI LANguard N.S.S. bietet eine VBScript-kompatible Skriptsprache. Diese Sprache wurde entwickelt, damit Sie auch eigene Sicherheitschecks problemlos zu den bereits vorhandenen hinzufügen können. Zudem kann GFI dank der Skriptsprache rasch neue Sicherheitschecks entwickeln und diese über seine Web-Site zum Download bereitstellen. Mit Hilfe des in GFI LANguard N.S.S. integrierten Script-Editors können Sie Syntax hervorheben lassen und Debugging-Funktionen starten. Weitere Informationen zum Erstellen von Skripten finden Sie in der Hilfe-Datei „Scripting documentation“, die Sie über die Programmgruppe von GFI LANguard N.S.S. aufrufen können. WICHTIGER HINWEIS: Für die Analyse selbst erstellter Skripten, die fehlerhaft sind, kann der GFI-Support nicht in Anspruch genommen werden. Fragen zur Skript-Erstellung mit dem N.S.S. können unter forums.gfi.com gestellt werden, das als P2P-Forum für Benutzer von GFI LANguard N.S.S. und zum Austausch von Skripten gedacht ist. GFI LANguard N.S.S. SSH-Modul Im Lieferumfang von GFI LANguard N.S.S. ist ein SSH-Modul enthalten, sodass sich Skripten zur Überprüfung von Sicherheitslücken auch auf Linux-Systemen ausführen lassen. Das SSH-Modul analysiert die über das Skript ausgegebenen Konsolendaten. Dies hat den Vorteil, dass sich jede vom LinuxSystem unterstützte Skript/Programmiersprache verwenden lässt, die Ergebnisse über die Konsole (Textmodus) ausgeben kann. GFI LANguard N.S.S. Handbuch Hinzufügen von Sicherheitschecks per Bedingungen/Skripten • 79 Stichwörter: Das SSH-Modul kann jedes Skript starten, das unterstützt wird und auf dem Linux-Zielrechner über das Terminal-Fenster gestartet werden kann. Beim Start eines SSH-basierten Sicherheitschecks wird das SSHSkript über eine Verbindung mit dem SSH-Server, die mit den zu Scan-Beginn angegebenen Anmeldeinformationen aufgebaut wurde, auf den Zielrechner kopiert. Der kopierten Datei werden dann Executable Permissions zugewiesen, und sie wird auf dem Zielrechner gestartet. Der über dieses Skript ausgegebene Text wird dann abschließend vom SSH-Modul analysiert. Dadurch erkennt das SSH-Modul, wenn das Skript beendet ist und ob ein erfolgreiches Erebnis vorliegt. Folgende Stichwörter werden vom SSH-Modul verarbeitet und als Anweisungen für GFI LANguard N.S.S. interpretiert: • TRUE: • FALSE: • AddListItem • SetDescription • !!SCRIPT_FINISHED!! Erkennt das SSH-Modul eine der dieser Ausgaben, wird der String je nach gefundenem Stichwort unterschiedlich verarbeitet. TRUE: und FALSE: Erkennt das SSH-Modul einen der folgenden Strings, wird als Ergebnis des Sicherheitschecks als TRUE oder FALSE ausgegeben. AddListItem Bei „AddListItem” handelt es sich um eine interne Funktion, mit der Ergebnisse wie in der Benutzeroberfläche angezeigt dem Baum des Sicherheitschecks hinzugefügt werden. Die korrekte Syntax für diese Funktion lautet: AddListItem([[[<parent node>]]],[[[<actual string>]]]) Der erste Paramter [[[<parent node>]]] gibt den Namen des Vaterknoten an. Der zweite Parameter [[[<actual string>]]] gibt den Wert dieses Knotens im Baum an. HINWEIS: Erfolgt keine Angabe für den Parameter „Vaterknoten”, fügt die Funktion den angegebenen String dem Knoten hinzu, der für diesen Check an erster Stelle steht. Jeder Sicherheitscheck hat seinen eigenen Startknoten. Über den Befehl „AddListItem“ wird unter dem Sicherheitslücken-Knoten des Checks stets ein Kinderknoten erstellt. SetDescription SetDescription ist eine interne Funktion, welche die standardmäßige Beschreibung, die im Sicherheitscheck festgelegt ist, überschreiben kann. Bei einigen Sicherheitschecks ist es möglicherweise notwendig, den im Baum angezeigten, vorgegebenen Namen zu ändern. SetDescription(<New description>) 80 • Hinzufügen von Sicherheitschecks per Bedingungen/Skripten GFI LANguard N.S.S. Handbuch !!SCRIPT_FINISHED!! Jedes Skript gibt den Text „!!SCRIPT_FINISHED!!“ aus. Dieser String zeigt das Ende jeder Skriptausführung an. Das SSH-Modul sucht nach diesem String, bis er gefunden wird oder das Skript wegen Zeitüberschreitung abgebrochen wird. Sollte der Vorgang wegen Zeitüberschreitung abgebrochen werden, weil „!!SCRIPT_FINISHED!!“ nicht in der vorgegebenen Zeit empfangen wurde, ignoriert das SSHModul das Skript. In diesem Fall wird die Sicherheitslücke nicht angezeigt, auch wenn „TRUE:“ vor dem Timeout erfolgreich an das SSH-Modul ausgegeben wird. Daher ist es wichtig, dass jedes Skript, ungeachtet des CheckUmfangs, immer „!!SCRIPT_FINISHED!!“ am Ende der Verarbeitung ausgeben muss. WICHTIGER HINWEIS: Für Erstellung und Fehleranalyse von Skripten kann der GFI-Support nicht in Anspruch genommen werden. Fragen zur Skript-Erstellung mit dem N.S.S. können unter forums.gfi.com gestellt werden, das als P2P-Forum für Benutzer von GFI LANguard N.S.S. und zum Austausch von Skripten gedacht ist. Beispiel: Anhand folgender Schritt-für-Schritt-Anleitung zum Erstellen eines Sicherheitschecks sollen die oben beschriebenen Paramater praktisch erklärt werden. Zuerst wird ein SSH-Skript mit nur grundlegenden Funktionen erstellt. Dabei werden alle oben präsentierten Stichwörter verwendet, einfach eine neue Beschreibung erstellt und dem Sicherheitslücken-Baum zwei Objekte hinzugefügt. Das SSH-Skript mit dem Namen test.sh besteht aus folgendem Code: #!/bin/bash echo "TRUE:" time=`date` echo "SetDescription(New Script Generated Description at :$time)" echo "AddListItem([[[Child 1]]],[[[Added Item 1]]])" echo "AddListItem([[[Child 2]]],[[[Added Item 2]]])" echo "!!SCRIPT_FINISHED!!" Danach wird ein Sicherheitscheck erstellt, der dieses Skript auf einem mit Linux betriebenen Remote-Rechner ausführen soll. Er sieht wie folgt aus: GFI LANguard N.S.S. Handbuch Hinzufügen von Sicherheitschecks per Bedingungen/Skripten • 81 Das Scannen eines Linux-Rechners mit korrekten Anmeldeinformationen löst diesen Check aus. Dieser Check bewirkt folgende Ausgabe: SSH-basierte Skript-Ausgabe mit Skript-Feedback 82 • Hinzufügen von Sicherheitschecks per Bedingungen/Skripten GFI LANguard N.S.S. Handbuch Weitere Beispiele von SSH-Skripten finden Sie unter [Hauptverzeichnis von GFI LANguard N.S.S.]\data\scripts\ Alle Dateien mit der Endung .sh sind SSH-Skripten. (Beachten Sie, dass SSH-Skripten beliebige Endungen haben können, da sie auch mit anderen Erweiterungen als .sh funktionieren.) Hinzufügen von auf individuellen vbs-Skripten basierenden Sicherheitschecks Es ist möglich, Sicherheitschecks hinzuzufügen, bei denen ein von Ihnen erstelltes Skript verwendet wird. Skripten lassen sich mit Hilfe des Editors/Debuggers von GFI LANguard N.S.S. erstellen. Dazu gehen Sie folgendermaßen vor: Schritt 1: Erstellung des Skripts 1. Der Script Debugger wird über „Start“ > „Programme“ > „GFI LANguard Network Security Scanner“ > „Script Debugger“ gestartet. 2. Wählen Sie „File” > „New…”. 3. Erstellen Sie nun Ihr Skript. Das folgende Skript soll als Beispiel dienen, das Sie im Debugger eingeben können. Function Main echo "Script has run successfully" Main = true End Function 4. Speichern Sie die Datei, z. B. unter „c:\myscript.vbs“. Schritt 2: Hinzufügen des neuen Sicherheitschecks: 1. Gehen Sie auf den Knoten „Configuration“ > „Scanning Profiles“. 2. Rufen Sie die Registerkarte „Vulnerabilities” auf, und wählen Sie die Kategorie aus, zu der die neue Sicherheitslücke zählen soll. 3. Klicken Sie auf die Schaltfläche „Hinzufügen". Das Dialogfenster „Add vulnerability” wird geöffnet. GFI LANguard N.S.S. Handbuch Hinzufügen von Sicherheitschecks per Bedingungen/Skripten • 83 Hinzufügen eines neuen Sicherheitschecks 4. Geben Sie grundlegende Informationen ein, wie den Namen des Checks, eine kurze Beschreibung, die Sicherheitsstufe und eine BugtraqID/URL (falls zutreffend). Des Weiteren können Sie angeben, wie viel Zeit die Ausführung dieses Sicherheitscheck in Anspruch nimmt. 5. Klicken Sie auf die Schaltfläche „Add…“. 6. Wählen Sie „Script“ aus der Liste der Kontrollarten aus. Auswahl eines Skripts mit Code für den neuen Sicherheitscheck 84 • Hinzufügen von Sicherheitschecks per Bedingungen/Skripten GFI LANguard N.S.S. Handbuch 7. Geben Sie den Speicherort des Skripts „c:\myscript.vbs“ an. Klicken Sie auf „Add”, um den neuen Check hinzuzufügen. Beim nächsten Scan nach Sicherheitslücken wird Ihr neues Skript ebenfalls berücksichtigt. 8. Für einen Testdurchlauf können Sie einfach Ihren lokalen Host scannen, und der neue Warnhinweis sollte unter dem Knoten „Vulnerabilities“ > „Miscellaneous Alerts“ erscheinen. Hinzufügen von auf individuellen SSH-Skripten basierenden Sicherheitschecks Sie können Sicherheitschecks hinzufügen, bei denen ein benutzerdefiniertes Skript verwendet wird, das vom SSH-Modul auf dem gescannten Linux-Rechner gespeichert und ausgeführt wird. Das Skript kann in jeder Skript- oder Programmiersprache erstellt werden, die das Drucken auf die Konsole unterstützt. Für das folgende Beispiel wird das Bash-Skripting verwendet, das standardmäßig auf allen Linux-Systemen verfügbar ist. Schritt 1: Erstellung des Skripts 1. Öffnen Sie Ihren Text-Editor. 2. Erstellen Sie ein neues, leeres Dokument, und speichern Sie es unter „[Hauptverzeichnis von GFI LANguard N.S.S. ]\data\scripts“. 3. Geben Sie folgende Zeilen im Editor ein: #!/bin/bash if [ -e test.file ] then echo "TRUE:" else echo "FALSE:" if echo "!!SCRIPT_FINISHED!!" 4. Sichern Sie die Datei z. B. unter „C:\Program Files\GFI\LANguard Network Security Scanner 6.0\Data\Scripts\myscript". Schritt 2: Hinzufügen des neuen Sicherheitschecks: 1. Gehen Sie auf den Knoten „Configuration“ > „Scanning Profiles“. 2. Rufen Sie die Registerkarte „Vulnerabilities” auf, und wählen Sie die Kategorie aus, zu der die neue Sicherheitslücke zählen soll. 3. Klicken Sie auf die Schaltfläche „Hinzufügen". Das Dialogfenster „Add vulnerability” wird geöffnet. GFI LANguard N.S.S. Handbuch Hinzufügen von Sicherheitschecks per Bedingungen/Skripten • 85 Hinzufügen eines neuen Sicherheitschecks 4. Geben Sie grundlegende Informationen ein, wie den Namen des Checks, eine kurze Beschreibung, die Sicherheitsstufe und eine BugtraqID/URL (falls zutreffend). Des Weiteren können Sie angeben, wie viel Zeit die Ausführung dieses Sicherheitscheck in Anspruch nimmt. 5. Klicken Sie auf die Schaltfläche „Add…“. 6. Wählen Sie „SSH Script“ aus der Liste der Kontrollarten aus. Auswahl eines Skripts mit Code für den neuen Sicherheitscheck 86 • Hinzufügen von Sicherheitschecks per Bedingungen/Skripten GFI LANguard N.S.S. Handbuch Geben Sie den Speicherort des Skripts wie zuvor festgelegt an: „C:\Program Files\GFI\LANguard Network Security Scanner 6.0\Data\Scripts\myscript“. Klicken Sie auf „Add”, um den neuen Check hinzuzufügen. Beim nächsten Scan nach Sicherheitslücken wird Ihr neues Skript ebenfalls berücksichtigt. Um den Check zu testen, scannen Sie einfach den Linux-Rechner. Erstellen Sie die Datei test.file, um die Sicherheitswarnung auszulösen. Hierfür melden Sie sich auf Ihrem Linux-Rechner an, navigieren zum für den Scan-Vorgang vorgesehenen User, dann zum Heimatverzeichnis und geben den Befehl „touch test.file“ ein. Nach Abschluss des Scans sollten Sie die gerade erstellte Sicherheitswarnung unter dem Sicherheitslücken-Knoten sehen. Hinzufügen eines Sicherheitschecks für CGI-Schwachstellen Neue Sicherheitskontrollen können auch ohne das Erstellen von Skripten hinzugefügt werden. Dies gilt z. B. für Überprüfungen auf CGI-Sicherheitslücken. Dazu gehen Sie folgendermaßen vor: 1. Gehen Sie auf den Knoten „Configuration“ > „Scanning Profiles“. 2. In der Registerkarte „Vulnerabilities” wählen Sie bitte den Knoten „CGI vulnerabilities“ aus. Klicken Sie dann auf „Add”. Das Dialogfenster „New CGI vulnerability check” wird geöffnet. Erstellen einer Warnmeldung für eine neue CGI-Sicherheitslücke GFI LANguard N.S.S. Handbuch Hinzufügen von Sicherheitschecks per Bedingungen/Skripten • 87 3. Geben Sie grundlegende Informationen ein, wie den Namen des Checks, eine kurze Beschreibung, die Sicherheitsstufe und eine BugtraqID/URL (falls zutreffend). Des Weiteren können Sie angeben, wie viel Zeit die Ausführung dieses Sicherheitscheck in Anspruch nimmt. 4. HTTP Method – unterstützt für den CGI-Bereich die beiden Methoden GET und HEAD. 5. URL to check – die vom N.S.S. abzufragende URL. 6: Return String – gibt an, nach welchen Informationen der N.S.S. in den Rückmeldungen suchen soll um festzustellen, ob der Rechner für diese Art von Angriff anfällig ist. Hinzufügen weiterer Kontrollen für Sicherheitslücken Zusätzliche andere Sicherheitskontrollen können ebenfalls ohne das Erstellen von Skripten hinzugefügt werden. Hierbei kommt dasselbe Format wie bei den CGI-Kontrollen zum Einsatz, jedoch können umfangreichere Bedingungen definiert werden. Dazu gehen Sie folgendermaßen vor: 1. Gehen Sie auf den Knoten „Configuration“ > „Scanning Profiles“. 2. In der Registerkarte „Vulnerabilities” wählen Sie bitte den Typ der Sicherheitslücke aus, die Sie hinzufügen möchten, indem Sie auf die Kategorie klicken, zu der die neue Sicherheitslücke zählen soll. Klicken Sie dann auf „Add”. Erstellen einer neuen Sicherheitslücke 88 • Hinzufügen von Sicherheitschecks per Bedingungen/Skripten GFI LANguard N.S.S. Handbuch 3. Geben Sie grundlegende Informationen ein, wie den Namen des Checks, eine kurze Beschreibung, die Sicherheitsstufe und eine BugtraqID/URL (falls zutreffend). Des Weiteren können Sie angeben, wie viel Zeit die Ausführung dieses Sicherheitscheck in Anspruch nimmt. 4. Nun müssen Sie angeben, wonach im Detail gesucht werden soll: Um die neue Sicherheitslücke zu definieren, nach der gesucht werden soll, klicken Sie mit der rechten Maustaste im Fenster „Trigger condition", und fügen Sie den neuen Check hinzu. 5. Folgende Komponenten können für die Definition einer neuen Sicherheitslücke verwendet werden: • • Operating System o Is o Is Not Registry Key o Exists o Not Exists Hinweis: Funktioniert nur unter HKEY_LOCAL_MACHINE • Registry Path o Exists o Not Exists Hinweis: Funktioniert nur unter HKEY_LOCAL_MACHINE • Registry Value o Is Equal With o Is Not Equal With o Is Less Than o Is Greater Than Hinweis: Funktioniert nur unter HKEY_LOCAL_MACHINE • • • • Service Pack o Is o Is Not o Is Lower Than o Is Higher Than Hot Fix o Is Installed o Is Not Installed o Is Installed o Is Not Installed IIS IIS-Version o Is o Is Not o Is Lower Than o Is Higher Than GFI LANguard N.S.S. Handbuch Hinzufügen von Sicherheitschecks per Bedingungen/Skripten • 89 • RPC-Service • o Is Installed o Is Not Installed NT-Service • o Is Installed o Is Not Installed NT Service running • o Is running o Is not running NT Service startup type • o Automatic o Handbuch o Deaktiviert Port (TCP) • o Is Open o Is Closed UDP-Port • o Is Open o Is Closed FTP-Banner o Is o Is Not Hinweis: Sie können Suchmuster erstellen, die nach Version 1.0 bis 1.4 suchen, sowie nach Version 2.0 bis 2.2, jedoch nicht nach Version 1.5 bis 1.9. Siehe Beispiele weiter unten. • HTTP-Banner o Is o Is Not Hinweis: Sie können Suchmuster erstellen, die nach Version 1.0 bis 1.4 suchen, sowie nach Version 2.0 bis 2.2, jedoch nicht nach Version 1.5 bis 1.9. Siehe Beispiele weiter unten. • SMTP-Banner o Is o Is Not Hinweis: Sie können Suchmuster erstellen, die nach Version 1.0 bis 1.4 suchen, sowie nach Version 2.0 bis 2.2, jedoch nicht nach Version 1.5 bis 1.9. Siehe Beispiele weiter unten. • POP3-Banner o Is o Is Not Hinweis: Sie können Suchmuster erstellen, die nach Version 1.0 bis 1.4 suchen, sowie nach Version 2.0 bis 2.2, 90 • Hinzufügen von Sicherheitschecks per Bedingungen/Skripten GFI LANguard N.S.S. Handbuch jedoch nicht nach Version 1.5 bis 1.9. Siehe Beispiele weiter unten. • DNS-Banner o Is o Is Not Hinweis: Sie können Suchmuster erstellen, die nach Version 1.0 bis 1.4 suchen, sowie nach Version 2.0 bis 2.2, jedoch nicht nach Version 1.5 bis 1.9. Siehe Beispiele weiter unten. • SSH-Banner o Is o Is Not Hinweis: Sie können Suchmuster erstellen, die nach Version 1.0 bis 1.4 suchen, sowie nach Version 2.0 bis 2.2, jedoch nicht nach Version 1.5 bis 1.9. Siehe Beispiele weiter unten. • Telnet-Banner o Is o Is Not Hinweis: Sie können Suchmuster erstellen, die nach Version 1.0 bis 1.4 suchen, sowie nach Version 2.0 bis 2.2, jedoch nicht nach Version 1.5 bis 1.9. Siehe Beispiele weiter unten. • • Script o Returns: True (1) o Returns: False (0) SSH Script o Returns True (TRUE:) o Returns False (FALSE:) 6. Für jede der vorgestellten Optionen gelten eigene Kriterien, die für den Sicherheitscheck gelten. Wenn Sie beim Erstellen einer neuen Warnmeldung zu allgemeine Angaben machen, erhalten Sie zu viele fehlerhafte Berichte. Möchten Sie eigene Warnmeldungen erstellen, sollten diese daher genau abgegrenzt und so spezifisch wie möglich sein. Das Auslösen einer Warnmeldung kann auch nur dann erfolgen, wenn mehrere Bedingungen gleichzeitig vorliegen. So könnten Sie Checks mit mehreren Bedingungen definieren wie: • Betriebssystem überprüfen • Port XYZ • Banner “ABC” • LANS-Skript QRS Run und Schwachstellen-Überprüfung Nur wenn alle diese Kriterien gemeinsam zutreffen, wird die Warnmeldung ausgelöst. Hinweis: Mit Hilfe der Suchmuster lassen sich Warnmeldungen wie die folgende erstellen, mit der die Apache-Version auf einem Rechner GFI LANguard N.S.S. Handbuch Hinzufügen von Sicherheitschecks per Bedingungen/Skripten • 91 überprüft werden kann. ~.*Apache/(1\.([0-2]\.[0-9]|3\.([0-9][^0-9]|[01][0-9]|2[0-5]))|2\.0.([0-9][^0-9]|[0-2][0-9]|3[0-8])). Benutzern mit Programmiererfahrung in C oder Perl sollten mit diesem sehr ähnlichen Format keine Probleme haben. Im Internet gibt es zudem viele Quellen zu diesem Thema. Mit folgenden Beispielen soll das Generieren von Suchmustern näher erläutert werden. Weitere Hilfe finden Sie unter dem am Ende dieses Kapitels angegebenen Link. Wenn Sie ein Beispiel/eine schrittweise Anleitung zum Erstellen einer neuen Warnmeldung mit einem Skript wünschen, finden Sie diese in der Programmgruppe des GFI LANguard N.S.S. in der Hilfe-Datei „Scripting Documentation“. 92 • Hinzufügen von Sicherheitschecks per Bedingungen/Skripten GFI LANguard N.S.S. Handbuch Troubleshooting Einführung In diesem Kapitel erfahren Sie, welche Hilfsmöglichkeiten es bei Problemen gibt. Folgende Informationsquellen stehen zur Verfügung: 1. Das Handbuch – Die meisten Probleme lassen sich mithilfe des Handbuchs lösen. 2. Die GFI Knowledge Base unter http://kbase.gfi.com 3. Die GFI Support-Site unter http://support.gfi.com 4. E-Mail-Anfrage an den GFI-Support an [email protected] 5. Kontaktaufnahme mit dem GFI-Support englischsprachigen Live-Support http://support.gfi.com/livesupport.asp. über den unter 6. Telefonische Kontaktaufnahme mit dem GFI-Support. Knowledge Base Die Knowledge-Base von GFI hält Antworten zu den am häufigsten gestellten Fragen bereit. Bei Problemen sollten Sie zunächst die Knowledge-Base konsultieren. Die Wissensdatenbank bietet immer die neuesten Informationen zu Support-Fragen und Patches. Sie kann unter http://kbase.gfi.com aufgerufen werden. Allgemeine FAQs Support-Fragen per E-Mail Wenn Sie Ihre Probleme mit Hilfe der Wissensdatenbank und dem Handbuch nicht lösen konnten, können Sie sich an den GFI-Support wenden. Sie sollten den Support per E-Mail kontaktieren, da Sie an Ihre Nachricht wichtige Informationen anhängen können, die helfen, Ihre Fragen schneller zu beantworten. Das Programm Troubleshooter aus der Programmgruppe generiert automatisch eine Reihe von Dateien, die GFI zur Problemanalyse benötigt. Die Dateien beinhalten u. a. Angaben zur Konfiguration. Um diese Dateien zu erzeugen, starten Sie den Troubleshooter, und folgen Sie den Anweisungen des Programms. Neben dem Sammeln von Informationen stellt Ihnen das Programm einige Fragen. Bitte nehmen Sie sich die Zeit, diese korrekt zu beantworten. Ohne die richtigen Informationen ist es dem Kundendienst nicht möglich, Ihr Problem genauer zu diagnostizieren. GFI LANguard N.S.S. Handbuch Troubleshooting • 93 Öffnen Sie danach den Ordner „support’, der sich im Unterverzeichnis des Programmverzeichnisses befindet, ZIPPEN Sie die Dateien, und senden Sie diese an [email protected]. Stellen Sie jedoch zuvor bitte sicher, dass Sie Ihr Produkt auf der GFI-Web-Site unter http://www.gfisoftware.de/de/pages/regfrm.htm registriert haben! Ihre Anfrage wird innerhalb von 24 Stunden beantwortet. Support-Anfrage per Web-Chat Sie erhalten weiteren Support über unseren Live-Chat im Web. Die Kontaktaufnahme mit dem GFI-Support über den Live-Support erfolgt unter http://support.gfi.com/livesupport.asp. Stellen Sie jedoch zuvor bitte sicher, dass Sie Ihr Produkt auf unserer Web-Site unter http://www.gfisoftware.de/de/pages/ regfrm.htm registriert haben! Support-Anfrage per Telefon Für technische Hilfe können Sie auch telefonischen Kontakt mit dem Support-Team aufnehmen. Die entsprechenden Rufnummern für Ihr Land finden Sie auf der Support-Site von GFI. Support-Web-Site: http://support.gfi.com/?lcode=de Stellen Sie jedoch zuvor bitte sicher, dass Sie Ihr Produkt auf unserer Web-Site unter http://www.gfisoftware.de/de/pages/ regfrm.htm registriert haben! Web-Forum Über das Web-Forum steht Ihnen der User-to-User-Support zur Verfügung. Das Forum erreichen Sie unter http://forums.gfi.com/ Mitteilungen zu neuen Builds Es wird empfohlen, für aktuelle Informationen zu den neuesten Produkt-Builds den entsprechenden GFI-Newsletter zu abonnieren. Um stets über die neusten Builds auf dem Laufenden zu sein, können Sie die Mitteilungen abonnieren unter: http://support.gfi.com/?lcode=de 94 • Troubleshooting GFI LANguard N.S.S. Handbuch U User 18, 79 Index X XML 7 A Anwender 18 B Benutzer 5, 79 Betriebssystem 7 D Dienste 6 DNS-Lookup 73, 75, 76, 77, 78 F Freigaben (Shares) 18 G Gruppen 21 H Hot Fixes 23 HTML 7 O Offene Ports 6 Operating System 7 P Passwort-Richtlinien 18 R Registry 18 S Sicherheitsrichtlinien 5 SNMP 76 SNMP-Auditing 76 Systemanforderungen 9 T Traceroute 74 GFI LANguard N.S.S. Handbuch Troubleshooting • 95