Installation des GFI LANguard Network Security Scanner

Transcription

GFI LANguard Network Security Scanner 3.3
Handbuch
GFI Software Ltd.
Dieses Handbuch wurde von GFI SOFTWARE Ltd. erstellt.
GFI SOFTWARE Ltd.
http://www.gfisoftware.de
E-Mail: [email protected]
Die Informationen in diesem Dokument können ohne vorherige
Ankündigung geändert werden. Die in den Beispielen verwendeten
Firmen, Namen und Daten sind, wenn nicht anders angegeben, rein
fiktiv. Ohne vorherige ausdrückliche und schriftliche Zustimmung von
GFI Software Ltd. darf das Dokument weder ganz noch teilweise in
irgendeiner Form, sei es elektronisch oder mechanisch oder zu
irgendeinem Zweck reproduziert bzw. übertragen werden.
GFI LANguard ist ein urheberrechtlich geschütztes Produkt von GFI
SOFTWARE Ltd. 2000-2003 GFI SOFTWARE Ltd. Alle Rechte
vorbehalten.
Version 3.3 – Letzte Aktualisierung 28.03.2003
Inhaltsverzeichnis
Einleitung
5
Funktionsweise des GFI LANguard Network Security Scanner.................................... 5
Potenzieller Schwachpunkt interne Netzwerk-Sicherheit.............................................. 5
Patch-Verwaltung .......................................................................................................... 6
Die wichtigsten Funktionen............................................................................................ 7
Neue Funktionen des GFI LANguard Network Security Scanner 3.3 ........................... 8
Registrierung von GFI LANguard N.S.S........................................................................ 9
Installation des GFI LANguard Network Security Scanner
11
Systemanforderungen ................................................................................................. 11
Installationsablauf ........................................................................................................ 11
Erste Schritte: Audits durchführen
13
Einführung in Sicherheits-Audits ................................................................................. 13
Durchführen eines Scan-Vorgangs ............................................................................. 13
Analyse der Scan-Ergebnisse ..................................................................................... 15
Zusätzliche Ergebnisse ............................................................................................... 20
Tipps für den optimalen Einsatz des GFI LANguard N.S.S.
23
Einleitung ..................................................................................................................... 23
On-Site Scan ............................................................................................................... 23
Off-Site Scan ............................................................................................................... 23
Vergleich der Scan-Ergebnisse ................................................................................... 23
Konfigurierung der Scan-Optionen
25
Einführung in die Verwendung der Scan-Optionen ..................................................... 25
Allgemeine Optionen ................................................................................................... 25
Optionen für Passwort-Cracks..................................................................................... 27
Scan-Optionen............................................................................................................. 28
Konfigurierung der zu scannenden Ports .................................................................... 30
Optionen für den Sitzungsaufbau ................................................................................ 32
Überprüfung auf bekannte Sicherheitslücken ............................................................. 33
Konfigurations-Manager .............................................................................................. 34
Warnmeldungen
35
Einführung in Warnmeldungen .................................................................................... 35
Aktualisierung von Warnmeldungen............................................................................ 35
Verschiedene Arten von Warnmeldungen................................................................... 35
Zu überprüfende Sicherheitslücken............................................................................. 36
LANS ........................................................................................................................... 41
Speichern der Scan-Ergebnisse
43
Einführung ................................................................................................................... 43
Berichterstellung .......................................................................................................... 43
Filtern der Scan-Ergebnisse ........................................................................................ 44
Erstellen eigener Berichte ........................................................................................... 45
Beispielbericht ............................................................................................................. 46
Handbuch GFI LANguard N.S.S.
Inhaltsverzeichnis • i
Bericht-Generator
51
Funktion des Bericht-Generators................................................................................. 51
Verteilung und Installation von Patches auf Microsoft-Rechnern
53
Einführung in die Patch-Verteilung .............................................................................. 53
Microsoft SUS und GFI LANguard N.S.S.................................................................... 53
Identifizierung fehlender Hot Fixes oder Service Packs.............................................. 54
Patch-Verteilung – unterstütze Produkte..................................................................... 54
Installation von Hot Fixes ............................................................................................ 56
Installation von Service Packs..................................................................................... 59
Installation individueller Patches ................................................................................. 60
Wichtige Hinweise zur Patch-Installation .................................................................... 62
Patches ignorieren....................................................................................................... 62
Durchsuchen von Microsoft-Bulletins .......................................................................... 63
Suche nach MS Bulletins............................................................................................. 64
Vergleich von Scan-Ergebnissen
65
Warum Ergebnisse vergleichen?................................................................................. 65
Interaktiver Vergleich von Ergebnissen....................................................................... 65
Ergebnis-Vergleich nach einem festen Zeitplan.......................................................... 66
Identifizierung des Betriebssystems
69
Identifizierung des Betriebssystems ............................................................................ 69
Fingerprint-Dateien ...................................................................................................... 70
LANS: LANguard Scripting
73
Was ist LANS?............................................................................................................. 73
LANS Syntax ............................................................................................................... 73
Erstellung eines LANS-Skripts .................................................................................... 76
Netzwerk-Funktionen................................................................................................... 80
Lookup-Funktionen...................................................................................................... 84
SNMP-Funktionen ....................................................................................................... 86
String-Funktionen ........................................................................................................ 88
Konvertierungen .......................................................................................................... 92
Registry-Funktionen .................................................................................................... 94
Weitere Funktionen ..................................................................................................... 94
Zukünftige Einsatzmöglichkeiten des LANS................................................................ 96
Urheberrechtliche Hinweise......................................................................................... 97
Zusätzliche Tools und Funktionen
99
Einleitung ..................................................................................................................... 99
Rechner hinzufügen .................................................................................................... 99
Rechner entfernen ....................................................................................................... 99
Rechner suchen ........................................................................................................ 100
Rechner anordnen ..................................................................................................... 100
DNS-Lookup .............................................................................................................. 100
WhoIs Client .............................................................................................................. 100
Traceroute ................................................................................................................. 101
SNMP Walk ............................................................................................................... 101
SNMP-Auditing .......................................................................................................... 102
MS SQL Server Audit ................................................................................................ 102
Aufgelistete Rechner ................................................................................................. 103
Zusätzliche Scan-Funktionen
105
Zusätzliche Scan-Funktionen .................................................................................... 105
ii • Inhaltsverzeichnis
In Zwischenablage kopieren...................................................................................... 105
Informationen erfassen.............................................................................................. 105
SNMP Walk ............................................................................................................... 105
Adresse auflösen ....................................................................................................... 106
Passwort-Crack (Win9x)............................................................................................ 106
Wörterbuch-Angriff .................................................................................................... 106
Patches verteilen auf ->............................................................................................. 107
Neuesten Service Pack verteilen auf -> .................................................................... 107
Individuelle Patches verteilen auf ->.......................................................................... 107
Auditing aktivieren auf -> ........................................................................................... 107
Nachricht verschicken ............................................................................................... 107
Herunterfahren .......................................................................................................... 108
Syntax der Befehlszeile
109
Steuerung des N.S.S. über die Befehlszeile ............................................................. 109
Allgemeine Hinweise
111
Einleitung ................................................................................................................... 111
Intrusion Detection Software (IDS) ............................................................................ 111
Gemeinsame Administration ..................................................................................... 111
Sicherheits-Software ................................................................................................. 111
Troubleshooting/Support
113
Wenn Sie Fragen haben............................................................................................ 113
Knowledge Base........................................................................................................ 113
Web-Forum................................................................................................................ 113
Bugs gefunden? ........................................................................................................ 113
Index
115
Inhaltsverzeichnis • iii
Einleitung
Funktionsweise des GFI LANguard Network Security Scanner
Der GFI LANguard Network Security Scanner (N.S.S.) ist ein Tool, mit
dem sich Sicherheits-Audits von Netzwerken schnell und problemlos
durchführen lassen. Der N.S.S. vereint die Funktionen eines PortScanners mit den Vorteilen eines Sicherheits-Scanners. Zudem
lassen sich Berichte erstellen, mit deren Hilfe Sicherheitsprobleme in
einem Netzwerk schneller erkannt und beseitigt werden können.
Im Gegensatz zu anderen Sicherheits-Scannern liefert der N.S.S.
keine unübersichtliche Flut von Informationen, die mühevoll bewertet
und analysiert werden müssen. Stattdessen bietet er eine
übersichtliche Aufstellung aller netzwerkrelevanten Informationen.
Ferner werden Hyperlinks zu Sicherheits-Sites bereitgestellt, wo sich
weitergehende Informationen zu den jeweils festgestellten
Sicherheitslücken abrufen lassen.
Der N.S.S. ist für den privaten Einsatz als Freeware erhältlich.
Potenzieller Schwachpunkt interne Netzwerk-Sicherheit
Das Problem der internen Netzwerk-Sicherheit wird in den meisten
Fällen von Administratoren nicht genügend beachtet und somit
unterschätzt. Oftmals besteht überhaupt kein Schutz gegen Angriffe
von innen, sodass es für Benutzer ein Leichtes ist, mit Hilfe von
bekannten Exploits, Standardeinstellungen oder des so genannten
Social Engineering auf Rechner von Kollegen zuzugreifen. Für den
überwiegenden
Teil
dieser
Angriffe
ist
kein
oder nur wenig Fachwissen erforderlich, und die Integrität des
Netzwerks kann jederzeit kompromittiert werden.
Ein universeller Zugriff auf alle Rechner, Verwaltungsfunktionen,
Netzwerk-Geräte u. ä. durch sämtliche Mitarbeiter ist in den meisten
Fällen nicht erforderlich und sollte zudem auch nicht ermöglicht
werden. Für den normalen Betrieb interner Netzwerke ist jedoch ein
hohes Maß an Flexibilität erforderlich, und mit Regeln, die maximale
Sicherheit garantieren, wäre die Produktivität zu sehr eingeschränkt.
Fehlen jedoch entsprechende Sicherheitsmechanismen, können
interne Benutzer zur großen Gefahr für das Intranet werden.
Mitarbeiter
innerhalb
eines
Unternehmens
haben
bereits
weitreichenden Zugriff auf viele interne Quellen. Um an vertrauliche
Daten im internen Netzwerk zu kommen, müssen sie nicht einmal
Firewalls oder andere Sicherheitsbarrieren überwinden, die zum
Schutz vor Anfragen aus nicht vertrauenswürdigen externen Quellen
(z. B. aus dem Internet) errichtet wurden. Interne Benutzer können mit
ein wenig Fachkenntnis sogar an administrative Netzwerk-Rechte für
den Fernzugriff gelangen. Dieser Missbrauch bleibt oftmals
vollkommen unerkannt oder ist nur sehr schwer als ein solcher zu
identifizieren.
Einleitung • 5
80% aller Netzwerk-Angriffe werden innerhalb des Firewallgeschützten Bereichs verübt (ComputerWorld, Januar 2002).
Eine unzureichende Netzwerk-Sicherheit bedeutet auch, dass beim
erfolgreichen Zugriff eines externen Hackers auf nur einen Rechner
des Netzwerks auch das übrige interne Netzwerk ohne größere
Probleme kontrolliert werden kann. Versierte Angreifer hätten somit
die Möglichkeit, vertrauliche E-Mails und Dokumente zu lesen, diese
zu veröffentlichen oder Rechner unbrauchbar zu machen, indem z. B.
wichtige Systemdaten gelöscht werden. Zudem können Ihr Netzwerk
und die Netzwerk-Ressourcen auch selbst als Ausgangspunkt für
weitere Angriffe auf andere Sites eingesetzt werden. Wird ein solcher
Angriff zurückverfolgt, sind nur Sie und Ihr Unternehmen als
Verursacher erkennbar, jedoch nicht der Hacker!
Die meisten Angriffe erfolgen über bekannte Exploit-Schwachstellen
von Netzwerken, die sich problemlos beseitigen lassen.
Voraussetzung hierfür ist jedoch, dass der Administrator über die
Sicherheitslücken informiert ist. Diese Aufgabe übernimmt der N.S.S.
und hilft Administratoren bei der Identifizierung von Gefahrenquellen.
Patch-Verwaltung
Mit GFI LANguard N.S.S. können Patches mühelos und umfassend
verwaltet werden. Stellt der GFI LANguard N.S.S. beim Scannen Ihres
Netzwerks fest, dass im Betriebssystem und einzelnen Anwendungen
Patches und Service Patches fehlen, können diese nach der
Überprüfung vom N.S.S. im gesamten Netzwerk verteilt und installiert
werden.
Mit GFI LANguard N.S.S. lassen sich zur Zeit folgende Applikationen
patchen:
1.
SQL Server 7
2.
3.
SQL Server 2000
Microsoft ISA Server
4.
Microsoft Exchange 2000 Standard
5.
Microsoft Exchange 2000 Enterprise
6.
7.
Microsoft Exchange 5.5
Office XP
8.
9.
Office 2000 Developer
Office 2000 Premium
10.
11.
Office 2000 Small Business
Office 2000 Standard
12.
Office 2000 mit MultiLanguage Pack
Mit GFI LANguard N.S.S. können Sie auch Betriebssystem-Patches
verteilen. Es wird jedoch empfohlen, hierfür Microsoft SUS zu
verwenden. Patches für nicht englischsprachige Betriebssysteme
können nur mit Microsoft SUS verteilt werden!
6 • Einleitung
Die wichtigsten Funktionen
Liste von Angriffspunkten/Zugriffsmöglichkeiten
•
Schädliche Dienste und offene TCP- und UDP-Ports
•
SNMP-Lücken
•
CGI-Schwachstellen
•
Backdoor-User
•
Trojaner oder Backdoor-Software
•
Offene Freigaben
•
Unsichere Netzwerk-Passwörter
•
Offene Auflistung von Benutzern, Diensten etc.
Methoden
•
Erfassen von Informationen
•
•
Überprüfung bekannter Sicherheitslücken von Software-Paketen
•
Erkennung aktiver Hosts
Warnmeldungen
•
Sofortige Indentifizierung bekannter Sicherheitsprobleme
•
Intelligente Scan-Funktionen
•
Liste von Hot Fixes und Service Packs, die auf NT/2000/XPRechnern fehlen
Aussagekräftige Ausgabeergebnisse
•
Ausgabe von Ergebnissen im HTML-, XSL- und XML -Format
•
Individuelle Anpassung der Berichte per XSL
Zusätzliche Funktionen
•
Überprüfung
95/98/ME
•
SNMP-Auditing
•
MS SQL-Auditing
•
Traceroute-Unterstützung
•
DNS-Lookup
•
WhoIs-Client
•
Remote-Shutdown von Rechnern
•
Überprüfung auf Akzeptanz von „Spoofed Messages“ (unter
falscher Identität verschickte Nachrichten; bei Hackern beliebte
Social Engineering-Technik)
•
LANS – Skript-Sprache, mit der neue Warnmeldungen erstellt
werden können
•
Überprüfung des Audit-Status’
auf
NetBIOS-Schwachstellen
unter
Windows
Einleitung • 7
Weitere Funktionen der registrierten/kommerziellen Version
•
Regelmäßige Scans nach festem Zeitplan
•
Aktualisierung der Sicherheitswarnungen
•
Verteilen von Hot Fixes und Service Packs an Remote-Rechner
•
potenzieller Schwachstellen
•
Datenabfrage für XML-Dateien
zur
Identifizierung
neuer
Neue Funktionen des GFI LANguard Network Security Scanner 3.3
In Version 3.3 des GFI LANguard Network Security Scanner steht
eine Vielzahl neuer und optimierter Funktionen zur Verfügung. Hierzu
zählen unter anderem:
8 • Einleitung
•
Die zusätzliche Unterstützung von Service Packs für
internationale Windows-Versionen mit Identifizierung und
Installation der SPs Zu den unterstützten Sprachen zählen unter
anderem Italienisch, Französisch und Deutsch.
•
Die zusätzliche Unterstützung von Patches/Service Packs für
internationale Versionen von Microsoft Office 2000/XP-Suites
mit Identifizierung und Installation fehlender Patches. Zu den
unterstützten Sprachen zählen unter anderem Italienisch,
Französisch und Deutsch.
•
Neuer Bericht zu Rechner-Freigaben
•
Zusätzlicher Support neuer Produkte – unter anderem SQL
Server, Microsoft ISA Server, Microsoft Exchange Server und
Microsoft Office.
•
Neue Warnmeldungen – z. B. für den Sendmail-Bug und neue
FTP Alerts
•
Support für nicht identifizierbare Patches – Bei einigen Patches
fehlen Informationen, anhand derer eine InstallationsEntscheidung getroffen werden kann. GFI LANguard N.S.S.
informiert Sie über diese Patches unter einem neuen Knoten:
"Nicht-identifizierbare Patches".
•
Erhöhte Benutzerfreundlichkeit – Vor der Patch-Verteilung
erhalten Sie Informationen zu Patches, die nur interaktiv installiert
werden können, und welche Schritte bei dieser Installation zu
beachten sind.
•
Liste zu ignorierender Patches – Fügen Sie dieser Liste die IDs
nicht benötigter Patches hinzu, damit diese bei den Scans nicht
länger als fehlend angezeigt werden. Die notwendigen
Einstellungen können Sie problemlos über die entsprechende
Option im N.S.S.-Menü vornehmen.
•
Automatischer Download neuester Updates zur SicherheitsPatch-Identifizierung vom GFI-Server – GFI bietet nun eine
eigene Version der Datei mssecure.xml, die stets auf dem
aktuellsten Stand ist und genauestens überprüfte Informationen
enthält.
•
Geplante Scans werden nun von einem Dienst verwaltet, der zum
Scannen nicht länger das UI des GFI LANguard N.S.S. benötigt.
Zusätzlich wurden einzelne Bugs beseitigt und weitere hilfreiche
Optionen hinzugefügt.
Ausführlichere Informationen zu diesem Bereich finden Sie unter
„Hilfe“ > „Neuerungen“. Dadurch rufen Sie das Modifikationsprotokoll
mit allen seit der Version 3.1 durchgeführten Änderungen auf.
Registrierung von GFI LANguard N.S.S.
Einige Funktionen des GFI LANguard Network Security Scanner 3.3
können nur in der registrierten Version genutzt werden. Die 30 Tage
gültige Test-Version des N.S.S. hilft Ihnen, die Funktionen des
Programms umfassend kennen zu lernen. Folgende Funktionen
stehen nur in der registrierten Version zur Verfügung:
•
Geplante Scans
•
Bericht-Generator
•
•
Verteilung fehlender Hot Fixes an Windows-Rechner
•
Internet-Aktualisierung von Sicherheitswarnungen und FingerprintInformationen.
Die aktuellen Preise für den N.S.S. stehen zur Verfügung unter:
http://www.gfi.com/pricing/pricelist.asp?product=lanss
Unter diesem Link finden Sie Angaben zu Volllizenzen und Upgrades
von Version 2.0 auf 3.2.
Einleitung • 9
Installation des GFI LANguard Network
Security Scanner
Systemanforderungen
Die Installation des GFI LANguard Network Security Scanner
erfordert:
•
Windows 2000/2003 oder Windows XP
•
Internet Explorer 5.1 oder höher.
•
Installierter Client für Microsoft Networks.
•
Während des Scan-Vorgangs darf KEINE persönliche FirewallSoftware aktiv sein. Andernfalls könnte diese die Scan-Funktionen
des N.S.S. blockieren.
Installationsablauf
1. Sie starten die Installationsroutine des GFI LANguard Network
Security Scanner, indem Sie die Datei lannetscan.exe doppelklicken.
Bitte bestätigen Sie, dass Sie den N.S.S. installieren möchten. Der
Setup-Assistent wird gestartet. Klicken Sie auf „Weiter“.
2. Klicken Sie im Dialogfenster der Lizenzvereinbarung auf Ja, um die
Lizenzvereinbarung zu akzeptieren und mit der Installation
fortzufahren.
3. Wählen Sie das Installationsverzeichnis für den N.S.S. und klicken
Sie auf „Weiter”.
Hinweis: GFI LANguard N.S.S. will need approximately 8-10 MB of
free hard disk space.
4. Nachdem die Software erfolgreich installiert worden ist, können Sie
das Programm über das Start-Menü aufrufen.
Installation des GFI LANguard Network Security Scanner • 11
Erste Schritte: Audits durchführen
Einführung in Sicherheits-Audits
Mit Hilfe eines Netzwerk-Audits können Administratoren mögliche
Sicherheitslücken in einem Netzwerk aufdecken. Diese Überprüfung
manuell durchzuführen ist sehr zeitaufwändig, da sich viele
Arbeitschritte und Aufgaben wiederholen und auf jedem einzelnen
Netzwerk-Rechner durchgeführt werden müssen.
Mit einem Tool wie dem N.S.S. von GFI können gängige
Sicherheitslücken in Ihrem Netzwerk rasch aufgespürt werden. Der
N.S.S. setzt auf intelligente Scan-Methoden, dank derer in kürzester
Zeit alle Informationen zu Rechnern innerhalb des Scan-Perimeters
zusammengetragen werden können. Zu diesen Daten zählen
üblicherweise Benutzernamen und Gruppen
(die Schadteile
einschleusen können, um eine Hintertür zum Netzwerk öffnen) oder
auch sämtliche Netzwerk-Freigaben und ähnliche Objekte, die in
einer NT- oder Windows 2000-Domäne zu finden sind. Zusätzlich
identifiziert der N.S.S. auch andere Sicherheitsschwachstellen wie
Konfigurationsprobleme bei FTP-Servern, Exploits auf Microsoft IISund
Apache
Web-Servern,
fehlerhaft
konfigurierte
NTSicherheitsrichtlinien
sowie eine Vielzahl anderer potenzieller
Gefahrenquellen.
Durchführen eines Scan-Vorgangs
Der erste Schritt zu Beginn eines Netzwerk-Audits besteht darin,
einen Scan der aktuellen Netzwerk-Rechner und -Geräte
durchzuführen.
So starten Sie einen Netzwerk-Scan:
1. Klicken Sie auf „Datei“ > „Neu“.
2. Wählen Sie „IP-Bereich scannen”.
3. Geben Sie Anfangs- und End-Adresse der zu scannenden IPs an.
4. Klicken Sie auf „Fertig stellen“.
5. Klicken Sie im Hauptfenster auf die Schaltfläche „Play”
Vorgang starten].
[Scan-
Erste Schritte: Audits durchführen • 13
Durchführen eines Scan-Vorgangs
Der GFI LANguard Network Security Scanner überprüft nun den
gesamten angegebenen IP-Bereich. Zunächst werden sämtliche
aktiven Hosts/Computer aufgelistet und nur diese gescannt. Hierfür
werden NetBIOS-Probes, ICMP-Ping und SNMP-Anfragen eingesetzt.
Reagiert ein Gerät auf einen dieser Tests nicht, geht der N.S.S. davon
aus, dass es zum Zeitpunkt der Überprüfung unter keiner bestimmten
IP-Adresse erreichbar oder gerade deaktiviert ist. Wenn der N.S.S.
sämtliche Geräte überprüfen soll, auch solche, die auf diese Anfragen
nicht reagieren, finden Sie alle hierfür notwendigen Einstellungen im
Kapitel „Konfigurierung der Scan-Optionen – Allgemeine Optionen –
Nicht reagierende Computer hinzufügen“. Bitte beachten Sie jedoch
den entsprechenden Warnhinweis zur Scan-Dauer, bevor Sie
entsprechende Einstellungen vornehmen.
Des weiteren stehen folgende Scan-Möglichkeiten zur Verfügung:
1. Einzelrechner scannen
o
Der Scan-Vorgang
durchgeführt.
wird
nur
für
einen
Computer
2. Rechnerliste scannen
Computer können dieser Liste entweder einzeln
hinzugefügt oder über eine Text-Datei importiert werden.
Mit einem rechten Mausklick im entsprechenden Fenster
öffnet sich ein Menü, über das sich weitere Rechner
hinzufügen lassen.
3. Rechner scannen, die Teil einer Netzwerk-Domäne sind
o
o
Wenn Sie auf die Schaltfläche „Computer auswählen”
klicken, wird eine Liste aller Workgroups und Domänen
angezeigt, die der N.S.S. im Netzwerk finden konnte.
Aktivieren Sie das Kästchen neben der Workgroup oder
Domäne, die Sie scannen möchten. Sämtliche in dieser
Workgroup/Domäne gefundenen Rechner werden vom
N.S.S. gescannt. Es ist auch möglich, einzelne Rechner
innerhalb dieser Workgroup/Domäne auszuwählen.
14 • Erste Schritte: Audits durchführen
Analyse der Scan-Ergebnisse
Analyse der Ergebnisse
Nach jedem Scan-Vorgang werden unter allen vom N.S.S.
gefundenen Rechnern verschiedene Knoten aufgeführt. Im linken
Fenster werden sämtliche Rechner und Netzwerk-Geräte aufgelistet.
Werden diese erweitert, erscheinen verschiedene Knoten mit allen
Informationen, die zum jeweiligen Rechner oder dem Netzwerk-Gerät
gesammelt werden konnten.
Während eines Netzwerk-Scans findet der N.S.S. alle aktiven
Netzwerk-Geräte. Eine genaue Identifizierung der Geräte durch den
N.S.S. und die Art der abfragbaren Informationen sind abhängig vom
Gerätetyp und dem Anfragetyp, auf den das Gerät reagiert.
Nach Abschluss des Netzwerk-Scans werden die Informationen wie
im obigen Screenshot „Analyse der Ergebnisse“ angezeigt.
Je nach identifiziertem Gerät stehen unterschiedliche Informationen
zur Verfügung. Zu Demonstrationszwecken beziehen sich alle ScanInformationen, die im Folgenden betrachtet werden sollen, zum
größten Teil auf Daten, die von einem Windows-Rechner gewonnen
wurden.
IP-Adresse und Name des Netzwerk-Gerätes
Als erstes wird die IP-Adresse des Geräts gezeigt, mit dem man
arbeitet. Daneben steht der NetBIOS- oder DNS-Name, je nach
Gerätetyp.
Als letzte Angabe in diesem Bereich wird das
Betriebssystem des Rechners angezeigt. Wenn es sich um Windows
NT/2000/XP handelt, werden Sie zudem darüber informiert, welches
Service Pack installiert ist.
NetBIOS-Namen
Der erste Knoten unter dem Gerät liefert NetBIOS-Informationen wie
Dienste, , aktuell angemeldete Benutzer usw. (Weitere Informationen
hierzu finden Sie im Kapitel „Zusätzliche Ergebnisse“ in diesem
Handbuch.)
Vertraute Domänen
Ist der Rechner Teil einer Domäne, werden eine oder mehrere
vertraute Domänen angezeigt. Bitte stellen Sie sicher, dass die
Vertrauensstellungen ordnungsgemäß aufgebaut wurden und dass
der Rechner allen aufgeführten Domänen vertraut.
Shares
Ungeschützte offene Freigaben stellen eine Bedrohung für die
Netzwerk-Integrität dar. Administratoren sollten sicher stellen, dass:
•
kein Benutzer anderen Benutzern Zugriff auf die gesamte
Festplatte gewährt.
•
ein anonymer/nicht authentifizierter Zugriff auf Freigaben nicht
erlaubt ist. Der N.S.S. kann nun nach Freigaben ohne
Passwortschutz suchen und ggf. eine Warnmeldung ausgeben.
•
Auto-Start-Ordner oder ähnliche Systemdateien nicht gemeinsam
genutzt werden können. Andernfalls hätten Benutzer mit
eingeschränkten Zugriffsrechten dennoch die Möglichkeit,
Programme auf gesperrten Rechnern ablaufen zu lassen.
Diese Warnungen gelten für alle Rechner, aber insbesondere für
solche, die wichtig für die Systemintegrität sind, z. B. Public Domain
Controller. Wird der Auto-Start-Ordner (oder das Verzeichnis mit dem
Auto-Start-Ordner) auf dem PDC vom Administrator für alle Benutzer
freigegeben, kann dies schwer wiegende Folgen haben. Mit den
entsprechenden Zugriffsrechten können Benutzer problemlos
ausführbare Dateien in den Auto-Start-Ordner kopieren, die dann
beim nächsten interaktiven Einloggen des Administrators gestartet
werden.
Hinweis: Wenn Sie den Scan durchführen, während Sie als
Administrator angemeldet sind, werden auch die administrativen
Freigaben angezeigt, z. B. „C$ - default share“. Diese Freigaben
stehen normalen Benutzern jedoch nicht zur Verfügung.
Aufgrund der neuartigen Verbreitung des Klez-Virus und anderer
neuer Viren über offene Freigaben sollten alle nicht benötigten Shares
deaktiviert werden. Alle anderen Freigaben sollten durch ein Passwort
gesichert sein.
Benutzer und Gruppen
Die nächsten zwei eingeblendeten Knoten geben Aufschluss über
lokale Gruppen und Benutzer auf dem Rechner. Überprüfen Sie
diesen Bereich um sicher zu stellen, dass es keine zusätzlichen
Benutzerkonten gibt und dass das Gäste-Konto deaktiviert ist. Über
diese Konten könnten böswillige Benutzer und Gruppen anderen
Benutzern eine Hintertür für den Zugriff auf das Netzwerk öffnen!
Einige Backdoor-Programme aktivieren das Gäste-Konto und
versehen es mit Administrator-Rechten. Daher sollten Sie den
Benutzer-Knoten erweitern, um einen Überblick über die Aktivitäten
aller Konten und ihrer Rechte zu erhalten.
Im Idealfall sollten sich Benutzer nicht über ein lokales Konto
anmelden können, sondern nur in einer Domäne oder über ein Active
Directory-Konto.
Zudem ist es auch noch wichtig zu überprüfen, ob Passwörter
eventuell bereits zu lange in Gebrauch sind.
Dienste und Prozesse
Sämtliche Dienste, die auf den überprüften Rechnern laufen, werden
aufgelistet. Es sollten nur tatsächlich benötigte Dienste aktiv sein.
Stellen Sie daher sicher, dass alle anderen Dienste deaktiviert sind.
Jeder Dienst stellt ein potenzielles Sicherheitsrisiko dar und könnte als
„Schlupfloch“ für Hacker dienen. Indem Sie nicht benötigte Dienste
beenden oder deaktivieren, kann dieses Risiko automatisch verringert
werden.
Allgemeine Informationen
Allgemeine Informationen zum gescannten Rechner werden unter
Netzwerk-Geräte, Laufwerke und Remote-TOD angezeigt.
Hinweis: Weitere Informationen zu diesen Bereichen finden Sie unter
„Zusätzliche Ergebnisse” im nächsten Kapitel.
Passwort-Richtlinien
Der nächste Knoten ist sehr wichtig. Er informiert Sie darüber, ob Ihre
Passwort-Richtlinien sicher und auf dem neuesten Stand sind.
Beispielsweise können Sie die maximale Gültigkeitsdauer festlegen
und die Passwort-Protokollierung aktivieren. Die minimale PasswortLänge sollte 8 Zeichen betragen. Wenn Sie Windows 2000
verwenden, können Sie mit Hilfe der GPO (Group Policy Objects) im
Active Directory eine netzwerkweite Richtlinie für sichere Passwörter
erstellen.
Registry
Dieser Knoten liefert wichtige Informationen zur Remote-Registry.
Klicken Sie auf den Knoten „Auto-Start“ um herauszufinden, welche
Programme beim Booten des Rechners automatisch gestartet
werden.
Stellen Sie sicher, dass die automatisch gestarteten Applikationen
keine Trojaner oder sogar gültige Programme sind, über die remote
auf einen Rechner zugegriffen werden kann (wenn letzteres in Ihrem
Netzwerk untersagt ist). Jede Remote Access-Software kann sich u.
U. als Backdoor-Schwachstelle herausstellen, die von Hackern
ausgenutzt werden kann.
Auditing
Wenn der überprüfte Rechner mit Windows NT/2000/XP betrieben
wird, überprüft der N.S.S., ob die Audit-Funktion aktiviert ist. Die
Audit-Funktion sollte auf Windows-Rechnern immer aktiviert sein.
Standardmäßig ist dies jedoch nicht der Fall. Nur mit einer aktivierten
Audit-Funktion lassen sich Sicherheitsverletzungen erkennen und
nachvollziehen.
Mit Hilfe des N.S.S. können Sie bei einem Scan des Rechners auch
das
Auditing
aktivieren,
vorausgesetzt,
Sie
besitzen
Administratorrechte für diesen Rechner.
Um die Audit-Funktion zu aktivieren, klicken Sie mit der rechten
Maustaste und wählen Sie „Auditing aktivieren auf“ > „Diesem
Rechner.“ Daraufhin wird ein Bildschirm wie in der obigen Abbildung
eingeblendet. Kreuzen Sie die Ereignisse auf dem Rechner an, die
protokolliert werden sollen.
Installierte Hot Fixes
Der Hot Fixes-Knoten informiert darüber, welche Hot Fixes installiert
sind. Bitte vergewissern Sie sich, dass Sie auf Ihren Rechnern alle
aktuellen Hot Fixes und Service Packs installiert haben.
Es gibt unter Windows scheinbar kein größeres Sicherheitsrisiko als
die Vernachlässigung von Betriebssystem-Aktualisierungen durch Hot
Fixes und Service Packs. Daher sollten stets die neuesten Patches
installiert sein.
Offene Ports
Der Knoten führt alle offenen Ports auf, die auf dem Rechner
gefunden wurden (Port-Scan). Der LANguard Network Security
Scanner führt einen selektiven Port-Scan durch. Dabei werden nicht
sämtliche 65535 TCP- und 65536 UDP-Ports gescannt, sondern nur
solche, die vom Benutzer angegeben werden. Weitere Informationen
zum Festlegen der Ports, die der N.S.S. scannen soll, finden Sie in
diesem Handbuch unter „Konfigurierung der Scan-Optionen“ –
„Konfigurierung der zu scannenden Ports“.
Jeder offene Port steht für einen Dienst/eine Applikation. Ist einer
dieser Dienste nur unzureichend vor Missbrauch geschützt, können
Hacker ungehindert Zugriff auf diesen Rechner nehmen. Daher ist es
wichtig, nicht benötigte Ports zu schließen.
Hinweis: Bei Windows Networks sind die Ports 135, 139 und 445
wahrscheinlich offen. In diesem Fall muss Ihre Internet-Firewall die
Ports gegen Angriffe von außen schützen.
Der N.S.S. zeigt alle entdeckten offenen Ports an, nach denen gemäß
den Einstellungen gescannt werden soll. Wird ein Port als ein
bekannter Trojaner-Port eingestuft, wird er vom N.S.S. ROT
angezeigt. Andernfalls wird er GRÜN dargestellt. Dies zeigt folgender
Screenshot:
Hinweis: Selbst wenn ein Port als möglicher Trojaner-Port ROT
angezeigt wird, heißt dies jedoch nicht, das dort tatsächlich ein
Backdoor-Programm installiert ist. Einige gültige Programme öffnen
Ports, die auch von bekannten Trojanern missbraucht werden. Ein
bekanntes Anti-Virus-Programm nutzt beispielsweise den gleichen
Port wie NetBus Backdoor. Daher sollten Sie immer die angegebenen
Banner-Informationen kontrollieren und auf den betreffenden
Rechnern weitere Prüfungen durchführen.
Knoten für Warnmeldungen
Der Knoten für Warnmeldungen informiert Sie über bekannte
Sicherheitsprobleme und gibt Tipps, wie diese zu beseitigen sind. Zu
diesen Sicherheitsgefahren zählen HTTP-Schwachstellen, NetBIOSGefahren, Konfigurationsprobleme etc.
Warnmitteilungen werden für folgende Bereiche ausgegeben:
Fehlende Patches und CGI-Missbrauch, Sicherheitslücken in den
Bereichen FTP, DNS, E-Mail, RPC, bei aktiven Diensten und in der
Registry. Auf
sonstige allgemeine Gefahrenbereiche und
Sicherheitsinformationen wird ebenfalls hingewiesen.
Fehlende Patches werden für Windows NT/2000/XP-Rechner
eingeblendet, wenn Hot Fixes oder Service Packs fehlen. Über den
N.S.S. steht ggf. ein Link zur Microsoft-Seite zur Verfügung, von der
der benötigte Patch heruntergeladen werden kann.
CGI-Missbrauch informiert Sie über Probleme
Netscape-, IIS- und anderen Web-Servern.
bei
Apache-,
Warnungen zu FTP-, DNS-, E-Mail-, RPC und sonstigen Bereichen
bieten Links zu Bugtraq oder anderen Sicherheits-Sites, wo Sie
weitere Informationen zu dem vom N.S.S. gefundenen Problem
finden.
Dienst-Warnungen können verschiedenster Art sein: Sie können
sich auf aktuelle Dienste beziehen, die auf dem untersuchten Gerät
aktiv sind, oder auch auf bisher ungenutzte Rechner-Konten.
Registry-Warnungen werden für Schwachstellen ausgegeben, die zu
Beginn des Scans in der Registrierdatenbank eines WindowsRechners gefunden werden. Hierbei können über entsprechende
Links zur Microsoft-Site oder anderen Security-Sites nähere
Informationen abgerufen werden, warum die betreffenden RegistryEinträge geändert werden sollten.
Informationswarnungen sind Sicherheitsmitteilungen, die in der
Datenbank gespeichert werden, und über die der Administrator
informiert sein muss; sie beschreiben Sicherheitslücken, die jedoch
nur bedingt gefährlich sind.
Zusätzliche Ergebnisse
Der GFI LANguard Network Security Scanner informiert Sie auch über
allgemeine Daten jedes untersuchten Rechners:
NetBIOS-Informationen
NetBIOS-Namen – Hierzu zählen die Namen der Dienste, die
eingeloggten Benutzer und der Rechner-Name.
Benutzername
Gibt den Namen des aktuell angemeldeten Benutzers oder den
Benutzernamen des Rechners an .
MAC
Gibt die MAC-Adresse der Netzwerk-Karte an.
TTL
Für jedes Gerät gibt es einen typischen Time To Live-Wert (TTL). Die
Standardwerte sind 32, 64, 128 und 255. Der TTL basiert auf diesen
Werten und dem tatsächlichen TTL des Pakets und informiert über
den Abstand (Anzahl der Router-Hops) zwischen dem N.S.S.-Rechner
und dem gerade gescannten Computer.
LAN-Manager
Informiert über
Betriebssystem).
den
verwendeten
LAN-Manager
(und
das
Domäne:
Ist der gescannte Rechner Teil einer Domäne, erhalten Sie hier eine
Aufstellung der vertrauten Domäne(n).
Gehört er zu keiner Domäne, wird die Workgroup angezeigt, deren
Bestandteil er ist.
Rechnernutzung
Informiert Sie darüber, ob der untersuchte Rechner eine Workstation
oder ein Server ist.
Sitzungen
Zeigt die IP-Adressen der Rechner an, die zum Zeitpunkt des ScanVorgangs mit dem untersuchten Rechner verbunden waren. In den
meisten Fällen ist dies nur der Rechner, auf dem der N.S.S.
eingesetzt wird und der kurz zuvor Verbindungen aufgebaut hat.
Hinweis: Da sich dieser Wert laufend ändert, wird er nicht im Bericht
gespeichert, sondern dient lediglich als allgemeine Information.
Netzwerk-Geräte
Bietet eine Liste der Netzwerk-Geräte, die auf dem gescannten
Rechner zur Verfügung stehen.
Remote TOD
Tageszeit der Gegenstelle. Gibt die Netzwerk-Zeit auf dem
gescannten Rechner an, die vom Domain Contoller bestimmt wird.
Tipps für den optimalen Einsatz des
GFI LANguard N.S.S.
Einleitung
Im folgenden Kapitel erfahren Sie, wie der N.S.S. eingesetzt werden
sollte, um möglichst umfangreiche und aussagekräftige Ergebnisse zu
erhalten. Vor dem Start des N.S.S. sollten Sie jedoch das Kapitel
„Bitte beachten" am Ende dieses Handbuchs lesen.
On-Site Scan
Richten Sie einen Rechner ein, auf dem GFI LANguard N.S.S.
installiert ist. Scannen Sie Ihr Netzwerk mit einer „NULL-Sitzung“
(„Scan“ > „Optionen“ > „Sitzungen“ > „NULL-Sitzung“).
Nach Beendigung dieses Scans speichern Sie bitte die Ergebnisse
und führen Sie einen erneuten Scan durch – dieses Mal jedoch
entweder mit der Option „Bestehende Anmeldeinformation“ (wenn Sie
administrative Rechte für Ihre Domäne besitzen) oder als anderer
Benutzer mit administrativen Rechten für die Domäne oder das Active
Directory.
Sie sollten die Ergebnisse
Vergleichswerte speichern.
dieses
zweiten
Durchgangs
als
Mit der „NULL-Sitzung” haben Sie die Möglichkeit herauszufinden,
welche Daten all den Benutzern zugänglich sind, die eine Verbindung
mit Ihrem Netzwerk über eine solche NULL-Sitzung herstellen. Der
mit Administrator-Rechten durchgeführte Scan informiert Sie über alle
Hot Fixes und Patches, die auf dem Rechner fehlen.
Off-Site Scan
Ist ein Netzwerk-Zugriff per DFÜ möglich oder eine High-SpeedAnbindung verfügbar, die nicht an Ihr Unternehmen gebunden ist,
sollten nun Ihr Netzwerk auch von außen einem Scan unterziehen.
Führen Sie einen Scan Ihres Netzwerks per „NULL-Sitzung“ durch.
Dadurch erfahren Sie, welche Informationen bei einem über das
Internet gestarteten Scan Ihres Netzwerks abrufbar sind. Der Scan
kann jedoch durch Firewalls in Ihrem Unternehmen oder bei Ihrem
ISP beeinträchtigt werden. Gleiches gilt auch für die Kommunikation
über Router, die bestimmte Pakettypen nicht weiterleiten.
Speichern Sie die Ergebnisse, um sie später als Vergleichswerte
heranziehen zu können.
Vergleich der Scan-Ergebnisse
Die vom GFI LANguard Network Security Scanner gesammelten
Informationen sollten nun genauer analysiert werden.
Tipps für den optimalen Einsatz des GFI LANguard N.S.S. • 23
Sind die Daten des Scans, der per „NULL-Sitzung“ aus dem Netzwerk
heraus erfolgt ist, mit denen des externen Scans identisch, scheint Ihr
Netzwerk keine funktionsfähige Firewall oder andere Sicherheitsfilter
zu besitzen. In diesem Fall sollten Sie sich zunächst um diese
Sicherheitslücken kümmern.
Überprüfen Sie danach, welche Daten öffentlich zugänglich sind. Sie
sollten überprüfen, ob z. B. Ihre Domain Controller für alle externen
Benutzer sichtbar sind oder ob eine Liste aller Computer-Konten
öffentlich zugänglich ist.
Zudem sollten Sie bei Web-Servern, FTP-Zugängen und ähnlichem
eigene Sicherheitsprioritäten festlegen.
Zudem sollten Sie bei Web-Servern, FTP-Zugängen und ähnlichem
eigene Sicherheitsprioritäten festlegen. So ist es unter Umständen
erforderlich, beispielsweise nach Patches für Web-Server und FTPServer zu suchen. Auch die Einstellungen für SMTP-Server sollten
überprüft und ggf. geändert werden. Kein Netzwerk gleicht dem
anderen. Der N.S.S. hilft Ihnen gezielt bei der Suche nach NetzwerkSchwachstellen und Sicherheitsproblemen und verweist auf
qualifizierte Web-Sites, die Lösungsvorschläge zur Beseitigung dieser
Gefahren bieten.
Wenn Sie Dienste finden, die aktiv sind, aber nicht benötigt werden,
sollten Sie diese auf jeden Fall deaktivieren. Jeder Dienst stellt ein
potenzielles Sicherheitsrisiko dar, das Dritten einen unautorisierten
Zugriff auf Ihr Netzwerk ermöglicht. Es werden ständig neue Buffer
Overflow-Techniken und Exploits entwickelt, die Ihr Netzwerk
bedrohen. Schutzmaßnahmen, die gegenwärtig als zuverlässig
eingestuft werden, können sich sehr schnell als veraltet und somit als
Sicherheitsrisiko erweisen.
Daher sollten Sicherheits-Scans in regelmäßigen Abständen
durchgeführt werden.
Nur so können Sie sicher sein, dass
Schwachstellen entdeckt werden, bevor Hacker sich diese zum
Eindringen in Ihr Netzwerk zu Nutze machen können.
24 • Tipps für den optimalen Einsatz des GFI LANguard N.S.S.
Konfigurierung der Scan-Optionen
Einführung in die Verwendung der Scan-Optionen
Nach dem ersten Kennenlernen der Funktionen des GFI LANguard
Network Security Scanner und einem ersten Sicherheits-Audit sollten
Sie die Feineinstellungen der Scan-Optionen vornehmen. Gehen Sie
hierfür auf „Scan” > „Optionen“. Der Dialog "Optionen" wird
aufgerufen.
Allgemeine Optionen
Allgemeine Optionen
Scan-Verzögerung und -Wiederholungen
Die Scan-Verzögerung gibt den Zeitabstand an, in dem der N.S.S.
die Kontrollpakete verschickt. Der Standardwert beträgt 100 ms.
Abhängig von Ihrer Netzwerk-Anbindung und dem von Ihnen
genutzten Netzwerk-Typ (LAN/WAN/MAN), muss diese Einstellung
eventuell geändert werden.
Bei zu niedrigen Werten wird Ihr
Netzwerk u. U. mit vom N.S.S. verschickten Paketen überschwemmt.
Zu hohe Werte hingegen führen dazu, dass die Überprüfung zu lange
dauert und somit wertvolle Zeit verschwendet.
Die Antwortzeit gibt an, wie lange der N.S.S. maximal auf eine
Antwort vom Gerät warten soll. Führen Sie den Scan in einem
langsamen oder stark ausgelasteten Netzwerk durch, kann es
erforderlich sein, den Standardwert dieser Timeout-Funktion (500 ms)
zu erhöhen.
Konfigurierung der Scan-Optionen • 25
Mit Wiederholungsversuche legen Sie die Anzahl der
Wiederholungen für jeden Scan-Typ fest.
Unter normalen
Testbedingungen sollte diese Einstellung nicht geändert werden.
Wird dieser Wert neu festgelegt, erhöht sich jedoch auch
entsprechend die Anzahl der Scan-Durchgänge für jeden einzelnen
Scan-Typ (NetBIOS, SNMP und ICMP).
Debug-Einstellungen
Mit dieser Option bestimmen Sie den Ausführlichkeitsgrad der
Mitteilungen, die im Debug-Fenster angezeigt werden. Es wird
empfohlen, das Debug-Fenster nicht zu schließen. In diesem Fenster
können Sie einzelne Überprüfungsschritte des N.S.S. unmittelbar
verfolgen.
Zudem werden einige Informationen, z. B. LANSRückmeldungen, nur im Debug-Fenster angezeigt und nicht in das
Ausgabe-Fenster übertragen. Daher erfolgt auch keine Speicherung
dieser Daten in den Berichten.
Möchten Sie weitere Informationen zu den vom N.S.S. verschickten
und empfangenen Daten erhalten, können Sie folgende Optionen
aktivieren: Empfangene Pakete anzeigen und Verschickte Pakete
anzeigen. Beim normalen Einsatz des Scanners werden diese
Optionen nicht benötigt und sind daher deaktiviert. Sollten jedoch
Probleme auftreten, die Ihrer Meinung nach auf Bugs zurückzuführen
sind, erhalten Sie mit Hilfe dieser Optionen weitere Details zum ScanVorgang.
Um die Debug-Informationen zu speichern, klicken Sie bitte mit der
rechten Maustaste im Debug-Fenster und wählen Sie „Debug-Infos
speichern”.
SNMP
Die Option „SNMP Enterprise Numbers laden” erweitert die
Unterstützung von SNMP-Scans. Ist diese Option nicht ausgewählt,
werden für per SNMP gefundene Geräte, die dem N.S.S. nicht
bekannt sind, keine Herstellerangaben geliefert. Sie sollten daher
diese Option nur dann deaktivieren, wenn Probleme auftreten oder die
Scan-Dauer des N.S.S. erhöht werden soll.
Standardmäßig besitzen die meisten SNMP-fähigen Geräte einen
„public“ Read Community Name. Aus Sicherheitsgründen wird dieser
jedoch von den meisten Administratoren geändert. Wenn Sie den
vorgegebenen SNMP Community Name Ihrer Netzwerk-Geräte
geändert haben, müssen Sie die Änderungen auch in der vom N.S.S.
verwendeten Liste eintragen.
Hinweis: Sie können mehr als einen SNMP Community Name
verwenden. Für jeden von Ihnen hinzugefügten Community Name
muss eine zusätzliche SNMP-Überprüfung durchgeführt werden. Ist
in Ihrem Community Name String sowohl „public“ als auch „private“
vorgegeben, wird der SNMP-Scan zwei Mal für den gesamten
angegebenen IP-Bereich durchgeführt: Zuerst für den Public-String,
dann für den Private-String.
Nicht reagierende Computer hinzufügen
Ein mit einer persönlichen Firewall geschützter Rechner könnte
NetBIOS-, SNMP- und ICMP-Pakete blockieren. Daher ist es auch
26 • Konfigurierung der Scan-Optionen
möglich, alle nicht reagierenden Computer der Liste mit Rechnern
hinzuzufügen, für die ein Port-Scan durchgeführt werden soll.
Hinweis: Hierdurch verlängern sich die Netzwerk-Scans, da der
N.S.S. für jeden nicht reagierenden Host einen TCP- und UDP-PortScan durchführen und dann bei jedem gescannten Port auf den
Timeout warten muss. Sie sollten diese Option nur dann nutzen,
wenn Sie genau wissen, dass viele Rechner in Ihrem Netzwerk so
konfiguriert sind, dass sie auf NetBIOS-, SNMP- und ICMP-Pakete
nicht reagieren. Der N.S.S. führt zusätzlich weitere Kontrollen durch
um festzustellen, ob ein Rechner diese Pakete blockiert.
Optionen für Passwort-Cracks
Optionen für Passwort-Cracks
Über diese Registerkarte können Sie die Optionen für die PasswortKontrolle konfigurieren, mit der Sie unsichere Passwörter aufspüren
können.
Mit der Option „Auf alle Zeichen überprüfen“ wird versucht,
Passwörter mit den verschiedensten Zeichenkombinationen zu
ermitteln. Dies hat jedoch zur Folge, dass die für ein Netzwerk-Audit
benötigte Zeit um ein Vielfaches steigt. Zudem kann diese CrackingMethode dazu führen, dass IDS-Systeme Warnmeldungen
verschiedenster Art ausgeben.
Passwort-Crack per Benutzername
Hier legen Sie den Benutzernamen fest, über den der N.S.S. versucht,
Zugriff auf geschützte Freigaben zu nehmen.
Auf Microsoft NT/2000/XP-Rechnern wird das Administrator-Konto
nicht gesperrt, wenn zu viele falsche Anmeldeversuche stattgefunden
haben.
Daher wird „Administrator“ als Standard-Kontoname
eingesetzt. Ist der Benutzername für den Administrator geändert
worden, können Sie „Anderer Benutzername:” wählen und den neuen
Namen eingeben.
Der N.S.S. kann auch über die Option „Aktuell angemeldeter
Benutzer“ versuchen, das Passwort für eine Freigabe herauszufinden.
Sind jedoch Richtlinien für Kontosperrungen festgelegt worden, wirken
sich diese auch auf das Konto des aktuell angemeldeten Benutzers
aus. Diese Option ist daher nur eingeschränkt zu empfehlen.
Hinweis: Unter Windows NT/2000/XP gibt es mehrere Möglichkeiten,
Angriffe dieser Art abzuwehren. Zu diesem Thema ist bereits sehr viel
Literatur veröffentlicht worden, aber mit zwei einfachen Methoden
lässt sich die Gefahr bereits erheblich mindern: Zum einen, indem
das Administrator-Konto umbenannt und aus der AdministratorGruppe entfernt wird. (Zuvor muss jedoch sicher gestellt sein, dass
anderen Konten Administrator-Rechte zugeteilt wurden.) Zudem
sollte man über die lokale Sicherheitsrichtlinie festlegen, dass
fehlgeschlagene Login-Versuche im Ereignisprotokoll verzeichnet
werden. (Dadurch kann zwar kein Angriff verhindert werden, aber es
ist zumindest möglich, einen genauen Überblick über fehlgeschlagene
Login-Versuche zu erhalten.)
Freigaben ohne Passwortschutz
Haben Sie diese Option gewählt, überprüft der N.S.S., ob Freigaben
mit Passwörtern geschützt sind. Ist kein Passwortschutz vorhanden,
werden Sie im einzelnen darüber informiert.
Freigaben ohne Passwortschutz stellen eine Sicherheitsgefahr dar, da
es Viren gibt, die speziell diese Sicherheitslücke ausnutzen. So
verbreitet sich beispielsweise der Klez-Virus über offene Freigaben.
Ist ein Rechner infiziert, sucht der Virus nach weiteren Freigaben, auf
die er zugreifen kann, um auch diese zu infizieren. Der Virus braucht
nur über einen einzigen Benutzer in ein Unternehmen eingeschleust
werden, um sich dann über offene Freigaben zu verbreiten und
andere Rechner zu infizieren.
Scan-Optionen
Scan-Optionen
Inventur des Netzwerks
Legen Sie die Methoden fest, mit Hilfe derer sich herausfinden lässt,
welche Rechner im Netzwerk aktiv sind. Einige Geräte bieten keine
Unterstützung für NetBIOS oder SNMP, aber alle reagieren
normalerweise auf einen Ping-Befehl.
Über die Option „NetBIOS-Anfragen” können NetBIOS- oder SMBAnfragen verschickt werden. Ist auf dem Windows-Rechner der Client
für Microsoft Networks installiert (bzw. Samba Services auf einem
Unix-Rechner), reagiert dieser Rechner auf die NetBIOS-Anfrage.
Zudem ist es möglich, diese Anfrage mit ScopeID-Informationen zu
ergänzen. Diese Option sollte in den meisten Fällen jedoch nicht
genutzt werden. Einige Systeme können jedoch u. U. mit einer
ScopeID versehen sein. Wurde in Ihrem Unternehmen eine ScopeID
für NetBIOS definiert, geben Sie diese bitte an.
Über die Option „SNMP-Anfragen” können SNMP-Pakete mit dem
Community-String verschickt werden, der in der Registerkarte
„Allgemein“ definiert wurde. Reagiert das Gerät auf diese Anfrage,
wird vom N.S.S. dessen Objektkennung (OID) angefordert, die mit
einer lokalen Datenbank verglichen wird, um den Gerätetyp
festzustellen.
„Ping Sweep” überprüft jedes Netzwerk-Gerät mit einem ICMP-Ping.
(Bitte beachten Sie den Hinweis weiter unten.)
Die verschiedenen Anfragen können einzeln deaktiviert werden. Der
N.S.S. setzt jedoch alle drei Methoden ein, um den Gerätetyp und das
installierte Betriebssystem festzustellen. Werden sie deaktiviert,
versucht der N.S.S. jedoch weiterhin, das Gerät und dessen
Betriebssystem zu identifizieren. (Der N.S.S. produziert jedoch unter
Umständen keine zuverlässigen Ergebnisse, wenn nicht alle ScanMethoden zum Einsatz kommen.)
Hinweis:
Einige persönliche Firewalls unterbinden sogar das
Verschicken eines ICMP-Echos. In Unternehmens-Netzwerken wird
dies jedoch wahrscheinlich nicht der Fall sein. Wenn Sie jedoch
vermuten, dass auf vielen Rechnern in Ihrem Netzwerk persönliche
Firewalls eingerichtet sind, sollten Sie die Liste der zu überprüfenden
Rechner durch die Aktivierung der Option „Nicht reagierende
Computer hinzufügen“ erweitern.
Detailliertes Erfassen von Informationen
Über diese Option können Sie effizient konfigurieren, nach welchen
Informationen der GFI LANguard Network Security Scanner scannen
soll. So können Sie gezielt nach bestimmten Daten suchen und die zu
scannenden Ports definieren.
Es wird empfohlen, die Option „Informationen automatisch erfassen”
aktiviert zu lassen. Eine Deaktivierung hat zur Folge, dass der N.S.S.
keinen Port-Scan des Geräts durchführt und keine sekundären
NetBIOS-Verbindungen hergestellt werden.
Überprüfung von NetBIOS-Informationen
Festlegen der Infos, die überprüft werden sollen
Die Informationen, nach denen der N.S.S. suchen soll, lassen sich
über „Scan” > „Operationen konfigurieren” festlegen.
Für jede Funktion steht eine Beschreibung zur Verfügung, welche Art
von Information abgerufen werden soll. Bitte beachten Sie, dass
standardmäßig nicht alle Funktionen aktiviert sind. Es sind nur solche
bereits aktiviert, die die umfangreichsten Informationen abfragen, und
die von allen Betriebssystemen unterstützt werden.
Hinweis: Einige dieser Verbindungen werden nur dann unterstützt,
wenn Sie mit entsprechenden Administratorrechten angemeldet sind.
Dies bedeutet, dass beim Versuch der Datenerfassung per NULLVerbindung im Debug-Fenster die Fehlermeldung erscheinen wird,
dass Sie für diesen Verbindungstyp nicht die erforderlichen
Administratorrechte besitzen.
Konfigurierung der zu scannenden Ports
Konfigurierung der zu scannenden Ports
Die vom N.S.S. zu überprüfenden Ports lassen sich über „Scan” >
„Ports konfigurieren” festlegen. (Entweder „TCP-Ports“ oder „UDPPorts“).
Hinzufügen eines Ports
Geben Sie die Port-Nummer(n) an, die Sie scannen lassen möchten
(z. B. 21 oder 1-21) und geben Sie eine kurze Beschreibung an. Bei
Trojaner-/Backdoor-Ports kreuzen Sie bitte „Trojaner-Port“ an.
Klicken Sie dann auf „Port hinzufügen”.
Hinweis: Bitte beachten Sie, dass Sie diesen Port im richtigen
Protokoll-Fenster eintragen, entweder „TCP-Ports“ oder „UDP-Ports“.
Aktualisieren eines Ports
Wenn Sie bereits einen Port definiert haben und feststellen, dass
dieser oder einer der Standard-Ports fehlerhaft bezeichnet wurde,
können Sie die Information aktualisieren.
Hierfür markieren Sie bitte den zu aktualisierenden Port, ändern die
Port-Nummer, Beschreibung oder den Status des Kontrollkästchens
und klicken Sie dann auf „Aktualisieren”.
Entfernen eines Ports
Wenn Sie einen bestimmten Port nicht länger vom N.S.S. scannen
lassen möchten, sollten Sie diesen aus der Port-Scan-Liste entfernen.
Markieren Sie bitte den betreffenden Port und klicken Sie auf
„Entfernen“.
Hinweis: Bitte beachten Sie, dass Sie diesen Port aus dem richtigen
Protokoll-Fenster entfernen, entweder TCP oder UDP.
Wenn der N.S.S. einen bestimmten Port nicht mehr scannen soll, Sie
diesen aber trotzdem nicht dauerhaft aus der Port-Scan-Liste
entfernen möchten, deaktivieren Sie einfach das Kontrollkästchen
neben der Port-Nummer.
Hinweis: In Version 2.0 war dieses Kontrollkästchen anders belegt. In
Version 3.2 legen Sie hiermit jetzt nicht mehr fest, dass der N.S.S. die
vom Port gelieferten Banner-Informationen lesen soll. Dieser Vorgang
erfolgt jetzt automatisch.
Statt dessen wird bei entsprechender
Aktivierung jetzt der angegebene Port gescannt!
Optionen für den Sitzungsaufbau
Optionen für den Sitzungsaufbau
Über diese Registerkarte können Sie bestimmen, welche BenutzerAnmeldeinformationen für NetBIOS-Anfragen verwendet werden
sollen.
Mit „Bestehende Anmeldeinformationen verwenden” werden die Ihnen
aktuell zugewiesenen Rechte genutzt. Wenn Sie keinen Zugriff auf
das Netzwerk haben, erhalten Sie nur wenige oder keine
Informationen.
In diesem Fall sollten Sie „NULL-Sitzung” wählen, d. h., Sie melden
sich als anonymer Benutzer an.
Als weitere Option können Sie „Benutzername und Passwort” eines
bestimmten Benutzers angeben. Dadurch haben Sie die Möglichkeit
herauszufinden, welche Informationen diesem Benutzer bei einem von
ihm durchgeführten NetBIOS-Scan zugänglich wären.
Hinweis: Wenn Sie einen Benutzernamen/ein Passwort einer
Domäne oder eines Active Directory-Kontos verwenden, müssen Sie
den Benutzernamen in der Form „Domäne\Benutzername“ eingeben.
Überprüfung auf bekannte Sicherheitslücken
Überprüfung auf bekannte Sicherheitslücken
Warnmeldungen stehen für Sicherheitslücken, die vom GFI LANguard
Network Security Scanner gefunden werden.
Der N.S.S ist standardmäßig so konfiguriert, dass nach bekannten
Sicherheitslücken gescannt wird. Diese Voreinstellungen lassen sich
über die Registerkarte „Warnmeldungen“ ändern.
Ist die Option „Interne Kontrollen“ aktiviert, werden Warnmeldungen
für Sicherheitslücken ausgegeben, deren Überprüfung nicht im
einzelnen von Ihnen konfiguriert werden kann (z. B. die Kontrolle, ob
SNMP auf einem Gerät aktiviert ist).
CGI-Tests werden für Web-Server eingesetzt und können von Ihnen
deaktiviert werden. Wenn Sie das Auditing hinter einem Proxy-Server
starten, können Sie den N.S.S. anweisen, die CGI-Tests über diesen
Proxy laufen zu lassen.
Eine der erst kürzlich bekannt gewordenen Schwachstellen ist das MS
SQL „sa”-Konto. Über die Option „MS SQL-Server: Nach ‚sa’-Konten
ohne Passwort suchen“ kann der N.S.S. auch diese Sicherheitslücke
überprüfen.
Hinweis: Diese Menü-Option unterscheidet sich von den
Warnmeldungen im Scan-Menü „Scan > Warnmeldungen“ Hier legen
Sie fest, nach welchen Arten von Sicherheitslücken (interne, CGI, MS
SQL etc.) generell gescannt werden soll. Über „Scan” >
„Warnmeldungen” hingegen bestimmen Sie, welche Schwachstellen
im einzelnen zu überprüfen sind, z. B. „Unicode-Exploit gegen IIS“.
Fehlende Patches
Der GFI LANguard Network Security Scanner ist standardmäßig so
konfiguriert, dass alle Windows NT/2000/XP-Rechner auf fehlende
Hot Fixes und Patches überprüft werden.
Falls benötigt, wird bei jedem Start des GFI LANguard N.S.S. 3.2 die
Datei Inssprms.cab automatisch heruntergeladen.
(Diese Datei wird als mssecure.xml und products.xml entpackt.)
Dadurch ist sichergestellt, dass immer nach den neuesten
Sicherheits-Patches und Service Packs gesucht wird.
Weitere Informationen zu diesem Thema finden Sie unter „Verteilung
von Patches auf Microsoft-Rechner“.
Konfigurations-Manager
Wenn Sie auf die Schaltfläche „Erweitert ->“ klicken, erscheint
folgendes Fenster:
Der Konfigurations-Manager
Wenn Sie Ihr Netzwerk mit vielen verschiedenen Scans überprüfen,
hilft Ihnen dieses Zeit sparende Utility, Ihre Einstellungen zu
speichern. Zuvor mussten diese Optionen für jeden neuen Scan
manuell geändert werden. Die Möglichkeit, Konfigurationsdateien mit
Port-Scan-Optionen und sämtlichen anderen Einstellungen zu
speichern, lässt Sie jetzt noch effizienter arbeiten.
Speichern verschiedener Konfigurationen
Nachdem Sie den N.S.S. Ihren Bedürfnissen entsprechend
konfiguriert haben, können Sie auf „Erweitert“ > „Aktuelle
Konfiguration speichern“ klicken und dann alle aktuellen Einstellungen
sichern.
Laden verschiedener Konfigurationen
Wenn Sie eine der Konfigurationsdateien laden möchten, brauchen
Sie diese nur zu markieren und dann auf „Konfiguration laden“ klicken.
Dadurch werden alle Einstellungen für diese ini-Datei geladen (zu
scannende Ports, Scan-Typen usw.).
Warnmeldungen
Einführung in Warnmeldungen
Warnmeldungen werden für potenzielle Sicherheitslücken in Ihrem
Netzwerk ausgegeben. Dieses Kapitel umfasst vier Bereiche:
1. Aktualisierung von Warnmeldungen
2. Verschiedene Arten von Warnmeldungen
3. Konfigurierung von Warnmeldungen
4. LANS – Eigene Skript-Sprache für Warnmeldungen
Aktualisierung von Warnmeldungen
Diese Funktion steht nur in der registrierten Version des GFI
LANguard Network Security Scanner zu Verfügung!
Eine Neuerung des N.S.S. ist die Online-Aktualisierung von
Warnmeldungen für Sicherheitslücken, nach denen der N.S.S. scannt.
Um die Sicherheitsmeldungen auf den neuesten Stand zu bringen,
klicken Sie bitte auf „Hilfe“ > „Nach Sicherheits-Update suchen“ >
„Aktualisierung starten“.
Hinweis: Mit dem Sicherheits-Update werden unter anderem auch
die Fingerprint-Dateien aktualisiert, die der Identifizierung des
Betriebssystems dienen.
Verschiedene Arten von Warnmeldungen
Auf diesen Bereich wurde bereits zuvor eingegangen. An dieser Stelle
sollen die verschiedenen Warnmeldungen zur Verdeutlichung aber
nochmals aufgegriffen und erläutert werden.
Warnmitteilungen werden für folgende Bereiche ausgegeben:
Fehlende Patches und CGI-Missbrauch, Sicherheitslücken in den
Bereichen FTP, DNS, E-Mail, RPC, bei aktiven Diensten und in der
Registry. Auf
sonstige allgemeine Gefahrenbereiche und
Sicherheitsinformationen wird ebenfalls hingewiesen.
Fehlende Patches werden für Windows NT/2000/XP-Rechner
eingeblendet, wenn Hot Fixes oder Service Packs fehlen. Über den
N.S.S. steht ggf. ein Link zur Microsoft-Seite zur Verfügung, von der
der benötigte Patch heruntergeladen werden kann.
CGI-Missbrauch informiert Sie über Probleme bei Apache-,
Netscape-, IIS- und anderen Web-Servern.
Warnungen zu FTP-, DNS-, E-Mail-, RPC und sonstigen Bereichen
bieten Links zu Bugtraq oder anderen Sicherheits-Sites, wo Sie
weitere Informationen zu dem vom N.S.S. gefundenen Problem
finden.
Warnmeldungen • 35
Dienst-Warnungen können verschiedenster Art sein: Sie können
sich auf aktuelle Dienste beziehen, die auf dem untersuchten Gerät
aktiv sind, oder auch auf bisher ungenutzte Rechner-Konten.
Registry-Warnungen werden für Schwachstellen ausgegeben, die zu
Beginn des Scans in der Registrierdatenbank eines WindowsRechners gefunden werden. Hierbei können über entsprechende
Links zur Microsoft-Site oder anderen Security-Sites nähere
Informationen abgerufen werden, warum die betreffenden RegistryEinträge geändert werden sollten.
Informationswarnungen sind Sicherheitsmitteilungen, die in der
Datenbank gespeichert werden, und über die der Administrator
informiert sein muss; sie beschreiben Sicherheitslücken, die jedoch
nur bedingt gefährlich sind.
Zu überprüfende Sicherheitslücken
Auswahl der zu überprüfenden Sicherheitslücken
Der GFI LANguard Network Security Scanner enthält eine Datenbank
mit bekannten Sicherheitsproblemen, auf die Ihr Netzwerk überprüft
wird. Diese Schwachstellen können Sie über das Menü „Scan" >
„Warnmeldungen“ anzeigen. Konfigurieren Sie alle Warnmeldungen
wie gewünscht.
Sie können bestimmen, welche Kategorien von Sicherheitslücken
überprüft werden sollen, indem Sie diese im linken Fenster
auswählen. Über das rechte Fenster lassen sich dann die einzelnen
Warnmeldungen mit einem Doppelklick öffnen und bearbeiten. Für
jedes Protokoll gibt es ein eigenes Format. Sie können die
Sicherheitsstufe der Warnmeldung ändern, indem Sie auf die
Schaltfläche
klicken.
Hinweis: Neue Warnmeldungen sollten nur von erfahrenen Benutzern
erstellt werden, da durch eine fehlerhafte Konfigurierung u. U.
Fehlalarme ausgelöst oder gar keine Warnhinweise ausgegeben
werden.
36 • Warnmeldungen
Format der CGI-Warnmeldungen
Erstellen einer neuen CGI-Warnmeldung
Name der Warnmeldung
ist die vom N.S.S. eingeblendete
Warnmeldung bei Identifizierung der zugehörigen Sicherheitslücke
und kann von Ihnen individuell festgelegt werden.
Auswirkung beschreibt die durch den CGI-Missbrauch verursachten
Probleme, falls keine Gegenmaßnahmen ergriffen werden. Die
Sicherheitskategorie dieser Schwachstelle kann über einen Klick auf
das Piktogramm an der rechten Seite geändert werden. (Hoch = Rot,
Mittel = Blau, Niedrig = Grün, allg. Info = weiß)
BugtraqID/URL
gibt die Web-Adresse an, unter der weitere
Informationen zu diesem Bug/der Sicherheitslücke bereit stehen.
Bei HTTP-Methode werden vom N.S.S. für den CGI-Bereich die
beiden Methoden GET und HEAD unterstützt.
Zu überprüfende URL ist die URL, die der N.S.S. zwecks Kontrolle
anfordern soll.
Magic String gibt an, nach welchen Informationen der N.S.S. in den
Rückmeldungen suchen soll um festzustellen, ob der Rechner für
diese Art von Angriff anfällig ist.
Soll diese Warnmeldung ausgelöst werden, wenn der Magic String
nicht empfangen wird, aktivieren Sie bitte die Option „Warnmeldung
nur auslösen, wenn Magic String fehlt“.
Format anderer Warnmeldungen
Zum Erstellen anderer Warnmeldungen steht ein Standardformat zur
Verfügung.
Erstellen einer neuen Warnmeldung
Name der Warnmeldung
ist die vom N.S.S. eingeblendete
Warnmeldung bei Identifizierung der zugehörigen Sicherheitslücke
und kann von Ihnen individuell festgelegt werden.
Auswirkung
beschreibt die durch diese Sicherheitslücke
verursachten Probleme, falls keine Gegenmaßnahmen ergriffen
werden. Die Sicherheitskategorie dieser Schwachstelle kann über
einen Klick auf das Piktogramm an der rechten Seite geändert
werden. (Hoch, Mittel, Niedrig oder allg. Info)
BugtraqID/URL
gibt die Web-Adresse an, unter der weitere
Informationen zu diesem Bug/der Sicherheitslücke bereit stehen.
An dieser Stelle ist es notwendig, die Warnmeldung so präzise wie
möglich zu definieren. Um die neue Sicherheitslücke zu definieren,
nach der gesucht werden soll, klicken Sie mit der rechten Maustaste
im Fenster „Auslöser für die Warnmeldung".
Folgende Komponenten können für die Definition einer neuen
Warnmeldung verwendet werden:
•
Operating System
o
o
•
ist
ist nicht
Registry Key
o
existiert
o existiert nicht
Hinweis: Funktioniert nur unter HKEY_LOCAL_MACHINE
•
Registry-Pfad
o
existiert
o
existiert nicht
•
Registry-Wert
o
ist gleich
o
ist ungleich
o
o
ist kleiner als
ist größer als
•
•
•
•
•
•
•
Service Pack
o
ist
o
o
o
ist nicht
ist niedriger als
ist höher als
Hot Fix
o
o
ist installiert
ist nicht installiert
o
ist installiert
o
IIS
IIS-Version
o
o
o
ist
ist nicht
ist niedriger als
o
ist höher als
RPC-Service
o
ist installiert
o
NT-Service
o
ist installiert
o
Port (TCP)
o
o
•
UDP-Port
o
o
•
ist offen
ist geschlossen
ist offen
ist geschlossen
FTP-Banner
o
ist
o ist nicht
Hinweis: Sie können Suchmuster erstellen, die nach Version 1.0 bis
1.4 suchen, sowie nach Version 2.0 bis 2.2, jedoch nicht nach Version
1.5 bis 1.9. Siehe Beispiele weiter unten.
•
HTTP-Banner
o
ist
o ist nicht
•
SMTP-Banner
o
ist
o
ist nicht
•
POP3-Banner
o
ist
o
ist nicht
•
DNS-Banner
o
ist
o
ist nicht
•
SSH-Banner
o
ist
o
ist nicht
•
Telnet-Banner
o
ist
o ist nicht
•
LANS-Skript
o
Returns: True (1)
o
Returns: False (0)
Für jede dieser Optionen gibt es eine Reihe von Kriterien, die als
Grundlage für die Warnmeldung dienen können. Wenn die Vorgaben
für eine Warnmeldung zu unspezifisch sind, werden Sie eine erhöhte
Anzahl fehlerhafter Berichte zu angeblichen Bugs oder
Sicherheitslücken in einem Dienst erhalten. Möchten Sie eigene
Warnmeldungen erstellen, sollten diese daher genau abgegrenzt und
so spezifisch wie möglich sein.
Eine Warnmeldung kann auch durch andere Ereignisse ausgelöst
werden. So könnten Sie auch folgende Tests definieren:
•
Betriebssystem überprüfen
•
Port XYZ
•
Banner “ABC”
•
LANS-Skript QRS Run und Schwachstellen-Überprüfung
Nur wenn alle diese Kriterien gemeinsam zutreffen, wird die
Warnmeldung ausgelöst.
Hinweis: Mit Hilfe der Suchmuster lassen sich Warnmeldungen wie
die folgende erstellen, mit der die Apache-Version auf einem Rechner
überprüft werden kann. ~.*Apache/(1\.([0-2]\.[0-9]|3\.([0-9][^0-9]|[01][0-9]|2[0-5]))|2\.0.([0-9][^0-9]|[0-2][0-9]|3[0-8])).
Benutzern mit Programmiererfahrung in C oder Perl sollten mit diesem
sehr ähnlichen Format keine Probleme haben. Im Internet gibt es
zudem viele Quellen zu diesem Thema. Mit folgenden Beispielen soll
das Generieren von Suchmustern näher erläutert werden. Weitere
Hilfe finden Sie unter dem am Ende dieses Kapitels angegebenen
Link.
Beispiele
Wenn Sie ein Beispiel/eine schrittweise Anleitung zum Erstellen einer
neuen Warnmeldung mit LANS Skript wünschen, finden Sie diese im
LANS-Kapitel unter „Erstellung eines LANS-Skripts“. Dort können Sie
sich an einem Walkthrough orientieren und erfahren, wie sich ein
Skript generieren lässt, welche Prozesse genau gestartet werden und
wie die Warnmeldung funktioniert.
Zunächst sollen jedoch einige einfache Beispiele von Suchmustern
betrachtet werden:
[09-] Übereinstimmung mit ‘0', '9' und '-'
[-90] Übereinstimmung mit '-', '9' und ‘0'
[0-9] Übereinstimmung mit allen zehn Ziffern von '0' bis '9'
Folgende Suchmuster sind etwas komplexer:
Als erstes soll die Kombination [^ verwendet werden, die eine
Übereinstimmung mit den Ziffern außerhalb des definierten Bereichs
erfordert.
1[^1-8]2
bedeutet Übereinstimmung mit 102 und 192, jedoch
nicht mit 112, 122, 132 … 172.
Als nächstes soll das Symbol | verwendet werden, das für OR steht.
1[^1-8](2|3) bedeutet Übereinstimmung mit 102, 103, 192 und 193.
Weitere Beispiele hierzu liefert der Autor von TregExpr unter:
http://anso.virtualave.net/RegExpE/tregexpr_syntax.htm
Im Kapitel zu LANS wird der Autor urheberrechtlich erwähnt.
LANS
Detaillierte Informationen zu LANS finden Sie im Kapitel „LANS:
LANguard Scripting“ im hinteren Teil dieses Handbuchs.
LANguard Scripting ermöglicht es Ihnen, die Funktionalität Ihrer
eigenen Warnmeldungen zu erweitern. LANS sollte jedoch nur von
erfahrenen Benutzern eingesetzt werden.
Speichern der Scan-Ergebnisse
Einführung
Die vom N.S.S. gesammelten Informationen werden in drei Formaten
gespeichert:
•
HTML
•
XML
•
XSL
Die Speicherung findet automatisch in allen drei Formaten statt. Je
nach Verwendungszweck greift der N.S.S. auf das benötigte Format
zurück.
Berichterstellung
Über „Datei” > „Bericht erstellen” rufen Sie folgendes Fenster auf:
Erstellen eines individuell gestalteten Berichts
Benutzerdefinierte Ausgabe
Mit Hilfe von XSL-Dateien können Sie ausgewählte Informationen der
Scan-Ergebnisse speichern.
Wenn Sie auf die Schaltfläche
„Anpassen“ klicken, erscheint folgendes Fenster:
Speichern der Scan-Ergebnisse • 43
Anpassen eines individuell gestalteten Berichts
Um den Standard-Header des N.S.S. ändern zu könnten, müssen Sie
Kenntnisse in HTML haben. Nehmen Sie die Änderungen vor, indem
Sie auf „Header” klicken.
Wenn Sie möchten, dass bestimmte Scan-Ergebnisse nicht im Bericht
aufgeführt werden, können Sie die Speichereinstellungen ändern.
Rufen
Sie
die
Änderungsmaske
über
die
Schaltfläche
„Berichtsobjekte“ auf.
Wenn Sie die Standard-Fußzeile des N.S.S. ändern möchten, müssen
Sie ebenfalls Kenntnisse in HTML besitzen. Um die Änderungen
vorzunehmen, klicken Sie bitte auf „Fußzeile”.
Des weiteren ist es auch möglich, das XSL-Stylesheet zu ändern, das
zum Speichern des Berichts verwendet wird. Sie sollten verschiedene
Einstellungsmöglichkeiten ausprobieren, um zu sehen, wie sich die
Änderungen auf den ausgegebenen Bericht auswirken.
Diese
Dateien lassen sich zudem modifizieren, sodass die Informationen in
verschiedenen Varianten gespeichert werden. Weitere Informationen
hierzu finden Sie im folgenden Kapitel.
Filtern der Scan-Ergebnisse
Der N.S.S. bietet acht vordefinierte Berichttypen.
Standardvorlage
Wenn Sie kein eigenes Ausgabeformat für die Scan-Berichte
definieren, nutzen Sie automatisch das Standard-Berichtformat.
Dieses Format bereitet alle vom N.S.S. generierten Daten in einem
sehr übersichtlichen Bericht auf.
Entweder beim Speichern eines Berichts oder unter „Datei” > „ScanBerichte filtern” können Sie zwischen sieben weiteren Berichttypen
auswählen.
44 • Speichern der Scan-Ergebnisse
Höchste Warnstufe
Dieser Bericht enthält:
•
allen offenen Ports
•
fehlende Service Packs
•
schwerwiegenden Sicherheitslücken (rotes Ausrufezeichen)
Mittlere Sicherheitsrisiken
•
allen offenen Ports
•
sämtlichen fehlenden Hot Fixes
•
mittlere Sicherheitsrisiken (blaues Ausrufezeichen)
Fehlende Hot Fixes
•
fehlende Service Packs
•
fehlende Hot Fixes/Patches
Offene Ports
•
allen offenen Ports (TCP und UDP)
Offene TCP-Ports
•
allen offenen TCP-Ports
SNMP-Informationen
•
SNMP-Daten (System-OID)
Liste von Computern
•
detaillierte Informationen zu jedem Computer (in Spaltenform)
Erstellen eigener Berichte
Wenn Sie Berichte ändern oder neue erstellen möchten, speichern
Sie die neuen XSL-Dateien im Unterverzeichnis Config\XSL des
N.S.S.-Installationsverzeichnisses.
Alle Dateien, die diesem Verzeichnis hinzugefügt werden, stehen über
die Bericht-Vorlagen zum individuellen Anpassen von Berichten zur
Verfügung. (Siehe Screenshot „Anpassen eines N.S.S.-Berichts“ am
Anfang dieses Kapitels.)
Nachdem Sie Ihre eigene XSL-Berichtdatei erstellt haben, sollten Sie
die Datei custom_reports.xml modifizieren. Nehmen Sie den Eintrag
in dieser Datei auf, wird Ihr neuer Bericht beim nächsten Start des
N.S.S. unter „Datei“ > „Eigene Berichte erstellen” angezeigt.
Formatierung der XSL-Datei
Folgende Zeilen werden vom N.S.S. automatisch an den Anfang jeder
XSL-Datei gestellt:
<?xml version="1.0" encoding="ISO-8859-1"?>
<xsl:Stylesheet-Version="1.0"
xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
Hierdurch wird Ihnen Arbeit erspart.
In einer individuell gestalteten XSL-Datei sollte am Anfang folgende
Musterdefinition stehen:
<xsl:template match="/">
Anhand bereits existierender Dateien können Sie nachvollziehen, wie
XSL-Dateien vom N.S.S. eingesetzt werden.
Beispielbericht
Mithilfe des folgenden Berichts wird aus Ihrer Sicherungsdatei eine
Liste erstellt, in der speziell die Sicherheitslücken und offenen
Trojaner/Backdoor-Ports Ihrer Rechner aufgeführt sind. An einigen
Stellen dieses Berichts wurden aus Platzgründen Daten ausgelassen.
Bis auf einige geringfügige Unterschiede gleicht dieses Skript jedoch
dem im Verzeichnis Config\xsl aufgeführten. Folgende modifizierte
Daten wurden aus der Datei high_security_alerts.xsl gewonnen.
all_security_alerts.xsl
<xsl:template match="/">
<body>

Scan-Ziel :
<xsl:value-of select="hosts/@scan_target"/> [
<xsl:value-of select="count(hosts/host)"/>
Computer gefunden ]

<hr/>
Hinweis: Dieser Code generiert folgende Ausgabe:
Scan-Bereich: 192.168.192.1-192.168.199.254 [ 67 Computer
gefunden ])

Alle Sicherheitswarnungen 

Dieser Bericht enthält : 
<ul>
<li>Nur Sicherheitswarnungen</li>
</ul>

 
Hinweis: Dieser Code generiert folgende Ausgabe:
Alle Sicherheitswarnungen
Dieser Bericht umfasst:
•
Nur Sicherheitswarnungen
<xsl:if test="$show_table=1">

<table border="0">
<tr>
<th align="middle" bgColor="#3366cc">IP-Adresse</th>
size="2">Host-Name</th>
size="2">Benutzername</th>
size="2">Betriebssystem</th>
</tr>

<xsl:for-each select="hosts/host">
<xsl:sort data-type="text" select="os"/>
<xsl:if test="1">
<tr>
<td bgColor="#f0f0f0"><a href="#{ip}"><xsl:value-of
select="ip"/></a></td>
<td bgColor="#f0f0f0"><xsl:value-of select="Host-Name"/></td>
<td bgColor="#f0f0f0"><xsl:value-of select="BenutzerName"/></td>
<td bgColor="#f0f0f0">
<xsl:if test="$show_images=1">
<img src="{os_image_path}"/>
<xsl:text disable-output-escaping="Ja"> &nbsp;</xsl:text>
</xsl:if>
<xsl:value-of select="os"/>
</td>
</tr>
</xsl:if>

</xsl:for-each>
</table>

</xsl:if>
(Hinweis: Über diesen Code wird die Anfangstabelle mit IP-Adresse,
Host-Name, Benutzername und dem Betriebssystem sowie Links zu
den jeweiligen Bereichen in der anschließenden Tabelle erstellt.
Mithilfe der üblichen HTML-Farbcodes lässt sich der Hintergrund und
die Schriftfarbe ändern.

<xsl:if test="$show_details=1">
 
<xsl:for-each select="hosts/host">
<xsl:sort data-type="text" select="os"/>

<xsl:if test="1">
<A name="{ip}"/>
<table border="1" cellspacing="0" cellpadding="0"
style="border-collapse:collapse; mso-border-alt:solid windowtext
.9pt;mso-padding-alt:0in 1.4pt 0in 1.4pt">
<tr><td width="738" valign="top"
style="width:7.10in;border:none windowtext
.9pt;background:#3366cc;padding:0in 5.4pt 0in 4.4pt">

<xsl:value-of select="ip"/>
[ <xsl:value-of select="Host-Name"/> ]

<xsl:text disable-output-escaping="Ja">&nbsp;</xsl:text>
<xsl:value-of select="os"/>



</td></tr>
<td>

<xsl:if test="$show_alerts = 1">
<xsl:if test="count(alerts/*) > 0">
<A name="{ip}alerts"/>
 
<xsl:for-each select="alerts">

[das genaue Format steht in der Datei high_security_alerts.xsl zur
Verfügung]

<!—CGI-Missbrauch-->
<xsl:for-each select="cgi_abuses/cgi_abuse">
<xsl:if test="level=0 or level=1 or level=2">
(Hinweis: Die obige Zeile ist die erste dieses Codes, die im Vergleich
mit der Datei high_security_alerts.xsl verändert wurde. Sie wurde
geändert, damit bei den in der Datei identifizierten Sicherheitslücken
0 – hoch, 1 – mittel oder 2 – info die Angaben im neuen
Ausgabeformat gespeichert werden.)
<table border="0" cellspacing="0" cellpadding="0"
style="border-collapse:collapse; mso-border-alt:solid windowtext
.9pt;mso-padding-alt:3in 1.4pt 0in 1.4pt">
<tr><td width="20"></td>
<td width="200" valign="top"
style="width: 6.70in ;border:none windowtext
.9pt;background:#6f6f6f;padding:0in 5.4pt 0in 4.4pt">
<xsl:if test="$show_images=1">
<xsl:choose>
<xsl:when test="level = 0">
<img src="images/high.bmp"/>
</xsl:when>
<img src="images/med.bmp"/>
</xsl:when>
<img src="images/low.bmp"/>
</xsl:when>
<xsl:otherwise>
<img src="images/information.bmp"/>
</xsl:otherwise>
</xsl:choose>
<xsl:text disable-output-escaping="yes"> &nbsp;</xsl:text>
</xsl:if>


<xsl:value-of select="Name"/> 


</td>
</tr>
<tr><td></td>
<td width="738" valign="top"
style="width:4.90in;border:none windowtext
.9pt;background:#f5f5f5; padding:0in 5.4pt 0in 4.4pt">
<xsl:value-of select="impact"/> 
<a href="{bugtraq}"><xsl:value-of select="bugtraq"/></a> 
</td>
</tr>
</table>
 
</xsl:if>
</xsl:for-each>


[cut same basic format as the CGI abuses]













</xsl:for-each>
</xsl:if>
</xsl:if>


</td>
</table>
 
</xsl:if>

</xsl:for-each>
</xsl:if>
<xsl:element name="HR"/>
<xsl:value-of select="hosts/@created_on"/> 
</body>
</xsl:template>
</xsl:stylesheet>
Dieses Beispiel erläutert, wie schnell eine bestehende XSL-Datei
modifiziert werden kann. Eine Hauptzeile wurde so geändert, dass
nach Warnmeldungen 0-2, und nicht lediglich nach einer bestimmten
Warnmeldungsnummer gesucht wird. Der Bereich zu den offenen
Ports wurde ebenfalls entfernt.
Zum Thema XSL gibt es umfangreiche Fachliteratur und Quellen im
Internet, die Ihnen beim Erstellen eigener XSL-Dateien helfen.
Dadurch ist es Ihnen möglich, den N.S.S. so zu konfigurieren, dass er
Daten in dem von Ihnen gewünschten Format speichert.
Bitte vergessen Sie nicht, nach dem Generieren einer neuer XSLDatei die Datei custom_reports.xml im Verzeichnis Config\xsl zu
modifizieren. Dadurch können Sie nach dem nächsten Neustart des
N.S.S. über „Datei“ > „Eigenen Bericht erstellen“ die Ergebnisse gleich
in Ihrem neuen Format speichern.
Bericht-Generator
Funktion des Bericht-Generators
Das Bericht-Modul ermöglicht es Ihnen, Anfragen zum Durchsuchen
von XML-Berichten definieren.
Wenn Sie auf „Datei” > „Anfragen-Generator” klicken, wird folgendes
Fenster aufgerufen:
Beispiel 1
Liegt z. B. ein XML-Bericht zu 1000 Computern vor, und Sie möchten
sämtliche Windows-Rechner anzeigen lassen, auf denen der Patch
MS02-023 fehlt, gehen Sie wie folgt vor:
Wählen Sie zunächst den XML-Bericht, der durchsucht werden soll.
Definieren Sie dann die beiden folgenden Anfragen:
1. Das Betriebsystem enthält Windows
2. Hot Fix (Patch) ist nicht installiert MS02-023
Klicken Sie dann auf „Suchen“.
Alle Rechner werden angezeigt.
Beispiel 2
Um alle Sun-Stations zu finden, die auf Port 80 einen Web-Server
betreiben, muss die Suchanfrage wie folgt aussehen:
Bericht-Generator • 51
1. Das Betriebsystem enthält SunOS
2. TCP-Port ist offen 80
Klicken Sie dann auf „Suchen“.
Alle Rechner werden angezeigt.
Beispiel 3
Generieren Sie eine Liste aller Computer mit offenen Ports („Offene
Ports“ ist eine der Vorlagen, die Sie zum Erstellen und Speichern von
Scan-Berichten nutzen können). Für dieses Beispiel soll gelten, dass
die Scan-Ergebnisse mithilfe der Standardvorlage generic.xsl
gesichert wurden, in der sämtliche Informationen gespeichert sind.
1. Wählen Sie die Datei, die Sie ursprünglich gespeichert hatten.
2. Klicken Sie auf „Bericht anpassen“.
3. Unter „Bericht-Stylesheet“ ändern Sie bitte generic.xsl
(Standardvorlage) in open_ports.xsl (Offene Ports) und klicken
Sie dann auf „OK“, um zum vorherigen Fenster zurückzukommen.
4. Klicken Sie auf „Suchen“, um den Bericht zu erstellen.
Fazit
Beispiel 3 verdeutlicht, dass es nicht erforderlich ist, den Bericht um
weitere Abfragebereiche zu ergänzen. Zum Parsen von Informationen
lassen sich bereits die vordefinierten XSL-Dateien einsetzen.
Hinweis: Bei Anfragen müssen Sie Groß- und Kleinschreibung
beachten. Es ist daher wichtig, dass Sie bei Ihrer Suche zwischen
SunOS,
SunOs
oder
SUNOS
unterscheiden
müssen.
52 • Bericht-Generator
Verteilung und Installation von Patches
auf Microsoft-Rechnern
Einführung in die Patch-Verteilung
Mit der leistungsfähigen Funktion zum Verteilen und Installieren von
Patches stellen Sie sicher, dass auf Ihren Windows NT, 2000 und XPRechnern (inklusive Applikationen) immer die neuesten SicherheitsPatches installiert sind. In diesem Kapitel werden folgende Themen
behandelt:
•
Bestandsaufnahme der auf einem Rechner installierten Hot Fixes
und Patches
•
Zuweisen von fehlenden Hot Fixes und Patches
•
Zuweisen von Betriebssystem-spezifischen Service Packs
• Zuweisen individueller Patches
Diese Aktionen sind nur dann erfolgreich, wenn Sie für den von Ihnen
gescannten Rechner Administratorrechte besitzen. Wenn Sie nicht
über die erforderlichen Rechte verfügen, können Sie weder eine
Remote-Verbindung zur Registry aufbauen, noch nach DateiInformationen suchen und zudem auch keine Patches installieren.
Microsoft SUS und GFI LANguard N.S.S.
Microsoft SUS bietet eine gute Lösung für die Verteilung von
Betriebssystem-Patches. Folgende Funktionen werden von Microsoft
SUS jedoch nicht unterstützt und stehen nur über den GFI LANguard
N.S.S. zur Verfügung:
•
Verteilung von Service Packs
•
Verteilung von Patches an Rechner mit Windows NT
•
Verteilung von Patches für Microsoft-Applikationen und Service
Packs für MS Office, MS SQL Server und MS Exchange Server.
•
Verteilung von (Drittanbieter)-Software (Beispiel: Die Verteilung
des GFI FAXmaker-Clients an mehrere Workstations).
Microsoft beabsichtigt nicht, die SUS um diese Funktionen zu
erweitern. Als Alternative bietet das Unternehmen Microsoft SMS an,
eine Lösung, die jedoch kostenintensiver und recht aufwändig zu
bedienen ist. Daher sollte Microsoft SUS eingesetzt werden, um
Rechner mit Windows 2000/XP/.NET auf dem neuesten Stand zu
halten, wohingegen GFI LANguard N.S.S. für die Verteilung von SPs,
Patches/SPs für MS-Applikationen sowie von Drittanbieter-Software
zum Einsatz kommen sollte.
Verteilung und Installation von Patches auf Microsoft-Rechnern • 53
Identifizierung fehlender Hot Fixes oder Service Packs
Bevor der N.S.S. feststellen kann, welche Hot Fixes und Service
Packs auf einem Rechner fehlen, muss zunächst eine
Bestandsaufnahme aller bereits installierten erfolgen. Hierfür werden
die Registry-Einstellungen, Datum-/Zeitstempel von Dateien und
Versionsinformationen des Rechners mit den Informationen der von
Microsoft bereitgestellten Datei mssecure.xml verglichen.
Nachdem der N.S.S festgestellt hat, welche Produkte auf dem
Rechner installiert sind, wird überprüft, ob für diese Applikationen Hot
Fixes oder Service Packs verfügbar sind. Fehlende Hot Fixes und
Patches werden der Liste hinzugefügt und vom N.S.S. angezeigt.
Fehlen Patches, sieht die entsprechende Warnmeldung in etwa wie
folgt aus:
Als erstes erscheint die Meldung, für welches Produkt ein Patch fehlt.
Mit einem Klick auf das Produkt erfahren Sie dann, welcher Patch im
Einzelnen fehlt. Über den angegebenen Link können Sie diesen Patch
dann herunterladen.
Unidentifizierbare Patches
In Einzelfällen kann der N.S.S. nicht feststellen, ob ein bestimmter
Patch bereits installiert wurde oder nicht. Die betreffenden Patches
werden bei den Warnmeldungen unter dem Knoten „Unidentifizierbare
Patches“ aufgelistet.
Patch-Verteilung – unterstütze Produkte
Die aktuelle Version des N.S.S. sucht nach Patches für folgende
Produkte:
•
Windows NT 4.0
•
Windows NT 4.0 Server
54 • Verteilung und Installation von Patches auf Microsoft-Rechnern
•
Windows NT 4.0 Enterprise Edition
•
Windows 2000 Professional
•
Windows 2000 Server
•
Windows 2000 Advanced Server
•
Windows 2000 Datacenter Server
•
Windows XP Home Edition
•
Windows XP Professional
•
Internet Information Server 3.1
•
•
•
•
SQL Server 7.0
•
SQL Server 2000
•
Internet Explorer 4.0
•
•
•
•
•
•
SQL Server 7
•
SQL Server 2000
•
Microsoft ISA Server
•
Microsoft Exchange 2000 Standard
•
Microsoft Exchange 2000 Enterprise
•
Microsoft Exchange 5.5
•
Office XP
•
Office 2000 Developer
•
Office 2000 Premium
•
Office 2000 Small Business
•
Office 2000 Standard
•
Office 2000 mit MultiLanguage Pack
Der N.S.S. kann einigen dieser Produkte lediglich Hot Fixes zuweisen.
Dies ist abhängig davon, wie die Update-Dateien von Microsoft zur
Verfügung gestellt werden. Wenn es sich bei dem Update um eine
Komplettdatei handelt, die sich ohne Benutzereingriff im Hintergrund
installieren lässt, kann sie vom N.S.S. verteilt und installiert werden.
Bei einem Utility, das Systemanfragen stellt, Benutzereingaben
erfordert und Dateien aus dem Internet herunterlädt, kann es jedoch
u. U. Probleme bei der Installation geben (siehe Kapitel zu
individuellen Patches).
Installation von Hot Fixes
Hinweis: Mit GFI LANguard N.S.S. können derzeit nur Patches für
englischsprachige Windows-Versionen verteilt werden!
Erste Schritte
Nachdem die Liste aller fehlenden Hot Fixes erstellt worden ist,
müssen die betroffenen Rechner gepatcht werden. Klicken Sie mit
der rechten Maustaste auf einen dieser Rechner, dann auf „Diesem
Rechner Patches zuweisen“ und legen Sie die gewünschten
Einstellungen in folgendem Fenster fest:
Installation von Patches auf einem Windows-Rechner
Wenn Sie auf „diese Patches” klicken, können Sie einzeln festlegen,
welche Patches dem entsprechenden Rechner zugewiesen werden
sollen.
Standardmäßig werden alle Patches, deren Fehlen
festgestellt werden konnte, an die Rechner verteilt. In Einzelfällen
kann es aber erforderlich sein, nicht alle, sondern nur bestimmte
Patches zu verteilen. Sie haben daher die Möglichkeit, Patches zu
deselektieren, damit diese nicht installiert werden.
Wenn Sie „Allen Rechnern Patches zuweisen“ gewählt haben, können
Sie durch einen Mausklick auf „diese Rechner“ sehen, um welche
Computer es sich handelt. Hier lassen sich ebenfalls all die Rechner
deselektieren, denen keine Patches zugewiesen werden sollen.
Wenn Rechner nach der Patch-Installation automatisch neu gestartet
werden sollen, aktivieren Sie bitte das Kontrollkästchen „Nach
Installation Rechner neu starten“.
Damit Sie einen Überblick über die vom N.S.S. durchgeführten
Aktualisierungen behalten, können Sie einen Installationsbericht
erstellen lassen. Wenn Sie diesen Bericht nicht benötigen, können
Sie die Option „Log-Datei erstellen” deselektieren.
In einigen Fällen kann es ratsam sein, Patches nach der Verteilung
nicht sofort zu installieren.
Sie können daher den
Installationszeitpunkt und den Rechner-Neustart auch individuell
festlegen, wie im folgenden beschrieben.
Weitere Optionen
Über die Schaltfläche „Erweitert” rufen Sie folgendes Fenster auf:
Erweiterte Einstellungen zum Patchen von Windows-Rechnern
In einigen Fällen könnte die automatische Installation hinderlich sein,
z. B., wenn vor der Installation vom Benutzer des betreffenden
Rechners bestimmte Daten abgefragt werden sollen. Hierfür eignet
sich der „Interaktive Modus”, den Sie in diesem Fenster aktivieren
können.
Hinweis: Bei einigen Patches ist während der Installation die
Eingabe bestimmter Informationen erforderlich, andere hingegen
installieren sich (bedingt durch die Patch-Programmierung) trotz
Auswahl des aktiven Modus völlig automatisch.
In den meisten Fällen sollten Sie Benutzer auf eine bevorstehende
Patch-Verteilung hinweisen und sie informieren, dass nach der
Installation ein Neustart des Computers erforderlich ist. Aktivieren Sie
hierfür bitte die Option „Benutzer auf Installation hinweisen”. Eine
Standardmitteilung informiert Benutzer darüber, dass Hot Fixes
installiert werden sollen und dass diese Aktion von Benutzer XYZ über
den Rechner ABC gestartet wurde. (Als Benutzername wird der
Name des Anwenders angegeben, der auf dem N.S.S.-Rechner
aktuell angemeldet ist.) Die Mitteilung kann individuell angepasst
werden.
Hinweis: Mit dieser Mitteilung sollen Benutzer lediglich über die
Installation eines Patches informiert werden. Es ist ihnen jedoch nicht
möglich einzugreifen und die Patches abzulehnen.
Wenn Sie IIS- oder SQL-Patches verschieben wollen, sollten Sie
zuvor den betreffenden Dienst manuell anhalten, da nicht immer
garantiert ist, dass der Patch dies für Sie übernimmt. Wenn auf dem
Rechner Dienste aktiv sind, die Sie anhalten möchten, aktivieren Sie
bitte die Option „Dienste anhalten".
Wenn die Festplatten-Kapazität auf dem Benutzer-Rechner sehr
gering ist, sollten Sie die Patch-Dateien nach der Installation vom
System entfernen. Andernfalls verbleiben die Q-Dateien und Patches
auf dem Benutzer-Rechner.
Mit „Anzahl der Installations-Threads“ und „Abstand beim Versand
mehrerer Patches“ legen Sie folgende Werte fest:
•
Anzahl der Verteilungs-Theads – Gibt an, wie viele Threads zum
Verteilen eingesetzt werden. (Je mehr Threads Sie einsetzen,
desto schneller werden Rechner gleichzeitig gepatcht.) Jeder
zusätzliche Thread bedeutet jedoch auch, dass die NetzwerkBelastung steigt.
•
Abstand beim Versand mehrerer Patches – Gibt an, wie schnell
mehrere Patches hintereinander auf Remote-Rechner kopiert
werden. (D. h., wie groß die Verzögerung zwischen dem Versand
von Patches sein soll. Eine geringe Verzögerung ermöglicht es
Ihrem Netzwerk, neben dem Verschicken eines Patches auch
noch andere Aktionen durchzuführen.)
Mit Hilfe beider Parameter können Probleme hinsichtlich der
Netzwerk-Belastung gelöst werden. Die bereits vorgegebenen Werte
sollten nur dann geändert werden, wenn das Netzwerk sehr langsam
ist und/oder der Versand von Patches im Netzwerk nicht schnell
genug erfolgt.
Patch-Prozess starten
Wenn Sie alle gewünschten Einstellungen vorgenommen haben und
auf „Start“ klicken, erscheint folgendes Fenster:
Patches, deren Download noch aussteht
Bevor eine Sicherheitslücke durch einen Patch geschlossen werden
kann, muss dieser von der Microsoft-Site heruntergeladen werden.
Wenn möglich, wird der N.S.S. einen Link anzeigen, über den der
benötigte Patch direkt heruntergeladen werden kann. Ansonsten wird
zur Download-Seite verlinkt, über die der Patch heruntergeladen
werden kann. Hierbei kann es notwendig sein, z. B. weitere Angaben
zu machen oder die Sprache auszuwählen.
Hinweis: Bitte stellen Sie sicher, dass die Patches in das richtige
Verzeichnis heruntergeladen werden. Wenn Sie das Verzeichnis
ändern, in dem der N.S.S. die Dateien ablegt, kann der Scanner den
Patch nicht finden, und Sie werden zum nochmaligen Download
aufgefordert. Die Patches sollten im Unterverzeichnis "\download" des
Installationsverzeichnisses von GFI LANguard N.S.S. abgelegt
werden. Bei den internationalen Sprachversionen von Service
Packs/Patches werden Sie u. U. dazu aufgefordert, die Dateien in
anderen Verzeichnissen abzuspeichern. Die Dateien müssen im
dafür vorgesehenen Verzeichnis abgelegt werden. Andernfalls können
die SPs/Patches für nicht englischsprachige Betriebssysteme nicht
installiert werden.
Sind alle Patches heruntergeladen, klicken Sie bitte auf die
Schaltfläche „Weiter“. Dadurch werden alle Patches von Ihrem
Rechner auf alle anderen Computer kopiert, die gepatcht werden
müssen.
Hinweis: Der Patch-Vorgang lässt sich bereits vor dem Download
aller ausgewählten Patches starten. Stellen Sie daher sicher, dass
alle Patches, die Sie auf Ihren Rechnern installieren möchten,
tatsächlich bereits heruntergeladen sind, bevor Sie auf „Weiter“
klicken.
Der N.S.S. informiert Sie über den Fortschritt des Kopiervorgangs
jeder einzelnen Datei und zeigt dann die Installation der Patches an.
Ist der Kopierprozess abgeschlossen und hat der N.S.S. den
Installationsbeginn kontrolliert, erhalten Sie einen Bericht, in dem alle
Arbeitsschritte aufgeführt sind.
Hinweis: Wenn der Bericht eingeblendet wird, ist die PatchInstallation auf den ausgewählten Rechnern möglicherweise noch
nicht beendet. Je nach Anzahl der Patches, deren Größe und der
Leistungsfähigkeit Ihres Netzwerkes und Ihrer Rechner kann die
Patch-Installation in nur ein bis zwei Minuten abgeschlossen sein oder
aber bis zu einer Stunde dauern.
Sind alle Rechner gepatcht und neu gestartet worden, sollten Sie
einen erneuten Scan durchführen um sicherzustellen, dass alle
Patches korrekt installiert und registriert wurden.
Installation von Service Packs
Verteilen fehlender Service Packs
Die Installation fehlender Service Packs erfolgt in der gleichen Weise
wie bereits bei den Hot Fixes beschrieben. Wenn Sie mit der rechten
Maustaste auf einen Rechner klicken, auf dem ein Service Pack fehlt,
und „Diesem Rechner Service Packs zuweisen“ wählen, wird der
gleiche Installationsvorgang gestartet. In diesem Fall hingegen
werden die fehlenden Service Packs heruntergeladen.
Hinweis: Sie sollten sicherstellen, dass der N.S.S. nach der
Verteilung und Installation eines Service Packs den Computer neu
startet. Ist diese Option nicht aktiviert, und wird der Rechner nach
dem Patchen ohne Neustart erneut gescannt, werden wieder die
Warnhinweise aufgrund des vermeintlich veralteten SP angezeigt und
dass hierfür Hot Fixes benötigt werden. Werden diese Hot Fixes
erneut verteilt, kann dies zu ernsthaften Systemfehlern führen. Sie
sollten daher den N.S.S. so konfigurieren, dass nach der erfolgreichen
Installation eines Patches ein Neustart der Workstation durchgeführt
wird.
Installation individueller Patches
Verteilen individueller Patches
Die Installation individueller Patches wird NICHT unterstützt, steht
Benutzern aber als Option zur Verfügung. Grund hierfür ist, dass mit
diesem Utility alle möglichen Arten von Patches verteilt werden
können. Vom N.S.S. offiziell unterstützte Hot Fixes und Service
Packs können über die anderen Funktionen verschoben werden. In
Ausnahmefällen kann es jedoch erforderlich sein, dass für Ihr
Unternehmens-Netzwerk ein eigener Patch benötigt wird, der sich
dann mithilfe dieses dritten Patch-Features verteilen lässt. Damit
dieses Utility funktioniert, muss der von Ihnen bereit gestellte Patch im
Hintergrund verteilt und installiert werden können. Klicken Sie mit der
rechten Maustaste auf einen Rechner, auf dem dies getestet werden
soll, und dann auf „Allen Rechnern individuelle Patches zuweisen“.
Daraufhin öffnet sich folgendes Fenster:
Hinweis: Wenn Sie die Patches auf „diesen Rechner“ verschieben,
steht die Auswahl des Betriebssystems und der einzelnen
Applikationen nicht zur Verfügung, da der Rechner dem N.S.S. bereits
bekannt ist.
Zunächst müssen Sie die exe-Datei angeben, die Sie verteilen
möchten. Klicken Sie hierfür auf die Schaltfläche „Hinzufügen“.
Folgendes Fenster wird geöffnet:
Handelt es sich bei dem Patch um einen normalen Windows-Patch,
können Sie die Option „Windows Standard-Patch“ aktiviert lassen, und
der N.S.S. setzt alle notwendigen Parameter automatisch. Bei
individuellen Patches oder einem Microsoft-Patch, der nicht den
normalen MS-Standards entspricht, kann diese Option deselektiert
werden, um die benötigten Parameter manuell einzugeben.
Hinweis: Bei Patches, die im Hintergrund automatisch installiert
werden können, sollte es keine Probleme geben. Hierbei muss es
sich nicht um einen Microsoft-Patch handeln. Wichtig ist, dass der
Patch ohne Benutzereingriff installiert werden kann.
Nachdem Sie alle Patches, die Sie verteilen möchten, aufgelistet
haben, müssen Sie die Prüfkriterien für die Installation der einzelnen
Patches festlegen.
Hierfür selektieren Sie entweder das
Betriebssystem oder die Produkte, für die diese individuellen Patches
eingesetzt werden sollen.
Beispiel 1 - Installation des Windows Media Player 7.1 auf allen
Rechnern mit Windows 2000 Professional.
Führen Sie den ersten Scan durch, klicken Sie mit der rechten
Maustaste auf einen Rechner und wählen Sie dann „Allen Rechnern
individuelle Patches zuweisen“.
Klicken Sie auf „Hinzufügen“ und geben Sie den Pfad für die
Installationsdatei des Windows Media Player 7.1 an.
(Hinweis: Diese Datei sowie alle anderen Patches, die mithilfe dieser
Option installierten werden sollen, müssen ohne Unterstützung durch
den N.S.S. ausgewählt und heruntergeladen werden.)
Aktivieren Sie das Kontrollkästchen „Windows 2000 Professional“.
Klicken Sie auf „Weiter“.
Ab diesem Schritt besteht kein Unterschied zu den Menüs für das
Patchen von Hot Fixes und Service Packs.
Beispiel 2 - Installation von Office 97 SP1 auf allen Rechnern mit
Windows 2000 Professional.
Die Vorgehensweise ist die gleiche wie in Beispiel 1. Anhand dieses
Beispiels soll jedoch erläutert werden, dass bei einigen Office-SPs ein
Verteilen auf die Workstations möglich ist. Probleme gibt es jedoch
beim Verschieben des SP 2 für Office 97. Bei dieser SP-Version muss
zuerst die Seriennummer eingegeben werden, bevor sich der Patch
installieren lässt. Aus diesem Grund kann das SP 2 für Office 97 nicht
verteilt werden (außer es gibt einen bislang noch nicht dokumentierten
Weg, die Seriennummer per Befehlszeilen-Oberfläche einzufügen).
Diese dritte Patch-Option kann daher nur bedingt eingesetzt werden.
Hinweis: Wenn Sie einen individuellen Patch verteilen wollen, testen
Sie diesen zuvor bitte in verschiedenen Installationsumgebungen.
Kann der Patch nicht installiert werden, versuchen Sie die Installation
per „interaktivem Modus“, der über die Schaltfläche „Erweitert“ im
Fenster „Patches verteilen" aktivierbar ist. Einige Patches lassen sich
zwar nicht im Hintergrund installieren, dafür jedoch im interaktiven
Modus.
Wichtige Hinweise zur Patch-Installation
Der Installation von Patches sollte immer ein Testlauf vorausgehen!
Jede Netzwerk-Umgebung ist anders, und jeder Rechner ist
unterschiedlich konfiguriert. Aus diesem Grund lassen sich nicht alle
Sicherheitslücken durch SPs und Hot Fixes schließen. Teilweise
können durch die Installation sogar unvorhergesehene Probleme
auftreten.
Der N.S.S. bietet Ihnen die Möglichkeit, Zielrechnern Patches
zuzuweisen. Beim Einsatz des N.S.S sollten Sie, wie bei allen
anderen Patch-Applikationen, vor einer umfangreichen PatchVerteilung testen, wie sich die Installation herstellerspezifischer
Patches auf Ihre Netzwerk-Umgebung auswirkt. Der N.S.S. erspart
Ihnen viel Zeit und unterstützt Sie beim Verteilen von Patches –
jedoch nur, wenn deren Zuverlässigkeit zuvor überprüft wurde.
Patches ignorieren
Patches lassen sich auch auf eine Ignorieren-Liste setzen. Diese Liste
kommt zum Einsatz, wenn ein bestimmter Patch nicht verteilt werden
soll oder wenn ein bereits installierter Patch nicht identifiziert oder im
Hintergrund installiert werden kann. Dadurch lässt sich verhindern,
dass dieser Patch unter dem Knoten für noch zu installierende
Patches aufgeführt wird.
Klicken Sie hierfür mit der rechten Maustaste auf den zu
ignorierenden Patch und wählen Sie im Kontextmenü die
entsprechende Option, wie in folgendem Screenshot gezeigt:
Patch einer Ignorieren-Liste hinzufügen
Durchsuchen von Microsoft-Bulletins
Wenn Sie weitere Informationen zu den Patches erhalten möchten,
nach denen der N.S.S. auf den einzelnen Rechnern sucht, klicken Sie
bitte auf „Patches“ > „Bulletins durchsuchen“. Dadurch wird folgendes
Fenster geöffnet:
MS Bulletin-Browser
Durch einen Doppelklick auf ein Bulletin erhalten Sie Informationen
zum Sicherheitsproblem und die zum Beheben dieses Problems
benötigten Dateien. Zusätzlich steht Ihnen ein Link zur betreffenden
MS-Seite zur Verfügung, auf der das Original-Bulletin zu finden ist.
Folgender Screenshot zeigt die entsprechenden Informationen:
Beispiel eines MS Bulletins
Wenn Sie einen der Patches markieren, informiert Sie der N.S.S., für
welche Produkte der Patch eingesetzt wird. In der obigen Abbildung
des Patches zur Bulletin-ID MS02-024 werden die betroffenen
Produkte in einzelnen aufgeführt. In diesem Beispiel ist der Patch für
Windows 2000 Advanced Server, Datacenter Server, Professional und
Server gedacht.
Hinweis: Der Patch kann mithilfe dieses Utilitys heruntergeladen
werden.
Wenn Sie auf den Patch doppelklicken (hier
q320206_w2k_sp4_x86_en.exe), wird eine Verbindung zur MicrosoftSite hergestellt und der Hot Fix heruntergeladen.
Suche nach MS Bulletins
Wenn Sie Informationen zu einem bestimmten Bulletin benötigen,
können Sie hierfür die Option „Bulletin suchen“ nutzen. Diese
Suchfunktion steht unter „Patches” > „Bulletin suchen” zur Verfügung.
Über folgenden Suchdialog können Sie nach einzelnen Bulletins
suchen:
Nach einem MS Bulletin suchen
Geben Sie den Namen des Bulletins oder die Q-Nummer ein, nach
dem/der der N.S.S. suchen soll.
Warum Ergebnisse vergleichen?
Der Ergebnis-Vergleich (ob interaktiv oder nach festem Zeitplan)
steht nur in der registrierten Version des GFI LANguard Network
Security Scanners zur Verfügung!
Netzwerk-Audits sollten regelmäßig durchgeführt und Ergebnisse von
vorherigen Scans zum Vergleich herangezogen werden. So erhalten
Sie einen besseren Überblick darüber, welche Sicherheitsprobleme
dauerhaft bestehen oder von Benutzern wiederholt verursacht
werden.
Nur auf diese Weise können Sie effizientere
Gegenmaßnahmen einleiten und Ihr Netzwerk wesentlich sicherer
machen.
Der GFI LANguard Network Security Scanner unterstützt Sie bei
dieser Arbeit und vergleicht die Scan-Ergebnisse. Unterschiede
werden hervorgehoben, damit Sie schneller informiert sind und
eingreifen können. Ergebnisse lassen sich bei Bedarf manuell oder
regelmäßig nach einem festen Zeitplan vergleichen. Beide Optionen
werden im folgenden erklärt.
Interaktiver Vergleich von Ergebnissen
Beim Speichern der Berichte im HTML-Format erstellt der N.S.S.
auch eine XML-Datei, auf die das Modul für den Ergebnis-Vergleich
zurückgreift.
Um zwei Berichte miteinander zu vergleichen, wählen Sie bitte „Datei”
> „Ergebnisvergleich”. In dem sich öffnenden Fenster wählen Sie dann
bitte zwei Dateien, die die gleiche Scan-Methode zu unterschiedlichen
Zeiten dokumentieren, und klicken Sie auf „Vergleichen“.
Vergleich von Scan-Ergebnissen • 65
Ergebnisvergleich
Ein solcher Ergebnisvergleich ist in obigem Screenshot abgebildet.
Hier können Sie sehen, welche Aktivierungen oder Deaktivierungen
oder sonstigen Netzwerk-Änderungen seit dem letzten Scan
vorgenommen wurden:
•
Neue Objekte
•
Entfernte Objekte
•
Veränderte Objekte (z. B. aktivierte/deaktivierte Dienste, neue
offene Ports)
•
Veränderte Warnmeldungen
Ergebnis-Vergleich nach einem festen Zeitplan
Als Alternative zu manuellen Netzwerk-Scans, die täglich, wöchentlich
oder monatlich durchgeführt werden, können Sie Ihr Netzwerk auch
regelmäßig nach einem festen Zeitplan überprüfen lassen.
Hierfür steht das Tool „Geplante Scans” zur Verfügung, das
Administratoren über alle Auffälligkeiten per E-Mail informiert.
Beispiel: Administratoren können über „Geplante Scans” festlegen,
dass jeden Tag um 23:00 Uhr ein Netzwerk-Scan erfolgen soll. Zu
diesem Zeitpunkt startet das Tool den N.S.S., alle ausgewählten
Computer werden gescannt und die Scan-Resultate gespeichert.
Danach wird das aktuelle Scan-Ergebnis mit dem des Vortags
verglichen. Haben sich Veränderungen ergeben, wird der
Administrator per E-Mail informiert.
Regelmäßige Scans konfigurieren
Um neue regelmäßige Scans zu konfigurieren, klicken Sie im
Hauptmenü auf „Scan“ > „Geplanter Scan“. Alle Einstellungen werden
in folgendem Fenster vorgenommen:
Regelmäßige Scans konfigurieren
Einen neuen Scan-Vorgang hinzufügen
Um einen neuen regelmäßigen Scan-Vorgang hinzuzufügen, klicken
Sie auf „Datei“ > „Neu“. Legen Sie Einstellungen in folgendem Fenster
fest:
66 • Vergleich von Scan-Ergebnissen
Hinzufügen eines neuen regelmäßigen Scans
Geplante Scans löschen
Wird eine zuvor festgelegte Scan-Methode nicht länger benötigt, kann
dieser aus der Liste der regelmäßigen Scans entfernt werden.
Markieren Sie den betreffenden Scan und klicken Sie dann auf
„Bearbeiten“ > „Entfernen“ (oder wählen Sie den Scan-Vorgang mit
der rechten Maustaste aus und klicken Sie im Kontextmenü auf
„Geplanten Scan entfernen“.)
Geplante Scans modifizieren
Möchten Sie einen Scan-Vorgang modifizieren, markieren Sie ihn
einfach und klicken Sie dann auf „Bearbeiten” > „Modifizieren” (oder
rechtsklicken Sie ihn und wählen Sie dann „Geplanten Scan
bearbeiten“.)
E-Mail-Konfiguration festlegen
E-Mail-Einstellungen
Bitte stellen Sie sicher, dass die Standardeinstellungen für die E-MailKommunikation geändert werden. Dazu gehen Sie folgendermaßen
vor:
1. Klicken Sie auf „Datei“ > „Optionen“.
2. In dem sich öffnenden Fenster können die Adresse des SMTPServers angeben, den Port (Standard: 25), die E-Mail-Adresse, an
Vergleich von Scan-Ergebnissen • 67
die die Informationen geschickt werden sollen, sowie die für diese
Benachrichtigungen gewünschte Betreff-Zeile.
3. Um die Einstellungen zu überprüfen, sollten Sie auf die
entsprechende Schaltfläche klicken. Sind alle Angaben korrekt,
trifft innerhalb weniger Minuten eine Test-Mail in Ihrem Postfach
ein.
Hinweis: Bei einigen SMTP-Gateways ist es nicht möglich, im
Absenderfeld lediglich einen Namen anzugeben. In diesem Fall
müssen Sie eine vollständige E-Mail-Adresse angeben, z. B.
[email protected]. Obwohl diese Adresse ungültig ist, wird Sie
unter Umständen für den erfolgreichen Nachrichtenversand via
SMTP-Gateway benötigt. Sie müssen daher die Konfiguration Ihres
eigenen Gateways auf diese Besonderheit überprüfen.
Ablauf des Scan-Vorgangs
Der N.S.S. wird zum festgelegten Zeitpunkt gestartet und führt den
Scan wie zuvor festgelegt im Hintergrund durch.
Nach Abschluss des Scans werden die Daten im Verzeichnis
Reports\RC
gespeichert
(Unterverzeichnis
des
N.S.S.Installationsordners). Danach wird das aktuelle Scan-Ergebnis mit
dem vorherigen verglichen.
Wurde der Scan zum ersten Mal durchgeführt und stehen keine
Vergleichswerte zur Verfügung, oder haben sich die Daten zwischen
dem aktuellen Scan-Durchgang und einem vorherigen nicht geändert,
erfolgt keine E-Mail-Mitteilung. Berichte werden nur dann verschickt,
wenn sich Objekte/Daten verändert haben!
68 • Vergleich von Scan-Ergebnissen
Der N.S.S. verschickt zum Erkennen des Betriebssystems drei
verschiedene Pakettypen/Anfragen: NetBIOS, SNMP und ICMP.
Zunächst muss beachtet werden, dass Geräte auf SMB-Pakete
unterschiedlich reagieren. Windows und einige UNIX-Spielarten
reagieren auf diesen Paket-Typ. Windows-Rechner, bei denen die
Datei- und Druckerfreigabe installiert ist, bieten noch umfangreichere
Informationen, sodass man sich ein besseres Bild vom gescannten
Rechner machen kann.
Über SNMP ist in den meisten Fällen eine recht zuverlässige
Identifizierung des verwalteten Geräts möglich. Es gibt jedoch ein
paar Ausnahmen, bei denen der Hersteller seine einzelnen Geräte
nicht mit individuellen IDs versieht. In diesen Fällen liefert die OID des
Geräts lediglich Angaben zum Herstellernamen. Über SNMP kann
jedoch in den meisten Fällen der Hardware-Typ/das Betriebssystem
des Rechners herausgefunden werden.
ICMP-Pakete
dienen
ebenfalls
der
Identifizierung
des
Betriebssystems. Diese Pakete werden in zwei Hauptkategorien
unterteilt.
Bei der ersten wird festgestellt, wie das Gerät auf folgende
Anfragenpakete reagiert: TTL, Adressmasken- und UmlaufzeitAnfragen. Auf Grundlage der TTL-Daten können die Geräte bereits
aufgeschlüsselt werden nach Windows (üblicher Wert: 128) und UNIX
(255). Besondere Antwortmuster helfen ebenfalls bei der Bestimmung
des Betriebssystems. Diese Methoden sind jedoch nicht sehr
zuverlässig, da z. B. TTL-Werte im Betriebssystem geändert werden
können.
Der zweite Bereich der ICMP-Pakete ist das Banner-Grabbing bei der
Verbindungsaufnahme mit einem Port. In einigen Fällen können
darüber sehr aufschlussreiche Informationen zum Betriebssystem
gewonnen werden. In anderen Fällen führt diese Methode jedoch
überhaupt nicht zum Ziel. Das Problem besteht darin, dass das vom
Betriebssystem gesendete Banner in den meisten Fällen modifiziert
werden kann – mit dem Ergebnis, dass entweder keine oder nur
falsche Informationen zum Betriebssystem ausgegeben werden.
Mit dem N.S.S. können einige *nix (Unix-Varianten) identifiziert
werden.
Die Erkennung von Unix-Betriebssystemen ist jedoch
teilweise problematisch, weil der N.S.S. die meisten ihrer IP-Stacks
nicht unterscheiden kann (TTL, Adressmasken-, Informations- und
Umlaufzeit-Antworten). Es bestehen zwar ein paar geringfügigere
Unterschiede, diese ermöglichen jedoch nur eine Aufschlüsselung in
Gruppen. Selbst bei Macintosh gibt es die gleichen Probleme. Daher
ist die Identifizierung dieser Betriebssysteme nur über SMB, SNMP
Identifizierung des Betriebssystems • 69
oder Banner-Grabbing möglich.
Ob genügend Daten zur
Identifizierung des Betriebssystems vorhanden sind, hängt davon ab,
welche Ports offen sind und welche Informationen in den FingerprintDateien zur Verfügung stehen (siehe unten).
Diese Methoden und eine paar andere Tricks werden vom N.S.S. zur
Betriebssystem-Erkennung eingesetzt. Die Angaben des N.S.S. zum
Betriebssystem sind überwiegend korrekt. Fehler bei der
Identifizierung können aufgrund der oben angegebenen Gründe
jedoch nicht ausgeschlossen werden.
Fingerprint-Dateien
In diesem Kapitel soll auf die txt-Dateien eingegangen werden, die der
Geräte-Identifizierung dienen.
Alle der im folgenden aufgeführten Dateien befinden sich im
Unterverzeichnis „Fingerprint” des N.S.S.-Installationsverzeichnisses.
Diese Dateien lassen sich bei Bedarf modifizieren. Bitte beachten Sie
jedoch, dass bei einer fehlerhaften Konfigurierung die gefundenen
Geräte nicht zuverlässig vom N.S.S. identifiziert werden können.
RPC-Dienste
Werden auf dem Rechner aktive RCP-Dienste identifiziert
(normalerweise UNIX oder Linux), vergleicht der N.S.S. die
empfangenen Informationen mit der Datei rpc.txt, die über „Ansicht“ >
„RPC.txt“ aufgerufen und verändert werden kann.
Objekt-ID-Informationen via SNMP
Findet der GFI LANguard Network Security Scanner ein Gerät, das
auf SNMP-Anfragen reagiert, vergleicht er dessen Objekt-IDInformation mit der im N.S.S. gespeicherten. Diese Daten können
über „Ansicht” > „Object_ids.txt” aktualisiert und/oder angezeigt
werden.
SNMP Enterprise Numbers
Findet der N.S.S. ein Gerät, für das ihm keine näheren Informationen
zur Verfügung stehen (über die Datei object_ids.txt), überprüft der
Scanner die herstellerspezifischen Informationen und gibt zumindest
den Hersteller des gefundenen Produkts an. Diese Information
basiert auf den SMI Network Management Private Enterprise Codes,
die
unter
http://www.iana.org/assignments/enterprise-numbers
eingesehen werden können.
Der Name der hier verwendeten Datei lautet enterprises.txt.
Banner-Informationen
Der N.S.S. identifiziert das Betriebssystem auch anhand von Bannern,
die bei der Verbindung zu bestimmten Ports von den einzelnen
Geräten bezogen werden. Zu diesen Ports/Diensten zählen:
•
FTP (ftp.txt)
•
Indentd (indentd.txt)
•
SMTP (smtp.txt)
70 • Identifizierung des Betriebssystems
•
Telnet (telnet.txt)
•
HTTP (www.txt)
Wenn bei einer Verbindung zu diesen Ports ein Banner angezeigt
wird, vergleicht der N.S.S. dieses mit seiner internen Liste und nutzt
diese Information zur Bestimmung des Betriebssystems oder des
gefundenen Gerätetyps.
Identifizierung des Betriebssystems • 71
LANS: LANguard Scripting
Was ist LANS?
LANS ist eine Skript-Sprache für den GFI LANguard Network Security
Scanner.
Mit LANS können Sie Sicherheitsprüfungen selbst erstellen und diese
dann im Modul für die Warnmeldungen einsetzen. Mithilfe des
integrierten Script-Editors können Sie Syntax hervorheben lassen und
Debugging-Funktionen starten.
WICHTIGER HINWEIS: Für die Analyse selbst erstellter Skripten,
die fehlerhaft sind, kann der GFI-Support nicht in Anspruch
genommen werden. Für die LANguard Skript-Funktion wird kein
Support angeboten.
LANS Syntax
Anmerkungen:
Anmerkungen wird das Zeichen # vorangestellt. Alle Daten nach dem
# werden vom Interpreter ignoriert.
i = 1 # dies ist eine Anmerkung
# weitere Anmerkung
Variablen:
Variablen müssen vor ihrer Benutzung deklariert werden. In der
aktuellen Version des N.S.S. können zwei Variablentypen genutzt
werden: String und Integer. In einer Zeile können mehrere
Variablen deklariert werden.
string str1,
integer
str2
i1,i2,j
Bitte beachten: Variablen können nicht initialisiert werden, wenn sie
deklariert sind. Fehlerhaftes Beispiel:
string
str1 = "test" falsch!
Ziffern lassen sich in Dezimal- oder Hexadezimalform angeben.
Hexadezimalen Ziffern muss ein Dollarzeichen ($) vorangestellt
werden.
(C, wie die Hexadezimal-Deklaration (0x), wird nicht
unterstützt.)
Integer
i1,i2,j
i1 = 100
i2 = $3f
j = 0x3f falsch!
String-Variablen müssen in doppelten Anführungszeichen stehen.
string str1, bad
LANS: LANguard Scripting • 73
str1 = "Beispiel-String"
bad = 'noch ein String' falsch!
String-Variablen können auch mit folgender Notation initialisiert
werden:
stringVar = {hexnumber1, hexnumber2, hexnumber3, ... }
Beispiel:
string stringVar
stringVar = {$41, $42, $43} # "ABC"
# möglich ist auch:
stringVar = stringVar + "DEF" + {$13, $10} # "ABCDEF" + end_of_line
String-Variablen können auch indiziert werden. Bei stringVar[1] wird
daher das erste Zeichen der String-Variable stringVar ausgegeben.
string stringVar
stringVar = "ABC"
echo(stringVar[1])
Ausgabe:
A
Zeilen
Lange Ausdrücke können mithilfe des folgenden Operators auf
mehrere Zeilen verteilt werden: \
string get_names
get_names = \
{$01, $f8, $00, $10, $00, $01, $00, $00, $00, $00,\
$00, $00, $20, $43, $4B, $41, $41, $41, $41, $41,\
$41, $41, $41, $41, $41, $41, $41, $41, $41, $41,\
$41, $41, $41, $41, $41, $41, $41, $41, $41, $41,\
$41, $41, $41, $41, $41, $00, $00, $21, $00, $01}
Operatoren
Folgende Operatoren werden unter LANS unterstützt:
Arithmetische und Boole’sche Operatoren
Operator
Operation
Operandentyp(en)
+
Addition
Integer, String
-
Subtraktion
Integer
*
Multiplikation
Integer
/
Division
Integer
&
und
Integer
|
oder
Integer
^
xoder
Integer
>>
shr – rechts shiften
Integer
<<
shl – links shiften
Integer
Operation
Operandentyp(en)
Vergleichsoperatoren
Operator
74 • LANS: LANguard Scripting
=
ist gleich
Integer, String
>
ist größer als
Integer
<
ist kleiner als
Integer
>=
ist größer/gleich
Integer
<=
ist kleiner/gleich
Integer
<>
ist ungleich
Integer, String
If-Anweisungen
Format:
if expression
statement1
statement2
...
[else expression
statement1
statement2
...]
end if
if size > 0
echo("Wert ist größer als 0")
else
echo("Wert ist gleich 0")
else if
While-Anweisung
Format:
while expression
statement1
statement2
...
end while
i=1
while i < 10
i=i+1
end while
Verwendung der LANS-Skripten mit dem Modul
„Warnmeldungen“
Führt der GFI LANguard Network Security Scanner ein LANS-Skript
aus, wird die wichtige String-Variable _ip erstellt, die die IP-Adresse
des gerade überprüften Rechners enthält. Die Integer-Variable
_return ist ebenfalls von Bedeutung. Der Wert für _return sollte vor
dem Skript-Ende erstellt werden und gibt an, ob die Prüfung
erfolgreich war oder nicht. (1=erfolgreich. 0=fehlgeschlagen)
Ein ausführliches Beispiel finden Sie am Anfang des folgenden
Abschnitts.
Standard-Variablen
Wichtige Variablen
Variable
Beschreibung
_ip
Gibt die IP-Adresse des Rechners an, der gerade gescannt wird.
_return
Sollte bei erfolgreichem Scan auf 1, bei fehlgeschlagenem auf 0
gesetzt werden.
Variablen von geringerer Bedeutung
Variable
Beschreibung
_eol
Zeilenende. Entspricht CR+LF.
_hostname
Gibt den Host-Namen des Rechners an, der gerade gescannt
wird.
Erstellung eines LANS-Skripts
Eine neue Warnmeldung definieren
Folgende Anleitung hilft Ihnen dabei, mit LANS einen einfachen
Sicherheits-Check zu erstellen.
Es soll nach einer neuen
Sicherheitslücke gesucht und hierfür eine Warnmeldung erstellt
werden: "Solaris Fingerd Discloses Complete User List" Der FingerService enthält einen Bug, durch den bei folgender Anfrage eine Liste
aller Benutzerkonten angezeigt wird:
finger "a b c d e f g h"@solaris_host
Zunächst muss eine neue Warnmeldung eingerichtet werden. Klicken
Sie hierfür auf die Schaltfläche „Warnmeldungen konfigurieren“ in der
Werkzeugleiste.
Danach muss die Kategorie ausgewählt werden, zu der diese
Warnmeldung zählen soll. Wählen Sie „Auswahl“, und die Liste aller
zu dieser Kategorie gehörenden Warnmeldungen wird angezeigt. Hier
muss eine neue Warnmeldung eingerichtet werden. Wählen Sie
„Neue Warnmeldung“ aus dem Menü „Datei“. Folgendes Fenster wird
angezeigt:
Neue Warnmeldung konfigurieren
Geben Sie nun folgende Daten in den einzelnen Feldern ein:
1. Name der Warnmeldung Solaris Fingerd Discloses Complete
User List (Beispiel)
2. Auswirkung Veröffentlichung vertraulicher Daten
3. BugtraqID/URL
http://www.securiteam.com/unixfocus/6B00M0U2UW.html (unter
dieser URL finden Sie weitere Infos zu diesem Bug)
4. Sicherheitsüberprüfungen: Drei Bereiche sollen kontrolliert
werden:
•
Überprüfung des Betriebssystems auf Solaris, SunOS
•
Überprüfung, ob der TCP-Port 79 (Finger) offen ist
•
Überprüfung des Bugs mithilfe eines LANS-Skripts
Die dritte Knotrolle soll nun näher erläutert werden. (LANS script)
Neue Sicherheitsüberprüfung per LANS-Skript
Geben Sie den Namen des Skripts an (in diesem Fall
solaris_finger.lans)
Klicken Sie auf „Skript in LANS öffnen“, um mit der Programmierung
zu beginnen. Der LANS-Editor wird geöffnet. Bitte geben Sie folgende
Daten ein:
Das Skript
1.# Solaris finger bug '@a b c d e f g h'
2.string
request, data, fdata
3.integer
sock
4.#_ip = "192.168.8.10"
5._return = 0
6.echo("ip= " +_ip,_color_green)
7.request = "a b c d e f g h" + _eol
8.sock = open_tcp(_ip, 79)
9. if sock > 0
10. send(sock, request)
11. fdata = ""
12. data = "1"
13. while length(data) > 0
14. data = recv(sock, 256)
15. fdata = fdata + data
16. end while
17. echo(fdata)
18. if pos("nobody", fdata) > 0
19. _return = 1
20. end if
21. end if
Hinweis: Die Zeilennummern wurden nur zum leichteren Verständnis
und zur Verdeutlichung der einzelnen Schritte hinzugefügt. Im
eigentlichen Skript kommen sie nicht vor.
Wie funktioniert dieses Skript?
Das Skript soll nun näher betrachtet werden:
1.# Solaris finger bug '@a b c d e f g h'
In dieser Zeile wird der Verwendungszweck des Skripts angegeben.
Bitte beachten Sie die Raute (#), die vor dem eigentlichen deskriptiven
Text steht. Dieses Zeichen wird zum Hinzufügen von Anmerkungen
oder Erläuterungen verwendet.
2.string request, data, fdata
3.integer sock
Die Zeilen 2-3 dienen der Deklaration von Variablen, die im Skript zum
Einsatz kommen. Es werden drei String-Variablen deklariert: request,
data, fdata und die Integer-Variable sock.
•
request gibt die zu übertragenden Daten der Finger-Anfrage an
•
data wird als temporärer Puffer eingesetzt
•
fdata enthält die Server-Rückmeldung
•
sock enthält den Socket-Handle
4.#_ip = "192.168.8.10"
Die Standard-Variable _ip wird hier mit dem Wert 192.168.8.10
initialisiert.
Diese Zeile erscheint im eigentlichen Skript als
Anmerkung. Es ist jedoch nützlich, während der SkriptProgrammierung und den anschließenden Tests eine Verbindung zu
einem Test-Rechner herzustellen. In der Testphase sollten Sie daher
diese Variable nicht länger als Anmerkung kennzeichnen, sondern ihr
einen Rechner zuweisen, auf dem die zu überprüfende
Sicherheitslücke vorhanden ist.
5._return = 0
Die Standard-Variable _return wird mit 0 initialisiert (Prüfung ist
fehlgeschlagen). Beim Verlassen des Skripts enthält diese Variable
das Ergebnis des Sicherheitschecks. (True – die Prüfung war
erfolgreich oder false – die Prüfung ist fehlgeschlagen).
6.echo("ip= " +_ip,_color_green)
Diese Zeile wird zu Testzwecken hinzugefügt. Sie bewirkt, dass die
aktuelle IP-Adresse grün dargestellt wird.
7.request = "a b c d e f g h" + _eol
Hier wird die String-Variable _request initialisiert. Die Variable _eol
(End of Line) ersetzt
_eol = chr(13) + chr(10)
8.sock = open_tcp(_ip, 79)
Diese Zeile initialisiert eine TCP-Verbindung zum Port 79 (Finger).
Hierdurch wird der Handler zum neu erstellten Socket
zurückgeschickt. Konnte die Verbindung nicht hergestellt werden,
lautet der Wert null.
An dieser Stelle sind zwei verschiedene Resultate möglich:
1. Die Verbindung wurde hergestellt.
2. Die Verbindung ist fehlgeschlagen.
Aus diesem Grund ist eine bedingte Anweisung erforderlich, in diesem
Fall „if“. Für uns ist nur das Eintreten einer erfolgreichen Verbindung
relevant. Daher müssen folgende Zeilen hinzugefügt werden.
9. if sock > 0
...
21. end if
Es muss auch überprüft werden, ob der Socket-Handle gültig ist. Die
zugehörige Zeile muss dann lauten:
10.send(sock, request)
Hierdurch wird die Anfrage an den Finger-Service geschickt.
11. fdata = ""
12. data = "1"
13. while length(data) > 0
14. data = recv(sock, 256)
15. fdata = fdata + data
16. end while
Die Antwort des Finger-Service kann nun gelesen werden. Die Daten
werden in einem temporären Puffer abgelegt. (Es werden 256
Zeichen gleichzeitig ausgelesen.) Dieser Vorgang wird so lange
fortgeführt, bis die Variable data leer ist. Die Variable fdata enthält
die vollständige Antwort.
17. echo(fdata)
Mithilfe dieser Zeile wird die Antwort im Debug-Fenster angezeigt.
Die Informationen sollten sehr aufschlussreich sein.
18. if pos("nobody", fdata) > 0
19. _return = 1
20. end if
Nun liegt auch die Finger-Antwort vor, und es kann überprüft werden,
ob die Informationen gültig sind. und ob In der Benutzerliste sollte
das Konto nobody aufgeführt sein. Nun wird überprüft, ob es in der
Antwort enthalten ist. Dies geschieht über die Funktion pos. Wird das
gesuchte Wort „nobody” gefunden, weist der Rechner eine
Sicherheitslücke auf. Der N.S.S. soll somit die Prüfung als erfolgreich
einstufen und die Variable _return auf 1 (oder true) setzen.
Nun müssen Sie abschließend nur noch das Skript im gleichen
Verzeichnis wie die Datei für Warnmeldungen speichern unter
Alerts\Miscellaneous.
Mögliches Scan-Ergbnis (leicht modifiziert):
Login
Name
TTY
root
Super-User
pts/3
daemon
???
bin
???
sys
???
adm
Admin
pts/4
lp
Line Printer Admin
uucp uucp Admin
nuucp uucp Admin
listen Network Admin
nobody Nobody
noaccess No Access User
nobody4 SunOS 4.x Nobody
smb
SMB guest account
...
...
Idle When Where
hostname1
<. . . .>
<. . . .>
<. . . .>
hostname2
<. . . .>
<. . . .>
<. . . .>
<. . . .>
<. . . .>
<. . . .>
<. . . .>
<. . . .>
Weitere Beispiel-Skripten
Um die Einarbeitung in LANS zu erleichtern, finden Sie im Ordner
„Sample LANS Scripts“ des N.S.S.-Installationsverzeichnisses über 20
Beispiel-Skripten, die Sie je nach Bedarf einsetzen können.
Netzwerk-Funktionen
Open_tcp
Baut eine TCP-Verbindung mit einem Remote-Rechner auf.
Verwendung:
Integer open_tcp (String IP, String Port)
Anmerkung:
Beispiel:
integer sock
sock = open_tcp("192.168.8.10", "80")
if sock > 0
echo("Port 80 ist offen")
else
echo("Port 80 ist geschlossen")
end if
Ausgabe:
Port 80 ist geschlossen
Siehe auch:
Close, Send, Recv
Open_udp
Öffnet einen UDP-Socket zum Versenden von Datagrammen.
Verwendung:
integer open_udp ()
Anmerkung:
Beispiel:
integer sock
sock = open_udp()
if sock > 0
echo("UDP-Socket ist offen.")
close(sock)
end if
Ausgabe:
UDP-Socket ist offen.
Siehe auch:
Close, SendTo, RecvFrom
Close
Wird zum Schließen eines Sockets verwendet. Kann für TCP- oder
UDP-Sockets eingesetzt werden.
Verwendung:
close (integer sock)
Beispiel:
integer sock
sock = open_tcp("192.168.8.10", "80")
if sock > 0
echo("Port 80 ist offen")
close(sock)
else
echo("Port 80 ist geschlossen")
end if
Ausgabe:
Port 80 ist offen.
Siehe auch:
Open_tcp, Open_udp
Recv
Empfängt Daten über einen Socket. (Nur TCP-Sockets.)
Verwendung:
string recv (integer socket, integer size)
Anmerkung:
Werden über den Socket keine Daten empfangen, wird die Funktion
wegen Zeitüberschreitung beendet und liefert einen Null-String.
Beispiel:
integer sock
string data
sock = open_tcp("192.168.8.10", "13")
if sock > 0
echo("Port 13 (Tageszeit) ist offen")
data = recv(sock, 1024) # Empfang von max. 1024 Bytes
if length(data) > 0
echo(inttostr(length(data)) + " Bytes empfangen: " + data)
else
echo("Keine Daten")
end if
close(sock)
else
echo("Port 13 (Tageszeit) ist geschlossen")
end if
Ausgabe:
Port 13 (Tageszeit) ist offen.
20 Bytes empfangen: 8:27:57 PM 1/7/2002
Siehe auch:
Send
Send
Versendet Daten über einen Socket. (Nur TCP-Sockets.)
Verwendung:
integer send (integer socket, string data [, integer size])
Anmerkung:
Fehlt die Spezifizierung des Größenparameters, wird der gesamte
String versendet.
Beispiel:
integer sock, sent
string data
data = "einige Daten"
sock = open_tcp("192.168.8.10", "7")
if sock > 0
echo("Port 7 (Echo) ist offen.")
sent = send(sock, data)
echo(inttostr(sent) + " Bytes versendet.")
close(sock)
else
echo("Port 7 (Echo) ist geschlossen. ")
end if
Ausgabe:
Port 7 (Echo) ist offen.
9 Bytes versendet:
Siehe auch:
Recv
RecvFrom
Empfängt Daten über einen Socket. (Nur UDP-Sockets.)
Verwendung:
string recvfrom (integer socket, integer size)
Anmerkung:
Werden über den Socket keine Daten empfangen, wird die Funktion
wegen Zeitüberschreitung beendet und liefert einen Null-String.
Beispiel:
integer udp_sock
string data
# UDP-Socket öffnen
udp_sock = open_udp()
if udp_sock > 0
sendto(udp_sock, "192.168.8.10", "13", "");
echo("Daten werden empfangen...")
data = recvfrom(udp_sock, 1024) # Empfang von max. 1024 Bytes
if length(data) > 0
echo(inttostr(length(data)) + " Bytes empfangen: " + data)
else
echo("keine Daten")
end if
close(udp_sock)
else
echo("UDP-Socket konnte nicht erstellt werden.")
end if
Ausgabe:
Daten werden empfangen…
20 Bytes empfangen: 8:27:57 PM 1/7/2002
Siehe auch:
SendTo
SendTo
Versendet Daten über einen Socket. (Nur UDP-Sockets.)
Verwendung:
integer sendto (integer socket, string ip, string port, string data [,
integer size])
Anmerkung:
Fehlt die Spezifizierung des Größenparameters, wird der gesamte
String versendet.
Beispiel:
integer udp_sock, sent
string data
data = "verschiedene Daten "
udp_sock = open_udp()
if udp_sock > 0
echo("Daten werden über Socket versendet.")
sent = sendto(udp_sock, "192.168.8.10", "7", data)
echo(inttostr(sent) + " Bytes gesendet.")
close(udp_sock)
else
echo("Socket konnte nicht erstellt werden.")
end if
Ausgabe:
Daten werden über Socket versendet.
9 Bytes gesendet.
Siehe auch:
RecvFrom
Lookup-Funktionen
DnsLookup
Löst einen Host-Namen in die zugehörige IP-Adresse auf.
Verwendung:
string dnslookup (string hostname)
Anmerkung:
Kann der Host-Name nicht aufgelöst werden, wird ein Null-String
ausgegeben.
Beispiel:
# Test der DNS-Funktionen
string hostname, ip
hostname = "Trinity" # Mein Desktop-Rechner
ip = dnslookup(hostname)
if ip <> ""
echo("Host-Name: " + hostname)
echo("Aufgelöst als: " + ip, _color_blue)
# rückwärts aufgelöst:)
hostname = ReverseDnsLookup(ip)
if hostname <> ""
echo("Zurück zu: " + hostname,)
end if
else
echo("Auflösung nicht möglich " + hostname + " !", \
_color_red)
end if
Ausgabe:
Host-Name: Trinity
aufgelöst als: 192.168.8.10
Zurück: TRINITY
Siehe auch:
ReverseDnsLookup
ReverseDnsLookup
Wandelt eine IP-Adresse in den zugehörigen Host-Namen um.
Verwendung:
string ReverseDnsLookup (string ip)
Anmerkung:
Kann die IP-Adresse nicht in den Host-Namen umgewandelt werden,
wird ein Null-String ausgegeben.
Beispiel:
# Test der DNS-Funktionen
string hostname, ip
hostname = "Trinity" # Mein Desktop-Rechner
ip = dnslookup(hostname)
if ip <> ""
echo("Host-Name: " + hostname)
echo("Aufgelöst als: " + ip, _color_blue)
# rückwärts aufgelöst:)
hostname = ReverseDnsLookup(ip)
if hostname <> ""
echo("Zurück zu: " + hostname,)
end if
else
echo("Auflösung nicht möglich " + hostname + " !", \
_color_red)
end if
Ausgabe:
Host-Name: Trinity
aufgelöst als: 192.168.8.10
Zurück: TRINITY
Siehe auch:
DnsLookup
WhoIs
Startet eine WhoIs-Anfrage.
Verwendung:
string whois (string query, [string whois_server, [string port]])
Anmerkung:
Wird kein WhoIs-Server angegeben, versucht LANS, über Ihren
Anfrage-String einen gültigen Server zu finden. Diese Suchmethode
ist jedoch nicht immer erfolgreich.
Beispiel:
# whois function test
string query, server, data
# WhoIs-Server (mein Test-WhoIs-Server)
server = "163.342.244.228"
# Suche nach Bogdan.
query = "Bogdan"
# Suche starten
data = whois(query, server)
# Ergebnis anzeigen (falls gültig)
if length(data) > 0
echo(data)
end if
Ausgabe:
SWHOISD 2.0
Suche nach Bogdan. 1 Einträge zu Bogdan gefunden.
Person:
(Handle JD1-FOOBAR)
Name:
Bogdan Calin
E-Mail-Adresse:
[email protected]
Anschrift:
6083 Foobar Ave., San Diego, CA 92121
Country:
US
Telefon:
858-853-1212
Fax-Nr.:
858-555-1977
Erstellt:
Sat Jun 23 01:57:22 PDT 2001
Letzte Aktualisierung: Sat Jun 23 01:57:22 PDT 2001
Hinweis:
Um einen bestimmten Eintrag zu finden, können Sie mit “!XXX“ nach
diesem suchen lassen. XXX steht hierbei für den Handle.
Siehe auch:
DnsLookup
SNMP-Funktionen
SnmpGet
Wrapper für SNMP-Get-Anfrage. Fragt den Wert einer bestimmten
OID (Objekt-ID) ab. Weitere Informationen hierzu finden Sie im
Beispiel-Skript snmp_test.lans.
Verwendung:
integer snmpget (string ip, string oid, string community_string,
string string_variable)
Anmerkung:
string_variable bezeichnet die Variable, die das Ergebnis empfängt.
Diese Variable sollte in runden Klammern spezifiziert werden. (Siehe
Beispiel).
Beispiel:
# Test der SNMP-Funktionen
string ip
string oid,res # Objekt-IDs, Ergebnisse
ip = "192.168.8.20"
oid = "1.3.6.1.2.1.1.1.0" # System-Beschreibung
# snmpget ausführen
if snmpget(ip, oid, "public", "res") = 1
# Information anzeigen (falls gültig)
if length(res) > 0
echo(oid + " = " + res)
end if
end if
Ausgabe:
1.3.6.1.2.1.1.1.0 = Hardware: x86 Family 6 Model 11 Stepping 1
AT/AT COMPATIBLE - Software: Windows 2000 Version 5.1 (Build
2600 Uniprocessor Free)
Siehe auch:
SnmpGetNext
SnmpGetNext
Wrapper für SNMP-Getnext-Anfrage. Fragt den Namen der nächsten
OID (Objekt-ID) ab. Weitere Informationen hierzu finden Sie im
Beispiel-Skript snmp_test.lans.
Verwendung:
integer snmpgetnext (string ip, string oid, string community_string,
string string_variable)
Anmerkung:
Beispiel).
Beispiel:
string ip
string oid,res # Objekt-IDs, Ergebnisse
ip = "192.168.8.20"
oid = "1.3.6.1.2.1.1.1.0" # System-Beschreibung
# snmpget ausführen
if snmpgetnext(ip, oid, "public", "res") = 1
if length(res) > 0
echo("aktuelle OID: " + oid)
echo("nächste OID: " + res)
end if
end if
Ausgabe:
Aktuelle OID: 1.3.6.1.2.1.1.1.0
Nächste OID: 1.3.6.1.2.1.1.2.0
Siehe auch:
SnmpGet
SnmpSet
Wrapper für SNMP-Set-Anfrage. Legt den Wert einer bestimmten
OID (Objekt-ID) fest. Weitere Informationen hierzu finden Sie im
Beispiel-Skript snmpset_test.lans.
Verwendung:
integer snmpset (string ip, string oid, string community_string,
string value, integer valueType)
Anmerkung:
value bezeichnet den festzulegenden Wert.
valueType bezeichnet den Werttyp.
Zur Zeit können nur folgende Typen verwendet werden:
_snmp_string – Zum Schreiben von String-Werten
_snmp_integer – Zum Schreiben von Integer-Werten
Beispiel:
# snmpset-Implementierung in LANS
string ip
string oid, res # object id
string read_comm, write_comm, value
read_comm = "public"
write_comm = "private"
value = "Kontrolle durch LANS"
ip = dnsLookup("trinity")
# sysContact
oid = "1.3.6.1.2.1.1.4.0"
# Überprüfung des aktuellen Wertes
if snmpget(ip, oid, read_comm, "res") = 1
if length(res) > 0
end if
end if
if length(res) > 0
echo("Wert wird festgelegt ... ", _color_navy)
# snmpset ausführen (vor Festlegen)
if snmpset(ip, oid, write_comm, value, _snmp_string) = 1
echo("Wert wurde festgelegt (OK)", _color_blue)
else
echo("Wert kann nicht festgelegt werden ", _color_red)
end if
# Überprüfen, ob Wert festgelegt wurde
if snmpget(ip, oid, read_comm, "res") = 1
if length(res) > 0
end if
end if
else
echo("Wert kann nicht gelesen werden ", _color_red)
end if
Ausgabe:
1.3.6.1.2.1.1.4.0 = blade@trinity
Wert wird festgelegt ...
Wert wurde festgelegt (OK)
1.3.6.1.2.1.1.4.0 = Kontrolle durch LANS
Siehe auch:
SnmpGet
String-Funktionen
Length
Fragt die Anzahl der Zeichen in einem String ab.
Verwendung:
integer length (string str)
Beispiel:
echo(length("Beispiel-String"))
Ausgabe:
13
Siehe auch:
Left, Right
Pos
Fragt die Position eines Sub-Strings innerhalb eines Strings ab.
Verwendung:
integer pos (string substring, string str)
Anmerkung:
Fragt den Index-Wert des ersten Zeichens des Sub-Strings ab oder
gibt 0 aus, falls der Sub-String nicht gefunden wurde.
Beispiel:
echo(pos("string", "Beispiel-String"))
Ausgabe:
8
Siehe auch:
RegExp
Left
Fragt eine vorgegebene Anzahl von Zeichen ab, ausgehend von der
linken Seite einer Zeichenfolge.
Verwendung:
string left (string str, integer count)
Beispiel:
echo(left("Sample String", 6))
Ausgabe:
Sample
Siehe auch:
Right
Right
Fragt eine vorgegebene Anzahl von Zeichen ab, ausgehend von der
rechten Seite einer Zeichenfolge.
Verwendung:
string right (string str, integer count)
Beispiel:
echo(right("Sample String", 6))
Ausgabe:
string
Siehe auch:
Left
Delete
Löscht einen Sub-String aus einem String.
Verwendung:
string delete (string str, integer index, integer count)
Beispiel:
string x
x = "how are you ?"
echo(x)
x = delete(x, 5,4)
echo(x, _color_red)
Ausgabe:
Wie heißt du?
Wie du?
Siehe auch:
Pos
Uppercase
Wandelt eine Zeichenfolge in Großbuchstaben um.
Verwendung:
string uppercase (string str)
Beispiel:
echo(uppercase("cool"))
Ausgabe:
COOL
Siehe auch:
Lowercase
Lowercase
Wandelt eine Zeichenfolge in Kleinbuchstaben um.
Verwendung:
string lowercase (string str)
Beispiel:
echo(lowercase("COOL"))
Ausgabe:
cool
Siehe auch:
Uppercase
Ord
Fragt den Ordinalwert eines Zeichens ab.
Verwendung:
integer ord (String char)
Beispiel:
echo("ASCII Code für 'a': " + inttostr(ord("a")))
Ausgabe:
ASCII Code für 'a': 97
Siehe auch:
Chr
Dup
Fragt einen String mit str_or_char ab, der n Mal dupliziert wurde.
Verwendung:
string dup (string str_or_char, integer n)
Anmerkung:
Eignet sich zum Testen von Buffer Overflows.
Beispiel:
string test_dup
test_dup = dup("za", 10)
echo(test_dup)
Ausgabe:
zazazazazazazazazaza
Siehe auch:
Str
Chr
Fragt Zeichen für einen bestimmten ASCII-Wert ab.
Verwendung:
string chr (integer value)
Beispiel:
string end_of_line
# EOL (end of line) erstellen
end_of_line = chr(13) + chr(10)
echo("cool" + end_of_line)
Ausgabe:
cool
Siehe auch:
Ord
Mid
Fragt n Zeichen aus dem Text ab Position p ab.
Verwendung:
string mid (string text, integer p, integer n)
Beispiel:
string test
test = "Hallo"
echo(mid(test, 1, 3))
Ausgabe:
Hal
Siehe auch:
Trim
Trim
Löscht Leerzeichen am Anfang und Ende einer Zeichenfolge sowie
Kontrollzeichen.
Verwendung:
string trim (string text)
Beispiel:
string before_trim, after_trim
before_trim = " Test-String "
echo("-" + before_trim + "-")
after_trim = trim(before_trim)
echo("-" + after_trim + "-")
Ausgabe:
-Test-String-Test-StringSiehe auch:
Mid
Konvertierungen
StrToInt
Konvertiert einen Integer-String in eine Zahl.
Verwendung:
integer strtoint (string str)
Beispiel:
string str
str = "150"
echo(strtoint(str) * 2)
Ausgabe:
300
Siehe auch:
IntToStr
IntToStr
Konvertiert einen Integer-Wert in einen String.
Verwendung:
string inttostr (integer value)
Beispiel:
integer year
year = 2002
echo("Jahr: " + inttostr(year))
Ausgabe:
Jahr: 2002
Siehe auch:
StrToInt
IntToHex
Fragt die Hexadezimal-Darstellung einer Ziffer ab.
Verwendung:
string inttohex (integer number, integer number_of_digits)
Beispiel:
integer number
number = 255
echo(inttohex(number, 2))
Ausgabe:
FF
Siehe auch:
StrToInt
Base64Encode
Verschlüsselt einen String in Base64.
Verwendung:
string base64encode (string input)
Beispiel:
# base64 test
string input
input = "Wie geht es Ihnen?"
echo("Original-String: " + input)
input = base64encode(input)
echo("Verschlüsselt: " + input, _color_red)
input = base64decode(input)
echo("Entschlüsselt: " + input)
Ausgabe:
Original-String: Wie geht es Ihnen?
Verschlüsselt: aG93IGFyZSB5b3UgPw==
Entschlüsselt: Wie geht es Ihnen?
Siehe auch:
Base64Decode
Base64Decode
Entschlüsselt einen Base64-verschlüsselten String.
Verwendung:
string base64decode (string encoded_string)
Beispiel:
# base64 test
string input
input = "Wie geht es Ihnen?"
echo("Original-String: " + input)
input = base64encode(input)
echo("Verschlüsselt: " + input, _color_red)
input = base64decode(input)
echo("Entschlüsselt: " + input)
Ausgabe:
Original-String: Wie geht es Ihnen?
Verschlüsselt: aG93IGFyZSB5b3UgPw==
Entschlüsselt: Wie geht es Ihnen?
Siehe auch:
Base64Encode
Registry-Funktionen
RegistryRead
Liest die Inhalte eines bestimmten Registry-Schlüssels. (lokal oder
remote)
Verwendung:
integer registryRead (string computer, string reg_path, string
reg_key, string string_variable)
Anmerkung:
computer kann eine IP-Adresse oder ein Host-Name sein. LANS fügt
vor diesem Variablenwert automatisch “\\” ein.
Beispiel).
Beispiel:
# Registry-Test
# liest Internet Explorer-Version aus Registry
string ip, path, key, version
ip = dnsLookup("freedom")
path = "SOFTWARE\Microsoft\Internet Explorer\Version Vector"
key = "IE"
if length(ip) > 0
if registryRead(ip, path, key, "version") > 0
echo("Internet Explorer-Version: " \
+ version, _color_blue)
end if
end if
Ausgabe:
Internet Explorer-Version: 6.0000
Weitere Funktionen
RegExp
Regular Expressions bewerten.
Verwendung:
integer regexp (string regex, string text_to_evaluate)
Anmerkung:
LANS greift auf die TRegExpr Library von Andrey V. Sorokin zurück.
Weitere Informationen zu TRegExpr finden Sie unter http://anso.da.ru.
Beispiel:
# will match Solaris ftp servers with this versions:
# 2.6, 2.7, 2.8 and 5.6, 5.7, 5.8
regex = "FTP-Server $SunOS (2|5)\.[678]$ bereit."
text_to_match = "220 mars FTP-Server (SunOS 5.7) bereit."
if regexp(regex, text_to_match) = 1
echo(text_to_match + " Übereinstimmung")
else
echo(text_to_match + " keine Übereinstimmung!")
end if
text_to_match = "220 mars FTP-Server (SunOS 5.5) bereit."
if regexp(regex, text_to_match) = 1
echo(text_to_match + " Übereinstimmung")
else
echo(text_to_match + " keine Übereinstimmung!")
end if
Ausgabe:
220 mars FTP-Server (SunOS 5.7) bereit. Übereinstimmung
220 mars FTP-Server (SunOS 5.5) bereit. Keine Übereinstimmung!
Sleep
Unterbricht die Ausführung des aktuellen Skripts für einen bestimmten
Zeitraum (in Millisekunden).
Verwendung:
sleep (integer time)
Beispiel:
echo("bitte warten...")
sleep(1000)
Ausgabe:
bitte warten… (Dauer der folgenden Pause: 1000 ms).
Echo
Zeigen Sie Text im Debug-Fenster an.
verschiedenen Farben darstellen.
Sie können den Text in
Verwendung:
echo (string text, [integer color])
Anmerkung:
Folgende Farben können unter anderem verwendet werden:
• _color_black
• _color_red
• _color_green
• _color_blue
• _color_purple
• _color_silver
• _color_yellow
Eine Darstellung als RGB-Paar ist ebenfalls möglich: $1F11FF.
Beispiel:
string text
text = "Willkommen"
# Text anzeigen
echo(text)
# Text in Rot anzeigen
echo(text, _color_red)
# Text in Farbe $1F11FF anzeigen
echo(text, $1F11FF)
Ausgabe:
Ausgabewert = Willkommen
Siehe auch:
Mid
StatusBar
Blendet Mitteilung in der Statusleiste ein.
Verwendung:
statusbar (string message)
Beispiel:
string text
text = "Willkommen"
# Text anzeigen
echo(text)
# Text in Statusleiste anzeigen
statusbar(text)
Ausgabe:
Willkommen
Siehe auch:
Echo
Prozedur WriteToLog
Trägt Informationen in Log-Datei von LANS ein (lans_log.txt).
Verwendung:
writetolog (string text)
Beispiel:
string info
info = "Informationen"
writetolog(info)
Siehe auch:
Echo
Zukünftige Einsatzmöglichkeiten des LANS
•
Umfangreichere Interaktion zwischen LANS und dem N.S.S. (z. B.
direkte Interaktion zwischen LANS-Skripten und dem ScanFenster
beim
Hinzufügen/Ändern/Löschen
von
Feldern,
Statusleiste)
•
Fälschen von IP-Paketen; komfortabler Paket-Editor.
Urheberrechtliche Hinweise
•
TSynEdit (http://synedit.sourceforge.net)
•
TRegExpr - Autor: Andrey V. Sorokin
Zusätzliche Tools und Funktionen
Einleitung
In diesem Kapitel werden die zusätzlichen Funktionen aus dem Menü
„Bearbeiten” beschrieben.
•
Rechner hinzufügen
•
Rechner entfernen
•
Rechner suchen
•
Rechner anordnen
•
Folgende Tools stehen unter dem Menü „Werkzeuge“ bereit.
•
DNS-Lookup
•
WhoIs Client
•
Traceroute
•
SNMP Walk
•
SNMP-Auditing
•
MS SQL Server Audit
•
Aufgelistete Rechner
Rechner hinzufügen
Mithilfe der Funktion „Rechner hinzufügen” können Sie Informationen
zu weiteren Rechnern im Ausgabe-Fenster anzeigen lassen.
Manuelles Hinzufügen von zu scannenden Rechnern
Nachdem Sie den Rechner der Liste hinzugefügt haben, müssen Sie
ihn markieren. Rufen Sie danach das Kontextmenü mit der rechten
Maustaste auf und lassen Sie diesen Rechner mit „Informationen
erfassen“ ebenfalls vom N.S.S. überprüfen.
Rechner entfernen
Wenn ein Rechner nicht länger vom N.S.S. überprüft werden soll,
markieren Sie ihn und klicken dann auf „Bearbeiten“ > „Rechner
entfernen“.
Gleiches gilt für den Fall, wenn die Ergebnisse eines bereits
gescannten Rechners nicht im Bericht aufgeführt werden sollen.
Zusätzliche Tools und Funktionen • 99
Rechner suchen
Nachdem Sie Ihr Netzwerk gescannt haben, können Sie mit der
Option „Rechner suchen“ einen bestimmten Rechner auffinden.
Sie können den Bericht nach Host-Name, IP-Adresse, MAC-Adresse
oder Benutzername durchsuchen lassen.
Hinweis: Hierbei werden nur die in der Anzeige des N.S.S.
aufgeführten Informationen durchsucht. Es findet keine erneute
Suche nach diesen Daten im Netzwerk statt.
Rechner anordnen
Mit dieser Option können Sie festlegen, nach welchen Kriterien die
gefundenen Geräte nach Abschluss des Scan-Vorgangs angeordnet
werden sollen.
Dies kann nach IP-Adresse, Host-Name oder
Betriebssystem erfolgen.
DNS-Lookup
Mit diesem Tool wird der Domänen-Name in die zugehörige IPAdresse aufgelöst.
DNS-Lookup durchführen
WhoIs Client
Mithilfe dieses Tools können Sie Informationen zu einer Domäne, IPAdresse oder einem Namen abrufen. Wählen Sie den gewünschten
WhoIs-Server oder nutzen Sie die Standardeinstellung, damit der
N.S.S. einen Server selektiert.
100 • Zusätzliche Tools und Funktionen
WhoIs-Lookup durchführen
Traceroute
Dieses Werkzeug zeigt den Netzwerk-Pfad an, über den der N.S.S.
den Zielrechner erreicht hat.
Traceroute starten
SNMP Walk
Per SNMP können böswillige Benutzer an sehr viele Informationen
über Ihr Netzwerk gelangen, die eine Passwort-Entschlüsselung oder
ähnliche Angriffe erleichtern. SNMP sollte stets deaktiviert sein, es sei
denn, dieser Dienst wird unbedingt benötigt.
SNMP Walk
Um diese Funktion nutzen zu können, klicken Sie bitte mit der rechten
Maustaste auf den Zielrechner und wählen Sie dann „SNMP Walk“.
Dieses Feature steht nur dann zur Verfügung, wenn SNMP auf dem
gewählten Rechner aktiviert ist. Wenn Sie den SNMP Walk aufgerufen
haben, erscheint im rechten Fenster eine Liste mit Namen, die für
bestimmte Objekt-IDs auf dem Rechner stehen. Für eine nähere
Erklärung der Daten aus dem SNMP Walk müssen Sie sich an den
jeweiligen Hersteller wenden. Einige Hersteller stellen sehr detaillierte
Informationen zur Verfügung, während andere diesen Service nicht
anbieten, obwohl ihre Geräte SNMP unterstützen.
Wenn Sie nur dieses Utility starten wollen, klicken Sie bitte auf
„Werkzeuge“ > „SNMP Walk“. Wenn Sie das Tool auf diese Weise
starten, müssen Sie die benötigte IP-Adresse manuell eingeben.
Hinweis: SNMP sollte bereits vom Router/der Firewall blockiert
werden, sodass Internet-Benutzer keinen SNMP-Scan Ihres
Netzwerks durchführen können.
SNMP-Auditing
Sie können Ihr Netzwerk auch einem SNMP-Audit unterziehen. Auf
diese Weise werden Sie über unzuverlässige Community-Strings
informiert.
Einige Netzwerk-Geräte weisen alternative oder nicht-standardmäßige
Community-Strings auf. In der Wörterbuch-Datei ist eine Liste
gängiger Community-Strings enthalten, nach denen gesucht werden
kann.
Für den Wörterbuch-Angriff wird die Standard-Datei snmp-pass.txt
verwendet. Sie können diese Datei erweitern und neue CommunityNamen eintragen oder den SNMP-Audit mithilfe einer anderen Datei
ablaufen lassen.
SNMP-Auditing
Starten Sie den Audit, nachdem Sie die IP-Adresse des Rechners
eingegeben haben, auf dem SNMP aktiviert ist.
MS SQL Server Audit
Mit diesem Tool können Sie einen Rechner auditieren, auf dem MS
SQL Server installiert ist. Standardmäßig wird bei der Kontrolle die
Wörterbuch-Datei passwords.txt verwendet. Sie können diese Datei
mit neuen Passwörtern erweitern oder eine eigene Datei verwenden.
MS SQL-Auditing
102 • Zusätzliche Tools und Funktionen
Beginnen Sie mit dem Audit, nachdem Sie die IP-Adresse des
Rechners, auf dem MS SQL installiert ist, sowie den Benutzernamen,
über den Sie einen Eindringversuch starten möchten, eingegeben
haben.
Dieses Utility durchsucht Ihr Netzwerk als erstes nach allen Domänen
und/oder Workgroups. Ist diese Bestandsaufnahme abgeschlossen,
können Sie einen erneuten Scan nach allen aufgelisteten Rechnern
durchführen. Nach dieser Überprüfung informiert Sie das Tool über
das auf den Rechnern installierte Betriebssystem und alle eventuellen
NetBIOS-Meldungen.
Nachdem Sie ein Netzwerk oder einen Rechner gescannt haben,
können Sie mit einem rechten Mausklick auf den Computer das
Kontextmenü mit weiteren Scan-Funktionen aufrufen.
Über das Kontextmenü stehen zusätzliche Scan-Funktionen bereit.
In Zwischenablage kopieren
Mit dieser Option können Sie die markierten Angaben in die
Zwischenablage kopieren.
Informationen erfassen
Wenn Sie diese Option wählen, wird der Umfang der Scans
ausgeweitet. Ist diese Option deaktiviert worden (über „Scan“ >
„Optionen“), können sie zusätzliche Informationen über jeden
einzelnen Rechner abrufen lassen, indem Sie den Zielrechner mit der
rechten Maustaste anklicken und „Informationen erfassen“ wählen.
SNMP Walk
Diese Funktion ist nur dann aktiviert, wenn SNMP auf einem Host
installiert ist. Der N.S.S. kann dann einen SNMP-Dienst
„durchleuchten“ und dadurch viele Daten sammeln, z. B. zu offenen
Ports, aktiven Diensten und vielem mehr.
Zusätzliche Informationen hierzu finden Sie im Kapitel „Zusätzliche
Tools und Funktionen“.
Zusätzliche Scan-Funktionen • 105
Adresse auflösen
Mithilfe dieser Option lässt sich die Adresse eines Rechners auflösen.
Ist diese Option deaktiviert worden (über „Scan“ > „Optionen“), können
sie die Adresse für jeden einzelnen Rechner auflösen lassen, indem
Sie den Zielrechner mit der rechten Maustaste anklicken und „Adresse
auflösen“ wählen.
Passwort-Crack (Win9x)
Aufgrund einer NetBIOS-Sicherheitslücke in Windows 95/98/ME ist es
böswilligen Benutzern möglich, Passwörter problemlos und
systematisch zu entschlüsseln. . Diese Option ist jedoch nur unter
Windows 95/98/ME nutzbar. Weitere Informationen zu diesem
Problem finden Sie unter:
http://support.microsoft.com/default.aspx?scid=http://support.microsoft
.com:80/support/kb/articles/Q273/9/91.ASP&NoWebContent=1
Wörterbuch-Angriff
Um die Zuverlässigkeit von Passwörtern zu testen, klicken Sie einfach
mit der rechten Maustaste auf eine Freigabe und wählen Sie
„Wörterbuch-Angriff“. Hierdurch wird überprüft, ob das jeweilige
Passwort wirklich sicher ist. Der Benutzer, über den die Anmeldung
erfolgen soll, kann über „Scan” > „Optionen” > „Cracken” festgelegt
werden. Für den Crack-Versuch verwendete Passwörter sind in einer
Passwort-Liste gespeichert. Diese Liste ist unter passwords.txt
gespeichert und kann beliebig erweitert werden. Es ist aber auch
möglich, andere Wörterbuch-Dateien zu benutzen.
Wörterbuch-Angriff
Wenn Sie „Aktuellen Status anzeigen” deaktivieren, erhöht sich die
Arbeitsgeschwindigkeit dieses Utilitys, da der Scan-Verlauf nicht auf
dem Bildschirm angezeigt wird.
Diese Option ist verbunden mit „Scan” > „Optionen” > „PasswortCrack”, „Crack-Versuch über Benutzername:“ Weitere Informationen
hierzu finden Sie unter „Scan-Optionen”.
Konfigurierung der Passwort-Datei
Wenn Sie nach unsicheren Passwörtern suchen lassen, greift der
N.S.S. auf die in der Datei passwords.txt gespeicherten Passwörter
zu. Diese Datei lässt sich mit neuen Passwörtern erweitern. Öffnen
Sie password.txt im N.S.S.-Verzeichnis oder ganz einfach über das
Menü „Ansicht“.
106 • Zusätzliche Scan-Funktionen
Patches verteilen auf ->
Mit dieser Funktion können Sie einzelnen oder allen Rechnern
Patches zuweisen und installieren.
Weitere Informationen hierzu finden Sie im Kapitel „Verteilung von
Microsoft-Patches”.
Dieses Feature steht nur dann per Rechtsklick auf den zu patchenden
Rechner zur Verfügung, wenn Patches vom Betriebssystem
unterstützt werden (d. h. unter Microsoft NT/2000/XP).
Neuesten Service Pack verteilen auf ->
Betriebssystem-spezifische Service Packs zuweisen.
Individuelle Patches verteilen auf ->
Diese Funktion steht im N.S.S. zur Verfügung, wird aber NICHT vom
GFI Produkt-Support unterstützt. Unter Umständen kann es Patches
geben, die Sie verteilen möchten, die aber nicht offiziell vom N.S.S.
unterstützt werden.
Kann ein solcher Patch verteilt und im
unbeaufsichtigten Modus gestartet werden, hilft Ihnen diese Funktion
möglicherweise bei der Installation des Patches.
sämtliche Arten von Patches oder Service Packs zuweisen.
Auditing aktivieren auf ->
Siehe Erläuterung im Abschnitt zu „Scan-Ergebnisse analysieren” >
„Audit”.
Nachricht verschicken
Über diese Option kann der N.S.S. Nachrichten des NetBIOS
Messenger mit einer gefälschten Source-IP-Adresse verschicken.
Diese Option könnte für Angriffe per „Social Engineering“ eingesetzt
werden.
Zusätzliche Scan-Funktionen • 107
Versand einer Nachricht unter falscher Identität
Hinweis: In einigen Fällen funktioniert der Versand von Nachrichten
an Workstations jedoch nicht. Grund hierfür kann sein, dass der
Microsoft Client auf dem Rechner nicht installiert ist oder dass
Messaging-Dienste durch andere Utilities blockiert sind.
Bei
erfolgreichem Versand erhalten Sie eine entsprechende Bestätigung.
Herunterfahren
Mithilfe dieser Funktion können Sie den Rechner per Fernzugriff
herunterfahren. Dies funktioniert aber nur dann, wenn der N.S.S. von
Benutzern eingesetzt wird, die die entsprechenden Rechte für den
Zielrechner besitzen.
Fehlerhaft konfigurierte Zugriffsrechte, ob lokale oder Netzwerkspezifische, erlauben es diesem Feature, Rechner trotz anders
lautender Richtlinien auszuschalten.
108 • Zusätzliche Scan-Funktionen
Syntax der Befehlszeile
Steuerung des N.S.S. über die Befehlszeile
Wenn Sie den N.S.S. über ein Skript oder eine Batch-Datei starten
möchten, muss die Syntax der Befehlszeile folgendes Format haben:
languard [custom_ini_file.ini] <target> <output_file> [tray]
•
Alle Angaben in eckigen Klammern [] sind optional.
•
Alle Angaben in spitzen Klammern <> sind optional.
Sie können auch eine ini-Datei angeben, die der N.S.S. verwenden
soll. Ansonsten wird die Standard-Datei verwendet.
Über die Option [Systemablage] können Sie den N.S.S. auch
minimiert laufen lassen.
Das Zielformat ist das gleiche wie bei der grafischen
Benutzeroberfläche des N.S.S. Eingaben sind für Host-Name, IPAdresse, IP-Bereich oder eine Liste von Computern möglich.
Beispiele:
languard alpha output.html
languard 192.168.8.10 output.html
languard 192.168.8.10-192.168.8.20 output.html
languard file:list_of_computers.txt output.html
languard ping_them_all.ini file:list_of_computers.txt output.html
languard ping_them_all.ini file:list_of_computers.txt output.html tray
Sie erhalten diese grundlegenden Informationen auch, wenn Sie im
Installationsverzeichnis des N.S.S. in der Befehlszeile „languard/?“
eingeben.
Syntax der Befehlszeile • 109
Allgemeine Hinweise
Einleitung
Haben seit dem letzten Start des N.S.S. Angriffe auf Ihr Netzwerk
stattgefunden, werden Administratoren, die Ihre Logs regelmäßig
kontrollieren, darüber alarmiert.
Intrusion Detection Software (IDS)
Werden in Ihrem Unternehmen IDS-Produkte eingesetzt, löst der
Scan-Vorgang des GFI LANguard Network Security Scanner
sämtliche Alarme dieser Produkte aus. Sind Sie nicht mit der
Administration des IDS-Systems betraut, sollten Sie daher den
zuständigen Administrator über einen bevorstehenden Scan
informieren.
Gemeinsame Administration
Neben den von den Scans verursachten IDS-Alarmen sollten Sie auch
beachten, dass viele der Scans auch in Protokolldateien verzeichnet
werden. UNIX-Logs, Web-Server usw. zeigen den Zugriffsversuch
des Rechners an, auf dem der N.S.S. gestartet wird. Gibt es mehrere
Netzwerk-Administratoren in Ihrem Unternehmen, sollten Sie Ihre
Kollegen über bevorstehende Scans informieren.
Sicherheits-Software
Bei der Entwicklung des N.S.S. wurde darauf Wert gelegt, dass die
Überprüfung von Netzwerken auf Sicherheitslücken, fehlende Patches
u. ä. so umfassend wie möglich ist. Keine Sicherheits-Software ist
100% zuverlässig.
Es werden ständig neue Angriffsmethoden
entwickelt, sodass Sie stets wachsam sein müssen. Nur durch
häufige Scans und die Beachtung von Sicherheitswarnungen können
Sie sich gegen einen lückenhaften Netzwerk-Schutz absichern.
Allgemeine Hinweise • 111
Troubleshooting/Support
Wenn Sie Fragen haben
In der Knowledge Base von GFI sind bekannte Probleme und
entsprechende Lösungen aufgeführt, die kontinuierlich überprüft und
aktualisiert werden. Bei Problemen oder Fragen sollten Sie daher
zunächst die Knowledge Base konsultieren. Sollten Sie dort keine
Hilfe finden, können Sie Ihre Frage ins Forum stellen.
Knowledge Base
Die Knowledge Base von GFI finden Sie unter:
http://kbase.gfi.com
Web-Forum
Über das GFI LANguard Web-Forum steht Ihnen der User-to-UserSupport zur Verfügung. Die GFI-Foren werden auch von den
Entwicklern des N.S.S. kontrolliert, und die meisten Fragen/Probleme
oder Verbesserungsvorschläge können dort gepostet werden. Je
nach Problem/Antwort kann es unter Umständen jedoch einige Tage
dauern, bis Sie eine Antwort erhalten.
Das Forum erreichen Sie unter
http://forums.gfi.com/
Bugs gefunden?
Sollten Sie Programmfehler entdecken, veröffentlichen Sie diese bitte
im Web-Forum oder schicken Sie eine Info an: [email protected]
Troubleshooting/Support • 113
S
Index
A
Scan-Optionen 30
Services 7, 16, 122
Shares 7, 13, 16, 28
Shutdown 8, 125
Sicherheitsrichtlinien 13
Sitzungsaufbau 34
SNMP 7, 14, 26, 119, 122
SNMP-Auditing 119
Spoofed Messages 8
Systemanforderungen 11
Auditing 8
B
Benutzer 6, 16, 41
Betriebssystem 7
T
Traceroute 117
V
D
Vertraute Domänen 16
Dienste 7, 16, 122
DNS-Lookup 8, 116, 117, 120, 123,
124
W
E
X
Ergebnis-Vergleich 77
XML 8, 77
Wörterbuch-Angriff 122
F
Freeware 5
Freigaben 7, 13, 28
G
Gruppen 13, 17
H
Herunterfahren 8, 125
Hot Fixes 19
HTML 8, 77
K
Konfigurierung von Warnmeldungen
39
O
Offene Ports 7, 19, 122
Operating System 7
Optionen für Passwort-Cracks 28
P
Passwort-Crack 122
Passwort-Datei 123
Passwörter 7, 28, 122, 123
Passwort-Richtlinien 18
R
Registry 18
Troubleshooting/Support • 115

Installation des GFI LANguard Network Security Scanner

Transcription

Similar documents

1-2010

„Ein Job wie ein Urlaub” Das Insider

Scripting-Handbuch

Test Studiomikrofone