2002023

Sicherheitslücken finden mit Open VAS

27.10.2014 | 12:12 Uhr |

Die Bedrohung von Computersystemen wächst. Hier erfahren Sie, wie Sie Ihre eigenen Systeme auf Schwachstellen testen.

Angriffe auf Computersysteme nehmen zu. Ein Programmfehler in Open SSL hatte im April eine bedrohliche Hintertür geöffnet. Dieser Fehler, der unter dem Namen „Heartbleed“ bekannt wurde, betraf viele Systeme und Websites, da Open SSL auch in kommerziellen Lösungen verbreitet ist. Darüber hinaus gibt es jedoch auch verschiedene klassische Angriffsvarianten, die immer wieder zum Erfolg führen. Anfang Juni hatten die Dienste Feedly und Evernote mit massiven Problemen zu kämpfen, Mitte Juni musste der Hosting-Anbieter Code Spaces aufgrund fortwährender Attacken seine Dienste einstellen. 

Dies sind sicherlich keine Gefahren für private Websites oder einen Dyn-DNS-Zugang, trotzdem kann beispielsweise Ihre gehackte Website Spam versenden oder illegale Daten speichern. Dies bemerken Sie unter Umständen gar nicht oder erst nach Wochen. Damit es nicht so weit kommt, sollten Sie Ihre Systeme regelmäßig auf bekannte Sicherheitslücken oder Fehlkonfigurationen überprüfen. Für diese Aufgabenstellung bietet Open VAS erfahrenen Nutzern sehr gute Unterstützung. Bequeme Installationspakete gibt es über die Projektseite für die Version Open VAS-6, für das ganz aktuelle Open VAS-7 gibt es hingegen noch keine Binärpakete.

Dieser Artikel stammt aus der LinuxWelt 5/2014

Zehn Top-Systeme für den USB-Stick - der Linux-Multiboot-Stick für jeden Einsatzzweck, die besten Power-Tricks für Mint 17 - das und mehr finden Sie in der neuen LinuxWelt 5/2014 .

Neuerungen in Open VAS-7

Open VAS-7 ist Ende April 2014 erschienen und bietet zentrale Neuerungen. Nach dem Start ist der veränderte Aufbau der Weboberfläche zu sehen. In Folge dessen fiel der separate Desktop-Client weg. Darüber hinaus gibt einen neuen Browser für die Scan-Ergebnisse und ein neues Konzept in der Eingruppierung der Bedrohungen. Open VAS hat sich entschlossen, von einem Bedrohungskonzept hin zu einem Schweregradkonzept zu wechseln. Sollten Sie planen, den Scanner mit anderen Personen gemeinsam zu nutzen, können Sie mit Hilfe des neuen Berechtigungskonzepts einzelnen Anwendern die entsprechenden Rechte zuweisen. Open VAS-7 besteht aus drei zentralen Komponenten: dem Open-VAS-Client, dem Open-VAS-Manager, dem Open-VAS-Scanner, die ergänzt werden durch das Regelwerk für die Scans sowie der Konfiguration und den Ergebnissen Ihrer Untersuchungen. Auf der Website von Open VAS ist die Architektur des Scanners übersichtlich beschrieben.

Open-VAS-Bericht: Nach dem Ende des Scans erhalten Sie eine Übersicht über alle gefundenen Gefahren und deren Gewichtung.
Vergrößern Open-VAS-Bericht: Nach dem Ende des Scans erhalten Sie eine Übersicht über alle gefundenen Gefahren und deren Gewichtung.

Installation von Open VAS

Aufgrund der zahlreichen Neuerungen haben wir uns hier für den Einsatz von Open VAS-7 entschieden, was eine Kompilierung aus dem Quellcode erfordert. In den Paketen finden Sie in der Datei „INSTALL“ eine detaillierte Anleitung, welche Voraussetzungen für die Kompilierung notwendig sind und wie Sie vorgehen sollten. Dies ist sowohl für den Scanner, die Bibliotheken, den Manager, den Greenbone Security Assistent (GSA) und auch das Kommandozeilen-Interface (CLI) notwendig.

Nachdem Sie die Komponenten kompiliert haben, sind noch einige zusätzliche Schritte notwendig. Open VAS schützt die Kommunikation zwischen Client und Server auf Basis von SSL und benötigt aus diesem Grund ein Zertifikat. Dies erzeugen Sie lokal mit dem Befehl openvas-mkcert .

Alternatives Open VAS-6: Die aktuellen Netzwerk-Scans sind auch allesamt mit Open VAS-6 verfügbar, und für diese Version gibt es Installationspakete für Debian-basierte Systeme, Cen-OS, Fedora, Open Suse und Red Hat. Für erste Versuche ist das ältere Open VAS-6 vollkommen ausreichend.

Schnellere Updates auf Linux-PCs

Erster Start der Sicherheits-Software

Starten Sie die Einrichtung mit dem Befehl openvassd . Die Basis für die Überprüfungen eines Systems sind die zugrunde liegenden Regelwerke. Diese laden Sie mit den folgenden Terminal-Kommandos:

openvas-nvt-sync
openvas-scapdata-sync
openvas-certdata-sync

Zur Anmeldung bei Open VAS benötigen Sie noch einen Benutzer und ein Client-Zertifikat. In unserem Beispiel legen wir einen Benutzer „admin“ an und weisen diesem die Rolle „Admin“ zu. Innerhalb der Kommandozeile geben Sie direkt das Passwort für den Administrator ein.

openvasmd --create-user=admin --role=Admin
openvas-mkcert-client -n -i

Da eine saubere Grundinstallation die Basis für den Scan-Erfolg darstellt, bietet Open VAS das Programm openvascheck-setup an, mit dem Sie die Funktionsweise Ihrer Installation vorab prüfen können. Laden Sie dieses herunter, und machen Sie die Datei ausführbar; danach starten Sie Open VAS und führen die Überprüfung durch:

wget --no-check-certificate https://svn.wald.intevation.org/svn/openvas/trunk/tools/openvas-check-setup
chmod +x openvas-check-setup
sudo openvassd
sudo ./openvas-check-setup

Eventuelle Probleme bekommen Sie in der Checkliste angezeigt. Anschließend steht Ihnen Open VAS für die erste Anmeldung bereit. Rufen Sie über Ihren Webbrowser die URL https://localhost:9392 auf, und melden Sie sich mit dem Benutzer „admin“ und mit dem zuvor festgelegten Passwort an.

Analysen: Open VAS liefert Ihnen zu jedem Fund detaillierte Erklärungen und wenn möglich auch Vorschläge für die Gegenmaßnahmen.
Vergrößern Analysen: Open VAS liefert Ihnen zu jedem Fund detaillierte Erklärungen und wenn möglich auch Vorschläge für die Gegenmaßnahmen.

Überprüfung eines Servers

Der Einstiegsbildschirm bietet Ihnen eine „QuickStart“-Funktion: Sie geben an dieser Stelle lediglich die IP-Adresse eines Servers ein, Open VAS führt dann alle vorhandenen Test eigenständig durch und präsentiert die Ergebnisse. Führen Sie Scans ausschließlich für eigene Server oder Computer durch, da dies als Vorbereitung für einen Angriff auf eine fremde Infrastruktur gewertet werden könnte.

Dies ist in Deutschland nach aktueller Rechtslage strafbar.

Die Tests über „QuickStart“ gehen nicht in die Tiefe, sondern geben erst einmal Auskunft über den allgemeinen Sicherheitszustand des Systems. Dazu wird die Variante „Full and Fast“ verwendet. Dieser Scan kann einige Minuten dauern, da über 32 000 Überprüfungen durchgeführt werden.

Nachdem Sie einen vollen Scan durchgeführt haben, können Sie auf Basis der Erkenntnisse eine detaillierte Prüfung einzelner Fehlergruppen durchführen. Legen Sie dazu am besten über „Configuration/Scan Configuration“ eine neue Scan-Konfiguration an, und weisen Sie dieser einen Namen zu. Wählen Sie im nächsten Schritt die Fehlergruppen aus, welche Sie in den neuen Scan mit einbeziehen möchten. Zum Abschluss erhalten Sie einen Bericht, welcher die Schwachstellen des Geräts aufzeigt.

Open VAS kategorisiert die Probleme in drei Gruppen: High, Medium und Low. Im Gesamtbericht („Full Report“) erhalten Sie einen Überblick aller gefunden Schwachstellen Ihres Systems.

Open Vulnerability Assessment System

Projektseite: www.openvas.org

Downloads: www.openvas.org/download-de.html

Dokumentation: http://openvas.org/software.html

0 Kommentare zu diesem Artikel
2002023