Mit der kostenlosen Schwachstellen-Analyse-Software OpenVAS können Unternehmen umfassende Analysen zum Sicherheitsstatus im Netzwerk erstellen. Die Lösung lässt sich als eigenständige Serverumgebung installieren, oder über Sicherheits-DVDs wie Kali Linux betreiben.
Die besten Live-Systeme für Sicherheits-Checks
Neben OpenVAS stehen in Kali-Linux Dutzende von weiteren Sicherheits-Tools zur Verfügung. Wir zeigen Installation und Einrichtung. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät zum Einsatz von OpenVAS in Netzwerken.
Kali Linux von DVD starten oder fest installieren
Kali Linux ist eine Sicherheits-Linux-Distribution auf Basis von Debian, die als Live-DVD zur Verfügung steht, die Sie aber auch installieren können. Auch der Betrieb in einer VM, zum Beispiel in Hyper-V oder in VMware-Produkten ist problemlos möglich. Beim Starten der Kali-Umgebung können Sie direkt in die Oberfläche starten, oder über einen Assistenten die Distribution installieren. Das ist auch der von uns empfohlene Weg. Hinweis: Verwenden Sie die Live-DVD, können Sie keine Einstellungen speichern und müssen die englische Oberfläche verwenden.
Nachdem Sie die Installation über den Assistenten durchgeführt haben, öffnen Sie ein Terminal in Linux und rufen Produktaktualisierungen aus dem Internet ab. Verwenden Sie dazu den bekannten Linux-Befehl apt-get update . Nachdem die Liste neuer Updates heruntergeladen und gelesen wurde, starten Sie die Aktualisierung mit apt-get upgrade . Anschließend steht das System auf dem aktualisierten Stand zur Verfügung.
Alle Programme von Kali Linux, welche die Sicherheit betreffen, finden Sie nach der Installation über AnwendungenKali Linux . OpenVAS wiederum finden Sie im Menü AnwendungenKali LinuxSchwachstellenanalyseOpenVAS, falls Sie Kali installiert haben . Falls Sie die englische Oberfläche von Kali Linux verwenden, finden Sie die notwendigen Programme über ApplicationsKali LinuxVulnerability AnalysisOpenVAS .
Rufen Sie beim ersten Start zunächst das Programme openvas initial setup auf. Die Lösung lädt die notwendigen Erweiterungen aus dem Internet und bindet sie an Kali an.
Der Download dauert einige Zeit. Nachdem die notwendigen Systemdateien heruntergeladen wurden, beginnt die Einrichtung der Umgebung. Danach sollte der Dienst bereits zur Verfügung stehen. Mit dem Tool openvas check setup überprüfen Sie die Installation.
Um OpenVAS zu testen, rufen Sie über die kleine Weltkugel oben im Fenster den Browser Iceweasel auf und geben die Adresse https://localhost:9392 ein. Bestätigen Sie die Zertifikate-Warnung und klicken Sie auf Add Exception um die Adresse als vertrauenswürdig zu konfigurieren. Danach bestätigen Sie noch einmal das Hinzufügen. Anschließend öffnet sich die Webseite von OpenVAS .
Funktioniert der Benutzername „admin“ und das Kennwort der Konsole nicht, rufen Sie erneut openvas initial setup auf. Im Terminal haben Sie jetzt die Möglichkeit einen neuen Benutzer anzulegen, oder das Kennwort des vorhandenen Benutzers zu ändern. Das Kennwort des Benutzers „admin“ ändern Sie mit openvasmd –user=admin –new-password=
Die Ziele zum Scannen sind über den Bereich ConfigurationTargets zu finden. Mit Create Target legen Sie neue Ziele an. Ziele sind die Grundlagen für Scanvorgänge. Mit New Task starten Sie neue Scanvorgänge. Sobald ein Scanvorgang abgeschlossen ist, erhält er den Status done . Klicken Sie auf das Lupensymbol, erhalten Sie ausführliche Informationen. Im Bereich Escalators können Sie eine E-Mail versenden lassen, wenn der Status eines Zieles bei einem Scanvorgang einen bestimmten Wert einnimmt. Unterhalb der gefundenen Sicherheitslücken eines Servers, sehen Sie Informationen zu geöffneten Ports. Sie können Berichte in OpenVAS auch als PDF-Dokument herunterladen.
Sie können auf der Startseite natürlich auch einen Quick-Scan starten und einfach die IP-Adresse eines Servers scannen. Besser ist es aber, wenn Sie Server regelmäßig scannen lassen und Aktionen festlegen. Alle Geräte, die Sie im Netzwerk scannen wollen, legen Sie also als Targets fest. Danach steuern Sie mit Tasks welche Ziele gescannt werden sollen und mit Schedules wann das passieren soll. Escalators steuern wiederum was passieren soll, wenn Sicherheitslücken gefunden werden.
Für alle Aufgaben können Sie über das Lupensymbol Berichte abrufen und sehen auf diesem Weg vorhandene Angriffe.
Zenmap und nmap parallel zu OpenVAS nutzen
Arbeiten Sie mit Kali Linux und OpenVAS können Sie flankierend noch auf andere Werkzeuge setzen. Ein bekanntes und effizientes Werkzeug ist zum Beispiel Zenmap, welches eine grafische Oberfläche für das bekannte Portscanning-Tool Nmap ist.
Mit Nmap Schwachstellen auf dem PC aufspüren
Haben Sie Zenmap gestartet, geben Sie entweder eine IP-Adresse, oder ein ganzes Subnetz in der Form 192.168.178.0/24 ein. Anschließend können Sie für die Geräte alle offenen Ports anzeigen lassen.
Auf der Registerkarte Ports/Rechner sehen Sie die offenen Ports der Geräte. Noch mehr Informationen sehen Sie über Rechner-Details . Hier wird auch das Betriebssystem angezeigt. Zenmap kann zwar keine Sicherheitslücken explizit anzeigen, hilft Ihnen aber dabei Schwachstellen zu erkennen.
Mit Wireshark den Netzwerkverkehr untersuchen Wer noch etwas weiter gehen will, kann über Wireshark 23462 in Kali auch noch den Netzwerkverkehr des lokalen Servers scannen. Auf diesem Weg haben Administratoren Sicherheitslücken mit OpenVAS im Griff, die offenen Ports wiederum kontrollieren Sie mit ZenMap beziehungsweise Nmap und den Netzwerkverkehr mit Wireshark.
Mit Wireshark Netzwerk-Probleme finden
Fazit zu OpenVAS
OpenVAS ist ein mächtiges Instrument, mit dem Sie in regelmäßigen Abständen nach Sicherheitslücken in Netzwerken suchen können. Das Tool erstellt Berichte und kann Aktionen ausführen. Sie können die Lösung auch problemlos als VM betreiben. Sobald Sie sich einen Überblick verschafft haben und mit der Lösung zurechtkommen, macht es Sinn, wenn Sie alle wichtigen Geräte als Target anbinden und regelmäßig auf Lücken scannen lassen.