33582

Keine Panikmache bei Falschmeldungen

Der Albtraum eines jeden Administrators sind die so genannten False Positives. Dabei handelt es sich um Fehlalarme, die oft als Folge einer nicht sachgerechten Konfiguration dem Administrator das Leben schwer machen und viel Arbeit verursachen. Falschmeldungen werden möglicherweise aber auch durch eine unvollständige Ausführung oder durch Bugs verursacht. Sie können außerdem durch veraltete Testskripts entstehen, die eine bereits gepatchte Sicherheitslücke unter die Lupe nehmen und fälschlicherweise ein Problem melden.

Für das Testen von Verwundbarkeiten eines Systems gibt es zwei Ansätze: eindringendes Scannen und nicht-eindringendes Scannen. Im ersten Fall sendet man an den jeweiligen Dienst Daten, die die Schwachstelle ausnutzen und beispielsweise ein System zum Absturz bringen. Bei der zweiten Methode sendet man an den Dienst Anfragen, die die Schwachstelle verifizieren, den Dienst aber selbst nicht lahm legen oder auf eine andere Art beschädigen.

Um die ungefährlichere Variante zu wählen, stellen Sie sicher, dass die Option Safe checks im Register Options/General eingeschaltet ist. Standardmäßig ist dieser Schalter aktiviert. Diese Einstellung sorgt übrigens auch dafür, dass unnötige Informationen nicht in den Berichten landen.

Lokale Sicherheit überprüfen

Mit der Einführung von Nessus 2.1.0 sind endlich auch lokale Sicherheits-Checks möglich. Dabei kann sich der Security Scanner per SSH Zugang zum System verschaffen und feststellen, welche Patches fehlen. Verfügt der Client über einen gültigen SSH-Schlüssel, so loggt er sich in dem entfernten Host ein, nimmt die Liste der installierten Software unter die Lupe und gibt dann einen detaillierten Bericht aus, welche Systemkomponenten erneuert werden sollten.

Das Ziel dieser Funktion: Alle fehlenden Patches sollen gefunden werden, also nicht nur für die externen Dienste, Ports und Ähnliches sondern auch die, jene für die sichere Ausführung der Umgebung erforderlich sind. Wichtig für das Verständnis: Die lokale Überprüfung kann allerdings keine fehlerhaften Benutzerberechtigungen oder Ähnliches aufdecken.

Das Interessante an der Patch-Ermittlung: Es wird schon jetzt eine Vielzahl an Betriebssystemen unterstützt, beispielsweise Fedora Core, Suse Linux und Windows NT, 2000, XP und 2003.

PC-WELT Marktplatz

33582