33582

Nessus-Berichte im Detail auswerten

Nach dem Scan-Vorgang gibt Nessus einen Report aus, dem Sie Detailinformationen entnehmen. Dieser Report zeigt die analysierten Rechner samt Port, Sicherheitswarnungen und Detailinformationen an. Oftmals liefert er auch Hinweise, wie eine erkannte Sicherheitslücke geschlossen werden kann. Diese Reporte können auch in gängige Formate, darunter PDF, HTML und XML exportiert und beispielsweise in Datenbanken weiter verarbeitet werden.

Die wichtigste Aufgabe von Nessus ist es, Sicherheitsrisiken im Netzwerk herauszufinden, um dem Administrator Informationen zu liefern, wie und wo er die Umgebung sicherer machen kann. Mit den eigentlichen Tests ist es aber nicht getan. Vielmehr müssen Sie die Ergebnisse, die Nessus ausgibt, analysieren, verstehen und korrekt auswerten. Dazu ist es zunächst einmal erforderlich, die Daten richtig zu interpretieren.

Das Report-Modul ist in vier Bereiche eingeteilt. Sie zeigen die analysierten Subnetze, die Hosts, die Ports sowie die Anfälligkeiten nebst ergänzenden Informationen an. Letztere sind nur dann verfügbar, wenn Sie einen Eintrag in der Severity-Liste markieren. Hier werden übrigens alle kritischen Ereignisse und Lücken für den jeweiligen Port aufgeführt. Wichtig ist, dass Sie erkennen, dass die Sicherheitslücken in der Severity-Liste sich ausschließlich auf den markierten Port der Portliste beziehen.

Um nun die hostspezifischen Informationen abzurufen, markieren Sie den gewünschten Host. Im Bereich Port listet das Modul nun alle Ports auf, die den Test nicht bestanden haben. Der besseren Übersicht halber zeigen Symbole den Status sicherheitskritischer Lücken an. Markieren Sie in der Port-Liste einen Eintrag, so werden unter Severity die zugehörigen Sicherheitslücken und -warnungen sowie gegebenenfalls Sicherheitshinweise angezeigt. Erst durch einen abschließenden Klick auf eine der Warnungen werden die Details aufgerufen.

Scan-Report mit umfassenden Zusatzinfos

Um maximale Informationen aus den Berichten zu ziehen, müssen Sie sich mit der Scanner-Logik vertraut machen. Die Scan-Vorgänge basieren auf NASL-Skripts (siehe Kasten Selbst ist der Admin: Eigene Scan-Routinen auf der Vorseite). Für jedes dieser Skripts führt der Scanner die folgenden Schritte aus: Zunächst stellt der Scanner sicher, dass alle in den Abhängigkeiten der Skripts definierten Scans durchgeführt wurden. Dann ermittelt der Scanner, ob der betreffende Dienst auf dem Ziel-Host überhaupt läuft.

Dazu wird meist die Knowledge-Base konsultiert. Sofern möglich, werden Sicherheitslücken erkannt. Als Nächstes versucht sich der Scanner an der Verifizierung der Sicherheitslücke. Dieser Vorgang ist von Skript zu Skript unterschiedlich geregelt. Meist sendet das Skript bestimmte Werte oder Kommandos an einen Dienst und analysiert dessen Antworten. Schließlich bestimmt Nessus auf Grundlage der zurückgegebenen Informationen, ob es sich um eine kritische Sicherheitslücke handelt. Dazu wird ein so genannter Risikofaktor gesetzt.

PC-WELT Marktplatz

33582