Nessus-Lehrgang – Teil 5
Intelligente Sicherheits-Scans mit Hilfe des Nessus Tabellen-Modells
13.07.2009 | Autor / Redakteur: Mike Chapple / Peter Schmitz
Ein Security-Scan mit Nessus in einem produktiv genutzten Netzwerk ist immer ein Risiko. Schnell kann es passieren, dass ein Scan außer Kontrolle gerät. Mit den richtigen Tricks lässt sich aber ein intelligenter Netwerk-Scan realisieren, durch den man dann ein schlagkräftiges Schwachstellen-Management zur Hand hat. SearchSecurity.de zeigt Ihnen wie das geht.
Solange man kein Test-Netzwerk mit zehn Knotenpunkten zur Verfügung hat, ist der Start eines kompletten Netzwerk-Scans ein sicheres Rezept, um das System zum Zusammenbruch zu bringen oder die Performance deutlich abzusenken. Ein Nessus-Scan führte zum Beispiel schon einmal dazu, ein komplettes Subnetz zur Qualitätssicherung zum Stillstand zu bringen, da offene Verbindungen jeglichen Serverspeicher belegten.
Dieses Szenario lässt sich vermeiden, wenn man das Netzwerk in kleine, verwaltbare IP-Einheiten aufteilt und die Daten in einer Tabelle pflegt. Diese Herangehensweise ermöglicht ein intelligentes Scannen des Netzwerks, selbst wenn man Tools von der Stange oder aus der Open-Source-Kiste verwendet, die ohne aufwändige Management-Features für Unternehmen auskommen.
Benötigte Tools
Man benötigt eine Tabellenkalkulation wie zum Beispiel Microsoft Excel oder OpenOffice (openoffice.org). Zum Scannen verwendet man ein handelsübliches Scan-Programm, oder man lädt Nessus (nessus.org) und NMAP (insecure.org) herunter.
Schritt 1: Inventarliste erstellen
Erstellen Sie eine Tabelle, in der alle Systeme, die Sie verwalten, aufgeführt sind und die die folgenden Spalten enthält:
Ausgefüllt, könnte diese Tabelle dann so aussehen:
(System) 192.168.1.23 65.214.43.37 web02 www.infosecmag.com LINUX 2.4.2 Public Webserver Server MIS Group High
Die Erstellung dieser Basis-Inventarliste wird einige Zeit in Anspruch nehmen und es könnte ein nächtlicher Scan des gesamten Netzwerks vonnöten sein. Ist die Tabelle jedoch einmal vollständig, wird lange Zeit kein Mega-Scan des Netzwerks mehr fällig werden. Sollte bereits eine derartige Tabelle existieren, können Sie mit Schritt 2 weitermachen.
Bei großen Netzwerken ist es von Vorteil, mit einem NMAP- oder Nessus-Scan zu beginnen und die Namen der Hosts und die dazugehörigen Informationen einzusammeln. Die Daten zu Eigentümer und Zweck müssen nicht von Anfang an komplett eingepflegt sein, sondern können mit der Zeit ausgefüllt werden. Sobald man ein hochgradig gefährdetes System vom Netz nimmt, gibt sich dessen Eigner meist schnell zu erkennen.
Zuletzt muss man die IP-Adresse, den Host-Namen FQDN (falls bekannt) und Informationen zu Betriebssystemen, die dem Netzwerk angeschlossen sind, einpflegen. Wenn bereits vorhanden, werden diese Daten in die Tabelle importiert. Ansonsten fügt man sie nach einem Scan, durch ein Komma abgetrennt, als Werte in die Tabelle ein.
Nächste Seite: Schritt 2 – Klassifizierung des Systems
Nessus Schwachstellen-Einschätzung mit Hilfe der SANS Top 20
Inhalt des Artikels:
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2022886)
Sehr geehrte Leserinnen und Leser,