13.07.2009 | Autor / Redakteur: Mike Chapple / Peter Schmitz
Sobald die Liste mit allen Systemen in kleine, überschaubare Einheiten aufgegliedert ist, kann man die Scan-Aufgaben zuweisen. Normalerweise benennt man neue Scan-Aufgaben mit denselben Namen, die auch in der Tabelle verwendet werden. So könnte es zum Beispiel einen Scan-Job namens „Production Web servers“ geben, der die gesamte IP-Adressliste der entsprechenden Gruppierung in der Tabelle enthält, oder einen Scan-Job namens „New York Desktops“, der ebenfalls die entsprechenden Daten aus der Tabelle enthält. Mit dieser Herangehensweise behält man die Übersicht und es wird leichter, spezifische Ziele herauszufiltern.
Wenn man die Job-Namen derart vergibt, dann beschleunigt dies auch die Performance, da die Anzahl der verwendeten Plug-ins auf die reduziert wird, die der Scanner für eine bestimmte Plattform benötigt. Im Beispiel oben hat man eine Liste von Produktions-Webservern. Wenn diese alle unter Linux laufen, kann die Anzahl der ausgewählten Plugins auf eine Handvoll plattform-spezifischer reduziert werden. Es gibt keinen Grund Netzwerk-Bandbreite zu verschwenden, indem man nach den aktuellsten Windows-Schwachstellen sucht, wenn man einen Linux-Webserver vor sich hat.
Die meisten Scanning-Tools akzeptieren eine Reihe von Session-Profilen wie oben beschrieben. Verwendet man ein anderes Tool als Nessus, dann sollte man die Produkt-Dokumentation zu Rate ziehen wie man den Scanner einrichten muss, damit er Profile für eine Scan-Routine akzeptiert.
Wenn man Port-Scanner wie Nessus verwendet, dann ist es am besten, wenn man die Zieldateien in einfache, durch Tabulatoren abgetrennte, Textdokumente aufgliedert. So kann man die Webserver-Liste einfach in eine Textdatei exportieren oder kopieren, um sie dann in NMAP zu verwenden. NMAP verfügt zum Beispiel über die Möglichkeit, eine externe Datei für die Auflistung der Hosts für einen Scan-Vorgang zu verwenden. Der folgende Text ist ein Auszug aus einer NMAP MAN Seite:
Es ist hilfreich wenn sowohl NMAP als auch der komplette Scanner Seite an Seite arbeiten. Der Wurm W32/NetSky-Z öffnete zum Beispiel ein Hintertürchen am TCP Port 665. Hätte man nur die voreingestellten Scan-Jobs ablaufen lassen, hätte man das komplette Windows Subnetz nach dem Wurm durchsuchen müssen. So aber musste man nur drei Befehle eingeben, die Port-Karteikarte aktivieren und nach 665 suchen. Damit war der Scan nach nur 15 Minuten erledigt.
Die Erstellung einer Tabelle und die Untergliederung des Netzwerkes in überschaubare IP-Einheiten dauert seine Zeit. Aber die Investition lohnt sich, da man am Ende ein schlagkräftiges Schwachstellen-Management zur Hand hat.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2022886)
Sehr geehrte Leserinnen und Leser,