titel openVas

OpenVAS:

Schwachstellenanalyse und -management

Die IT-Sicherheit in Unternehmen ist insbesondere dann wichtig, wenn ein Cyber-Angriff zu hohen Umsatzeinbußen führen kann. Es liegt daher im Interesse der Unternehmen Schwachstellen
– und damit Angriffe – erfolgreich vorzubeugen. Ein Hilfsmittel für diese Aufgabe ist das Schwachstellenmanagement-Tool OpenVAS.

Ein fiktiver Angriff

Das fiktive Unternehmen Web AG hat vor wenigen Tagen eine neue Version ihrer Website vor Dutzenden Kunden vorgestellt und auf vielen Kanälen bekannt gegeben. Kurz nach der Veröffentlichung kommt es zu einem Angriff, der dafür sorgt, dass die beworbene Website stundenlang nicht zu erreichen ist. Die Kunden sind verärgert und auch viele potenzielle Neukunden haben gar nicht erst die Möglichkeit, die Web AG als neuen Geschäftspartner kennenzulernen. Später stellt sich heraus, dass der Angreifer durch eine schon länger bekannte Schwachstelle in einer veralteten Version des beliebten Apache Webservers einen sogenannten Distributed-Denial-of-Service-(DDoS)-Angriff durchführen konnte. Hätte dieser verheerende Angriff vermieden werden können?

Täglich werden bis zu 300 neue bekannte Schwachstellen als Common Vulnerability & Exploit (CVE) veröffentlicht, die alle relevanten Informationen präsentieren. Es stellt jedoch eine Mammutaufgabe dar, händisch jedes CVE darauf zu prüfen, ob eine installierte Version betroffen ist und herauszufinden, wie das Problem behoben werden kann. Selbst für einen einzigen Server ist ein Administrator auf diese Weise Tage mit der Absicherung des Servers beschäftigt.

Im Verlauf dieses Artikels werden wir die Web AG bei der Einrichtung des OpenVAS begleiten sowie dabei die Funktionsweise und Fähigkeiten des Systems aufzeigen.

Erkennen von Schwachstellen

Schwachstellen in Systemen können durch gezieltes Testen erkannt werden. Die Grundlage für diese Tests bildet meist eine Checkliste, die vorgibt, welche Tests ausgeführt werden sollen. Handelt es sich um einen Webserver, werden die entsprechenden Tests ausgewählt. Im Falle
der Web AG wird beispielsweise getestet, ob eine veraltete Version des Apache Webservers installiert ist. Ist dies der Fall, wird das Ergebnis vermerkt und mit dem nächsten Test fortgefahren.

Allerdings steigt mit der Anzahl der installierten Anwendungen auch die Zahl der Fragen, die geklärt werden müssen. Ist beispielsweise auch ein Mail Client eingerichtet, muss dieser ebenso überprüft werden. Zusätzlich müssen die Ergebnisse der Tests noch ausgewertet und die entdeckten Sicherheitslücken geschlossen werden.

Viele dieser Sicherheitschecks laufen folglich immer gleich ab, indem eine Schwachstelle mittels dieser gezielten Tests überprüft wird. Vorgegangen wird hierbei immer auf dieselbe Art, was die Frage aufwirft, ob dies automatisiert werden kann.

Das Open Vulnerability Assessment System

Das Open Vulnerability Assessment System (OpenVAS), ein quelloffener Schwachstellenscanner (siehe Abbildung 1), ist in der Lage, diese eingangs erwähnten Tests automatisiert auszuführen. Ein Framework unterschiedlicher Dienste und Werkzeuge, die die Grundlage des Systems bilden, helfen dem System in der aktuellen Versionsnummer 9 vom 8. März 2017, eine Vielzahl von Schwachstellen zu erkennen (vgl. [3]). Es wird von der Greenbone Networks GmbH mit Sitz in Osnabrück entwickelt und vertrieben.

Herzstück des OpenVAS ist der „OpenVAS Scanner“, der die Rolle des virtuellen Penetration Testers übernimmt und die eigentlichen Tests ausführt, indem er die bereitgestellten Werkzeuge, wie beispielsweise den Portscanner nmap nutzt. Kommuniziert wird im gesamten OpenVAS verschlüsselt. Informationen darüber, wie eine Probe auf etwaige Schwachstellen ausgeführt werden soll, liefert ein Feed, der die sogenannten Network Vulnerability Tests (NVTs) zur Verfügung stellt. Dieser Feed ist in einer kostenfreien Variante als Greenbone Community Feed (GCF) und in einer kommerziellen Variante als Greenbone Security
Feed (GSF) erhältlich. Der GSF ist konzipiert für das Unternehmensumfeld und bietet spezielle unternehmensrelevante Sicherheitstests, die nicht im Community Feed enthalten sind. Beide Feeds erhalten tägliche Updates.

Funktionsweise des Systems

Den Hauptbestandteil des Systems bilden die NVTs, die Anweisungen für das Erkennen von Sicherheitslücken bereitstellen. Zu Beginn eines jeden Tests wird ein Profil des Systems erstellt. Anhand der erstellten Profile werden Tests ausgewählt, die für das System infrage kommen. Beispielsweise wird ein System nur dann auf fehlende Windows-Updates untersucht, wenn es sich um ein Windows-System handelt. Die Tests werden dann durch den OpenVAS-Scanner effizient anhand der erstellten Profile ausgeführt. Die Profile und Ergebnisse der Tests werden im Hintergrund durch den OpenVAS-Manager abgelegt und verwaltet. Dies geschieht in einer SQLite-Datenbank (vgl. [2]).

Es ist allerdings auch möglich, den Umfang der Tests vorher zu definieren. Auf diese Weise kann ein System gezielt auf die Umsetzung des durch das BSI vorgeschriebene IT-Grundschutz-Konzept, geprüft werden. NVTs werden durch das OpenVAS nicht automatisch aktualisiert. Es wird jedoch ein Programm  bereitgestellt, über das sich die NVTs aktualisieren lassen. Dieses sollte automatisiert, z. B. über Cron aufgerufen werden, um immer auf dem neuesten Stand zu sein (vgl. [5]).

Sicherheitslücken werden durch das OpenVAS in sogenannte Severity Classes eingeteilt, die es dem Nutzer ermöglichen, schnell die Schwere einer Lücke zu erkennen. Dazu werden verschiedene Systeme verwendet, die meist nach Low, Medium und High kategorisieren. Allerdings ist es auch möglich, ein anderes System, wie beispielsweise die vom BSI herausgegebene Schwachstellenampel, zu verwenden (vgl. [6]).

Die Greenbone Networks GmbH

Obwohl das OpenVAS quelloffen und damit kostenfrei nutzbar ist, bietet die Greenbone Networks GmbH eine kommerzielle Variante des Tools an. Ein zahlender Kunde erhält dann Zugriff auf den GSF und wie bei den meisten solcher Produkte vor allem Unterstützung durch den Support der Firma.

Zusätzlich bietet das Unternehmen Server an, auf denen das Greenbone OS mit dem OpenVAS-Scanner bereits vorinstalliert ist. Je nach Preiskategorie können so bis zu 50.000 IP-Adressen gescannt werden. Weiterhin werden auch sogenannte virtuelle Appliances zur Verfügung gestellt, die in einem begrenzten Umfang arbeiten. Für weitere Informationen zu den Produkten: https://www.greenbone.net/produktvergleich/

Installation des OpenVAS

Das zu Beginn beschriebene Unternehmen Web AG hat aus den Fehlern gelernt und das OpenVAS – damit wir die Installation hier beschreiben können – selbst installiert. Die einfachste Methode, um das System zu installieren, stellen die vorkompilierten Versionen von Drittanbietern dar, die eine schnelle und komfortable Installation ermöglichen. Die Installation läuft dann entsprechend leicht über die Paketverwaltung der entsprechenden Plattform ab. Da es sich hierbei jedoch um Drittanbieter handelt, wird empfohlen, nach der Installation ein Skript auszuführen, welches die korrekte Installation prüft. Das Skript ist unter dem folgenden Link abrufbar: https://svn.wald.intevation.org/svn/openvas/trunk/tools/openvas-check-setup

Sollten Sie während der Installation Fragen oder Probleme haben, hilft der Mailverteiler des OpenVAS (siehe [4]) sehr weiter. Motivierte Anwender und oft auch die Entwickler hinter dem OpenVAS nehmen sich Zeit und beantworten Fragen und geben Hinweise.

Vorbereitung für die Nutzung des OpenVAS

Nachdem das OpenVAS erfolgreich installiert wurde, sind einige Vorüberlegungen notwendig, um das OpenVAS sinnvoll in die Struktur des Unternehmens einzugliedern. Dabei müssen die folgenden Fragen geklärt werden, bevor mit der Einrichtung des Systems begonnen werden kann:

  • Welche Systeme benötigen eine Untersuchung?
  • Was soll geprüft werden?
  • Wie oft sollen die Systeme geprüft werden?
  • Was geschieht mit den Ergebnissen?
  • Wer soll informiert werden?

Die Web AG hat sich entschieden, nur die Webserver zu untersuchen. Es soll die Umsetzung des vom BSI empfohlenen IT-Grundschutz, geprüft werden. Dies soll jeden Montag um 2 Uhr mit einem umfassenden Scan sowie jeden Tag um 3 Uhr mit einem kleinen Scan geschehen. Legt das OpenVAS
kritische Schwachstellen offen, wird der Administrator des Servers informiert (E-Mail) und kann bei Arbeitsbeginn mit der Behebung der Schwachstellen beginnen.

Einrichtung des OpenVAS

Persönliche Erfahrungen haben gezeigt, dass Bedienung und Konfiguration des OpenVAS über die Weboberfläche die komfortabelere Methode gegenüber jener per Kommandozeile darstellt. Der folgende Abschnitt stellt die wichtigsten Komponenten der Weboberfläche vor und gibt einen Einblick in die Vielzahl der Konfigurationsmöglichkeiten des OpenVAS über den Webbrowser.

Zu sehen ist in Abbildung 2 das sogenannte Dashboard, das den Nutzer begrüßt und einige wichtige Informationen zu den bisher ausgeführten Scans und Schwachstellen gibt. Besonders interessant ist die Hosts Topology, die dem Nutzer mittels gefärbter Punkte eine Übersicht über die bereits gescannten Netzwerke mit ihren Systemen anzeigt. Hier ist ersichtlich, wie die Server und PCs in Relation stehen und wie stark oder schwach sie gefährdet sind. Beispielsweise ist ein Knoten besonders gefährdet, wenn er sich in einem Netz mit mehreren rot gefärbten, also unsicheren Hosts befindet. Der Sicherheitsbeauftragte kann sich auf diese Weise schnell einen Überblick über die Infrastruktur und die aktuelle Lage verschaffen.

Automatisierung

Der spannendste Punkt im Einsatz des OpenVAS ist die Automatisierung der Scans. Das System bietet viele verschiedene Möglichkeiten, um ein Netzwerk auf regelmäßiger Basis zu überprüfen. Die Web AG hat sich entschieden, ihre Webserver jeden Montag um 2 Uhr und jeden anderen Tag um 3 Uhr zu prüfen. Dabei wird montags ein vollumfassender Scan ausgeführt, während an anderen Tagen nur ein kurzer Scan durchgeführt wird. Abbildung 3 zeigt, wie eine solche Aufgabe (Task) im OpenVAS eingestellt werden kann.

Im Menü kann festgelegt werden, wann der Task ausgeführt werden soll. Dabei lässt sich einstellen in welchem Intervall der Scan durchlaufen wird. Eine Stunde ist die kleinste Einheit. Die Benachrichtigungen (Alerts) sind in diesem Fall „Send Mail to Web AG CISO“ und „Report to Admin“. Die Alerts lassen sich so konfigurieren, dass nur dann eine Mail an den CISO (Chief Information Security Officer) versandt wird, wenn eine Schwachstelle einen bestimmten Gefährdungsgrad darstellt.

Auswahl der Scans

Die Web AG möchte ihre Webserver nur auf die Einhaltung des IT-Grundschutzes prüfen, da die Nichteinhaltung finanzielle Konsequenzen nach sich ziehen kann. Montagmorgens soll der umfassende Scan ausgeführt werden, während an allen anderen Tagen nur die Einhaltung des IT-Grundschutzes geprüft werden soll.

Die Abbildung 4 zeigt dazu das Konfigurieren einer Scan Config, die vorgibt, wie ein bestimmter Scan ablaufen soll. Die grundlegenden Optionen des IT-Grundschutzes wurden hier ausgewählt. Bei Erstellung eines neuen Tasks kann die erstellte Scan Config dann ausgewählt werden, um die gewählten Tests auszuführen.

Ergebnisse

Die Ergebnisse der Scans werden in Berichten (Reports) zusammengefasst und zusätzlich in Diagrammen visualisiert. Die Web AG hat die Scans für einige Wochen regelmäßig ausgeführt (siehe Abbildung 5). Deutlich zu erkennen ist hierbei der fallende Verlauf des Diagramms in der Mitte, der auf einen Rückgang der Anzahl der gefundenen Schwachstellen hindeutet.

Fazit

Nach dem Einsatz des OpenVAS bei der Web AG konnten einige Schwachstellen gefunden und geschlossen werden. Durch die erstellten automatischen Scans wird die Sicherheit auch in Zukunft gewährleistet, solange die Lücken entsprechend zeitnah geschlossen werden. Mithilfe der automatischen Benachrichtigungen an die zuständigen Administratoren geht keine Zeit verloren, sodass die Sicherheitsrisiken schnell auf ein Minimum reduziert werden können.

Die Web AG hat sich weiterhin für den Kauf eines Produktes der Greenbone Networks GmbH entschieden, um den Greenbone Security Feed zu erhalten. Denn für kleinere Unternehmen, die bereits versierte Sicherheitsspezialisten im Haus beschäftigen und die nötigen personellen Ressourcen zur Verfügung stellen können, steht der Anschaffung des kostenlosen OpenVAS, nichts im Wege. Jedoch benötigt die Web AG auch einen umfassenden Support und möchte dabei auf einen externen Dienstleister vertrauen. Denn größere Unternehmen, die viel Wert auf die Sicherheit ihrer Infrastruktur legen (müssen) und keine personellen Ressourcen für den Betrieb des Systems zur Verfügung stellen können, sollten sich die Produkte der Greenbone Networks GmbH einmal näher anschauen.

Nils von Nethen ()

Logo ORDIX<sup>®</sup>  news lang

Kostenloses Kundenmagazin

Weitere Artikel

Eine Übersicht über alle Artikel finden Sie im Inhaltsverzeichnis.

Impressum

Impressum der ORDIX® news 1/2018

Bildnachweis

© istockphoto.com | RomoloTavani | Nein zur Gewalt...

Links

[1] Webseite von OpenVAS:
http://www.openvas.org/
[2] Webseite der Greenbone GmbH:
https://www.greenbone.net/
[3] Livedemo des OpenVAS Tools:
https://livedemo.greenbone.net/
[4] Dokumentation des Greenbone Security Assistants:
http://docs.greenbone.net/GSM-Manual/gos-4/en/
[5] Suchen nach spezifischen Sicherheitstests:
https://secinfo.greenbone.net/omp?r=1&token=guest
[6] Produkte der Greenbone Networks GmbH:
https://www.greenbone.net/produktvergleich/
[Q1]: Greenbone Networks GmbH: „About OpenVAS Software“
http://www.openvas.org/software.html
[Q2]: Greenbone Networks GmbH: „About OpenVAS”
http://www.openvas.org/about.html
[Q3]: Greenbone Networks GmbH: „Openvas-discuss Info Page“
http://lists.wald.intevation.org/mailman/listinfo/openvas-discuss
[Q4]: „OpenVAS Compendium – Automatically Updating an NVT Feed”
http://www.openvas.org/compendium/automatically-updating-an-nvt-feed.html
[Q5]: Bundesamt für Sicherheit in der Informationstechnik:
https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Gefaehrdungslage/
Schwachstellenampel/cs_schwachstellenampel_node.html

Abbildungen:

nvn OpenVAS Architektur Abb1 kl
Abb.1: Architektur des OpenVAS (Quelle: www.openvas.org)
nvn OpenVAS Dashboard Abb2 kl
Abb. 2: Dashboard des OpenVAS
nvn OpenVAS Sheduling Abb3 kl
Abb. 3: Scheduling im OpenVAS
nvn OpenVAS ScanConfig Abb4 kl
Abb. 4: Editieren der Scan Config im OpenVAS.
nvn OpenVAS Scans Abb5 kl
Abb. 5: Ergebniss der Scans