In vielen Linux-Distributionen finden sich bereits einen der beiden prominentesten Vertreter der Vulnerability-Scanner wieder: Nessus und Nikto sind umfangreiche Tools, mit denen Sie Schwachstellen in Ihrem System aufdecken und danach entsprechend reagieren können. Falls Sie die Tools in Ihrer Distribution nicht finden oder nicht auf Ihrem Produktivsystem nachinstallieren wollen, empfehlen wir Ihnen die WHAX Live-CD. Informationen zu dieser auf Security spezialisierte Distribution finden Sie unter http://iwhax.net/. Zum Download des CDROM-Boot-Images gelangen Sie beispielsweise hier http://iso.linuxquestions.org/version.php?version=247 .
WHAX bietet Ihnen den Vorteil, dass Sie Nessus nicht großartig selbst installieren und konfigurieren müssen. Bereits mit wenigen Eingaben und Mausklicks haben Sie mit WHAX einen hochkomplexen, kostenfreien Security-Scanner im Einsatz, der schnell und zuverlässig Schwachstellen in einer Rechnerlandschaft aufzeigt. WHAX liefert Nessus bereits mit 7252 Plug-ins aus. Wann immer eine neue Sicherheitslücke auftaucht, finden Sie dafür relativ schnell ein Plug-in unter http://www.nessus.org.
Dabei zeigt sich aber auch, dass WHAX nicht mehr ganz up-to date ist. Derzeit finden sich über 9800 Plug-ins zum Download. Seit Dezember 2005 ist Nessus zudem in Version 3 veröffentlicht. Falls Sie Nessus direkt in Ihrer Distribution auf Festplatte installieren, sollten Sie die aktuelle 3er-Version wählen, da sie doppelt so schnell wie die Version 2 arbeitet.
3.2.2 Nessus – Client GUI
Zum Start sollten Sie zunächst die Nessus-Initialisierung aufrufen. Dies generiert ein Security-Zertifikat und einen Benutzer für das Programm. Das ist einfach zu bewerkstelligen. Sie müssen nur den Anweisungen folgen. Benutzernamen und Passwort können Sie frei festlegen. Arbeiten Sie mit einer Linux-Live-CD, müssen Sie das allerdings nach jedem Rechnerneustart erneut tun.
Nachdem alle gewünschten Eingaben gemacht sind, startet der Initialisierungsprozess den Nessus-Daemon automatisch und lädt sämtliche Plug-ins.
Nachdem der Server-Daemon läuft, ist es an der Zeit, den Nessus-Client zu starten. Die GUI des Clients zeigt automatisch auf localhost. Client und Server müssen allerdings nicht zwingend auf demselben Rechner laufen. Sollten Sie bereits auf einem anderen Rechner einen Nessus-Daemon am Laufen haben, können Sie dies dem Client mitteilen. Nach Eingabe des korrekten Users und Passworts fragt Sie das System, wie Sie das Zertifikat behandeln möchten.
Sie haben drei verschiedene Möglichkeiten und wählen das, was Ihnen persönlich am besten zusagt. Nun zeigt das System Ihnen noch einmal das erstellte Zertifikat an und Sie müssen das bestätigen.
Konfiguration von Nessusu
Nun dauert es einige Sekunden, bis der Connect vollzogen und das Programm einsatzbereit ist. Danach zeigt Ihnen das System eine Warnmeldung, die jedoch gut gemeint ist. Standardmäßig ist bei der WHAX-Distribution in Nessus alles deaktiviert, was andere Systeme zum Absturz bringen könnte. Zum Beispiel betrifft dies die Brute-Force-Attacken einen Angriff über Hydra oder bei den Firewalls den IBM Tivoli Relay Overflow.
Falls Sie Nessus auf Ihrem System selbst installiert haben, sollten Sie zunächst die kritischen Tests ebenfalls deaktivieren. Sie erkennen diese an dem Ausrufezeichen nebem dem Test. Möchten Sie jedoch einen kompletten Security-Audit Ihrer Systeme haben, können Sie die zusätzlichen Tests nach Belieben einzuschalten. Sie sollten das aber nicht zu Hochbetriebszeiten bei produktiven Systemen riskieren.
Weiterhin haben Sie spezielle Security Checks zur Auswahl, die auf spezielle Linux-Distributoren wie Fedora, SUSE oder Gentoo gemünzt sind. Selbstverständlich sind auch die bekannten Sicherheitslücken von Windows in den Nessus-Scans enthalten.
Adressräume nach Lücken scannen
Bei dem Karteireiter Credentials können Sie einen gültigen SMB- oder SSH-Account angeben, den das Programm bei gewissen Tests benutzt. In den Scan-Options legen Sie zum Beispiel fest, welche Ports und wie viele Hosts das Tool gleichzeitig testen soll. Sie können dem Tool auch befehlen, nicht angegebene Ports als geschlossen und damit als nicht beachtenswert zu behandeln. Auch die Anzahl der gleichzeitig laufenden Checks ist hier eine zu verändernde Option. Sie sollten mit diesen Zahlen vorsichtig umgehen, da sie Einfluss auf die Performance Ihrer zu scannenden Hosts sowie auf das gesamte Netzwerk haben können.
Wenn Sie möchten, können Sie dem Programm befehlen, einen so genannten „Reverse DNS Check“ zu vollziehen, bevor der Host einer Prüfung unterzogen wird. Weiterhin lässt sich hier verändern, welchen Portscanner Sie bevorzugen. Sie können beispielsweise auch netstat oder amap als Portscanner arbeiten lassen.
In der Schaltfläche „Target“ geben Sie dann das eigentliche Ziel des Security-Scans ein. Das Untersuchen des Netzwerks nach verwundbaren Rechnern ist relativ einfach. Unter dem Punkt „Target“ geben Sie IP-Adressen einzeln, durch Kommata getrennt, aus einer Datei oder einen Adressraum in Form
192.168.71.1-192.168.71.150
ein. Starten Sie danach das Security-Audit, dauert es je nach Anzahl der Tests und Rechner, bis das Tool Ihnen das Resultat auf den Bildschirm ausgibt. Hier lässt sich dann herauslesen, was potenziell ein Problem oder ein Sicherheitsloch sein könnte.
Auswertung der Resultate
Netterweise liefert das Programm bei gefundenen Sicherheitslücken sofort die Art des Sicherheitsproblems inklusive Beschreibung mit. Nessus zeigt auch die Security-Bulletins an und wo dies im Internet nachzulesen ist. Die Schwere des erkannten Problems wird mit verschiedenen grafischen Symbolen signalisiert.
Diese so genannten Scan-Sessions können Sie nun verwerfen oder speichern. Entscheiden Sie sich, so eine Sitzung zu speichern, haben Sie die Möglichkeit, mit dieser Session fortzufahren. Das hat den Vorteil, dass Sie sozusagen eine Historie der möglichen Angriffspunkte speichern können.
Weitere Optionen
Unter dem Karteireiter „Prefs“ haben Sie noch viele weitere Einstellungsmöglichkeiten für externe Programme wie amap, netstat oder hydra.
Unter KB haben Sie die Möglichkeit, den Speicherbedarf der Nessus Knowledge Base zu limitieren. Wenn Sie zum Beispiel nur Systeme scannen möchten, die bereits in der Vergangenheit überprüft wurden, finden Sie das hier. Auch das genaue Gegenteil ist einstellbar. Am Ende dieses Reiters können Sie noch ein maximales Alter in Sekunden der Knowlegde Base eingeben.
Fazit
Die ersten Schritte mit Nessus sind schnell getan. Im Prinzip gibt man einfach eine IP-Adresse ein, scannt und sieht kurz darauf das Ergebnis. Selbst mit diesen ersten Schritten kommen Sie schnell und effektiv zu Ergebnissen um die Sicherheit in Ihrer Umgebung zu verbessern. Um sich sehr tief in das Programm einzuarbeiten und es auf seine Wünsche einzustellen dürfen Sie aber schon die eine oder andere Stunde investieren. Diese Zeit ist jedoch mit Sicherheit nicht verschwendet.
Der Vulnerability-Scanner bietet noch ein weitaus größeres Potenzial als bislang zu erahnen ist. Möchten Sie sich intensiver mit Nessus und dessen Möglichkeiten beschäftigen, so hilft Ihnen die Seite http://www.nessus.org gut weiter.
Für eine optimale Absicherung Ihrer Systeme sollten Sie Nessus immer auf dem aktuellen Stand halten. Netterweise befindet sich auch ein Update-Button für das Programm in dessen Unterordner. Wirklich empfehlenswert ist dieses Vorgehen aber nur bei einer lokalen Installation. Andernfalls sind die Updates und Änderungen nach einem Ausschalten des Computers verloren. (ala)
Diesen und weitere Artikel zum Thema finden Sie im tecCHANNEL-Compact "IT Sicherheit". Sie können die Ausgabe versandkostenfrei in unserem Online-Shop bestellen.