Open VAS 4 in der Praxis

Der Vulnerability-Scanner Open VAS war bereits in früheren Linux-Magazinen Gegenstand zweier Artikel ([1], [2]). Die freie Software vollzieht eine rasante Entwicklung und kommt gerade bei Version 4 an. Dieser Artikel stellt sie vor, geht auf verfügbare Clients und deren Stärken und Schwächen ein. Auch gibt er Hinweise für den praktischen Einsatz der Software und beschreibt, wie der Anwender eigene Plugins programmiert.

Die Bezeichnungen der einzelnen Open-VAS-4-Komponenten verwirren etwas. So bezieht sich die Versionsnummer nur auf die Bibliotheken (derzeit 4.0.5). Die Komponenten Scanner (3.2.4) oder Manager (2.0.4) nummerieren anders (Details siehe [3]). Leider führen die Repositories der aktuellen Linux-Distributionen zumeist nur alte Binaries, Ubuntu 11.04 beispielsweise Open VAS 2. Die Community stellt jedoch neuere Pakete ins Netz, für Debian und Ubuntu zum Beispiel per Open Suse Build Service [4].

Die Open-VAS-4-Pakete enthalten allerdings den von vielen Anwendern wegen seiner einfachen Bedienung und der lokal gehaltenen Konfigurationsdaten geschätzten nativen Open-VAS-Client nicht mehr. Wer ihn per Paketmanager versucht nachzuinstallieren, zieht sich eine veraltete Version ins System. Der aktuelle Client [2] ist Teil einer vollständig supporteten Scan-Appliance der Firma Greenbone [5] und dort zu erhalten. Interessenten können die neuesten Quellen auch aus dem Subversion-Repository des Projekts [6] holen und übersetzen.

Die Aktivität der Community, insbesondere die der Greenbone-Entwickler, ist sehr gut an der Versionshistorie im Repository zu sehen: An vielen Tagen führen die Entwickler mehrere Check-ins durch, festgestellte Bugs beheben sie oft in wenigen Stunden.

Wer gern mit frischen Versionen arbeitet, sollte den Sourcecode über Subversion beziehen. Das Paket zu schnüren ist recht einfach. Der Autor stellt dazu ein unter Ubuntu getestetes Makefile bereit [7], das die Schritte Download oder Update der Quellen, Installieren der erforderlichen Pakete sowie Erzeugung und Installation der aktuellen Version inklusive der Versionsupdates übernimmt (Listing 1). Später aktualisiert jederzeit ein »make up« die Software als Ganze.

01 # installiert erforderliche Pakete
02 make depend
03 # erzeugt und installiert Open VAS
04 make
05 # erstellt benötigte Zertifikate, Datenbank, etc.
06 make initial
07 # startet die erforderlichen Hintergrundprozesse
08 make start

Neue Protokolle

Open VAS hat beginnend mit Version 3 das Framework kräftig verändert (Abbildung 1), bleibt jedoch zu den aus Version 2 bekannten Tools und Protokollen kompatibel. Neben dem neuen Open VAS Management Protocol (OMP), das Scanprozesse zu managen hilft, und dem Open VAS Administration Protocol (OAP) zum Administrieren sind vor allem Clients und neue Dienste hinzugekommen.

So steuert der Open VAS Manager die gesamte Kommunikation innerhalb des Framework und legt alle Scan-relevanten Informationen in seiner internen SQLite-Datenbank ab. Er entlastet so die neuen, auf OMP fußenden Clients und organisiert den wechselseitigen Zugriff auf die hinterlegten Scandaten. Die Kommunikation mit dem eigentlichen Scanner, »openvassd« , erfolgt nach wie vor per Open VAS Transfer Protocol (OTP). Der Dienst Open VAS Administrator hilft dem Admin die vorgesehenen Nutzer und Zertifikate komfortabel zu verwalten.

Abbildung 1: Clients, Dienste und verwendete Kommunikationsprotokolle von Open VAS in Version 4. (Quelle: [8])

Client-Vielfalt

Zu dem bisherigen GTK-Programm Open-VAS-Client gesellen sich nun weitere Scan-Clients. Mit der Serveranwendung Greenbone Security Assistant (GSA, [2]) tragen die Entwickler dem Trend zu Webanwendungen Rechnung (Abbildung 2). Der dank Qt auch unter Windows lauffähige Greenbone Security Desktop (GSD, Abbildung 3, [9]) oder das einfache Kommandozeilentool »omp« runden das kostenfreie Angebot ab.

In Version 3 noch lückenhaft, spiegeln die Desktop-Clients in Version 4 den vollem Umfang von Open VAS wider. In der praktischen Anwendung allerdings zeigt sich der klassische Open-VAS-Client deutlich einfacher anwendbar und vor allem schneller bedienbar. Große Vorteile zieht er aus seiner hierarchischen Gliederung der Scanziele in »Targets« und »Scopes« . Die einmal definierten Standardeigenschaften für den Scan reicht das System zunächst vom Target zum Scope weiter, der Administrator darf sie danach beliebig anpassen.

Dadurch kann er neue Scans sehr schnell definieren und absolvieren. Auch der Wechsel zwischen den Scanzielen und deren Ergebnissen gelingt auf Anhieb. Im Vergleich dazu gestaltet sich das Definieren der Scans beim Webclient und den Desktop-Clients umständlich. Der Bediener legt zunächst »Scan-Configs« , »Credentials« , »Scan-Targets« und »Tasks« getrennt voneinander fest. Was zunächst wie stets wiederverwendbare Bausteine aussieht, entpuppt sich beim späteren Bearbeiten der Konfiguration als Hindernis. So lassen sich beispielsweise Scan-Targets nachträglich nicht ändern und in den Scan-Tasks die Scan-Targets nicht nachträglich austauschen.

Der Bediener muss die Einträge deswegen neu definieren, was auf Dauer lästig ist. Auch das Definieren von Scanzielen über eine Datei-basierte Liste gelingt derzeit mit den neuen Clients nicht. Wer also Hunderte virtueller Hosts eines Webservers auf Schwachstellen scannen will, lernt die Vorzüge des klassischen Clients zu schätzen, der die Liste der Hosts als Textdatei akzeptiert.

Abbildung 2: Der neue Greenbone Security Assistant braucht nur einen Browser.

Abbildung 3: Der Desktop-Client Greenbone Security Desktop fußt auf Qt.