© Byron Moore, 123RF.com

Der Markt für Security-Assessment-Tools wächst stetig, spätestens seit 2001 die amerikanische Firma Foundstone mit ihrem Foundscan MMS [1] den ersten SA-Service herausbrachte. Kein Wunder, dass wenig später Branchenriese McAfee Foundstone schluckte und sich, wie viele seiner Konkurrenten, nicht mehr nur das bloße Ausfindigmachen von Schwachstellen, sondern gleich das ganze “Vulnerability Management” auf die Fahnen schrieb.

Während Admins größerer Firmen vor zehn Jahren noch davon träumten, solcher Schwachstellen durch das Erkennen mit Vulnerability Assessment und die folgenden Patches automatisch Herr zu werden, mussten die meisten von ihnen in der Zwischenzeit erkennen, dass solche Lücken wohl untrennbar mit der Informationstechnologie verbunden sind.

Vulnerability Management

Also verschiebt sich der Fokus auf den richtigen Umgang mit dem Unvermeidbaren. Vulnerability Management Appliances und Services helfen heute eher dabei, die Schwachstellen zu erkennen, zu dokumentieren und die Trends zu beobachten. Je nach Produkt geben sie bisweilen auch noch Ratschläge und Tipps, wo sich Verbesserungen in Form von Patches oder Konfigurationsänderungen ansetzen lassen.

McAfee & Co.

Neben McAfee streiten sich Anbieter wie Qualys [2], Ncircle [3] und Rapid7 [4] um den sicherheitsaffinen Kunden. All diesen Produkten ist eines gemeinsam: Egal ob die Hersteller “Fully Managed Services” anbieten oder mit einer Appliance daherkommen, jeder hat seine eigene Vulnerability Assessment Engine (VAE) entwickelt – und keines dieser Produkte nutzt den Open-Source-Platzhirsch Open VAS [5].

Greenbone Security Manager

Hersteller: Greenbone [6] Zielgruppe: Mittlere und große Unternehmen, die BSI-Grundschutz implementieren Architektur: Intel X86 Betriebssystem: Debian Linux mit Kernel 2.6.26 und Open VAS Netzwerk-Anschlüsse: 4x 1 GBit/s (UTP), 4x 1-GBit/s-Ethernet (SFP) Preise: Etwa 13000 Euro inklusive 1 Jahr Greenbone Network Vulnerability Feeds, später 6000 Euro pro Jahr (für die NVTs) Optional: Hardware-Support 250 Euro/Jahr Abmessungen: 4,4 x 42,7 x 23,5 cm Gewicht: 13 kg

Ganz anders der Greenbone Security Manager (GSM, [6]). Die giftgrüne Appliance mit dem bissigen Logo (Abbildung 1) gibt es zwar nur in einer Variante (siehe Kästen “Greenbone Security Manager” und “Hardware”), aber dafür ist sie gegenwärtig die einzige Schwachstellenmanagement-Appliance, die komplett auf Open-Source-Software setzt: Sie kombiniert Debian Linux (Kernel 2.6.28) mit Open VAS.

Abbildung 1: Hund, Drache oder Dinosaurier? Je nach Kulturkreis soll der Kunde sich das aussuchen.

Abbildung 2: In stechendem Grün kommt die GSM-Appliance daher, auf der Unterseite der 19-Zoll-Box zeigt sich der modulare Aufbau.

Konfiguration

Der Appliance liegt ein handlicher DIN-A4-Quickstart-Guide bei, der alle wichtigen Kommandos beschreibt, die der Administrator braucht, um die Appliance auf der proprietären Shell für ein Login über das Web-basierte GUI vorzubereiten. Nach weniger als 10 Minuten fletscht ein grünes Ungetüm im Login-Fenster die Zähne (Abbildung 1). Nun legt der Admin zuerst seine Scan-Targets an, also die Netzwerke und IP-Adressen, die er untersuchen will.

Scans konfigurieren

Der Scanner kann sich auf Hosts oder in (Web-)Applikationen einloggen, um diese genauer unter die Lupe zu nehmen. Dafür braucht er vorher in der Regel Credentials, die der Admin beim Erstellen des Ziels zuweist.

Bei Webapplikationen geht das nur eingeschränkt: Das verwendete Plugin W3AF [7] lässt sich gegenwärtig nur verwenden, wenn der Browser das Login abwickelt und die Anmeldung nicht über HTML-Forms oder Javascript funktioniert.

Nach den Targets wählt der Benutzer entweder einen der vier vorkonfigurierten Scans (siehe Abbildung 4) oder legt sich eine neue »Scan Config« an, die auf die eigene Umgebung besser zugeschnitten ist und keine Zeit mit unnötigen oder unpassenden Network Vulnerability Tests verplempert (siehe Abbildung 5). Auch die Parameter der einzelnen Tests lassen sich individuell einstellen (siehe Abbildung 6). Weil manche Scans unter Umständen sehr lange dauern können, findet sich auch ein Feature, mit dem Admins einen Scan nach einer bestimmten Laufzeit unterbrechen und im nächsten Wartungsfenster fortsetzen.

Abbildung 3: Die Appliance zeichnet sich durch gut durchdachte Hardware mit klarem Design und vielfältigen Ausbaumöglichkeiten aus.

Abbildung 4: Greenbone bringt standardmäßig vier vorkonfigurierte und ein leeres Template für Scans mit. Per Web-GUI stellt der Administrator seine Target-Hosts und -Appliances ein.

Abbildung 5: Nicht benötigte Vulnerability-Scans abschalten spart in vielen Fällen viel Zeit. Wer zum Beispiel keine AIX-Systeme im Einsatz hat, deaktiviert diese einfach.

Abbildung 6: Jeder Test lässt sich individuell anpassen und auf die eigenen Hosts maßschneidern.

Angelegte Scan-Konfigurationen lassen sich sowohl im- als auch exportieren. Diese ladbaren Scan-Configs erweisen sich als ein wesentlicher Pluspunkt der GSM-Appliance. Von diesen XML-Dateien für besondere VAs hat Greenbone auf seiner Webseite fünf spezialisierte Varianten als Beispiele veröffentlicht. Darunter ist eine Konfiguration zu finden, mit der sich ein VA nach dem IT-Grundschutz des BSI [8] erstellen lässt und die für entsprechend formatierte Reports sorgt.

Scannen

Um den Scan auszuführen, legt der Admin eine Task an und startet sie. Abbildung 7 zeigt eine Reihe solcher Aufgaben, die die Autoren des Linux-Magazins im Testlabor ausführten. Hat der GSM eine Task bereits mehrfach ausgeführt, gibt die Appliance einen Vulnerability-Trend aus (siehe Abbildung 4).

Abbildung 7: Der Taskmanager des GSM zeigt laufende und beendete Scans, die zugehörigen Trends, aber auch wann die Appliance den ersten und den jüngsten Report zu einer Task erstellt hat.

Schön für Admins: Scans lassen sich vorausplanen oder periodisch wiederholen (Abbildung 8). Das ist besonders für Betreiber von großen Netzwerken und Backbones interessant. Die Netze von ISPs etwa sind meist sehr dynamisch und keiner strikten Konfigurationskontrolle unterworfen. Regelmäßige Überprüfungen erweisen sich hier als gutes Mittel, um zu verfolgen, was im Netzwerk vorgeht, und dann gegebenenfalls mit Patches oder Konfigurationsänderungen auf Sicherheitsprobleme zu antworten.

Abbildung 8: Mit dem eingebauten Scheduler plant der Admin wiederkehrende Scans.

Das Herzstück: Network Security Feeds

Das Herz jedes Vulnerability-Management-Systems sind die Network Vulnerability Tests (NVTs). Eine VA-Engine holt sie sich über so genannte Feeds aus dem Internet. Gute NVT-Feeds zeichnen sich durch Aktualität und Vollständigkeit aus, viele veralten aber bereits nach wenigen Wochen. Pro Monat nennt die Open Source Vulnerability Database (OSVDB, [9]) durchschnittlich 600 neue Schwachstellen, wobei sie Lücken in gängigen Webapplikationen wie MS Sharepoint gar nicht erst erfasst.

Wer den Überblick über das eigene Risiko- oder Sicherheitsprofil behalten will, muss also immer mit frischen NVTs am Ball bleiben und seine Scans periodisch wiederholen.

Kommerzielle NVTs

Neben freien und kostenlosen NVT-Feeds wie den Nessus/Tenable Homefeed [10] gibt es auch kommerzielle Pendants wie den Nessus/Tenable Professional Feed [11] oder eben die Greenbone Feeds. Sind die freien Feeds in den Abständen zwischen den Updates ebenbürtig, hapert es oft bei der Vollständigkeit.

Das liegt daran, dass die freien Feeds eigentlich mit den kommerziellen identisch sind, wobei aber der Anbieter einfach wichtige Plugins weglässt. Im produktiven Betrieb sollten sich Admins daher bei NVT-Feeds ähnlich wie bei AV-Patterns der Vollständigkeit halber ausschließlich auf kommerzielle Quellen verlassen.

Nur Greenbone-Feeds

Die GSM-Appliance kann gegenwärtig leider nur die eigenen, proprietären Greenbone Security Feeds (GSF) abonnieren und verwenden. Ohne den Support des Herstellers ist es also nicht möglich (zumindest nicht auf einfachen Wegen), einen eigenen NVT zu schreiben und zu verwenden. Es erscheint etwas hart, dass eine Open-Source-Appliance sich in dieser Hinsicht so geschlossen gibt. Denn manche Kunden mit sicherheitskritischen Infrastrukturen möchten erkannte Schwachstellen lieber selbst und diskret kurieren und sie nicht gleich an die große Greenbone-Glocke hängen.

In den letzten Jahren sind auch immer mehr IDS-Hersteller durch die offenen Standards von Snort und Sourcefire unter Druck geraten, entweder auch vom Kunden selbst gestrickte Snort-IDS-Patterns zu importieren oder die Kundschaft mit eingehender Dokumentation und Schulungen in die Lage zu versetzen, eigene IDS-Patterns mit dem proprietären Baukasten zu entwickeln.

Die Greenbone-Feeds haben nach Aussage des Herstellers den Vorteil, dass sie einer strengen Qualitätskontrolle unterliegen, in genau bestimmten Zeitabständen (oder aber fallbezogen) erscheinen und individuelle Feeds für einzelne Kunden möglich sind. Im Test waren die Ingenieure von Greenbone immer schnell erreichbar. Zusätzlichen Anforderungswünschen der Autoren des Linux-Magazins kamen sie sofort nach und integrierten sie im nächsten Feed.

W3AF

So hatten die Autoren zum Beispiel die Forderung gestellt, mit dem W3AF-Plugin nicht nur die Default-Seite eines Webservers zu scannen, sondern auch komplexere Webapplikationen, die zum Beispiel mit Name Based Virtual Hosts (Apache), Host Header Names (MS IIS) oder nicht von der Default-Webseite aus verlinkt sind.

Greenbone hat dafür innerhalb von 24 Stunden eine zusätzliche Option (»Seed URL«) in die W3AF-Parameter-Einstellungen implementiert und sie mit dem nächsten Update des Feed veröffentlicht.

Vergleich mit Open VAS

Die GSM-Appliance konzentriert sich zurzeit stark aufs Vulnerability Assessment und kann auf den ersten Blick nur wenig mehr als Open VAS. Für den GSM spricht aber, dass es sich um eine schlüsselfertige Lösung handelt, mit deren Web-basiertem GUI sich angenehmer arbeiten lässt als mit dem GTK-basierten Open-VAS-Client. Auch muss sich der Admin beim Betrieb der grünen Echse nicht (wie bei Open VAS) mit einer Client-Server-Lösung auseinandersetzen.

Die Appliance liefert heute allerdings noch nicht die großen Antworten für alle Vulnerability-Management-Anforderungen. So haben die Autoren im Test die Möglichkeit vermisst, die angelegten Scan-Targets mit Prioritäten zu versehen. In der Praxis ist aber nicht jeder Server gleich wichtig, eine Schwachstelle in einem System, mit dem ein Unternehmen aktiv Geld verdient, ist unter Umständen kritischer einzustufen als eine Lücke auf dem Webserver mit den Stellenanzeigen. Und auch die Schwachstellen unterscheiden sich: Eine alte Lücke, zu der es bereits viele Exploits gibt, ist meist kritischer als eine neue.

Roadmap

Ein Blick in die Roadmap zeigt, dass der Hersteller sich dieser Anforderungen durchaus bewusst ist. Darin finden sich Visionen wie das Einklinken der Appliance in vorhandene Asset-Management-Systeme und in Verzeichnisdienste wie Microsofts Active Directory oder LDAP. Angesichts der überzeugenden Qualität der Hardware und der GUIs scheint dieser Weg sehr vielversprechend.

Die GSM-Appliance ist ein deutsches Produkt, bei dem die Tester die Tugenden Gründlichkeit und Ingenieurskunst an allen Ecken gespürt haben. Ohne Zusatzleistungen wie Beratung durch den Hersteller schlägt die Maschine mit etwa 13000 Euro Listenpreis zu Buche. Bei dem Preis ist davon auszugehen, dass Interessenten sich Gedanken gemacht haben, was für mittelfristige Ziele sie mit der Anschaffung verfolgen.

Zielgruppe

Darüber nachdenken sollte jeder, der sich systematisch und detaillierter mit den Schwachstellen seiner IT-Infrastruktur beschäftigen und vielleicht deren Entwicklung mit Kennzahlen und Trends dokumentieren und verfolgen muss. Auch wer BSI-IT-Grundschutz verwendet oder dessen Einführung plant, kann sich bei der Überprüfung der Maßnahmen von Greenbones grünem Drachen unter die Arme greifen lassen. (mfe)