GFI LANguard Network Security Scanner 3.3 Handbuch · Handbuch GFI LANguard N.S.S. Inhaltsverzeichnis • iii ... Social Engineering auf Rechner von Kollegen zuzugreifen. Für den

GFI LANguard Network Security Scanner 3.3

Handbuch

GFI Software Ltd.

Dieses Handbuch wurde von GFI SOFTWARE Ltd. erstellt.

GFI SOFTWARE Ltd. http://www.gfisoftware.de

E-Mail: [email protected] Die Informationen in diesem Dokument können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten Firmen, Namen und Daten sind, wenn nicht anders angegeben, rein fiktiv. Ohne vorherige ausdrückliche und schriftliche Zustimmung von GFI Software Ltd. darf das Dokument weder ganz noch teilweise in irgendeiner Form, sei es elektronisch oder mechanisch oder zu irgendeinem Zweck reproduziert bzw. übertragen werden. GFI LANguard ist ein urheberrechtlich geschütztes Produkt von GFI SOFTWARE Ltd. 2000-2003 GFI SOFTWARE Ltd. Alle Rechte vorbehalten. Version 3.3 – Letzte Aktualisierung 28.03.2003

http://www.gfisoftware.de

mailto:[email protected]

Handbuch GFI LANguard N.S.S. Inhaltsverzeichnis • i

Inhaltsverzeichnis Einleitung 5

Funktionsweise des GFI LANguard Network Security Scanner.................................... 5 Potenzieller Schwachpunkt interne Netzwerk-Sicherheit .............................................. 5 Patch-Verwaltung .......................................................................................................... 6 Die wichtigsten Funktionen............................................................................................ 7 Neue Funktionen des GFI LANguard Network Security Scanner 3.3 ........................... 8 Registrierung von GFI LANguard N.S.S........................................................................ 9

Installation des GFI LANguard Network Security Scanner 11 Systemanforderungen ................................................................................................. 11 Installationsablauf ........................................................................................................ 11

Erste Schritte: Audits durchführen 13 Einführung in Sicherheits-Audits ................................................................................. 13 Durchführen eines Scan-Vorgangs ............................................................................. 13 Analyse der Scan-Ergebnisse ..................................................................................... 15 Zusätzliche Ergebnisse ............................................................................................... 20

Tipps für den optimalen Einsatz des GFI LANguard N.S.S. 23 Einleitung ..................................................................................................................... 23 On-Site Scan ............................................................................................................... 23 Off-Site Scan ............................................................................................................... 23 Vergleich der Scan-Ergebnisse................................................................................... 23

Konfigurierung der Scan-Optionen 25 Einführung in die Verwendung der Scan-Optionen..................................................... 25 Allgemeine Optionen ................................................................................................... 25 Optionen für Passwort-Cracks..................................................................................... 27 Scan-Optionen............................................................................................................. 28 Konfigurierung der zu scannenden Ports .................................................................... 30 Optionen für den Sitzungsaufbau................................................................................ 32 Überprüfung auf bekannte Sicherheitslücken ............................................................. 33 Konfigurations-Manager .............................................................................................. 34

Warnmeldungen 35 Einführung in Warnmeldungen.................................................................................... 35 Aktualisierung von Warnmeldungen............................................................................ 35 Verschiedene Arten von Warnmeldungen................................................................... 35 Zu überprüfende Sicherheitslücken............................................................................. 36 LANS ........................................................................................................................... 41

Speichern der Scan-Ergebnisse 43 Einführung ................................................................................................................... 43 Berichterstellung.......................................................................................................... 43 Filtern der Scan-Ergebnisse ........................................................................................ 44 Erstellen eigener Berichte ........................................................................................... 45 Beispielbericht ............................................................................................................. 46

ii • Inhaltsverzeichnis Handbuch GFI LANguard N.S.S.

Bericht-Generator 51 Funktion des Bericht-Generators................................................................................. 51

Verteilung und Installation von Patches auf Microsoft-Rechnern 53 Einführung in die Patch-Verteilung.............................................................................. 53 Microsoft SUS und GFI LANguard N.S.S.................................................................... 53 Identifizierung fehlender Hot Fixes oder Service Packs.............................................. 54 Patch-Verteilung – unterstütze Produkte..................................................................... 54 Installation von Hot Fixes ............................................................................................ 56 Installation von Service Packs..................................................................................... 59 Installation individueller Patches ................................................................................. 60 Wichtige Hinweise zur Patch-Installation .................................................................... 62 Patches ignorieren....................................................................................................... 62 Durchsuchen von Microsoft-Bulletins .......................................................................... 63 Suche nach MS Bulletins............................................................................................. 64

Vergleich von Scan-Ergebnissen 65 Warum Ergebnisse vergleichen?................................................................................. 65 Interaktiver Vergleich von Ergebnissen....................................................................... 65 Ergebnis-Vergleich nach einem festen Zeitplan.......................................................... 66

Identifizierung des Betriebssystems 69 Identifizierung des Betriebssystems............................................................................ 69 Fingerprint-Dateien...................................................................................................... 70

LANS: LANguard Scripting 73 Was ist LANS?............................................................................................................. 73 LANS Syntax ............................................................................................................... 73 Erstellung eines LANS-Skripts .................................................................................... 76 Netzwerk-Funktionen................................................................................................... 80 Lookup-Funktionen...................................................................................................... 84 SNMP-Funktionen ....................................................................................................... 86 String-Funktionen ........................................................................................................ 88 Konvertierungen .......................................................................................................... 92 Registry-Funktionen .................................................................................................... 94 Weitere Funktionen ..................................................................................................... 94 Zukünftige Einsatzmöglichkeiten des LANS................................................................ 96 Urheberrechtliche Hinweise......................................................................................... 97

Zusätzliche Tools und Funktionen 99 Einleitung ..................................................................................................................... 99 Rechner hinzufügen .................................................................................................... 99 Rechner entfernen....................................................................................................... 99 Rechner suchen ........................................................................................................ 100 Rechner anordnen..................................................................................................... 100 DNS-Lookup .............................................................................................................. 100 WhoIs Client .............................................................................................................. 100 Traceroute ................................................................................................................. 101 SNMP Walk ............................................................................................................... 101 SNMP-Auditing .......................................................................................................... 102 MS SQL Server Audit ................................................................................................ 102 Aufgelistete Rechner ................................................................................................. 103

Zusätzliche Scan-Funktionen 105 Zusätzliche Scan-Funktionen .................................................................................... 105

Handbuch GFI LANguard N.S.S. Inhaltsverzeichnis • iii

In Zwischenablage kopieren...................................................................................... 105 Informationen erfassen.............................................................................................. 105 SNMP Walk ............................................................................................................... 105 Adresse auflösen....................................................................................................... 106 Passwort-Crack (Win9x)............................................................................................ 106 Wörterbuch-Angriff .................................................................................................... 106 Patches verteilen auf ->............................................................................................. 107 Neuesten Service Pack verteilen auf -> .................................................................... 107 Individuelle Patches verteilen auf ->.......................................................................... 107 Auditing aktivieren auf -> ........................................................................................... 107 Nachricht verschicken ............................................................................................... 107 Herunterfahren .......................................................................................................... 108

Syntax der Befehlszeile 109 Steuerung des N.S.S. über die Befehlszeile ............................................................. 109

Allgemeine Hinweise 111 Einleitung ................................................................................................................... 111 Intrusion Detection Software (IDS) ............................................................................ 111 Gemeinsame Administration ..................................................................................... 111 Sicherheits-Software ................................................................................................. 111

Troubleshooting/Support 113 Wenn Sie Fragen haben............................................................................................ 113 Knowledge Base........................................................................................................ 113 Web-Forum................................................................................................................ 113 Bugs gefunden? ........................................................................................................ 113

Index 115

Handbuch GFI LANguard N.S.S. Einleitung • 5

Einleitung

Funktionsweise des GFI LANguard Network Security Scanner Der GFI LANguard Network Security Scanner (N.S.S.) ist ein Tool, mit dem sich Sicherheits-Audits von Netzwerken schnell und problemlos durchführen lassen. Der N.S.S. vereint die Funktionen eines Port-Scanners mit den Vorteilen eines Sicherheits-Scanners. Zudem lassen sich Berichte erstellen, mit deren Hilfe Sicherheitsprobleme in einem Netzwerk schneller erkannt und beseitigt werden können. Im Gegensatz zu anderen Sicherheits-Scannern liefert der N.S.S. keine unübersichtliche Flut von Informationen, die mühevoll bewertet und analysiert werden müssen. Stattdessen bietet er eine übersichtliche Aufstellung aller netzwerkrelevanten Informationen. Ferner werden Hyperlinks zu Sicherheits-Sites bereitgestellt, wo sich weitergehende Informationen zu den jeweils festgestellten Sicherheitslücken abrufen lassen. Der N.S.S. ist für den privaten Einsatz als Freeware erhältlich.

Potenzieller Schwachpunkt interne Netzwerk-Sicherheit Das Problem der internen Netzwerk-Sicherheit wird in den meisten Fällen von Administratoren nicht genügend beachtet und somit unterschätzt. Oftmals besteht überhaupt kein Schutz gegen Angriffe von innen, sodass es für Benutzer ein Leichtes ist, mit Hilfe von bekannten Exploits, Standardeinstellungen oder des so genannten Social Engineering auf Rechner von Kollegen zuzugreifen. Für den überwiegenden Teil dieser Angriffe ist kein oder nur wenig Fachwissen erforderlich, und die Integrität des Netzwerks kann jederzeit kompromittiert werden. Ein universeller Zugriff auf alle Rechner, Verwaltungsfunktionen, Netzwerk-Geräte u. ä. durch sämtliche Mitarbeiter ist in den meisten Fällen nicht erforderlich und sollte zudem auch nicht ermöglicht werden. Für den normalen Betrieb interner Netzwerke ist jedoch ein hohes Maß an Flexibilität erforderlich, und mit Regeln, die maximale Sicherheit garantieren, wäre die Produktivität zu sehr eingeschränkt. Fehlen jedoch entsprechende Sicherheitsmechanismen, können interne Benutzer zur großen Gefahr für das Intranet werden. Mitarbeiter innerhalb eines Unternehmens haben bereits weitreichenden Zugriff auf viele interne Quellen. Um an vertrauliche Daten im internen Netzwerk zu kommen, müssen sie nicht einmal Firewalls oder andere Sicherheitsbarrieren überwinden, die zum Schutz vor Anfragen aus nicht vertrauenswürdigen externen Quellen (z. B. aus dem Internet) errichtet wurden. Interne Benutzer können mit ein wenig Fachkenntnis sogar an administrative Netzwerk-Rechte für den Fernzugriff gelangen. Dieser Missbrauch bleibt oftmals vollkommen unerkannt oder ist nur sehr schwer als ein solcher zu identifizieren.

6 • Einleitung Handbuch GFI LANguard N.S.S.

80% aller Netzwerk-Angriffe werden innerhalb des Firewall-geschützten Bereichs verübt (ComputerWorld, Januar 2002). Eine unzureichende Netzwerk-Sicherheit bedeutet auch, dass beim erfolgreichen Zugriff eines externen Hackers auf nur einen Rechner des Netzwerks auch das übrige interne Netzwerk ohne größere Probleme kontrolliert werden kann. Versierte Angreifer hätten somit die Möglichkeit, vertrauliche E-Mails und Dokumente zu lesen, diese zu veröffentlichen oder Rechner unbrauchbar zu machen, indem z. B. wichtige Systemdaten gelöscht werden. Zudem können Ihr Netzwerk und die Netzwerk-Ressourcen auch selbst als Ausgangspunkt für weitere Angriffe auf andere Sites eingesetzt werden. Wird ein solcher Angriff zurückverfolgt, sind nur Sie und Ihr Unternehmen als Verursacher erkennbar, jedoch nicht der Hacker! Die meisten Angriffe erfolgen über bekannte Exploit-Schwachstellen von Netzwerken, die sich problemlos beseitigen lassen. Voraussetzung hierfür ist jedoch, dass der Administrator über die Sicherheitslücken informiert ist. Diese Aufgabe übernimmt der N.S.S. und hilft Administratoren bei der Identifizierung von Gefahrenquellen.

Patch-Verwaltung Mit GFI LANguard N.S.S. können Patches mühelos und umfassend verwaltet werden. Stellt der GFI LANguard N.S.S. beim Scannen Ihres Netzwerks fest, dass im Betriebssystem und einzelnen Anwendungen Patches und Service Patches fehlen, können diese nach der Überprüfung vom N.S.S. im gesamten Netzwerk verteilt und installiert werden. Mit GFI LANguard N.S.S. lassen sich zur Zeit folgende Applikationen patchen: 1. SQL Server 7 2. SQL Server 2000 3. Microsoft ISA Server 4. Microsoft Exchange 2000 Standard 5. Microsoft Exchange 2000 Enterprise 6. Microsoft Exchange 5.5 7. Office XP 8. Office 2000 Developer 9. Office 2000 Premium 10. Office 2000 Small Business 11. Office 2000 Standard 12. Office 2000 mit MultiLanguage Pack Mit GFI LANguard N.S.S. können Sie auch Betriebssystem-Patches verteilen. Es wird jedoch empfohlen, hierfür Microsoft SUS zu verwenden. Patches für nicht englischsprachige Betriebssysteme können nur mit Microsoft SUS verteilt werden!


Die wichtigsten Funktionen

Liste von Angriffspunkten/Zugriffsmöglichkeiten • Schädliche Dienste und offene TCP- und UDP-Ports • SNMP-Lücken • CGI-Schwachstellen • Backdoor-User • Trojaner oder Backdoor-Software • Offene Freigaben • Unsichere Netzwerk-Passwörter • Offene Auflistung von Benutzern, Diensten etc.

Methoden • Erfassen von Informationen • Identifizierung des Betriebssystems • Überprüfung bekannter Sicherheitslücken von Software-Paketen • Erkennung aktiver Hosts

Warnmeldungen • Sofortige Indentifizierung bekannter Sicherheitsprobleme • Intelligente Scan-Funktionen • Liste von Hot Fixes und Service Packs, die auf NT/2000/XP-

Rechnern fehlen

Aussagekräftige Ausgabeergebnisse • Ausgabe von Ergebnissen im HTML-, XSL- und XML -Format • Individuelle Anpassung der Berichte per XSL

Zusätzliche Funktionen • Überprüfung auf NetBIOS-Schwachstellen unter Windows

95/98/ME • SNMP-Auditing • MS SQL-Auditing • Traceroute-Unterstützung • DNS-Lookup • WhoIs-Client • Remote-Shutdown von Rechnern • Überprüfung auf Akzeptanz von „Spoofed Messages“ (unter

falscher Identität verschickte Nachrichten; bei Hackern beliebte Social Engineering-Technik)

• LANS – Skript-Sprache, mit der neue Warnmeldungen erstellt werden können

• Überprüfung des Audit-Status’

8 • Einleitung Handbuch GFI LANguard N.S.S.

Weitere Funktionen der registrierten/kommerziellen Version • Regelmäßige Scans nach festem Zeitplan • Aktualisierung der Sicherheitswarnungen • Verteilen von Hot Fixes und Service Packs an Remote-Rechner • Vergleich von Scan-Ergebnissen zur Identifizierung neuer

potenzieller Schwachstellen • Datenabfrage für XML-Dateien

Neue Funktionen des GFI LANguard Network Security Scanner 3.3 In Version 3.3 des GFI LANguard Network Security Scanner steht eine Vielzahl neuer und optimierter Funktionen zur Verfügung. Hierzu zählen unter anderem: • Die zusätzliche Unterstützung von Service Packs für

internationale Windows-Versionen mit Identifizierung und Installation der SPs Zu den unterstützten Sprachen zählen unter anderem Italienisch, Französisch und Deutsch.

• Die zusätzliche Unterstützung von Patches/Service Packs für internationale Versionen von Microsoft Office 2000/XP-Suites mit Identifizierung und Installation fehlender Patches. Zu den unterstützten Sprachen zählen unter anderem Italienisch, Französisch und Deutsch.

• Neuer Bericht zu Rechner-Freigaben • Zusätzlicher Support neuer Produkte – unter anderem SQL

Server, Microsoft ISA Server, Microsoft Exchange Server und Microsoft Office.

• Neue Warnmeldungen – z. B. für den Sendmail-Bug und neue FTP Alerts

• Support für nicht identifizierbare Patches – Bei einigen Patches fehlen Informationen, anhand derer eine Installations-Entscheidung getroffen werden kann. GFI LANguard N.S.S. informiert Sie über diese Patches unter einem neuen Knoten: "Nicht-identifizierbare Patches".

• Erhöhte Benutzerfreundlichkeit – Vor der Patch-Verteilung erhalten Sie Informationen zu Patches, die nur interaktiv installiert werden können, und welche Schritte bei dieser Installation zu beachten sind.

• Liste zu ignorierender Patches – Fügen Sie dieser Liste die IDs nicht benötigter Patches hinzu, damit diese bei den Scans nicht länger als fehlend angezeigt werden. Die notwendigen Einstellungen können Sie problemlos über die entsprechende Option im N.S.S.-Menü vornehmen.

• Automatischer Download neuester Updates zur Sicherheits-Patch-Identifizierung vom GFI-Server – GFI bietet nun eine eigene Version der Datei mssecure.xml, die stets auf dem aktuellsten Stand ist und genauestens überprüfte Informationen enthält.

• Geplante Scans werden nun von einem Dienst verwaltet, der zum Scannen nicht länger das UI des GFI LANguard N.S.S. benötigt.


Zusätzlich wurden einzelne Bugs beseitigt und weitere hilfreiche Optionen hinzugefügt. Ausführlichere Informationen zu diesem Bereich finden Sie unter „Hilfe“ > „Neuerungen“. Dadurch rufen Sie das Modifikationsprotokoll mit allen seit der Version 3.1 durchgeführten Änderungen auf.

Registrierung von GFI LANguard N.S.S. Einige Funktionen des GFI LANguard Network Security Scanner 3.3 können nur in der registrierten Version genutzt werden. Die 30 Tage gültige Test-Version des N.S.S. hilft Ihnen, die Funktionen des Programms umfassend kennen zu lernen. Folgende Funktionen stehen nur in der registrierten Version zur Verfügung: • Geplante Scans • Bericht-Generator • Vergleich von Scan-Ergebnissen • Verteilung fehlender Hot Fixes an Windows-Rechner • Internet-Aktualisierung von Sicherheitswarnungen und Fingerprint-

Informationen. Die aktuellen Preise für den N.S.S. stehen zur Verfügung unter: http://www.gfi.com/pricing/pricelist.asp?product=lanss Unter diesem Link finden Sie Angaben zu Volllizenzen und Upgrades von Version 2.0 auf 3.2.

http://www.gfi.com/pricing/pricelist.asp?product=lanss

Handbuch GFI LANguard N.S.S. Installation des GFI LANguard Network Security Scanner • 11

Installation des GFI LANguard Network Security Scanner

Systemanforderungen

Die Installation des GFI LANguard Network Security Scanner erfordert: • Windows 2000/2003 oder Windows XP • Internet Explorer 5.1 oder höher. • Installierter Client für Microsoft Networks. • Während des Scan-Vorgangs darf KEINE persönliche Firewall-

Software aktiv sein. Andernfalls könnte diese die Scan-Funktionen des N.S.S. blockieren.

Installationsablauf 1. Sie starten die Installationsroutine des GFI LANguard Network Security Scanner, indem Sie die Datei lannetscan.exe doppelklicken. Bitte bestätigen Sie, dass Sie den N.S.S. installieren möchten. Der Setup-Assistent wird gestartet. Klicken Sie auf „Weiter“. 2. Klicken Sie im Dialogfenster der Lizenzvereinbarung auf Ja, um die Lizenzvereinbarung zu akzeptieren und mit der Installation fortzufahren. 3. Wählen Sie das Installationsverzeichnis für den N.S.S. und klicken Sie auf „Weiter”. Hinweis: GFI LANguard N.S.S. will need approximately 8-10 MB of free hard disk space. 4. Nachdem die Software erfolgreich installiert worden ist, können Sie das Programm über das Start-Menü aufrufen.

Handbuch GFI LANguard N.S.S. Erste Schritte: Audits durchführen • 13

Erste Schritte: Audits durchführen

Einführung in Sicherheits-Audits Mit Hilfe eines Netzwerk-Audits können Administratoren mögliche Sicherheitslücken in einem Netzwerk aufdecken. Diese Überprüfung manuell durchzuführen ist sehr zeitaufwändig, da sich viele Arbeitschritte und Aufgaben wiederholen und auf jedem einzelnen Netzwerk-Rechner durchgeführt werden müssen. Mit einem Tool wie dem N.S.S. von GFI können gängige Sicherheitslücken in Ihrem Netzwerk rasch aufgespürt werden. Der N.S.S. setzt auf intelligente Scan-Methoden, dank derer in kürzester Zeit alle Informationen zu Rechnern innerhalb des Scan-Perimeters zusammengetragen werden können. Zu diesen Daten zählen üblicherweise Benutzernamen und Gruppen (die Schadteile einschleusen können, um eine Hintertür zum Netzwerk öffnen) oder auch sämtliche Netzwerk-Freigaben und ähnliche Objekte, die in einer NT- oder Windows 2000-Domäne zu finden sind. Zusätzlich identifiziert der N.S.S. auch andere Sicherheitsschwachstellen wie Konfigurationsprobleme bei FTP-Servern, Exploits auf Microsoft IIS- und Apache Web-Servern, fehlerhaft konfigurierte NT-Sicherheitsrichtlinien sowie eine Vielzahl anderer potenzieller Gefahrenquellen.

Durchführen eines Scan-Vorgangs Der erste Schritt zu Beginn eines Netzwerk-Audits besteht darin, einen Scan der aktuellen Netzwerk-Rechner und -Geräte durchzuführen. So starten Sie einen Netzwerk-Scan: 1. Klicken Sie auf „Datei“ > „Neu“. 2. Wählen Sie „IP-Bereich scannen”. 3. Geben Sie Anfangs- und End-Adresse der zu scannenden IPs an. 4. Klicken Sie auf „Fertig stellen“.

5. Klicken Sie im Hauptfenster auf die Schaltfläche „Play” [Scan-Vorgang starten].

14 • Erste Schritte: Audits durchführen Handbuch GFI LANguard N.S.S.

Durchführen eines Scan-Vorgangs

Der GFI LANguard Network Security Scanner überprüft nun den gesamten angegebenen IP-Bereich. Zunächst werden sämtliche aktiven Hosts/Computer aufgelistet und nur diese gescannt. Hierfür werden NetBIOS-Probes, ICMP-Ping und SNMP-Anfragen eingesetzt. Reagiert ein Gerät auf einen dieser Tests nicht, geht der N.S.S. davon aus, dass es zum Zeitpunkt der Überprüfung unter keiner bestimmten IP-Adresse erreichbar oder gerade deaktiviert ist. Wenn der N.S.S. sämtliche Geräte überprüfen soll, auch solche, die auf diese Anfragen nicht reagieren, finden Sie alle hierfür notwendigen Einstellungen im Kapitel „Konfigurierung der Scan-Optionen – Allgemeine Optionen – Nicht reagierende Computer hinzufügen“. Bitte beachten Sie jedoch den entsprechenden Warnhinweis zur Scan-Dauer, bevor Sie entsprechende Einstellungen vornehmen. Des weiteren stehen folgende Scan-Möglichkeiten zur Verfügung: 1. Einzelrechner scannen

o Der Scan-Vorgang wird nur für einen Computer durchgeführt.

2. Rechnerliste scannen o Computer können dieser Liste entweder einzeln

hinzugefügt oder über eine Text-Datei importiert werden. Mit einem rechten Mausklick im entsprechenden Fenster öffnet sich ein Menü, über das sich weitere Rechner hinzufügen lassen.

3. Rechner scannen, die Teil einer Netzwerk-Domäne sind o Wenn Sie auf die Schaltfläche „Computer auswählen”

klicken, wird eine Liste aller Workgroups und Domänen angezeigt, die der N.S.S. im Netzwerk finden konnte. Aktivieren Sie das Kästchen neben der Workgroup oder Domäne, die Sie scannen möchten. Sämtliche in dieser Workgroup/Domäne gefundenen Rechner werden vom N.S.S. gescannt. Es ist auch möglich, einzelne Rechner innerhalb dieser Workgroup/Domäne auszuwählen.


Analyse der Scan-Ergebnisse

Analyse der Ergebnisse

Nach jedem Scan-Vorgang werden unter allen vom N.S.S. gefundenen Rechnern verschiedene Knoten aufgeführt. Im linken Fenster werden sämtliche Rechner und Netzwerk-Geräte aufgelistet. Werden diese erweitert, erscheinen verschiedene Knoten mit allen Informationen, die zum jeweiligen Rechner oder dem Netzwerk-Gerät gesammelt werden konnten. Während eines Netzwerk-Scans findet der N.S.S. alle aktiven Netzwerk-Geräte. Eine genaue Identifizierung der Geräte durch den N.S.S. und die Art der abfragbaren Informationen sind abhängig vom Gerätetyp und dem Anfragetyp, auf den das Gerät reagiert. Nach Abschluss des Netzwerk-Scans werden die Informationen wie im obigen Screenshot „Analyse der Ergebnisse“ angezeigt. Je nach identifiziertem Gerät stehen unterschiedliche Informationen zur Verfügung. Zu Demonstrationszwecken beziehen sich alle Scan-Informationen, die im Folgenden betrachtet werden sollen, zum größten Teil auf Daten, die von einem Windows-Rechner gewonnen wurden.

IP-Adresse und Name des Netzwerk-Gerätes Als erstes wird die IP-Adresse des Geräts gezeigt, mit dem man arbeitet. Daneben steht der NetBIOS- oder DNS-Name, je nach Gerätetyp. Als letzte Angabe in diesem Bereich wird das Betriebssystem des Rechners angezeigt. Wenn es sich um Windows NT/2000/XP handelt, werden Sie zudem darüber informiert, welches Service Pack installiert ist.

NetBIOS-Namen Der erste Knoten unter dem Gerät liefert NetBIOS-Informationen wie Dienste, , aktuell angemeldete Benutzer usw. (Weitere Informationen hierzu finden Sie im Kapitel „Zusätzliche Ergebnisse“ in diesem Handbuch.)


Vertraute Domänen Ist der Rechner Teil einer Domäne, werden eine oder mehrere vertraute Domänen angezeigt. Bitte stellen Sie sicher, dass die Vertrauensstellungen ordnungsgemäß aufgebaut wurden und dass der Rechner allen aufgeführten Domänen vertraut.

Shares Ungeschützte offene Freigaben stellen eine Bedrohung für die Netzwerk-Integrität dar. Administratoren sollten sicher stellen, dass: • kein Benutzer anderen Benutzern Zugriff auf die gesamte

Festplatte gewährt. • ein anonymer/nicht authentifizierter Zugriff auf Freigaben nicht

erlaubt ist. Der N.S.S. kann nun nach Freigaben ohne Passwortschutz suchen und ggf. eine Warnmeldung ausgeben.

• Auto-Start-Ordner oder ähnliche Systemdateien nicht gemeinsam genutzt werden können. Andernfalls hätten Benutzer mit eingeschränkten Zugriffsrechten dennoch die Möglichkeit, Programme auf gesperrten Rechnern ablaufen zu lassen.

Diese Warnungen gelten für alle Rechner, aber insbesondere für solche, die wichtig für die Systemintegrität sind, z. B. Public Domain Controller. Wird der Auto-Start-Ordner (oder das Verzeichnis mit dem Auto-Start-Ordner) auf dem PDC vom Administrator für alle Benutzer freigegeben, kann dies schwer wiegende Folgen haben. Mit den entsprechenden Zugriffsrechten können Benutzer problemlos ausführbare Dateien in den Auto-Start-Ordner kopieren, die dann beim nächsten interaktiven Einloggen des Administrators gestartet werden. Hinweis: Wenn Sie den Scan durchführen, während Sie als Administrator angemeldet sind, werden auch die administrativen Freigaben angezeigt, z. B. „C$ - default share“. Diese Freigaben stehen normalen Benutzern jedoch nicht zur Verfügung. Aufgrund der neuartigen Verbreitung des Klez-Virus und anderer neuer Viren über offene Freigaben sollten alle nicht benötigten Shares deaktiviert werden. Alle anderen Freigaben sollten durch ein Passwort gesichert sein.

Benutzer und Gruppen Die nächsten zwei eingeblendeten Knoten geben Aufschluss über lokale Gruppen und Benutzer auf dem Rechner. Überprüfen Sie diesen Bereich um sicher zu stellen, dass es keine zusätzlichen Benutzerkonten gibt und dass das Gäste-Konto deaktiviert ist. Über diese Konten könnten böswillige Benutzer und Gruppen anderen Benutzern eine Hintertür für den Zugriff auf das Netzwerk öffnen! Einige Backdoor-Programme aktivieren das Gäste-Konto und versehen es mit Administrator-Rechten. Daher sollten Sie den Benutzer-Knoten erweitern, um einen Überblick über die Aktivitäten aller Konten und ihrer Rechte zu erhalten. Im Idealfall sollten sich Benutzer nicht über ein lokales Konto anmelden können, sondern nur in einer Domäne oder über ein Active Directory-Konto.


Zudem ist es auch noch wichtig zu überprüfen, ob Passwörter eventuell bereits zu lange in Gebrauch sind.

Dienste und Prozesse Sämtliche Dienste, die auf den überprüften Rechnern laufen, werden aufgelistet. Es sollten nur tatsächlich benötigte Dienste aktiv sein. Stellen Sie daher sicher, dass alle anderen Dienste deaktiviert sind. Jeder Dienst stellt ein potenzielles Sicherheitsrisiko dar und könnte als „Schlupfloch“ für Hacker dienen. Indem Sie nicht benötigte Dienste beenden oder deaktivieren, kann dieses Risiko automatisch verringert werden.

Allgemeine Informationen Allgemeine Informationen zum gescannten Rechner werden unter Netzwerk-Geräte, Laufwerke und Remote-TOD angezeigt. Hinweis: Weitere Informationen zu diesen Bereichen finden Sie unter „Zusätzliche Ergebnisse” im nächsten Kapitel.

Passwort-Richtlinien Der nächste Knoten ist sehr wichtig. Er informiert Sie darüber, ob Ihre Passwort-Richtlinien sicher und auf dem neuesten Stand sind. Beispielsweise können Sie die maximale Gültigkeitsdauer festlegen und die Passwort-Protokollierung aktivieren. Die minimale Passwort-Länge sollte 8 Zeichen betragen. Wenn Sie Windows 2000 verwenden, können Sie mit Hilfe der GPO (Group Policy Objects) im Active Directory eine netzwerkweite Richtlinie für sichere Passwörter erstellen.

Registry Dieser Knoten liefert wichtige Informationen zur Remote-Registry. Klicken Sie auf den Knoten „Auto-Start“ um herauszufinden, welche Programme beim Booten des Rechners automatisch gestartet werden. Stellen Sie sicher, dass die automatisch gestarteten Applikationen keine Trojaner oder sogar gültige Programme sind, über die remote auf einen Rechner zugegriffen werden kann (wenn letzteres in Ihrem Netzwerk untersagt ist). Jede Remote Access-Software kann sich u. U. als Backdoor-Schwachstelle herausstellen, die von Hackern ausgenutzt werden kann.

Auditing Wenn der überprüfte Rechner mit Windows NT/2000/XP betrieben wird, überprüft der N.S.S., ob die Audit-Funktion aktiviert ist. Die Audit-Funktion sollte auf Windows-Rechnern immer aktiviert sein. Standardmäßig ist dies jedoch nicht der Fall. Nur mit einer aktivierten Audit-Funktion lassen sich Sicherheitsverletzungen erkennen und nachvollziehen.


Mit Hilfe des N.S.S. können Sie bei einem Scan des Rechners auch das Auditing aktivieren, vorausgesetzt, Sie besitzen Administratorrechte für diesen Rechner. Um die Audit-Funktion zu aktivieren, klicken Sie mit der rechten Maustaste und wählen Sie „Auditing aktivieren auf“ > „Diesem Rechner.“ Daraufhin wird ein Bildschirm wie in der obigen Abbildung eingeblendet. Kreuzen Sie die Ereignisse auf dem Rechner an, die protokolliert werden sollen.

Installierte Hot Fixes Der Hot Fixes-Knoten informiert darüber, welche Hot Fixes installiert sind. Bitte vergewissern Sie sich, dass Sie auf Ihren Rechnern alle aktuellen Hot Fixes und Service Packs installiert haben. Es gibt unter Windows scheinbar kein größeres Sicherheitsrisiko als die Vernachlässigung von Betriebssystem-Aktualisierungen durch Hot Fixes und Service Packs. Daher sollten stets die neuesten Patches installiert sein.

Offene Ports Der Knoten führt alle offenen Ports auf, die auf dem Rechner gefunden wurden (Port-Scan). Der LANguard Network Security Scanner führt einen selektiven Port-Scan durch. Dabei werden nicht sämtliche 65535 TCP- und 65536 UDP-Ports gescannt, sondern nur solche, die vom Benutzer angegeben werden. Weitere Informationen zum Festlegen der Ports, die der N.S.S. scannen soll, finden Sie in diesem Handbuch unter „Konfigurierung der Scan-Optionen“ – „Konfigurierung der zu scannenden Ports“. Jeder offene Port steht für einen Dienst/eine Applikation. Ist einer dieser Dienste nur unzureichend vor Missbrauch geschützt, können Hacker ungehindert Zugriff auf diesen Rechner nehmen. Daher ist es wichtig, nicht benötigte Ports zu schließen. Hinweis: Bei Windows Networks sind die Ports 135, 139 und 445 wahrscheinlich offen. In diesem Fall muss Ihre Internet-Firewall die Ports gegen Angriffe von außen schützen.


Der N.S.S. zeigt alle entdeckten offenen Ports an, nach denen gemäß den Einstellungen gescannt werden soll. Wird ein Port als ein bekannter Trojaner-Port eingestuft, wird er vom N.S.S. ROT angezeigt. Andernfalls wird er GRÜN dargestellt. Dies zeigt folgender Screenshot:

Hinweis: Selbst wenn ein Port als möglicher Trojaner-Port ROT angezeigt wird, heißt dies jedoch nicht, das dort tatsächlich ein Backdoor-Programm installiert ist. Einige gültige Programme öffnen Ports, die auch von bekannten Trojanern missbraucht werden. Ein bekanntes Anti-Virus-Programm nutzt beispielsweise den gleichen Port wie NetBus Backdoor. Daher sollten Sie immer die angegebenen Banner-Informationen kontrollieren und auf den betreffenden Rechnern weitere Prüfungen durchführen.

Knoten für Warnmeldungen Der Knoten für Warnmeldungen informiert Sie über bekannte Sicherheitsprobleme und gibt Tipps, wie diese zu beseitigen sind. Zu diesen Sicherheitsgefahren zählen HTTP-Schwachstellen, NetBIOS-Gefahren, Konfigurationsprobleme etc. Warnmitteilungen werden für folgende Bereiche ausgegeben: Fehlende Patches und CGI-Missbrauch, Sicherheitslücken in den Bereichen FTP, DNS, E-Mail, RPC, bei aktiven Diensten und in der Registry. Auf sonstige allgemeine Gefahrenbereiche und Sicherheitsinformationen wird ebenfalls hingewiesen. Fehlende Patches werden für Windows NT/2000/XP-Rechner eingeblendet, wenn Hot Fixes oder Service Packs fehlen. Über den N.S.S. steht ggf. ein Link zur Microsoft-Seite zur Verfügung, von der der benötigte Patch heruntergeladen werden kann. CGI-Missbrauch informiert Sie über Probleme bei Apache-, Netscape-, IIS- und anderen Web-Servern. Warnungen zu FTP-, DNS-, E-Mail-, RPC und sonstigen Bereichen bieten Links zu Bugtraq oder anderen Sicherheits-Sites, wo Sie weitere Informationen zu dem vom N.S.S. gefundenen Problem finden. Dienst-Warnungen können verschiedenster Art sein: Sie können sich auf aktuelle Dienste beziehen, die auf dem untersuchten Gerät aktiv sind, oder auch auf bisher ungenutzte Rechner-Konten. Registry-Warnungen werden für Schwachstellen ausgegeben, die zu Beginn des Scans in der Registrierdatenbank eines Windows-Rechners gefunden werden. Hierbei können über entsprechende Links zur Microsoft-Site oder anderen Security-Sites nähere Informationen abgerufen werden, warum die betreffenden Registry-Einträge geändert werden sollten. Informationswarnungen sind Sicherheitsmitteilungen, die in der Datenbank gespeichert werden, und über die der Administrator informiert sein muss; sie beschreiben Sicherheitslücken, die jedoch nur bedingt gefährlich sind.


Zusätzliche Ergebnisse Der GFI LANguard Network Security Scanner informiert Sie auch über allgemeine Daten jedes untersuchten Rechners:

NetBIOS-Informationen NetBIOS-Namen – Hierzu zählen die Namen der Dienste, die eingeloggten Benutzer und der Rechner-Name.

Benutzername Gibt den Namen des aktuell angemeldeten Benutzers oder den Benutzernamen des Rechners an .

MAC Gibt die MAC-Adresse der Netzwerk-Karte an.

TTL Für jedes Gerät gibt es einen typischen Time To Live-Wert (TTL). Die Standardwerte sind 32, 64, 128 und 255. Der TTL basiert auf diesen Werten und dem tatsächlichen TTL des Pakets und informiert über den Abstand (Anzahl der Router-Hops) zwischen dem N.S.S.-Rechner und dem gerade gescannten Computer.

LAN-Manager Informiert über den verwendeten LAN-Manager (und das Betriebssystem).

Domäne: Ist der gescannte Rechner Teil einer Domäne, erhalten Sie hier eine Aufstellung der vertrauten Domäne(n). Gehört er zu keiner Domäne, wird die Workgroup angezeigt, deren Bestandteil er ist.

Rechnernutzung Informiert Sie darüber, ob der untersuchte Rechner eine Workstation oder ein Server ist.

Sitzungen Zeigt die IP-Adressen der Rechner an, die zum Zeitpunkt des Scan-Vorgangs mit dem untersuchten Rechner verbunden waren. In den meisten Fällen ist dies nur der Rechner, auf dem der N.S.S. eingesetzt wird und der kurz zuvor Verbindungen aufgebaut hat. Hinweis: Da sich dieser Wert laufend ändert, wird er nicht im Bericht gespeichert, sondern dient lediglich als allgemeine Information.

Netzwerk-Geräte Bietet eine Liste der Netzwerk-Geräte, die auf dem gescannten Rechner zur Verfügung stehen.


Remote TOD Tageszeit der Gegenstelle. Gibt die Netzwerk-Zeit auf dem gescannten Rechner an, die vom Domain Contoller bestimmt wird.

Handbuch GFI LANguard N.S.S. Tipps für den optimalen Einsatz des GFI LANguard N.S.S. • 23

Tipps für den optimalen Einsatz des GFI LANguard N.S.S.

Einleitung Im folgenden Kapitel erfahren Sie, wie der N.S.S. eingesetzt werden sollte, um möglichst umfangreiche und aussagekräftige Ergebnisse zu erhalten. Vor dem Start des N.S.S. sollten Sie jedoch das Kapitel „Bitte beachten" am Ende dieses Handbuchs lesen.

On-Site Scan Richten Sie einen Rechner ein, auf dem GFI LANguard N.S.S. installiert ist. Scannen Sie Ihr Netzwerk mit einer „NULL-Sitzung“ („Scan“ > „Optionen“ > „Sitzungen“ > „NULL-Sitzung“). Nach Beendigung dieses Scans speichern Sie bitte die Ergebnisse und führen Sie einen erneuten Scan durch – dieses Mal jedoch entweder mit der Option „Bestehende Anmeldeinformation“ (wenn Sie administrative Rechte für Ihre Domäne besitzen) oder als anderer Benutzer mit administrativen Rechten für die Domäne oder das Active Directory. Sie sollten die Ergebnisse dieses zweiten Durchgangs als Vergleichswerte speichern. Mit der „NULL-Sitzung” haben Sie die Möglichkeit herauszufinden, welche Daten all den Benutzern zugänglich sind, die eine Verbindung mit Ihrem Netzwerk über eine solche NULL-Sitzung herstellen. Der mit Administrator-Rechten durchgeführte Scan informiert Sie über alle Hot Fixes und Patches, die auf dem Rechner fehlen.

Off-Site Scan Ist ein Netzwerk-Zugriff per DFÜ möglich oder eine High-Speed-Anbindung verfügbar, die nicht an Ihr Unternehmen gebunden ist, sollten nun Ihr Netzwerk auch von außen einem Scan unterziehen. Führen Sie einen Scan Ihres Netzwerks per „NULL-Sitzung“ durch. Dadurch erfahren Sie, welche Informationen bei einem über das Internet gestarteten Scan Ihres Netzwerks abrufbar sind. Der Scan kann jedoch durch Firewalls in Ihrem Unternehmen oder bei Ihrem ISP beeinträchtigt werden. Gleiches gilt auch für die Kommunikation über Router, die bestimmte Pakettypen nicht weiterleiten. Speichern Sie die Ergebnisse, um sie später als Vergleichswerte heranziehen zu können.

Vergleich der Scan-Ergebnisse Die vom GFI LANguard Network Security Scanner gesammelten Informationen sollten nun genauer analysiert werden.

24 • Tipps für den optimalen Einsatz des GFI LANguard N.S.S. Handbuch GFI LANguard N.S.S.

Sind die Daten des Scans, der per „NULL-Sitzung“ aus dem Netzwerk heraus erfolgt ist, mit denen des externen Scans identisch, scheint Ihr Netzwerk keine funktionsfähige Firewall oder andere Sicherheitsfilter zu besitzen. In diesem Fall sollten Sie sich zunächst um diese Sicherheitslücken kümmern. Überprüfen Sie danach, welche Daten öffentlich zugänglich sind. Sie sollten überprüfen, ob z. B. Ihre Domain Controller für alle externen Benutzer sichtbar sind oder ob eine Liste aller Computer-Konten öffentlich zugänglich ist. Zudem sollten Sie bei Web-Servern, FTP-Zugängen und ähnlichem eigene Sicherheitsprioritäten festlegen. Zudem sollten Sie bei Web-Servern, FTP-Zugängen und ähnlichem eigene Sicherheitsprioritäten festlegen. So ist es unter Umständen erforderlich, beispielsweise nach Patches für Web-Server und FTP-Server zu suchen. Auch die Einstellungen für SMTP-Server sollten überprüft und ggf. geändert werden. Kein Netzwerk gleicht dem anderen. Der N.S.S. hilft Ihnen gezielt bei der Suche nach Netzwerk-Schwachstellen und Sicherheitsproblemen und verweist auf qualifizierte Web-Sites, die Lösungsvorschläge zur Beseitigung dieser Gefahren bieten. Wenn Sie Dienste finden, die aktiv sind, aber nicht benötigt werden, sollten Sie diese auf jeden Fall deaktivieren. Jeder Dienst stellt ein potenzielles Sicherheitsrisiko dar, das Dritten einen unautorisierten Zugriff auf Ihr Netzwerk ermöglicht. Es werden ständig neue Buffer Overflow-Techniken und Exploits entwickelt, die Ihr Netzwerk bedrohen. Schutzmaßnahmen, die gegenwärtig als zuverlässig eingestuft werden, können sich sehr schnell als veraltet und somit als Sicherheitsrisiko erweisen. Daher sollten Sicherheits-Scans in regelmäßigen Abständen durchgeführt werden. Nur so können Sie sicher sein, dass Schwachstellen entdeckt werden, bevor Hacker sich diese zum Eindringen in Ihr Netzwerk zu Nutze machen können.

Handbuch GFI LANguard N.S.S. Konfigurierung der Scan-Optionen • 25

Konfigurierung der Scan-Optionen

Einführung in die Verwendung der Scan-Optionen Nach dem ersten Kennenlernen der Funktionen des GFI LANguard Network Security Scanner und einem ersten Sicherheits-Audit sollten Sie die Feineinstellungen der Scan-Optionen vornehmen. Gehen Sie hierfür auf „Scan” > „Optionen“. Der Dialog "Optionen" wird aufgerufen.

Allgemeine Optionen

Allgemeine Optionen

Scan-Verzögerung und -Wiederholungen Die Scan-Verzögerung gibt den Zeitabstand an, in dem der N.S.S. die Kontrollpakete verschickt. Der Standardwert beträgt 100 ms. Abhängig von Ihrer Netzwerk-Anbindung und dem von Ihnen genutzten Netzwerk-Typ (LAN/WAN/MAN), muss diese Einstellung eventuell geändert werden. Bei zu niedrigen Werten wird Ihr Netzwerk u. U. mit vom N.S.S. verschickten Paketen überschwemmt. Zu hohe Werte hingegen führen dazu, dass die Überprüfung zu lange dauert und somit wertvolle Zeit verschwendet. Die Antwortzeit gibt an, wie lange der N.S.S. maximal auf eine Antwort vom Gerät warten soll. Führen Sie den Scan in einem langsamen oder stark ausgelasteten Netzwerk durch, kann es erforderlich sein, den Standardwert dieser Timeout-Funktion (500 ms) zu erhöhen.

26 • Konfigurierung der Scan-Optionen Handbuch GFI LANguard N.S.S.

Mit Wiederholungsversuche legen Sie die Anzahl der Wiederholungen für jeden Scan-Typ fest. Unter normalen Testbedingungen sollte diese Einstellung nicht geändert werden. Wird dieser Wert neu festgelegt, erhöht sich jedoch auch entsprechend die Anzahl der Scan-Durchgänge für jeden einzelnen Scan-Typ (NetBIOS, SNMP und ICMP).

Debug-Einstellungen Mit dieser Option bestimmen Sie den Ausführlichkeitsgrad der Mitteilungen, die im Debug-Fenster angezeigt werden. Es wird empfohlen, das Debug-Fenster nicht zu schließen. In diesem Fenster können Sie einzelne Überprüfungsschritte des N.S.S. unmittelbar verfolgen. Zudem werden einige Informationen, z. B. LANS-Rückmeldungen, nur im Debug-Fenster angezeigt und nicht in das Ausgabe-Fenster übertragen. Daher erfolgt auch keine Speicherung dieser Daten in den Berichten. Möchten Sie weitere Informationen zu den vom N.S.S. verschickten und empfangenen Daten erhalten, können Sie folgende Optionen aktivieren: Empfangene Pakete anzeigen und Verschickte Pakete anzeigen. Beim normalen Einsatz des Scanners werden diese Optionen nicht benötigt und sind daher deaktiviert. Sollten jedoch Probleme auftreten, die Ihrer Meinung nach auf Bugs zurückzuführen sind, erhalten Sie mit Hilfe dieser Optionen weitere Details zum Scan-Vorgang. Um die Debug-Informationen zu speichern, klicken Sie bitte mit der rechten Maustaste im Debug-Fenster und wählen Sie „Debug-Infos speichern”.

SNMP Die Option „SNMP Enterprise Numbers laden” erweitert die Unterstützung von SNMP-Scans. Ist diese Option nicht ausgewählt, werden für per SNMP gefundene Geräte, die dem N.S.S. nicht bekannt sind, keine Herstellerangaben geliefert. Sie sollten daher diese Option nur dann deaktivieren, wenn Probleme auftreten oder die Scan-Dauer des N.S.S. erhöht werden soll. Standardmäßig besitzen die meisten SNMP-fähigen Geräte einen „public“ Read Community Name. Aus Sicherheitsgründen wird dieser jedoch von den meisten Administratoren geändert. Wenn Sie den vorgegebenen SNMP Community Name Ihrer Netzwerk-Geräte geändert haben, müssen Sie die Änderungen auch in der vom N.S.S. verwendeten Liste eintragen. Hinweis: Sie können mehr als einen SNMP Community Name verwenden. Für jeden von Ihnen hinzugefügten Community Name muss eine zusätzliche SNMP-Überprüfung durchgeführt werden. Ist in Ihrem Community Name String sowohl „public“ als auch „private“ vorgegeben, wird der SNMP-Scan zwei Mal für den gesamten angegebenen IP-Bereich durchgeführt: Zuerst für den Public-String, dann für den Private-String.

Nicht reagierende Computer hinzufügen Ein mit einer persönlichen Firewall geschützter Rechner könnte NetBIOS-, SNMP- und ICMP-Pakete blockieren. Daher ist es auch


möglich, alle nicht reagierenden Computer der Liste mit Rechnern hinzuzufügen, für die ein Port-Scan durchgeführt werden soll. Hinweis: Hierdurch verlängern sich die Netzwerk-Scans, da der N.S.S. für jeden nicht reagierenden Host einen TCP- und UDP-Port-Scan durchführen und dann bei jedem gescannten Port auf den Timeout warten muss. Sie sollten diese Option nur dann nutzen, wenn Sie genau wissen, dass viele Rechner in Ihrem Netzwerk so konfiguriert sind, dass sie auf NetBIOS-, SNMP- und ICMP-Pakete nicht reagieren. Der N.S.S. führt zusätzlich weitere Kontrollen durch um festzustellen, ob ein Rechner diese Pakete blockiert.

Optionen für Passwort-Cracks

Optionen für Passwort-Cracks

Über diese Registerkarte können Sie die Optionen für die Passwort-Kontrolle konfigurieren, mit der Sie unsichere Passwörter aufspüren können. Mit der Option „Auf alle Zeichen überprüfen“ wird versucht, Passwörter mit den verschiedensten Zeichenkombinationen zu ermitteln. Dies hat jedoch zur Folge, dass die für ein Netzwerk-Audit benötigte Zeit um ein Vielfaches steigt. Zudem kann diese Cracking-Methode dazu führen, dass IDS-Systeme Warnmeldungen verschiedenster Art ausgeben.

Passwort-Crack per Benutzername Hier legen Sie den Benutzernamen fest, über den der N.S.S. versucht, Zugriff auf geschützte Freigaben zu nehmen. Auf Microsoft NT/2000/XP-Rechnern wird das Administrator-Konto nicht gesperrt, wenn zu viele falsche Anmeldeversuche stattgefunden haben. Daher wird „Administrator“ als Standard-Kontoname eingesetzt. Ist der Benutzername für den Administrator geändert worden, können Sie „Anderer Benutzername:” wählen und den neuen Namen eingeben.


Der N.S.S. kann auch über die Option „Aktuell angemeldeter Benutzer“ versuchen, das Passwort für eine Freigabe herauszufinden. Sind jedoch Richtlinien für Kontosperrungen festgelegt worden, wirken sich diese auch auf das Konto des aktuell angemeldeten Benutzers aus. Diese Option ist daher nur eingeschränkt zu empfehlen. Hinweis: Unter Windows NT/2000/XP gibt es mehrere Möglichkeiten, Angriffe dieser Art abzuwehren. Zu diesem Thema ist bereits sehr viel Literatur veröffentlicht worden, aber mit zwei einfachen Methoden lässt sich die Gefahr bereits erheblich mindern: Zum einen, indem das Administrator-Konto umbenannt und aus der Administrator-Gruppe entfernt wird. (Zuvor muss jedoch sicher gestellt sein, dass anderen Konten Administrator-Rechte zugeteilt wurden.) Zudem sollte man über die lokale Sicherheitsrichtlinie festlegen, dass fehlgeschlagene Login-Versuche im Ereignisprotokoll verzeichnet werden. (Dadurch kann zwar kein Angriff verhindert werden, aber es ist zumindest möglich, einen genauen Überblick über fehlgeschlagene Login-Versuche zu erhalten.)

Freigaben ohne Passwortschutz Haben Sie diese Option gewählt, überprüft der N.S.S., ob Freigaben mit Passwörtern geschützt sind. Ist kein Passwortschutz vorhanden, werden Sie im einzelnen darüber informiert. Freigaben ohne Passwortschutz stellen eine Sicherheitsgefahr dar, da es Viren gibt, die speziell diese Sicherheitslücke ausnutzen. So verbreitet sich beispielsweise der Klez-Virus über offene Freigaben. Ist ein Rechner infiziert, sucht der Virus nach weiteren Freigaben, auf die er zugreifen kann, um auch diese zu infizieren. Der Virus braucht nur über einen einzigen Benutzer in ein Unternehmen eingeschleust werden, um sich dann über offene Freigaben zu verbreiten und andere Rechner zu infizieren.

Scan-Optionen

Scan-Optionen


Inventur des Netzwerks Legen Sie die Methoden fest, mit Hilfe derer sich herausfinden lässt, welche Rechner im Netzwerk aktiv sind. Einige Geräte bieten keine Unterstützung für NetBIOS oder SNMP, aber alle reagieren normalerweise auf einen Ping-Befehl. Über die Option „NetBIOS-Anfragen” können NetBIOS- oder SMB-Anfragen verschickt werden. Ist auf dem Windows-Rechner der Client für Microsoft Networks installiert (bzw. Samba Services auf einem Unix-Rechner), reagiert dieser Rechner auf die NetBIOS-Anfrage. Zudem ist es möglich, diese Anfrage mit ScopeID-Informationen zu ergänzen. Diese Option sollte in den meisten Fällen jedoch nicht genutzt werden. Einige Systeme können jedoch u. U. mit einer ScopeID versehen sein. Wurde in Ihrem Unternehmen eine ScopeID für NetBIOS definiert, geben Sie diese bitte an. Über die Option „SNMP-Anfragen” können SNMP-Pakete mit dem Community-String verschickt werden, der in der Registerkarte „Allgemein“ definiert wurde. Reagiert das Gerät auf diese Anfrage, wird vom N.S.S. dessen Objektkennung (OID) angefordert, die mit einer lokalen Datenbank verglichen wird, um den Gerätetyp festzustellen. „Ping Sweep” überprüft jedes Netzwerk-Gerät mit einem ICMP-Ping. (Bitte beachten Sie den Hinweis weiter unten.) Die verschiedenen Anfragen können einzeln deaktiviert werden. Der N.S.S. setzt jedoch alle drei Methoden ein, um den Gerätetyp und das installierte Betriebssystem festzustellen. Werden sie deaktiviert, versucht der N.S.S. jedoch weiterhin, das Gerät und dessen Betriebssystem zu identifizieren. (Der N.S.S. produziert jedoch unter Umständen keine zuverlässigen Ergebnisse, wenn nicht alle Scan-Methoden zum Einsatz kommen.) Hinweis: Einige persönliche Firewalls unterbinden sogar das Verschicken eines ICMP-Echos. In Unternehmens-Netzwerken wird dies jedoch wahrscheinlich nicht der Fall sein. Wenn Sie jedoch vermuten, dass auf vielen Rechnern in Ihrem Netzwerk persönliche Firewalls eingerichtet sind, sollten Sie die Liste der zu überprüfenden Rechner durch die Aktivierung der Option „Nicht reagierende Computer hinzufügen“ erweitern.

Detailliertes Erfassen von Informationen Über diese Option können Sie effizient konfigurieren, nach welchen Informationen der GFI LANguard Network Security Scanner scannen soll. So können Sie gezielt nach bestimmten Daten suchen und die zu scannenden Ports definieren. Es wird empfohlen, die Option „Informationen automatisch erfassen” aktiviert zu lassen. Eine Deaktivierung hat zur Folge, dass der N.S.S. keinen Port-Scan des Geräts durchführt und keine sekundären NetBIOS-Verbindungen hergestellt werden.


Überprüfung von NetBIOS-Informationen

Festlegen der Infos, die überprüft werden sollen

Die Informationen, nach denen der N.S.S. suchen soll, lassen sich über „Scan” > „Operationen konfigurieren” festlegen. Für jede Funktion steht eine Beschreibung zur Verfügung, welche Art von Information abgerufen werden soll. Bitte beachten Sie, dass standardmäßig nicht alle Funktionen aktiviert sind. Es sind nur solche bereits aktiviert, die die umfangreichsten Informationen abfragen, und die von allen Betriebssystemen unterstützt werden. Hinweis: Einige dieser Verbindungen werden nur dann unterstützt, wenn Sie mit entsprechenden Administratorrechten angemeldet sind. Dies bedeutet, dass beim Versuch der Datenerfassung per NULL-Verbindung im Debug-Fenster die Fehlermeldung erscheinen wird, dass Sie für diesen Verbindungstyp nicht die erforderlichen Administratorrechte besitzen.

Konfigurierung der zu scannenden Ports

Konfigurierung der zu scannenden Ports

Die vom N.S.S. zu überprüfenden Ports lassen sich über „Scan” > „Ports konfigurieren” festlegen. (Entweder „TCP-Ports“ oder „UDP-Ports“).


Hinzufügen eines Ports Geben Sie die Port-Nummer(n) an, die Sie scannen lassen möchten (z. B. 21 oder 1-21) und geben Sie eine kurze Beschreibung an. Bei Trojaner-/Backdoor-Ports kreuzen Sie bitte „Trojaner-Port“ an. Klicken Sie dann auf „Port hinzufügen”. Hinweis: Bitte beachten Sie, dass Sie diesen Port im richtigen Protokoll-Fenster eintragen, entweder „TCP-Ports“ oder „UDP-Ports“.

Aktualisieren eines Ports Wenn Sie bereits einen Port definiert haben und feststellen, dass dieser oder einer der Standard-Ports fehlerhaft bezeichnet wurde, können Sie die Information aktualisieren. Hierfür markieren Sie bitte den zu aktualisierenden Port, ändern die Port-Nummer, Beschreibung oder den Status des Kontrollkästchens und klicken Sie dann auf „Aktualisieren”.

Entfernen eines Ports Wenn Sie einen bestimmten Port nicht länger vom N.S.S. scannen lassen möchten, sollten Sie diesen aus der Port-Scan-Liste entfernen. Markieren Sie bitte den betreffenden Port und klicken Sie auf „Entfernen“. Hinweis: Bitte beachten Sie, dass Sie diesen Port aus dem richtigen Protokoll-Fenster entfernen, entweder TCP oder UDP. Wenn der N.S.S. einen bestimmten Port nicht mehr scannen soll, Sie diesen aber trotzdem nicht dauerhaft aus der Port-Scan-Liste entfernen möchten, deaktivieren Sie einfach das Kontrollkästchen neben der Port-Nummer. Hinweis: In Version 2.0 war dieses Kontrollkästchen anders belegt. In Version 3.2 legen Sie hiermit jetzt nicht mehr fest, dass der N.S.S. die vom Port gelieferten Banner-Informationen lesen soll. Dieser Vorgang erfolgt jetzt automatisch. Statt dessen wird bei entsprechender Aktivierung jetzt der angegebene Port gescannt!


Optionen für den Sitzungsaufbau

Optionen für den Sitzungsaufbau

Über diese Registerkarte können Sie bestimmen, welche Benutzer-Anmeldeinformationen für NetBIOS-Anfragen verwendet werden sollen. Mit „Bestehende Anmeldeinformationen verwenden” werden die Ihnen aktuell zugewiesenen Rechte genutzt. Wenn Sie keinen Zugriff auf das Netzwerk haben, erhalten Sie nur wenige oder keine Informationen. In diesem Fall sollten Sie „NULL-Sitzung” wählen, d. h., Sie melden sich als anonymer Benutzer an. Als weitere Option können Sie „Benutzername und Passwort” eines bestimmten Benutzers angeben. Dadurch haben Sie die Möglichkeit herauszufinden, welche Informationen diesem Benutzer bei einem von ihm durchgeführten NetBIOS-Scan zugänglich wären. Hinweis: Wenn Sie einen Benutzernamen/ein Passwort einer Domäne oder eines Active Directory-Kontos verwenden, müssen Sie den Benutzernamen in der Form „Domäne\Benutzername“ eingeben.


Überprüfung auf bekannte Sicherheitslücken

Überprüfung auf bekannte Sicherheitslücken

Warnmeldungen stehen für Sicherheitslücken, die vom GFI LANguard Network Security Scanner gefunden werden. Der N.S.S ist standardmäßig so konfiguriert, dass nach bekannten Sicherheitslücken gescannt wird. Diese Voreinstellungen lassen sich über die Registerkarte „Warnmeldungen“ ändern. Ist die Option „Interne Kontrollen“ aktiviert, werden Warnmeldungen für Sicherheitslücken ausgegeben, deren Überprüfung nicht im einzelnen von Ihnen konfiguriert werden kann (z. B. die Kontrolle, ob SNMP auf einem Gerät aktiviert ist). CGI-Tests werden für Web-Server eingesetzt und können von Ihnen deaktiviert werden. Wenn Sie das Auditing hinter einem Proxy-Server starten, können Sie den N.S.S. anweisen, die CGI-Tests über diesen Proxy laufen zu lassen. Eine der erst kürzlich bekannt gewordenen Schwachstellen ist das MS SQL „sa”-Konto. Über die Option „MS SQL-Server: Nach ‚sa’-Konten ohne Passwort suchen“ kann der N.S.S. auch diese Sicherheitslücke überprüfen. Hinweis: Diese Menü-Option unterscheidet sich von den Warnmeldungen im Scan-Menü „Scan > Warnmeldungen“ Hier legen Sie fest, nach welchen Arten von Sicherheitslücken (interne, CGI, MS SQL etc.) generell gescannt werden soll. Über „Scan” > „Warnmeldungen” hingegen bestimmen Sie, welche Schwachstellen im einzelnen zu überprüfen sind, z. B. „Unicode-Exploit gegen IIS“.

Fehlende Patches Der GFI LANguard Network Security Scanner ist standardmäßig so konfiguriert, dass alle Windows NT/2000/XP-Rechner auf fehlende Hot Fixes und Patches überprüft werden.


Falls benötigt, wird bei jedem Start des GFI LANguard N.S.S. 3.2 die Datei Inssprms.cab automatisch heruntergeladen. (Diese Datei wird als mssecure.xml und products.xml entpackt.) Dadurch ist sichergestellt, dass immer nach den neuesten Sicherheits-Patches und Service Packs gesucht wird. Weitere Informationen zu diesem Thema finden Sie unter „Verteilung von Patches auf Microsoft-Rechner“.

Konfigurations-Manager Wenn Sie auf die Schaltfläche „Erweitert ->“ klicken, erscheint folgendes Fenster:

Der Konfigurations-Manager

Wenn Sie Ihr Netzwerk mit vielen verschiedenen Scans überprüfen, hilft Ihnen dieses Zeit sparende Utility, Ihre Einstellungen zu speichern. Zuvor mussten diese Optionen für jeden neuen Scan manuell geändert werden. Die Möglichkeit, Konfigurationsdateien mit Port-Scan-Optionen und sämtlichen anderen Einstellungen zu speichern, lässt Sie jetzt noch effizienter arbeiten.

Speichern verschiedener Konfigurationen Nachdem Sie den N.S.S. Ihren Bedürfnissen entsprechend konfiguriert haben, können Sie auf „Erweitert“ > „Aktuelle Konfiguration speichern“ klicken und dann alle aktuellen Einstellungen sichern.

Laden verschiedener Konfigurationen Wenn Sie eine der Konfigurationsdateien laden möchten, brauchen Sie diese nur zu markieren und dann auf „Konfiguration laden“ klicken. Dadurch werden alle Einstellungen für diese ini-Datei geladen (zu scannende Ports, Scan-Typen usw.).

Handbuch GFI LANguard N.S.S. Warnmeldungen • 35

Warnmeldungen

Einführung in Warnmeldungen Warnmeldungen werden für potenzielle Sicherheitslücken in Ihrem Netzwerk ausgegeben. Dieses Kapitel umfasst vier Bereiche: 1. Aktualisierung von Warnmeldungen 2. Verschiedene Arten von Warnmeldungen 3. Konfigurierung von Warnmeldungen 4. LANS – Eigene Skript-Sprache für Warnmeldungen

Aktualisierung von Warnmeldungen Diese Funktion steht nur in der registrierten Version des GFI LANguard Network Security Scanner zu Verfügung! Eine Neuerung des N.S.S. ist die Online-Aktualisierung von Warnmeldungen für Sicherheitslücken, nach denen der N.S.S. scannt. Um die Sicherheitsmeldungen auf den neuesten Stand zu bringen, klicken Sie bitte auf „Hilfe“ > „Nach Sicherheits-Update suchen“ > „Aktualisierung starten“. Hinweis: Mit dem Sicherheits-Update werden unter anderem auch die Fingerprint-Dateien aktualisiert, die der Identifizierung des Betriebssystems dienen.

Verschiedene Arten von Warnmeldungen Auf diesen Bereich wurde bereits zuvor eingegangen. An dieser Stelle sollen die verschiedenen Warnmeldungen zur Verdeutlichung aber nochmals aufgegriffen und erläutert werden. Warnmitteilungen werden für folgende Bereiche ausgegeben: Fehlende Patches und CGI-Missbrauch, Sicherheitslücken in den Bereichen FTP, DNS, E-Mail, RPC, bei aktiven Diensten und in der Registry. Auf sonstige allgemeine Gefahrenbereiche und Sicherheitsinformationen wird ebenfalls hingewiesen. Fehlende Patches werden für Windows NT/2000/XP-Rechner eingeblendet, wenn Hot Fixes oder Service Packs fehlen. Über den N.S.S. steht ggf. ein Link zur Microsoft-Seite zur Verfügung, von der der benötigte Patch heruntergeladen werden kann. CGI-Missbrauch informiert Sie über Probleme bei Apache-, Netscape-, IIS- und anderen Web-Servern. Warnungen zu FTP-, DNS-, E-Mail-, RPC und sonstigen Bereichen bieten Links zu Bugtraq oder anderen Sicherheits-Sites, wo Sie weitere Informationen zu dem vom N.S.S. gefundenen Problem finden.

36 • Warnmeldungen Handbuch GFI LANguard N.S.S.

Dienst-Warnungen können verschiedenster Art sein: Sie können sich auf aktuelle Dienste beziehen, die auf dem untersuchten Gerät aktiv sind, oder auch auf bisher ungenutzte Rechner-Konten. Registry-Warnungen werden für Schwachstellen ausgegeben, die zu Beginn des Scans in der Registrierdatenbank eines Windows-Rechners gefunden werden. Hierbei können über entsprechende Links zur Microsoft-Site oder anderen Security-Sites nähere Informationen abgerufen werden, warum die betreffenden Registry-Einträge geändert werden sollten. Informationswarnungen sind Sicherheitsmitteilungen, die in der Datenbank gespeichert werden, und über die der Administrator informiert sein muss; sie beschreiben Sicherheitslücken, die jedoch nur bedingt gefährlich sind.

Zu überprüfende Sicherheitslücken

Auswahl der zu überprüfenden Sicherheitslücken

Der GFI LANguard Network Security Scanner enthält eine Datenbank mit bekannten Sicherheitsproblemen, auf die Ihr Netzwerk überprüft wird. Diese Schwachstellen können Sie über das Menü „Scan" > „Warnmeldungen“ anzeigen. Konfigurieren Sie alle Warnmeldungen wie gewünscht. Sie können bestimmen, welche Kategorien von Sicherheitslücken überprüft werden sollen, indem Sie diese im linken Fenster auswählen. Über das rechte Fenster lassen sich dann die einzelnen Warnmeldungen mit einem Doppelklick öffnen und bearbeiten. Für jedes Protokoll gibt es ein eigenes Format. Sie können die Sicherheitsstufe der Warnmeldung ändern, indem Sie auf die Schaltfläche klicken. Hinweis: Neue Warnmeldungen sollten nur von erfahrenen Benutzern erstellt werden, da durch eine fehlerhafte Konfigurierung u. U. Fehlalarme ausgelöst oder gar keine Warnhinweise ausgegeben werden.


Format der CGI-Warnmeldungen

Erstellen einer neuen CGI-Warnmeldung

Name der Warnmeldung ist die vom N.S.S. eingeblendete Warnmeldung bei Identifizierung der zugehörigen Sicherheitslücke und kann von Ihnen individuell festgelegt werden. Auswirkung beschreibt die durch den CGI-Missbrauch verursachten Probleme, falls keine Gegenmaßnahmen ergriffen werden. Die Sicherheitskategorie dieser Schwachstelle kann über einen Klick auf das Piktogramm an der rechten Seite geändert werden. (Hoch = Rot, Mittel = Blau, Niedrig = Grün, allg. Info = weiß) BugtraqID/URL gibt die Web-Adresse an, unter der weitere Informationen zu diesem Bug/der Sicherheitslücke bereit stehen. Bei HTTP-Methode werden vom N.S.S. für den CGI-Bereich die beiden Methoden GET und HEAD unterstützt. Zu überprüfende URL ist die URL, die der N.S.S. zwecks Kontrolle anfordern soll. Magic String gibt an, nach welchen Informationen der N.S.S. in den Rückmeldungen suchen soll um festzustellen, ob der Rechner für diese Art von Angriff anfällig ist. Soll diese Warnmeldung ausgelöst werden, wenn der Magic String nicht empfangen wird, aktivieren Sie bitte die Option „Warnmeldung nur auslösen, wenn Magic String fehlt“.

Format anderer Warnmeldungen Zum Erstellen anderer Warnmeldungen steht ein Standardformat zur Verfügung.


Erstellen einer neuen Warnmeldung

Name der Warnmeldung ist die vom N.S.S. eingeblendete Warnmeldung bei Identifizierung der zugehörigen Sicherheitslücke und kann von Ihnen individuell festgelegt werden. Auswirkung beschreibt die durch diese Sicherheitslücke verursachten Probleme, falls keine Gegenmaßnahmen ergriffen werden. Die Sicherheitskategorie dieser Schwachstelle kann über einen Klick auf das Piktogramm an der rechten Seite geändert werden. (Hoch, Mittel, Niedrig oder allg. Info) BugtraqID/URL gibt die Web-Adresse an, unter der weitere Informationen zu diesem Bug/der Sicherheitslücke bereit stehen. An dieser Stelle ist es notwendig, die Warnmeldung so präzise wie möglich zu definieren. Um die neue Sicherheitslücke zu definieren, nach der gesucht werden soll, klicken Sie mit der rechten Maustaste im Fenster „Auslöser für die Warnmeldung". Folgende Komponenten können für die Definition einer neuen Warnmeldung verwendet werden: • Operating System

o ist o ist nicht

• Registry Key o existiert o existiert nicht Hinweis: Funktioniert nur unter HKEY_LOCAL_MACHINE

• Registry-Pfad o existiert o existiert nicht Hinweis: Funktioniert nur unter HKEY_LOCAL_MACHINE

• Registry-Wert o ist gleich o ist ungleich o ist kleiner als o ist größer als


Hinweis: Funktioniert nur unter HKEY_LOCAL_MACHINE • Service Pack

o ist o ist nicht o ist niedriger als o ist höher als

• Hot Fix o ist installiert o ist nicht installiert

• IIS o ist installiert o ist nicht installiert

• IIS-Version o ist o ist nicht o ist niedriger als o ist höher als

• RPC-Service o ist installiert o ist nicht installiert

• NT-Service o ist installiert o ist nicht installiert

• Port (TCP) o ist offen o ist geschlossen

• UDP-Port o ist offen o ist geschlossen

• FTP-Banner o ist o ist nicht

Hinweis: Sie können Suchmuster erstellen, die nach Version 1.0 bis 1.4 suchen, sowie nach Version 2.0 bis 2.2, jedoch nicht nach Version 1.5 bis 1.9. Siehe Beispiele weiter unten. • HTTP-Banner

o ist o ist nicht

Hinweis: Sie können Suchmuster erstellen, die nach Version 1.0 bis 1.4 suchen, sowie nach Version 2.0 bis 2.2, jedoch nicht nach Version 1.5 bis 1.9. Siehe Beispiele weiter unten. • SMTP-Banner


o ist o ist nicht

Hinweis: Sie können Suchmuster erstellen, die nach Version 1.0 bis 1.4 suchen, sowie nach Version 2.0 bis 2.2, jedoch nicht nach Version 1.5 bis 1.9. Siehe Beispiele weiter unten. • POP3-Banner

o ist o ist nicht

Hinweis: Sie können Suchmuster erstellen, die nach Version 1.0 bis 1.4 suchen, sowie nach Version 2.0 bis 2.2, jedoch nicht nach Version 1.5 bis 1.9. Siehe Beispiele weiter unten. • DNS-Banner

o ist o ist nicht

Hinweis: Sie können Suchmuster erstellen, die nach Version 1.0 bis 1.4 suchen, sowie nach Version 2.0 bis 2.2, jedoch nicht nach Version 1.5 bis 1.9. Siehe Beispiele weiter unten. • SSH-Banner

o ist o ist nicht

Hinweis: Sie können Suchmuster erstellen, die nach Version 1.0 bis 1.4 suchen, sowie nach Version 2.0 bis 2.2, jedoch nicht nach Version 1.5 bis 1.9. Siehe Beispiele weiter unten. • Telnet-Banner

o ist o ist nicht

Hinweis: Sie können Suchmuster erstellen, die nach Version 1.0 bis 1.4 suchen, sowie nach Version 2.0 bis 2.2, jedoch nicht nach Version 1.5 bis 1.9. Siehe Beispiele weiter unten. • LANS-Skript

o Returns: True (1) o Returns: False (0)

Für jede dieser Optionen gibt es eine Reihe von Kriterien, die als Grundlage für die Warnmeldung dienen können. Wenn die Vorgaben für eine Warnmeldung zu unspezifisch sind, werden Sie eine erhöhte Anzahl fehlerhafter Berichte zu angeblichen Bugs oder Sicherheitslücken in einem Dienst erhalten. Möchten Sie eigene Warnmeldungen erstellen, sollten diese daher genau abgegrenzt und so spezifisch wie möglich sein. Eine Warnmeldung kann auch durch andere Ereignisse ausgelöst werden. So könnten Sie auch folgende Tests definieren: • Betriebssystem überprüfen • Port XYZ • Banner “ABC” • LANS-Skript QRS Run und Schwachstellen-Überprüfung


Nur wenn alle diese Kriterien gemeinsam zutreffen, wird die Warnmeldung ausgelöst. Hinweis: Mit Hilfe der Suchmuster lassen sich Warnmeldungen wie die folgende erstellen, mit der die Apache-Version auf einem Rechner überprüft werden kann. ~.*Apache/(1\.([0-2]\.[0-9]|3\.([0-9][^0-9]|[0-1][0-9]|2[0-5]))|2\.0.([0-9][^0-9]|[0-2][0-9]|3[0-8])). Benutzern mit Programmiererfahrung in C oder Perl sollten mit diesem sehr ähnlichen Format keine Probleme haben. Im Internet gibt es zudem viele Quellen zu diesem Thema. Mit folgenden Beispielen soll das Generieren von Suchmustern näher erläutert werden. Weitere Hilfe finden Sie unter dem am Ende dieses Kapitels angegebenen Link.

Beispiele Wenn Sie ein Beispiel/eine schrittweise Anleitung zum Erstellen einer neuen Warnmeldung mit LANS Skript wünschen, finden Sie diese im LANS-Kapitel unter „Erstellung eines LANS-Skripts“. Dort können Sie sich an einem Walkthrough orientieren und erfahren, wie sich ein Skript generieren lässt, welche Prozesse genau gestartet werden und wie die Warnmeldung funktioniert. Zunächst sollen jedoch einige einfache Beispiele von Suchmustern betrachtet werden: [09-] Übereinstimmung mit ‘0', '9' und '-' [-90] Übereinstimmung mit '-', '9' und ‘0' [0-9] Übereinstimmung mit allen zehn Ziffern von '0' bis '9' Folgende Suchmuster sind etwas komplexer: Als erstes soll die Kombination [^ verwendet werden, die eine Übereinstimmung mit den Ziffern außerhalb des definierten Bereichs erfordert. 1[^1-8]2 bedeutet Übereinstimmung mit 102 und 192, jedoch nicht mit 112, 122, 132 … 172. Als nächstes soll das Symbol | verwendet werden, das für OR steht. 1[^1-8](2|3) bedeutet Übereinstimmung mit 102, 103, 192 und 193. Weitere Beispiele hierzu liefert der Autor von TregExpr unter: http://anso.virtualave.net/RegExpE/tregexpr_syntax.htm Im Kapitel zu LANS wird der Autor urheberrechtlich erwähnt.

LANS Detaillierte Informationen zu LANS finden Sie im Kapitel „LANS: LANguard Scripting“ im hinteren Teil dieses Handbuchs. LANguard Scripting ermöglicht es Ihnen, die Funktionalität Ihrer eigenen Warnmeldungen zu erweitern. LANS sollte jedoch nur von erfahrenen Benutzern eingesetzt werden.

http://anso.virtualave.net/RegExpE/tregexpr_syntax.htm

Handbuch GFI LANguard N.S.S. Speichern der Scan-Ergebnisse • 43

Speichern der Scan-Ergebnisse

Einführung Die vom N.S.S. gesammelten Informationen werden in drei Formaten gespeichert: • HTML • XML • XSL Die Speicherung findet automatisch in allen drei Formaten statt. Je nach Verwendungszweck greift der N.S.S. auf das benötigte Format zurück.

Berichterstellung Über „Datei” > „Bericht erstellen” rufen Sie folgendes Fenster auf:

Erstellen eines individuell gestalteten Berichts

Benutzerdefinierte Ausgabe Mit Hilfe von XSL-Dateien können Sie ausgewählte Informationen der Scan-Ergebnisse speichern. Wenn Sie auf die Schaltfläche „Anpassen“ klicken, erscheint folgendes Fenster:

44 • Speichern der Scan-Ergebnisse Handbuch GFI LANguard N.S.S.

Anpassen eines individuell gestalteten Berichts

Um den Standard-Header des N.S.S. ändern zu könnten, müssen Sie Kenntnisse in HTML haben. Nehmen Sie die Änderungen vor, indem Sie auf „Header” klicken. Wenn Sie möchten, dass bestimmte Scan-Ergebnisse nicht im Bericht aufgeführt werden, können Sie die Speichereinstellungen ändern. Rufen Sie die Änderungsmaske über die Schaltfläche „Berichtsobjekte“ auf. Wenn Sie die Standard-Fußzeile des N.S.S. ändern möchten, müssen Sie ebenfalls Kenntnisse in HTML besitzen. Um die Änderungen vorzunehmen, klicken Sie bitte auf „Fußzeile”. Des weiteren ist es auch möglich, das XSL-Stylesheet zu ändern, das zum Speichern des Berichts verwendet wird. Sie sollten verschiedene Einstellungsmöglichkeiten ausprobieren, um zu sehen, wie sich die Änderungen auf den ausgegebenen Bericht auswirken. Diese Dateien lassen sich zudem modifizieren, sodass die Informationen in verschiedenen Varianten gespeichert werden. Weitere Informationen hierzu finden Sie im folgenden Kapitel.

Filtern der Scan-Ergebnisse Der N.S.S. bietet acht vordefinierte Berichttypen.

Standardvorlage Wenn Sie kein eigenes Ausgabeformat für die Scan-Berichte definieren, nutzen Sie automatisch das Standard-Berichtformat. Dieses Format bereitet alle vom N.S.S. generierten Daten in einem sehr übersichtlichen Bericht auf. Entweder beim Speichern eines Berichts oder unter „Datei” > „Scan-Berichte filtern” können Sie zwischen sieben weiteren Berichttypen auswählen.


Höchste Warnstufe Dieser Bericht enthält: • allen offenen Ports • fehlende Service Packs • schwerwiegenden Sicherheitslücken (rotes Ausrufezeichen)

Mittlere Sicherheitsrisiken Dieser Bericht enthält: • allen offenen Ports • sämtlichen fehlenden Hot Fixes • mittlere Sicherheitsrisiken (blaues Ausrufezeichen)

Fehlende Hot Fixes Dieser Bericht enthält: • fehlende Service Packs • fehlende Hot Fixes/Patches

Offene Ports Dieser Bericht enthält: • allen offenen Ports (TCP und UDP)

Offene TCP-Ports Dieser Bericht enthält: • allen offenen TCP-Ports

SNMP-Informationen Dieser Bericht enthält: • SNMP-Daten (System-OID)

Liste von Computern Dieser Bericht enthält: • detaillierte Informationen zu jedem Computer (in Spaltenform)

Erstellen eigener Berichte Wenn Sie Berichte ändern oder neue erstellen möchten, speichern Sie die neuen XSL-Dateien im Unterverzeichnis Config\XSL des N.S.S.-Installationsverzeichnisses. Alle Dateien, die diesem Verzeichnis hinzugefügt werden, stehen über die Bericht-Vorlagen zum individuellen Anpassen von Berichten zur Verfügung. (Siehe Screenshot „Anpassen eines N.S.S.-Berichts“ am Anfang dieses Kapitels.) Nachdem Sie Ihre eigene XSL-Berichtdatei erstellt haben, sollten Sie die Datei custom_reports.xml modifizieren. Nehmen Sie den Eintrag in dieser Datei auf, wird Ihr neuer Bericht beim nächsten Start des N.S.S. unter „Datei“ > „Eigene Berichte erstellen” angezeigt.


Formatierung der XSL-Datei Folgende Zeilen werden vom N.S.S. automatisch an den Anfang jeder XSL-Datei gestellt: <?xml version="1.0" encoding="ISO-8859-1"?> <xsl:Stylesheet-Version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform"> Hierdurch wird Ihnen Arbeit erspart. In einer individuell gestalteten XSL-Datei sollte am Anfang folgende Musterdefinition stehen: <xsl:template match="/"> Anhand bereits existierender Dateien können Sie nachvollziehen, wie XSL-Dateien vom N.S.S. eingesetzt werden.

Beispielbericht Mithilfe des folgenden Berichts wird aus Ihrer Sicherungsdatei eine Liste erstellt, in der speziell die Sicherheitslücken und offenen Trojaner/Backdoor-Ports Ihrer Rechner aufgeführt sind. An einigen Stellen dieses Berichts wurden aus Platzgründen Daten ausgelassen. Bis auf einige geringfügige Unterschiede gleicht dieses Skript jedoch dem im Verzeichnis Config\xsl aufgeführten. Folgende modifizierte Daten wurden aus der Datei high_security_alerts.xsl gewonnen.

all_security_alerts.xsl <xsl:template match="/"> <body> Scan-Ziel : <xsl:value-of select="hosts/@scan_target"/> [ <xsl:value-of select="count(hosts/host)"/> Computer gefunden ] <hr/> Hinweis: Dieser Code generiert folgende Ausgabe: Scan-Bereich: 192.168.192.1-192.168.199.254 [ 67 Computer gefunden ]) Alle Sicherheitswarnungen Dieser Bericht enthält : <ul> <li>Nur Sicherheitswarnungen</li> </ul> Hinweis: Dieser Code generiert folgende Ausgabe: Alle Sicherheitswarnungen Dieser Bericht umfasst:

• Nur Sicherheitswarnungen

http://www.w3.org/1999/XSL/Transform


<xsl:if test="$show_table=1">  <table border="0"> <tr> <th align="middle" bgColor="#3366cc">IP-Adresse</th> <th align="middle" bgColor="#3366cc">Host-Name</th> <th align="middle" bgColor="#3366cc">Benutzername</th> <th align="middle" bgColor="#3366cc">Betriebssystem</th> </tr>  <xsl:for-each select="hosts/host"> <xsl:sort data-type="text" select="os"/> <xsl:if test="1"> <tr> <td bgColor="#f0f0f0"><a href="#{ip}"><xsl:value-of select="ip"/></a></td> <td bgColor="#f0f0f0"><xsl:value-of select="Host-Name"/></td> <td bgColor="#f0f0f0"><xsl:value-of select="Benutzer-Name"/></td> <td bgColor="#f0f0f0"> <xsl:if test="$show_images=1"> <img src="{os_image_path}"/> <xsl:text disable-output-escaping="Ja">  </xsl:text> </xsl:if> <xsl:value-of select="os"/> </td> </tr> </xsl:if>  </xsl:for-each> </table>  </xsl:if> (Hinweis: Über diesen Code wird die Anfangstabelle mit IP-Adresse, Host-Name, Benutzername und dem Betriebssystem sowie Links zu den jeweiligen Bereichen in der anschließenden Tabelle erstellt. Mithilfe der üblichen HTML-Farbcodes lässt sich der Hintergrund und die Schriftfarbe ändern.  <xsl:if test="$show_details=1"> <xsl:for-each select="hosts/host"> <xsl:sort data-type="text" select="os"/>  <xsl:if test="1"> <A name="{ip}"/>


<table border="1" cellspacing="0" cellpadding="0" style="border-collapse:collapse; mso-border-alt:solid windowtext .9pt;mso-padding-alt:0in 1.4pt 0in 1.4pt"> <tr><td width="738" valign="top" style="width:7.10in;border:none windowtext .9pt;background:#3366cc;padding:0in 5.4pt 0in 4.4pt"> <xsl:value-of select="ip"/> [ <xsl:value-of select="Host-Name"/> ] <xsl:text disable-output-escaping="Ja"> </xsl:text> <xsl:value-of select="os"/> </td></tr> <td>  <xsl:if test="$show_alerts = 1"> <xsl:if test="count(alerts/*) > 0"> <A name="{ip}alerts"/> <xsl:for-each select="alerts">  [das genaue Format steht in der Datei high_security_alerts.xsl zur Verfügung]  <!—CGI-Missbrauch--> <xsl:for-each select="cgi_abuses/cgi_abuse"> <xsl:if test="level=0 or level=1 or level=2"> (Hinweis: Die obige Zeile ist die erste dieses Codes, die im Vergleich mit der Datei high_security_alerts.xsl verändert wurde. Sie wurde geändert, damit bei den in der Datei identifizierten Sicherheitslücken 0 – hoch, 1 – mittel oder 2 – info die Angaben im neuen Ausgabeformat gespeichert werden.) <table border="0" cellspacing="0" cellpadding="0" style="border-collapse:collapse; mso-border-alt:solid windowtext .9pt;mso-padding-alt:3in 1.4pt 0in 1.4pt"> <tr><td width="20"></td> <td width="200" valign="top" style="width: 6.70in ;border:none windowtext .9pt;background:#6f6f6f;padding:0in 5.4pt 0in 4.4pt"> <xsl:if test="$show_images=1"> <xsl:choose> <xsl:when test="level = 0"> <img src="images/high.bmp"/> </xsl:when> <xsl:when test="level = 1"> <img src="images/med.bmp"/> </xsl:when> <xsl:when test="level = 2"> <img src="images/low.bmp"/>


</xsl:when> <xsl:otherwise> <img src="images/information.bmp"/> </xsl:otherwise> </xsl:choose> <xsl:text disable-output-escaping="yes">  </xsl:text> </xsl:if> <xsl:value-of select="Name"/> </td> </tr> <tr><td></td> <td width="738" valign="top" style="width:4.90in;border:none windowtext .9pt;background:#f5f5f5; padding:0in 5.4pt 0in 4.4pt"> <xsl:value-of select="impact"/> <a href="{bugtraq}"><xsl:value-of select="bugtraq"/></a> </td> </tr> </table> </xsl:if> </xsl:for-each>   [cut same basic format as the CGI abuses]   [cut same basic format as the CGI abuses]   [cut same basic format as the CGI abuses]   [cut same basic format as the CGI abuses]   [cut same basic format as the CGI abuses]   [cut same basic format as the CGI abuses]   [cut same basic format as the CGI abuses]  </xsl:for-each> </xsl:if>


</xsl:if>   </td> </table> </xsl:if>  </xsl:for-each> </xsl:if> <xsl:element name="HR"/> <xsl:value-of select="hosts/@created_on"/> </body> </xsl:template> </xsl:stylesheet> Dieses Beispiel erläutert, wie schnell eine bestehende XSL-Datei modifiziert werden kann. Eine Hauptzeile wurde so geändert, dass nach Warnmeldungen 0-2, und nicht lediglich nach einer bestimmten Warnmeldungsnummer gesucht wird. Der Bereich zu den offenen Ports wurde ebenfalls entfernt. Zum Thema XSL gibt es umfangreiche Fachliteratur und Quellen im Internet, die Ihnen beim Erstellen eigener XSL-Dateien helfen. Dadurch ist es Ihnen möglich, den N.S.S. so zu konfigurieren, dass er Daten in dem von Ihnen gewünschten Format speichert. Bitte vergessen Sie nicht, nach dem Generieren einer neuer XSL-Datei die Datei custom_reports.xml im Verzeichnis Config\xsl zu modifizieren. Dadurch können Sie nach dem nächsten Neustart des N.S.S. über „Datei“ > „Eigenen Bericht erstellen“ die Ergebnisse gleich in Ihrem neuen Format speichern.

Handbuch GFI LANguard N.S.S. Bericht-Generator • 51

Bericht-Generator

Funktion des Bericht-Generators Diese Funktion steht nur in der registrierten Version des GFI LANguard Network Security Scanner zu Verfügung! Das Bericht-Modul ermöglicht es Ihnen, Anfragen zum Durchsuchen von XML-Berichten definieren. Wenn Sie auf „Datei” > „Anfragen-Generator” klicken, wird folgendes Fenster aufgerufen:

Beispiel 1 Liegt z. B. ein XML-Bericht zu 1000 Computern vor, und Sie möchten sämtliche Windows-Rechner anzeigen lassen, auf denen der Patch MS02-023 fehlt, gehen Sie wie folgt vor: Wählen Sie zunächst den XML-Bericht, der durchsucht werden soll. Definieren Sie dann die beiden folgenden Anfragen: 1. Das Betriebsystem enthält Windows 2. Hot Fix (Patch) ist nicht installiert MS02-023 Klicken Sie dann auf „Suchen“. Alle Rechner werden angezeigt.

Beispiel 2 Um alle Sun-Stations zu finden, die auf Port 80 einen Web-Server betreiben, muss die Suchanfrage wie folgt aussehen:

52 • Bericht-Generator Handbuch GFI LANguard N.S.S.

1. Das Betriebsystem enthält SunOS 2. TCP-Port ist offen 80 Klicken Sie dann auf „Suchen“. Alle Rechner werden angezeigt.

Beispiel 3 Generieren Sie eine Liste aller Computer mit offenen Ports („Offene Ports“ ist eine der Vorlagen, die Sie zum Erstellen und Speichern von Scan-Berichten nutzen können). Für dieses Beispiel soll gelten, dass die Scan-Ergebnisse mithilfe der Standardvorlage generic.xsl gesichert wurden, in der sämtliche Informationen gespeichert sind. 1. Wählen Sie die Datei, die Sie ursprünglich gespeichert hatten. 2. Klicken Sie auf „Bericht anpassen“. 3. Unter „Bericht-Stylesheet“ ändern Sie bitte generic.xsl

(Standardvorlage) in open_ports.xsl (Offene Ports) und klicken Sie dann auf „OK“, um zum vorherigen Fenster zurückzukommen.

4. Klicken Sie auf „Suchen“, um den Bericht zu erstellen.

Fazit Beispiel 3 verdeutlicht, dass es nicht erforderlich ist, den Bericht um weitere Abfragebereiche zu ergänzen. Zum Parsen von Informationen lassen sich bereits die vordefinierten XSL-Dateien einsetzen. Hinweis: Bei Anfragen müssen Sie Groß- und Kleinschreibung beachten. Es ist daher wichtig, dass Sie bei Ihrer Suche zwischen SunOS, SunOs oder SUNOS unterscheiden müssen.

Handbuch GFI LANguard N.S.S. Verteilung und Installation von Patches auf Microsoft-Rechnern • 53

Verteilung und Installation von Patches auf Microsoft-Rechnern

Einführung in die Patch-Verteilung Diese Funktion steht nur in der registrierten Version des GFI LANguard Network Security Scanner zu Verfügung! Mit der leistungsfähigen Funktion zum Verteilen und Installieren von Patches stellen Sie sicher, dass auf Ihren Windows NT, 2000 und XP-Rechnern (inklusive Applikationen) immer die neuesten Sicherheits-Patches installiert sind. In diesem Kapitel werden folgende Themen behandelt: • Bestandsaufnahme der auf einem Rechner installierten Hot Fixes

und Patches • Zuweisen von fehlenden Hot Fixes und Patches • Zuweisen von Betriebssystem-spezifischen Service Packs • Zuweisen individueller Patches Diese Aktionen sind nur dann erfolgreich, wenn Sie für den von Ihnen gescannten Rechner Administratorrechte besitzen. Wenn Sie nicht über die erforderlichen Rechte verfügen, können Sie weder eine Remote-Verbindung zur Registry aufbauen, noch nach Datei-Informationen suchen und zudem auch keine Patches installieren.

Microsoft SUS und GFI LANguard N.S.S. Microsoft SUS bietet eine gute Lösung für die Verteilung von Betriebssystem-Patches. Folgende Funktionen werden von Microsoft SUS jedoch nicht unterstützt und stehen nur über den GFI LANguard N.S.S. zur Verfügung: • Verteilung von Service Packs • Verteilung von Patches an Rechner mit Windows NT • Verteilung von Patches für Microsoft-Applikationen und Service

Packs für MS Office, MS SQL Server und MS Exchange Server. • Verteilung von (Drittanbieter)-Software (Beispiel: Die Verteilung

des GFI FAXmaker-Clients an mehrere Workstations). Microsoft beabsichtigt nicht, die SUS um diese Funktionen zu erweitern. Als Alternative bietet das Unternehmen Microsoft SMS an, eine Lösung, die jedoch kostenintensiver und recht aufwändig zu bedienen ist. Daher sollte Microsoft SUS eingesetzt werden, um Rechner mit Windows 2000/XP/.NET auf dem neuesten Stand zu halten, wohingegen GFI LANguard N.S.S. für die Verteilung von SPs, Patches/SPs für MS-Applikationen sowie von Drittanbieter-Software zum Einsatz kommen sollte.

54 • Verteilung und Installation von Patches auf Microsoft-Rechnern Handbuch GFI LANguard N.S.S.

Identifizierung fehlender Hot Fixes oder Service Packs Bevor der N.S.S. feststellen kann, welche Hot Fixes und Service Packs auf einem Rechner fehlen, muss zunächst eine Bestandsaufnahme aller bereits installierten erfolgen. Hierfür werden die Registry-Einstellungen, Datum-/Zeitstempel von Dateien und Versionsinformationen des Rechners mit den Informationen der von Microsoft bereitgestellten Datei mssecure.xml verglichen. Nachdem der N.S.S festgestellt hat, welche Produkte auf dem Rechner installiert sind, wird überprüft, ob für diese Applikationen Hot Fixes oder Service Packs verfügbar sind. Fehlende Hot Fixes und Patches werden der Liste hinzugefügt und vom N.S.S. angezeigt. Fehlen Patches, sieht die entsprechende Warnmeldung in etwa wie folgt aus:

Als erstes erscheint die Meldung, für welches Produkt ein Patch fehlt. Mit einem Klick auf das Produkt erfahren Sie dann, welcher Patch im Einzelnen fehlt. Über den angegebenen Link können Sie diesen Patch dann herunterladen.

Unidentifizierbare Patches In Einzelfällen kann der N.S.S. nicht feststellen, ob ein bestimmter Patch bereits installiert wurde oder nicht. Die betreffenden Patches werden bei den Warnmeldungen unter dem Knoten „Unidentifizierbare Patches“ aufgelistet.

Patch-Verteilung – unterstütze Produkte Die aktuelle Version des N.S.S. sucht nach Patches für folgende Produkte: • Windows NT 4.0 • Windows NT 4.0 Server


• Windows NT 4.0 Enterprise Edition • Windows 2000 Professional • Windows 2000 Server • Windows 2000 Advanced Server • Windows 2000 Datacenter Server • Windows XP Home Edition • Windows XP Professional • Internet Information Server 3.1 • Internet Information Server 4.0 • Internet Information Server 5.0 • Internet Information Server 5.1 • SQL Server 7.0 • SQL Server 2000 • Internet Explorer 4.0 • Internet Explorer 4.1 • Internet Explorer 5.0 • Internet Explorer 5.01 • Internet Explorer 5.5 • Internet Explorer 6.0 • SQL Server 7 • SQL Server 2000 • Microsoft ISA Server • Microsoft Exchange 2000 Standard • Microsoft Exchange 2000 Enterprise • Microsoft Exchange 5.5 • Office XP • Office 2000 Developer • Office 2000 Premium • Office 2000 Small Business • Office 2000 Standard • Office 2000 mit MultiLanguage Pack Der N.S.S. kann einigen dieser Produkte lediglich Hot Fixes zuweisen. Dies ist abhängig davon, wie die Update-Dateien von Microsoft zur Verfügung gestellt werden. Wenn es sich bei dem Update um eine Komplettdatei handelt, die sich ohne Benutzereingriff im Hintergrund installieren lässt, kann sie vom N.S.S. verteilt und installiert werden. Bei einem Utility, das Systemanfragen stellt, Benutzereingaben erfordert und Dateien aus dem Internet herunterlädt, kann es jedoch u. U. Probleme bei der Installation geben (siehe Kapitel zu individuellen Patches).


Installation von Hot Fixes Hinweis: Mit GFI LANguard N.S.S. können derzeit nur Patches für englischsprachige Windows-Versionen verteilt werden!

Erste Schritte Nachdem die Liste aller fehlenden Hot Fixes erstellt worden ist, müssen die betroffenen Rechner gepatcht werden. Klicken Sie mit der rechten Maustaste auf einen dieser Rechner, dann auf „Diesem Rechner Patches zuweisen“ und legen Sie die gewünschten Einstellungen in folgendem Fenster fest:

Installation von Patches auf einem Windows-Rechner

Wenn Sie auf „diese Patches” klicken, können Sie einzeln festlegen, welche Patches dem entsprechenden Rechner zugewiesen werden sollen. Standardmäßig werden alle Patches, deren Fehlen festgestellt werden konnte, an die Rechner verteilt. In Einzelfällen kann es aber erforderlich sein, nicht alle, sondern nur bestimmte Patches zu verteilen. Sie haben daher die Möglichkeit, Patches zu deselektieren, damit diese nicht installiert werden. Wenn Sie „Allen Rechnern Patches zuweisen“ gewählt haben, können Sie durch einen Mausklick auf „diese Rechner“ sehen, um welche Computer es sich handelt. Hier lassen sich ebenfalls all die Rechner deselektieren, denen keine Patches zugewiesen werden sollen. Wenn Rechner nach der Patch-Installation automatisch neu gestartet werden sollen, aktivieren Sie bitte das Kontrollkästchen „Nach Installation Rechner neu starten“. Damit Sie einen Überblick über die vom N.S.S. durchgeführten Aktualisierungen behalten, können Sie einen Installationsbericht erstellen lassen. Wenn Sie diesen Bericht nicht benötigen, können Sie die Option „Log-Datei erstellen” deselektieren.


In einigen Fällen kann es ratsam sein, Patches nach der Verteilung nicht sofort zu installieren. Sie können daher den Installationszeitpunkt und den Rechner-Neustart auch individuell festlegen, wie im folgenden beschrieben.

Weitere Optionen Über die Schaltfläche „Erweitert” rufen Sie folgendes Fenster auf:

Erweiterte Einstellungen zum Patchen von Windows-Rechnern

In einigen Fällen könnte die automatische Installation hinderlich sein, z. B., wenn vor der Installation vom Benutzer des betreffenden Rechners bestimmte Daten abgefragt werden sollen. Hierfür eignet sich der „Interaktive Modus”, den Sie in diesem Fenster aktivieren können. Hinweis: Bei einigen Patches ist während der Installation die Eingabe bestimmter Informationen erforderlich, andere hingegen installieren sich (bedingt durch die Patch-Programmierung) trotz Auswahl des aktiven Modus völlig automatisch. In den meisten Fällen sollten Sie Benutzer auf eine bevorstehende Patch-Verteilung hinweisen und sie informieren, dass nach der Installation ein Neustart des Computers erforderlich ist. Aktivieren Sie hierfür bitte die Option „Benutzer auf Installation hinweisen”. Eine Standardmitteilung informiert Benutzer darüber, dass Hot Fixes installiert werden sollen und dass diese Aktion von Benutzer XYZ über den Rechner ABC gestartet wurde. (Als Benutzername wird der Name des Anwenders angegeben, der auf dem N.S.S.-Rechner aktuell angemeldet ist.) Die Mitteilung kann individuell angepasst werden. Hinweis: Mit dieser Mitteilung sollen Benutzer lediglich über die Installation eines Patches informiert werden. Es ist ihnen jedoch nicht möglich einzugreifen und die Patches abzulehnen. Wenn Sie IIS- oder SQL-Patches verschieben wollen, sollten Sie zuvor den betreffenden Dienst manuell anhalten, da nicht immer garantiert ist, dass der Patch dies für Sie übernimmt. Wenn auf dem Rechner Dienste aktiv sind, die Sie anhalten möchten, aktivieren Sie bitte die Option „Dienste anhalten". Wenn die Festplatten-Kapazität auf dem Benutzer-Rechner sehr gering ist, sollten Sie die Patch-Dateien nach der Installation vom System entfernen. Andernfalls verbleiben die Q-Dateien und Patches auf dem Benutzer-Rechner.


Mit „Anzahl der Installations-Threads“ und „Abstand beim Versand mehrerer Patches“ legen Sie folgende Werte fest: • Anzahl der Verteilungs-Theads – Gibt an, wie viele Threads zum

Verteilen eingesetzt werden. (Je mehr Threads Sie einsetzen, desto schneller werden Rechner gleichzeitig gepatcht.) Jeder zusätzliche Thread bedeutet jedoch auch, dass die Netzwerk-Belastung steigt.

• Abstand beim Versand mehrerer Patches – Gibt an, wie schnell mehrere Patches hintereinander auf Remote-Rechner kopiert werden. (D. h., wie groß die Verzögerung zwischen dem Versand von Patches sein soll. Eine geringe Verzögerung ermöglicht es Ihrem Netzwerk, neben dem Verschicken eines Patches auch noch andere Aktionen durchzuführen.)

Mit Hilfe beider Parameter können Probleme hinsichtlich der Netzwerk-Belastung gelöst werden. Die bereits vorgegebenen Werte sollten nur dann geändert werden, wenn das Netzwerk sehr langsam ist und/oder der Versand von Patches im Netzwerk nicht schnell genug erfolgt.

Patch-Prozess starten Wenn Sie alle gewünschten Einstellungen vorgenommen haben und auf „Start“ klicken, erscheint folgendes Fenster:

Patches, deren Download noch aussteht

Bevor eine Sicherheitslücke durch einen Patch geschlossen werden kann, muss dieser von der Microsoft-Site heruntergeladen werden. Wenn möglich, wird der N.S.S. einen Link anzeigen, über den der benötigte Patch direkt heruntergeladen werden kann. Ansonsten wird zur Download-Seite verlinkt, über die der Patch heruntergeladen werden kann. Hierbei kann es notwendig sein, z. B. weitere Angaben zu machen oder die Sprache auszuwählen. Hinweis: Bitte stellen Sie sicher, dass die Patches in das richtige Verzeichnis heruntergeladen werden. Wenn Sie das Verzeichnis ändern, in dem der N.S.S. die Dateien ablegt, kann der Scanner den Patch nicht finden, und Sie werden zum nochmaligen Download


aufgefordert. Die Patches sollten im Unterverzeichnis "\download" des Installationsverzeichnisses von GFI LANguard N.S.S. abgelegt werden. Bei den internationalen Sprachversionen von Service Packs/Patches werden Sie u. U. dazu aufgefordert, die Dateien in anderen Verzeichnissen abzuspeichern. Die Dateien müssen im dafür vorgesehenen Verzeichnis abgelegt werden. Andernfalls können die SPs/Patches für nicht englischsprachige Betriebssysteme nicht installiert werden. Sind alle Patches heruntergeladen, klicken Sie bitte auf die Schaltfläche „Weiter“. Dadurch werden alle Patches von Ihrem Rechner auf alle anderen Computer kopiert, die gepatcht werden müssen. Hinweis: Der Patch-Vorgang lässt sich bereits vor dem Download aller ausgewählten Patches starten. Stellen Sie daher sicher, dass alle Patches, die Sie auf Ihren Rechnern installieren möchten, tatsächlich bereits heruntergeladen sind, bevor Sie auf „Weiter“ klicken. Der N.S.S. informiert Sie über den Fortschritt des Kopiervorgangs jeder einzelnen Datei und zeigt dann die Installation der Patches an. Ist der Kopierprozess abgeschlossen und hat der N.S.S. den Installationsbeginn kontrolliert, erhalten Sie einen Bericht, in dem alle Arbeitsschritte aufgeführt sind. Hinweis: Wenn der Bericht eingeblendet wird, ist die Patch-Installation auf den ausgewählten Rechnern möglicherweise noch nicht beendet. Je nach Anzahl der Patches, deren Größe und der Leistungsfähigkeit Ihres Netzwerkes und Ihrer Rechner kann die Patch-Installation in nur ein bis zwei Minuten abgeschlossen sein oder aber bis zu einer Stunde dauern. Sind alle Rechner gepatcht und neu gestartet worden, sollten Sie einen erneuten Scan durchführen um sicherzustellen, dass alle Patches korrekt installiert und registriert wurden.

Installation von Service Packs

Verteilen fehlender Service Packs Die Installation fehlender Service Packs erfolgt in der gleichen Weise wie bereits bei den Hot Fixes beschrieben. Wenn Sie mit der rechten Maustaste auf einen Rechner klicken, auf dem ein Service Pack fehlt, und „Diesem Rechner Service Packs zuweisen“ wählen, wird der gleiche Installationsvorgang gestartet. In diesem Fall hingegen werden die fehlenden Service Packs heruntergeladen. Hinweis: Sie sollten sicherstellen, dass der N.S.S. nach der Verteilung und Installation eines Service Packs den Computer neu startet. Ist diese Option nicht aktiviert, und wird der Rechner nach dem Patchen ohne Neustart erneut gescannt, werden wieder die Warnhinweise aufgrund des vermeintlich veralteten SP angezeigt und dass hierfür Hot Fixes benötigt werden. Werden diese Hot Fixes erneut verteilt, kann dies zu ernsthaften Systemfehlern führen. Sie sollten daher den N.S.S. so konfigurieren, dass nach der erfolgreichen Installation eines Patches ein Neustart der Workstation durchgeführt wird.


Installation individueller Patches

Verteilen individueller Patches Die Installation individueller Patches wird NICHT unterstützt, steht Benutzern aber als Option zur Verfügung. Grund hierfür ist, dass mit diesem Utility alle möglichen Arten von Patches verteilt werden können. Vom N.S.S. offiziell unterstützte Hot Fixes und Service Packs können über die anderen Funktionen verschoben werden. In Ausnahmefällen kann es jedoch erforderlich sein, dass für Ihr Unternehmens-Netzwerk ein eigener Patch benötigt wird, der sich dann mithilfe dieses dritten Patch-Features verteilen lässt. Damit dieses Utility funktioniert, muss der von Ihnen bereit gestellte Patch im Hintergrund verteilt und installiert werden können. Klicken Sie mit der rechten Maustaste auf einen Rechner, auf dem dies getestet werden soll, und dann auf „Allen Rechnern individuelle Patches zuweisen“. Daraufhin öffnet sich folgendes Fenster:

Hinweis: Wenn Sie die Patches auf „diesen Rechner“ verschieben, steht die Auswahl des Betriebssystems und der einzelnen Applikationen nicht zur Verfügung, da der Rechner dem N.S.S. bereits bekannt ist. Zunächst müssen Sie die exe-Datei angeben, die Sie verteilen möchten. Klicken Sie hierfür auf die Schaltfläche „Hinzufügen“. Folgendes Fenster wird geöffnet:


Handelt es sich bei dem Patch um einen normalen Windows-Patch, können Sie die Option „Windows Standard-Patch“ aktiviert lassen, und der N.S.S. setzt alle notwendigen Parameter automatisch. Bei individuellen Patches oder einem Microsoft-Patch, der nicht den normalen MS-Standards entspricht, kann diese Option deselektiert werden, um die benötigten Parameter manuell einzugeben. Hinweis: Bei Patches, die im Hintergrund automatisch installiert werden können, sollte es keine Probleme geben. Hierbei muss es sich nicht um einen Microsoft-Patch handeln. Wichtig ist, dass der Patch ohne Benutzereingriff installiert werden kann. Nachdem Sie alle Patches, die Sie verteilen möchten, aufgelistet haben, müssen Sie die Prüfkriterien für die Installation der einzelnen Patches festlegen. Hierfür selektieren Sie entweder das Betriebssystem oder die Produkte, für die diese individuellen Patches eingesetzt werden sollen. Beispiel 1 - Installation des Windows Media Player 7.1 auf allen Rechnern mit Windows 2000 Professional. Führen Sie den ersten Scan durch, klicken Sie mit der rechten Maustaste auf einen Rechner und wählen Sie dann „Allen Rechnern individuelle Patches zuweisen“. Klicken Sie auf „Hinzufügen“ und geben Sie den Pfad für die Installationsdatei des Windows Media Player 7.1 an. (Hinweis: Diese Datei sowie alle anderen Patches, die mithilfe dieser Option installierten werden sollen, müssen ohne Unterstützung durch den N.S.S. ausgewählt und heruntergeladen werden.) Aktivieren Sie das Kontrollkästchen „Windows 2000 Professional“. Klicken Sie auf „Weiter“. Ab diesem Schritt besteht kein Unterschied zu den Menüs für das Patchen von Hot Fixes und Service Packs. Beispiel 2 - Installation von Office 97 SP1 auf allen Rechnern mit Windows 2000 Professional. Die Vorgehensweise ist die gleiche wie in Beispiel 1. Anhand dieses Beispiels soll jedoch erläutert werden, dass bei einigen Office-SPs ein Verteilen auf die Workstations möglich ist. Probleme gibt es jedoch beim Verschieben des SP 2 für Office 97. Bei dieser SP-Version muss zuerst die Seriennummer eingegeben werden, bevor sich der Patch installieren lässt. Aus diesem Grund kann das SP 2 für Office 97 nicht verteilt werden (außer es gibt einen bislang noch nicht dokumentierten Weg, die Seriennummer per Befehlszeilen-Oberfläche einzufügen).


Diese dritte Patch-Option kann daher nur bedingt eingesetzt werden. Hinweis: Wenn Sie einen individuellen Patch verteilen wollen, testen Sie diesen zuvor bitte in verschiedenen Installationsumgebungen. Kann der Patch nicht installiert werden, versuchen Sie die Installation per „interaktivem Modus“, der über die Schaltfläche „Erweitert“ im Fenster „Patches verteilen" aktivierbar ist. Einige Patches lassen sich zwar nicht im Hintergrund installieren, dafür jedoch im interaktiven Modus.

Wichtige Hinweise zur Patch-Installation Der Installation von Patches sollte immer ein Testlauf vorausgehen! Jede Netzwerk-Umgebung ist anders, und jeder Rechner ist unterschiedlich konfiguriert. Aus diesem Grund lassen sich nicht alle Sicherheitslücken durch SPs und Hot Fixes schließen. Teilweise können durch die Installation sogar unvorhergesehene Probleme auftreten. Der N.S.S. bietet Ihnen die Möglichkeit, Zielrechnern Patches zuzuweisen. Beim Einsatz des N.S.S sollten Sie, wie bei allen anderen Patch-Applikationen, vor einer umfangreichen Patch-Verteilung testen, wie sich die Installation herstellerspezifischer Patches auf Ihre Netzwerk-Umgebung auswirkt. Der N.S.S. erspart Ihnen viel Zeit und unterstützt Sie beim Verteilen von Patches – jedoch nur, wenn deren Zuverlässigkeit zuvor überprüft wurde.

Patches ignorieren Patches lassen sich auch auf eine Ignorieren-Liste setzen. Diese Liste kommt zum Einsatz, wenn ein bestimmter Patch nicht verteilt werden soll oder wenn ein bereits installierter Patch nicht identifiziert oder im Hintergrund installiert werden kann. Dadurch lässt sich verhindern, dass dieser Patch unter dem Knoten für noch zu installierende Patches aufgeführt wird. Klicken Sie hierfür mit der rechten Maustaste auf den zu ignorierenden Patch und wählen Sie im Kontextmenü die entsprechende Option, wie in folgendem Screenshot gezeigt:


Patch einer Ignorieren-Liste hinzufügen

Durchsuchen von Microsoft-Bulletins Wenn Sie weitere Informationen zu den Patches erhalten möchten, nach denen der N.S.S. auf den einzelnen Rechnern sucht, klicken Sie bitte auf „Patches“ > „Bulletins durchsuchen“. Dadurch wird folgendes Fenster geöffnet:

MS Bulletin-Browser

Durch einen Doppelklick auf ein Bulletin erhalten Sie Informationen zum Sicherheitsproblem und die zum Beheben dieses Problems benötigten Dateien. Zusätzlich steht Ihnen ein Link zur betreffenden MS-Seite zur Verfügung, auf der das Original-Bulletin zu finden ist. Folgender Screenshot zeigt die entsprechenden Informationen:

Beispiel eines MS Bulletins

Wenn Sie einen der Patches markieren, informiert Sie der N.S.S., für welche Produkte der Patch eingesetzt wird. In der obigen Abbildung des Patches zur Bulletin-ID MS02-024 werden die betroffenen Produkte in einzelnen aufgeführt. In diesem Beispiel ist der Patch für


Windows 2000 Advanced Server, Datacenter Server, Professional und Server gedacht. Hinweis: Der Patch kann mithilfe dieses Utilitys heruntergeladen werden. Wenn Sie auf den Patch doppelklicken (hier q320206_w2k_sp4_x86_en.exe), wird eine Verbindung zur Microsoft-Site hergestellt und der Hot Fix heruntergeladen.

Suche nach MS Bulletins Wenn Sie Informationen zu einem bestimmten Bulletin benötigen, können Sie hierfür die Option „Bulletin suchen“ nutzen. Diese Suchfunktion steht unter „Patches” > „Bulletin suchen” zur Verfügung. Über folgenden Suchdialog können Sie nach einzelnen Bulletins suchen:

Nach einem MS Bulletin suchen

Geben Sie den Namen des Bulletins oder die Q-Nummer ein, nach dem/der der N.S.S. suchen soll.

Handbuch GFI LANguard N.S.S. Vergleich von Scan-Ergebnissen • 65

Vergleich von Scan-Ergebnissen

Warum Ergebnisse vergleichen? Der Ergebnis-Vergleich (ob interaktiv oder nach festem Zeitplan) steht nur in der registrierten Version des GFI LANguard Network Security Scanners zur Verfügung! Netzwerk-Audits sollten regelmäßig durchgeführt und Ergebnisse von vorherigen Scans zum Vergleich herangezogen werden. So erhalten Sie einen besseren Überblick darüber, welche Sicherheitsprobleme dauerhaft bestehen oder von Benutzern wiederholt verursacht werden. Nur auf diese Weise können Sie effizientere Gegenmaßnahmen einleiten und Ihr Netzwerk wesentlich sicherer machen. Der GFI LANguard Network Security Scanner unterstützt Sie bei dieser Arbeit und vergleicht die Scan-Ergebnisse. Unterschiede werden hervorgehoben, damit Sie schneller informiert sind und eingreifen können. Ergebnisse lassen sich bei Bedarf manuell oder regelmäßig nach einem festen Zeitplan vergleichen. Beide Optionen werden im folgenden erklärt.

Interaktiver Vergleich von Ergebnissen Beim Speichern der Berichte im HTML-Format erstellt der N.S.S. auch eine XML-Datei, auf die das Modul für den Ergebnis-Vergleich zurückgreift. Um zwei Berichte miteinander zu vergleichen, wählen Sie bitte „Datei” > „Ergebnisvergleich”. In dem sich öffnenden Fenster wählen Sie dann bitte zwei Dateien, die die gleiche Scan-Methode zu unterschiedlichen Zeiten dokumentieren, und klicken Sie auf „Vergleichen“.

66 • Vergleich von Scan-Ergebnissen Handbuch GFI LANguard N.S.S.

Ergebnisvergleich

Ein solcher Ergebnisvergleich ist in obigem Screenshot abgebildet. Hier können Sie sehen, welche Aktivierungen oder Deaktivierungen oder sonstigen Netzwerk-Änderungen seit dem letzten Scan vorgenommen wurden: • Neue Objekte • Entfernte Objekte • Veränderte Objekte (z. B. aktivierte/deaktivierte Dienste, neue

offene Ports) • Veränderte Warnmeldungen

Ergebnis-Vergleich nach einem festen Zeitplan Als Alternative zu manuellen Netzwerk-Scans, die täglich, wöchentlich oder monatlich durchgeführt werden, können Sie Ihr Netzwerk auch regelmäßig nach einem festen Zeitplan überprüfen lassen. Hierfür steht das Tool „Geplante Scans” zur Verfügung, das Administratoren über alle Auffälligkeiten per E-Mail informiert. Beispiel: Administratoren können über „Geplante Scans” festlegen, dass jeden Tag um 23:00 Uhr ein Netzwerk-Scan erfolgen soll. Zu diesem Zeitpunkt startet das Tool den N.S.S., alle ausgewählten Computer werden gescannt und die Scan-Resultate gespeichert. Danach wird das aktuelle Scan-Ergebnis mit dem des Vortags verglichen. Haben sich Veränderungen ergeben, wird der Administrator per E-Mail informiert.

Regelmäßige Scans konfigurieren Um neue regelmäßige Scans zu konfigurieren, klicken Sie im Hauptmenü auf „Scan“ > „Geplanter Scan“. Alle Einstellungen werden in folgendem Fenster vorgenommen:

Regelmäßige Scans konfigurieren

Einen neuen Scan-Vorgang hinzufügen Um einen neuen regelmäßigen Scan-Vorgang hinzuzufügen, klicken Sie auf „Datei“ > „Neu“. Legen Sie Einstellungen in folgendem Fenster fest:

Handbuch GFI LANguard N.S.S. Vergleich von Scan-Ergebnissen • 67

Hinzufügen eines neuen regelmäßigen Scans

Geplante Scans löschen Wird eine zuvor festgelegte Scan-Methode nicht länger benötigt, kann dieser aus der Liste der regelmäßigen Scans entfernt werden. Markieren Sie den betreffenden Scan und klicken Sie dann auf „Bearbeiten“ > „Entfernen“ (oder wählen Sie den Scan-Vorgang mit der rechten Maustaste aus und klicken Sie im Kontextmenü auf „Geplanten Scan entfernen“.)

Geplante Scans modifizieren Möchten Sie einen Scan-Vorgang modifizieren, markieren Sie ihn einfach und klicken Sie dann auf „Bearbeiten” > „Modifizieren” (oder rechtsklicken Sie ihn und wählen Sie dann „Geplanten Scan bearbeiten“.)

E-Mail-Konfiguration festlegen

E-Mail-Einstellungen

Bitte stellen Sie sicher, dass die Standardeinstellungen für die E-Mail-Kommunikation geändert werden. Dazu gehen Sie folgendermaßen vor: 1. Klicken Sie auf „Datei“ > „Optionen“. 2. In dem sich öffnenden Fenster können die Adresse des SMTP-

Servers angeben, den Port (Standard: 25), die E-Mail-Adresse, an

68 • Vergleich von Scan-Ergebnissen Handbuch GFI LANguard N.S.S.

die die Informationen geschickt werden sollen, sowie die für diese Benachrichtigungen gewünschte Betreff-Zeile.

3. Um die Einstellungen zu überprüfen, sollten Sie auf die entsprechende Schaltfläche klicken. Sind alle Angaben korrekt, trifft innerhalb weniger Minuten eine Test-Mail in Ihrem Postfach ein.

Hinweis: Bei einigen SMTP-Gateways ist es nicht möglich, im Absenderfeld lediglich einen Namen anzugeben. In diesem Fall müssen Sie eine vollständige E-Mail-Adresse angeben, z. B. [email protected]. Obwohl diese Adresse ungültig ist, wird Sie unter Umständen für den erfolgreichen Nachrichtenversand via SMTP-Gateway benötigt. Sie müssen daher die Konfiguration Ihres eigenen Gateways auf diese Besonderheit überprüfen.

Ablauf des Scan-Vorgangs Der N.S.S. wird zum festgelegten Zeitpunkt gestartet und führt den Scan wie zuvor festgelegt im Hintergrund durch. Nach Abschluss des Scans werden die Daten im Verzeichnis Reports\RC gespeichert (Unterverzeichnis des N.S.S.-Installationsordners). Danach wird das aktuelle Scan-Ergebnis mit dem vorherigen verglichen. Wurde der Scan zum ersten Mal durchgeführt und stehen keine Vergleichswerte zur Verfügung, oder haben sich die Daten zwischen dem aktuellen Scan-Durchgang und einem vorherigen nicht geändert, erfolgt keine E-Mail-Mitteilung. Berichte werden nur dann verschickt, wenn sich Objekte/Daten verändert haben!

Handbuch GFI LANguard N.S.S. Identifizierung des Betriebssystems • 69

Identifizierung des Betriebssystems

Identifizierung des Betriebssystems

Der N.S.S. verschickt zum Erkennen des Betriebssystems drei verschiedene Pakettypen/Anfragen: NetBIOS, SNMP und ICMP. Zunächst muss beachtet werden, dass Geräte auf SMB-Pakete unterschiedlich reagieren. Windows und einige UNIX-Spielarten reagieren auf diesen Paket-Typ. Windows-Rechner, bei denen die Datei- und Druckerfreigabe installiert ist, bieten noch umfangreichere Informationen, sodass man sich ein besseres Bild vom gescannten Rechner machen kann. Über SNMP ist in den meisten Fällen eine recht zuverlässige Identifizierung des verwalteten Geräts möglich. Es gibt jedoch ein paar Ausnahmen, bei denen der Hersteller seine einzelnen Geräte nicht mit individuellen IDs versieht. In diesen Fällen liefert die OID des Geräts lediglich Angaben zum Herstellernamen. Über SNMP kann jedoch in den meisten Fällen der Hardware-Typ/das Betriebssystem des Rechners herausgefunden werden. ICMP-Pakete dienen ebenfalls der Identifizierung des Betriebssystems. Diese Pakete werden in zwei Hauptkategorien unterteilt. Bei der ersten wird festgestellt, wie das Gerät auf folgende Anfragenpakete reagiert: TTL, Adressmasken- und Umlaufzeit-Anfragen. Auf Grundlage der TTL-Daten können die Geräte bereits aufgeschlüsselt werden nach Windows (üblicher Wert: 128) und UNIX (255). Besondere Antwortmuster helfen ebenfalls bei der Bestimmung des Betriebssystems. Diese Methoden sind jedoch nicht sehr zuverlässig, da z. B. TTL-Werte im Betriebssystem geändert werden können. Der zweite Bereich der ICMP-Pakete ist das Banner-Grabbing bei der Verbindungsaufnahme mit einem Port. In einigen Fällen können darüber sehr aufschlussreiche Informationen zum Betriebssystem gewonnen werden. In anderen Fällen führt diese Methode jedoch überhaupt nicht zum Ziel. Das Problem besteht darin, dass das vom Betriebssystem gesendete Banner in den meisten Fällen modifiziert werden kann – mit dem Ergebnis, dass entweder keine oder nur falsche Informationen zum Betriebssystem ausgegeben werden. Mit dem N.S.S. können einige *nix (Unix-Varianten) identifiziert werden. Die Erkennung von Unix-Betriebssystemen ist jedoch teilweise problematisch, weil der N.S.S. die meisten ihrer IP-Stacks nicht unterscheiden kann (TTL, Adressmasken-, Informations- und Umlaufzeit-Antworten). Es bestehen zwar ein paar geringfügigere Unterschiede, diese ermöglichen jedoch nur eine Aufschlüsselung in Gruppen. Selbst bei Macintosh gibt es die gleichen Probleme. Daher ist die Identifizierung dieser Betriebssysteme nur über SMB, SNMP

70 • Identifizierung des Betriebssystems Handbuch GFI LANguard N.S.S.

oder Banner-Grabbing möglich. Ob genügend Daten zur Identifizierung des Betriebssystems vorhanden sind, hängt davon ab, welche Ports offen sind und welche Informationen in den Fingerprint-Dateien zur Verfügung stehen (siehe unten). Diese Methoden und eine paar andere Tricks werden vom N.S.S. zur Betriebssystem-Erkennung eingesetzt. Die Angaben des N.S.S. zum Betriebssystem sind überwiegend korrekt. Fehler bei der Identifizierung können aufgrund der oben angegebenen Gründe jedoch nicht ausgeschlossen werden.

Fingerprint-Dateien In diesem Kapitel soll auf die txt-Dateien eingegangen werden, die der Geräte-Identifizierung dienen. Alle der im folgenden aufgeführten Dateien befinden sich im Unterverzeichnis „Fingerprint” des N.S.S.-Installationsverzeichnisses. Diese Dateien lassen sich bei Bedarf modifizieren. Bitte beachten Sie jedoch, dass bei einer fehlerhaften Konfigurierung die gefundenen Geräte nicht zuverlässig vom N.S.S. identifiziert werden können.

RPC-Dienste Werden auf dem Rechner aktive RCP-Dienste identifiziert (normalerweise UNIX oder Linux), vergleicht der N.S.S. die empfangenen Informationen mit der Datei rpc.txt, die über „Ansicht“ > „RPC.txt“ aufgerufen und verändert werden kann.

Objekt-ID-Informationen via SNMP Findet der GFI LANguard Network Security Scanner ein Gerät, das auf SNMP-Anfragen reagiert, vergleicht er dessen Objekt-ID-Information mit der im N.S.S. gespeicherten. Diese Daten können über „Ansicht” > „Object_ids.txt” aktualisiert und/oder angezeigt werden.

SNMP Enterprise Numbers Findet der N.S.S. ein Gerät, für das ihm keine näheren Informationen zur Verfügung stehen (über die Datei object_ids.txt), überprüft der Scanner die herstellerspezifischen Informationen und gibt zumindest den Hersteller des gefundenen Produkts an. Diese Information basiert auf den SMI Network Management Private Enterprise Codes, die unter http://www.iana.org/assignments/enterprise-numbers eingesehen werden können. Der Name der hier verwendeten Datei lautet enterprises.txt.

Banner-Informationen Der N.S.S. identifiziert das Betriebssystem auch anhand von Bannern, die bei der Verbindung zu bestimmten Ports von den einzelnen Geräten bezogen werden. Zu diesen Ports/Diensten zählen: • FTP (ftp.txt) • Indentd (indentd.txt) • SMTP (smtp.txt)

http://www.iana.org/assignments/enterprise-numbers

Handbuch GFI LANguard N.S.S. Identifizierung des Betriebssystems • 71

• Telnet (telnet.txt) • HTTP (www.txt) Wenn bei einer Verbindung zu diesen Ports ein Banner angezeigt wird, vergleicht der N.S.S. dieses mit seiner internen Liste und nutzt diese Information zur Bestimmung des Betriebssystems oder des gefundenen Gerätetyps.

Handbuch GFI LANguard N.S.S. LANS: LANguard Scripting • 73

LANS: LANguard Scripting

Was ist LANS? LANS ist eine Skript-Sprache für den GFI LANguard Network Security Scanner. Mit LANS können Sie Sicherheitsprüfungen selbst erstellen und diese dann im Modul für die Warnmeldungen einsetzen. Mithilfe des integrierten Script-Editors können Sie Syntax hervorheben lassen und Debugging-Funktionen starten. WICHTIGER HINWEIS: Für die Analyse selbst erstellter Skripten, die fehlerhaft sind, kann der GFI-Support nicht in Anspruch genommen werden. Für die LANguard Skript-Funktion wird kein Support angeboten.

LANS Syntax

Anmerkungen: Anmerkungen wird das Zeichen # vorangestellt. Alle Daten nach dem # werden vom Interpreter ignoriert. i = 1 # dies ist eine Anmerkung # weitere Anmerkung

Variablen: Variablen müssen vor ihrer Benutzung deklariert werden. In der aktuellen Version des N.S.S. können zwei Variablentypen genutzt werden: String und Integer. In einer Zeile können mehrere Variablen deklariert werden. string str1, str2 integer i1,i2,j Bitte beachten: Variablen können nicht initialisiert werden, wenn sie deklariert sind. Fehlerhaftes Beispiel: string str1 = "test" falsch! Ziffern lassen sich in Dezimal- oder Hexadezimalform angeben. Hexadezimalen Ziffern muss ein Dollarzeichen ($) vorangestellt werden. (C, wie die Hexadezimal-Deklaration (0x), wird nicht unterstützt.) Integer i1,i2,j i1 = 100 i2 = $3f j = 0x3f falsch! String-Variablen müssen in doppelten Anführungszeichen stehen. string str1, bad

74 • LANS: LANguard Scripting Handbuch GFI LANguard N.S.S.

str1 = "Beispiel-String" bad = 'noch ein String' falsch! String-Variablen können auch mit folgender Notation initialisiert werden: stringVar = {hexnumber1, hexnumber2, hexnumber3, ... } Beispiel: string stringVar stringVar = {$41, $42, $43} # "ABC" # möglich ist auch: stringVar = stringVar + "DEF" + {$13, $10} # "ABCDEF" + end_of_line String-Variablen können auch indiziert werden. Bei stringVar[1] wird daher das erste Zeichen der String-Variable stringVar ausgegeben. string stringVar stringVar = "ABC" echo(stringVar[1]) Ausgabe: A

Zeilen Lange Ausdrücke können mithilfe des folgenden Operators auf mehrere Zeilen verteilt werden: \ string get_names get_names = \ {$01, $f8, $00, $10, $00, $01, $00, $00, $00, $00,\ $00, $00, $20, $43, $4B, $41, $41, $41, $41, $41,\ $41, $41, $41, $41, $41, $41, $41, $41, $41, $41,\ $41, $41, $41, $41, $41, $41, $41, $41, $41, $41,\ $41, $41, $41, $41, $41, $00, $00, $21, $00, $01}

Operatoren Folgende Operatoren werden unter LANS unterstützt: Arithmetische und Boole’sche Operatoren

Operator Operation Operandentyp(en) + Addition Integer, String

- Subtraktion Integer

* Multiplikation Integer

/ Division Integer

& und Integer

| oder Integer

^ xoder Integer

>> shr – rechts shiften Integer

<< shl – links shiften Integer

Vergleichsoperatoren Operator Operation Operandentyp(en)


= ist gleich Integer, String

> ist größer als Integer

< ist kleiner als Integer

>= ist größer/gleich Integer

<= ist kleiner/gleich Integer

<> ist ungleich Integer, String

If-Anweisungen Format: if expression statement1 statement2 ... [else expression statement1 statement2 ...] end if if size > 0 echo("Wert ist größer als 0") else echo("Wert ist gleich 0") else if

While-Anweisung Format: while expression statement1 statement2 ... end while i = 1 while i < 10 i = i + 1 end while

Verwendung der LANS-Skripten mit dem Modul „Warnmeldungen“ Führt der GFI LANguard Network Security Scanner ein LANS-Skript aus, wird die wichtige String-Variable _ip erstellt, die die IP-Adresse des gerade überprüften Rechners enthält. Die Integer-Variable _return ist ebenfalls von Bedeutung. Der Wert für _return sollte vor dem Skript-Ende erstellt werden und gibt an, ob die Prüfung erfolgreich war oder nicht. (1=erfolgreich. 0=fehlgeschlagen) Ein ausführliches Beispiel finden Sie am Anfang des folgenden Abschnitts.


Standard-Variablen Wichtige Variablen

Variable Beschreibung _ip Gibt die IP-Adresse des Rechners an, der gerade gescannt wird.

_return Sollte bei erfolgreichem Scan auf 1, bei fehlgeschlagenem auf 0 gesetzt werden.

Variablen von geringerer Bedeutung

Variable Beschreibung _eol Zeilenende. Entspricht CR+LF.

_hostname Gibt den Host-Namen des Rechners an, der gerade gescannt wird.

Erstellung eines LANS-Skripts

Eine neue Warnmeldung definieren Folgende Anleitung hilft Ihnen dabei, mit LANS einen einfachen Sicherheits-Check zu erstellen. Es soll nach einer neuen Sicherheitslücke gesucht und hierfür eine Warnmeldung erstellt werden: "Solaris Fingerd Discloses Complete User List" Der Finger-Service enthält einen Bug, durch den bei folgender Anfrage eine Liste aller Benutzerkonten angezeigt wird: finger "a b c d e f g h"@solaris_host Zunächst muss eine neue Warnmeldung eingerichtet werden. Klicken Sie hierfür auf die Schaltfläche „Warnmeldungen konfigurieren“ in der Werkzeugleiste.

Danach muss die Kategorie ausgewählt werden, zu der diese Warnmeldung zählen soll. Wählen Sie „Auswahl“, und die Liste aller zu dieser Kategorie gehörenden Warnmeldungen wird angezeigt. Hier muss eine neue Warnmeldung eingerichtet werden. Wählen Sie „Neue Warnmeldung“ aus dem Menü „Datei“. Folgendes Fenster wird angezeigt:


Neue Warnmeldung konfigurieren

Geben Sie nun folgende Daten in den einzelnen Feldern ein: 1. Name der Warnmeldung Solaris Fingerd Discloses Complete

User List (Beispiel) 2. Auswirkung Veröffentlichung vertraulicher Daten 3. BugtraqID/URL

http://www.securiteam.com/unixfocus/6B00M0U2UW.html (unter dieser URL finden Sie weitere Infos zu diesem Bug)

4. Sicherheitsüberprüfungen: Drei Bereiche sollen kontrolliert werden:

• Überprüfung des Betriebssystems auf Solaris, SunOS • Überprüfung, ob der TCP-Port 79 (Finger) offen ist • Überprüfung des Bugs mithilfe eines LANS-Skripts

Die dritte Knotrolle soll nun näher erläutert werden. (LANS script)

Neue Sicherheitsüberprüfung per LANS-Skript

Geben Sie den Namen des Skripts an (in diesem Fall solaris_finger.lans) Klicken Sie auf „Skript in LANS öffnen“, um mit der Programmierung zu beginnen. Der LANS-Editor wird geöffnet. Bitte geben Sie folgende Daten ein:

http://www.securiteam.com/unixfocus/6B00M0U2UW.html


Das Skript 1.# Solaris finger bug '@a b c d e f g h' 2.string request, data, fdata 3.integer sock 4.#_ip = "192.168.8.10" 5._return = 0 6.echo("ip= " +_ip,_color_green) 7.request = "a b c d e f g h" + _eol 8.sock = open_tcp(_ip, 79) 9. if sock > 0 10. send(sock, request) 11. fdata = "" 12. data = "1" 13. while length(data) > 0 14. data = recv(sock, 256) 15. fdata = fdata + data 16. end while 17. echo(fdata) 18. if pos("nobody", fdata) > 0 19. _return = 1 20. end if 21. end if Hinweis: Die Zeilennummern wurden nur zum leichteren Verständnis und zur Verdeutlichung der einzelnen Schritte hinzugefügt. Im eigentlichen Skript kommen sie nicht vor.

Wie funktioniert dieses Skript? Das Skript soll nun näher betrachtet werden: 1.# Solaris finger bug '@a b c d e f g h' In dieser Zeile wird der Verwendungszweck des Skripts angegeben. Bitte beachten Sie die Raute (#), die vor dem eigentlichen deskriptiven Text steht. Dieses Zeichen wird zum Hinzufügen von Anmerkungen oder Erläuterungen verwendet. 2.string request, data, fdata 3.integer sock Die Zeilen 2-3 dienen der Deklaration von Variablen, die im Skript zum Einsatz kommen. Es werden drei String-Variablen deklariert: request, data, fdata und die Integer-Variable sock. • request gibt die zu übertragenden Daten der Finger-Anfrage an • data wird als temporärer Puffer eingesetzt • fdata enthält die Server-Rückmeldung • sock enthält den Socket-Handle 4.#_ip = "192.168.8.10" Die Standard-Variable _ip wird hier mit dem Wert 192.168.8.10 initialisiert. Diese Zeile erscheint im eigentlichen Skript als Anmerkung. Es ist jedoch nützlich, während der Skript-Programmierung und den anschließenden Tests eine Verbindung zu einem Test-Rechner herzustellen. In der Testphase sollten Sie daher diese Variable nicht länger als Anmerkung kennzeichnen, sondern ihr einen Rechner zuweisen, auf dem die zu überprüfende Sicherheitslücke vorhanden ist. 5._return = 0


Die Standard-Variable _return wird mit 0 initialisiert (Prüfung ist fehlgeschlagen). Beim Verlassen des Skripts enthält diese Variable das Ergebnis des Sicherheitschecks. (True – die Prüfung war erfolgreich oder false – die Prüfung ist fehlgeschlagen). 6.echo("ip= " +_ip,_color_green) Diese Zeile wird zu Testzwecken hinzugefügt. Sie bewirkt, dass die aktuelle IP-Adresse grün dargestellt wird. 7.request = "a b c d e f g h" + _eol Hier wird die String-Variable _request initialisiert. Die Variable _eol (End of Line) ersetzt _eol = chr(13) + chr(10) 8.sock = open_tcp(_ip, 79) Diese Zeile initialisiert eine TCP-Verbindung zum Port 79 (Finger). Hierdurch wird der Handler zum neu erstellten Socket zurückgeschickt. Konnte die Verbindung nicht hergestellt werden, lautet der Wert null. An dieser Stelle sind zwei verschiedene Resultate möglich: 1. Die Verbindung wurde hergestellt. 2. Die Verbindung ist fehlgeschlagen. Aus diesem Grund ist eine bedingte Anweisung erforderlich, in diesem Fall „if“. Für uns ist nur das Eintreten einer erfolgreichen Verbindung relevant. Daher müssen folgende Zeilen hinzugefügt werden. 9. if sock > 0 ... 21. end if Es muss auch überprüft werden, ob der Socket-Handle gültig ist. Die zugehörige Zeile muss dann lauten: 10.send(sock, request) Hierdurch wird die Anfrage an den Finger-Service geschickt. 11. fdata = "" 12. data = "1" 13. while length(data) > 0 14. data = recv(sock, 256) 15. fdata = fdata + data 16. end while Die Antwort des Finger-Service kann nun gelesen werden. Die Daten werden in einem temporären Puffer abgelegt. (Es werden 256 Zeichen gleichzeitig ausgelesen.) Dieser Vorgang wird so lange fortgeführt, bis die Variable data leer ist. Die Variable fdata enthält die vollständige Antwort. 17. echo(fdata) Mithilfe dieser Zeile wird die Antwort im Debug-Fenster angezeigt. Die Informationen sollten sehr aufschlussreich sein. 18. if pos("nobody", fdata) > 0 19. _return = 1 20. end if Nun liegt auch die Finger-Antwort vor, und es kann überprüft werden, ob die Informationen gültig sind. und ob In der Benutzerliste sollte


das Konto nobody aufgeführt sein. Nun wird überprüft, ob es in der Antwort enthalten ist. Dies geschieht über die Funktion pos. Wird das gesuchte Wort „nobody” gefunden, weist der Rechner eine Sicherheitslücke auf. Der N.S.S. soll somit die Prüfung als erfolgreich einstufen und die Variable _return auf 1 (oder true) setzen. Nun müssen Sie abschließend nur noch das Skript im gleichen Verzeichnis wie die Datei für Warnmeldungen speichern unter Alerts\Miscellaneous. Mögliches Scan-Ergbnis (leicht modifiziert): Login Name TTY Idle When Where root Super-User pts/3 hostname1 daemon ??? < . . . . > bin ??? < . . . . > sys ??? < . . . . > adm Admin pts/4 hostname2 lp Line Printer Admin < . . . . > uucp uucp Admin < . . . . > nuucp uucp Admin < . . . . > listen Network Admin < . . . . > nobody Nobody < . . . . > noaccess No Access User < . . . . > nobody4 SunOS 4.x Nobody < . . . . > smb SMB guest account < . . . . > ... ...

Weitere Beispiel-Skripten Um die Einarbeitung in LANS zu erleichtern, finden Sie im Ordner „Sample LANS Scripts“ des N.S.S.-Installationsverzeichnisses über 20 Beispiel-Skripten, die Sie je nach Bedarf einsetzen können.

Netzwerk-Funktionen

Open_tcp Baut eine TCP-Verbindung mit einem Remote-Rechner auf. Verwendung: Integer open_tcp (String IP, String Port) Anmerkung: Hierdurch wird der Handler zum neu erstellten Socket zurückgeschickt. Konnte die Verbindung nicht hergestellt werden, lautet der Wert null. Beispiel: integer sock sock = open_tcp("192.168.8.10", "80") if sock > 0 echo("Port 80 ist offen") else echo("Port 80 ist geschlossen") end if Ausgabe:


Port 80 ist geschlossen Siehe auch: Close, Send, Recv

Open_udp Öffnet einen UDP-Socket zum Versenden von Datagrammen. Verwendung: integer open_udp () Anmerkung: Hierdurch wird der Handler zum neu erstellten Socket zurückgeschickt. Konnte die Verbindung nicht hergestellt werden, lautet der Wert null. Beispiel: integer sock sock = open_udp() if sock > 0 echo("UDP-Socket ist offen.") close(sock) end if Ausgabe: UDP-Socket ist offen. Siehe auch: Close, SendTo, RecvFrom

Close Wird zum Schließen eines Sockets verwendet. Kann für TCP- oder UDP-Sockets eingesetzt werden. Verwendung: close (integer sock) Beispiel: integer sock sock = open_tcp("192.168.8.10", "80") if sock > 0 echo("Port 80 ist offen") close(sock) else echo("Port 80 ist geschlossen") end if Ausgabe: Port 80 ist offen. Siehe auch: Open_tcp, Open_udp

Recv Empfängt Daten über einen Socket. (Nur TCP-Sockets.) Verwendung:


string recv (integer socket, integer size) Anmerkung: Werden über den Socket keine Daten empfangen, wird die Funktion wegen Zeitüberschreitung beendet und liefert einen Null-String. Beispiel: integer sock string data sock = open_tcp("192.168.8.10", "13") if sock > 0 echo("Port 13 (Tageszeit) ist offen") data = recv(sock, 1024) # Empfang von max. 1024 Bytes if length(data) > 0 echo(inttostr(length(data)) + " Bytes empfangen: " + data) else echo("Keine Daten") end if close(sock) else echo("Port 13 (Tageszeit) ist geschlossen") end if Ausgabe: Port 13 (Tageszeit) ist offen. 20 Bytes empfangen: 8:27:57 PM 1/7/2002 Siehe auch: Send

Send Versendet Daten über einen Socket. (Nur TCP-Sockets.) Verwendung: integer send (integer socket, string data [, integer size]) Anmerkung: Fehlt die Spezifizierung des Größenparameters, wird der gesamte String versendet. Beispiel: integer sock, sent string data data = "einige Daten" sock = open_tcp("192.168.8.10", "7") if sock > 0 echo("Port 7 (Echo) ist offen.") sent = send(sock, data) echo(inttostr(sent) + " Bytes versendet.") close(sock) else echo("Port 7 (Echo) ist geschlossen. ") end if Ausgabe: Port 7 (Echo) ist offen. 9 Bytes versendet:


Siehe auch: Recv

RecvFrom Empfängt Daten über einen Socket. (Nur UDP-Sockets.) Verwendung: string recvfrom (integer socket, integer size) Anmerkung: Werden über den Socket keine Daten empfangen, wird die Funktion wegen Zeitüberschreitung beendet und liefert einen Null-String. Beispiel: integer udp_sock string data # UDP-Socket öffnen udp_sock = open_udp() if udp_sock > 0 sendto(udp_sock, "192.168.8.10", "13", ""); echo("Daten werden empfangen...") data = recvfrom(udp_sock, 1024) # Empfang von max. 1024 Bytes if length(data) > 0 echo(inttostr(length(data)) + " Bytes empfangen: " + data) else echo("keine Daten") end if close(udp_sock) else echo("UDP-Socket konnte nicht erstellt werden.") end if Ausgabe: Daten werden empfangen… 20 Bytes empfangen: 8:27:57 PM 1/7/2002 Siehe auch: SendTo

SendTo Versendet Daten über einen Socket. (Nur UDP-Sockets.) Verwendung: integer sendto (integer socket, string ip, string port, string data [, integer size]) Anmerkung: Fehlt die Spezifizierung des Größenparameters, wird der gesamte String versendet. Beispiel: integer udp_sock, sent string data data = "verschiedene Daten " udp_sock = open_udp() if udp_sock > 0


echo("Daten werden über Socket versendet.") sent = sendto(udp_sock, "192.168.8.10", "7", data) echo(inttostr(sent) + " Bytes gesendet.") close(udp_sock) else echo("Socket konnte nicht erstellt werden.") end if Ausgabe: Daten werden über Socket versendet. 9 Bytes gesendet. Siehe auch: RecvFrom

Lookup-Funktionen

DnsLookup Löst einen Host-Namen in die zugehörige IP-Adresse auf. Verwendung: string dnslookup (string hostname) Anmerkung: Kann der Host-Name nicht aufgelöst werden, wird ein Null-String ausgegeben. Beispiel: # Test der DNS-Funktionen string hostname, ip hostname = "Trinity" # Mein Desktop-Rechner ip = dnslookup(hostname) if ip <> "" echo("Host-Name: " + hostname) echo("Aufgelöst als: " + ip, _color_blue) # rückwärts aufgelöst:) hostname = ReverseDnsLookup(ip) if hostname <> "" echo("Zurück zu: " + hostname,) end if else echo("Auflösung nicht möglich " + hostname + " !", \ _color_red) end if Ausgabe: Host-Name: Trinity aufgelöst als: 192.168.8.10 Zurück: TRINITY Siehe auch: ReverseDnsLookup

ReverseDnsLookup Wandelt eine IP-Adresse in den zugehörigen Host-Namen um. Verwendung:


string ReverseDnsLookup (string ip) Anmerkung: Kann die IP-Adresse nicht in den Host-Namen umgewandelt werden, wird ein Null-String ausgegeben. Beispiel: # Test der DNS-Funktionen string hostname, ip hostname = "Trinity" # Mein Desktop-Rechner ip = dnslookup(hostname) if ip <> "" echo("Host-Name: " + hostname) echo("Aufgelöst als: " + ip, _color_blue) # rückwärts aufgelöst:) hostname = ReverseDnsLookup(ip) if hostname <> "" echo("Zurück zu: " + hostname,) end if else echo("Auflösung nicht möglich " + hostname + " !", \ _color_red) end if Ausgabe: Host-Name: Trinity aufgelöst als: 192.168.8.10 Zurück: TRINITY Siehe auch: DnsLookup

WhoIs Startet eine WhoIs-Anfrage. Verwendung: string whois (string query, [string whois_server, [string port]]) Anmerkung: Wird kein WhoIs-Server angegeben, versucht LANS, über Ihren Anfrage-String einen gültigen Server zu finden. Diese Suchmethode ist jedoch nicht immer erfolgreich. Beispiel: # whois function test string query, server, data # WhoIs-Server (mein Test-WhoIs-Server) server = "163.342.244.228" # Suche nach Bogdan. query = "Bogdan" # Suche starten data = whois(query, server) # Ergebnis anzeigen (falls gültig) if length(data) > 0 echo(data) end if


Ausgabe: SWHOISD 2.0 Suche nach Bogdan. 1 Einträge zu Bogdan gefunden. Person: (Handle JD1-FOOBAR) Name: Bogdan Calin E-Mail-Adresse: [email protected] Anschrift: 6083 Foobar Ave., San Diego, CA 92121 Country: US Telefon: 858-853-1212 Fax-Nr.: 858-555-1977 Erstellt: Sat Jun 23 01:57:22 PDT 2001 Letzte Aktualisierung: Sat Jun 23 01:57:22 PDT 2001 Hinweis: Um einen bestimmten Eintrag zu finden, können Sie mit “!XXX“ nach diesem suchen lassen. XXX steht hierbei für den Handle. Siehe auch: DnsLookup

SNMP-Funktionen

SnmpGet Wrapper für SNMP-Get-Anfrage. Fragt den Wert einer bestimmten OID (Objekt-ID) ab. Weitere Informationen hierzu finden Sie im Beispiel-Skript snmp_test.lans. Verwendung: integer snmpget (string ip, string oid, string community_string, string string_variable) Anmerkung: string_variable bezeichnet die Variable, die das Ergebnis empfängt. Diese Variable sollte in runden Klammern spezifiziert werden. (Siehe Beispiel). Beispiel: # Test der SNMP-Funktionen string ip string oid,res # Objekt-IDs, Ergebnisse ip = "192.168.8.20" oid = "1.3.6.1.2.1.1.1.0" # System-Beschreibung # snmpget ausführen if snmpget(ip, oid, "public", "res") = 1 # Information anzeigen (falls gültig) if length(res) > 0 echo(oid + " = " + res) end if end if Ausgabe: 1.3.6.1.2.1.1.1.0 = Hardware: x86 Family 6 Model 11 Stepping 1 AT/AT COMPATIBLE - Software: Windows 2000 Version 5.1 (Build 2600 Uniprocessor Free) Siehe auch:



SnmpGetNext

SnmpGetNext Wrapper für SNMP-Getnext-Anfrage. Fragt den Namen der nächsten OID (Objekt-ID) ab. Weitere Informationen hierzu finden Sie im Beispiel-Skript snmp_test.lans. Verwendung: integer snmpgetnext (string ip, string oid, string community_string, string string_variable) Anmerkung: string_variable bezeichnet die Variable, die das Ergebnis empfängt. Diese Variable sollte in runden Klammern spezifiziert werden. (Siehe Beispiel). Beispiel: # Test der SNMP-Funktionen string ip string oid,res # Objekt-IDs, Ergebnisse ip = "192.168.8.20" oid = "1.3.6.1.2.1.1.1.0" # System-Beschreibung # snmpget ausführen if snmpgetnext(ip, oid, "public", "res") = 1 # Information anzeigen (falls gültig) if length(res) > 0 echo("aktuelle OID: " + oid) echo("nächste OID: " + res) end if end if Ausgabe: Aktuelle OID: 1.3.6.1.2.1.1.1.0 Nächste OID: 1.3.6.1.2.1.1.2.0 Siehe auch: SnmpGet

SnmpSet Wrapper für SNMP-Set-Anfrage. Legt den Wert einer bestimmten OID (Objekt-ID) fest. Weitere Informationen hierzu finden Sie im Beispiel-Skript snmpset_test.lans. Verwendung: integer snmpset (string ip, string oid, string community_string, string value, integer valueType) Anmerkung: value bezeichnet den festzulegenden Wert. valueType bezeichnet den Werttyp. Zur Zeit können nur folgende Typen verwendet werden: _snmp_string – Zum Schreiben von String-Werten _snmp_integer – Zum Schreiben von Integer-Werten Beispiel:


# Test der SNMP-Funktionen # snmpset-Implementierung in LANS string ip string oid, res # object id string read_comm, write_comm, value read_comm = "public" write_comm = "private" value = "Kontrolle durch LANS" ip = dnsLookup("trinity") # sysContact oid = "1.3.6.1.2.1.1.4.0" # Überprüfung des aktuellen Wertes if snmpget(ip, oid, read_comm, "res") = 1 # Information anzeigen (falls gültig) if length(res) > 0 echo(oid + " = " + res) end if end if if length(res) > 0 echo("Wert wird festgelegt ... ", _color_navy) # snmpset ausführen (vor Festlegen) if snmpset(ip, oid, write_comm, value, _snmp_string) = 1 echo("Wert wurde festgelegt (OK)", _color_blue) else echo("Wert kann nicht festgelegt werden ", _color_red) end if # Überprüfen, ob Wert festgelegt wurde if snmpget(ip, oid, read_comm, "res") = 1 # Information anzeigen (falls gültig) if length(res) > 0 echo(oid + " = " + res) end if end if else echo("Wert kann nicht gelesen werden ", _color_red) end if Ausgabe: 1.3.6.1.2.1.1.4.0 = blade@trinity Wert wird festgelegt ... Wert wurde festgelegt (OK) 1.3.6.1.2.1.1.4.0 = Kontrolle durch LANS Siehe auch: SnmpGet

String-Funktionen

Length Fragt die Anzahl der Zeichen in einem String ab. Verwendung: integer length (string str) Beispiel:


echo(length("Beispiel-String")) Ausgabe: 13 Siehe auch: Left, Right

Pos Fragt die Position eines Sub-Strings innerhalb eines Strings ab. Verwendung: integer pos (string substring, string str) Anmerkung: Fragt den Index-Wert des ersten Zeichens des Sub-Strings ab oder gibt 0 aus, falls der Sub-String nicht gefunden wurde. Beispiel: echo(pos("string", "Beispiel-String")) Ausgabe: 8 Siehe auch: RegExp

Left Fragt eine vorgegebene Anzahl von Zeichen ab, ausgehend von der linken Seite einer Zeichenfolge. Verwendung: string left (string str, integer count) Beispiel: echo(left("Sample String", 6)) Ausgabe: Sample Siehe auch: Right

Right Fragt eine vorgegebene Anzahl von Zeichen ab, ausgehend von der rechten Seite einer Zeichenfolge. Verwendung: string right (string str, integer count) Beispiel: echo(right("Sample String", 6)) Ausgabe: string Siehe auch: Left


Delete Löscht einen Sub-String aus einem String. Verwendung: string delete (string str, integer index, integer count) Beispiel: string x x = "how are you ?" echo(x) x = delete(x, 5,4) echo(x, _color_red) Ausgabe: Wie heißt du? Wie du? Siehe auch: Pos

Uppercase Wandelt eine Zeichenfolge in Großbuchstaben um. Verwendung: string uppercase (string str) Beispiel: echo(uppercase("cool")) Ausgabe: COOL Siehe auch: Lowercase

Lowercase Wandelt eine Zeichenfolge in Kleinbuchstaben um. Verwendung: string lowercase (string str) Beispiel: echo(lowercase("COOL")) Ausgabe: cool Siehe auch: Uppercase

Ord Fragt den Ordinalwert eines Zeichens ab. Verwendung: integer ord (String char) Beispiel: echo("ASCII Code für 'a': " + inttostr(ord("a")))


Ausgabe: ASCII Code für 'a': 97 Siehe auch: Chr

Dup Fragt einen String mit str_or_char ab, der n Mal dupliziert wurde. Verwendung: string dup (string str_or_char, integer n) Anmerkung: Eignet sich zum Testen von Buffer Overflows. Beispiel: string test_dup test_dup = dup("za", 10) echo(test_dup) Ausgabe: zazazazazazazazazaza Siehe auch: Str

Chr Fragt Zeichen für einen bestimmten ASCII-Wert ab. Verwendung: string chr (integer value) Beispiel: string end_of_line # EOL (end of line) erstellen end_of_line = chr(13) + chr(10) echo("cool" + end_of_line) Ausgabe: cool Siehe auch: Ord

Mid Fragt n Zeichen aus dem Text ab Position p ab. Verwendung: string mid (string text, integer p, integer n) Beispiel: string test test = "Hallo" echo(mid(test, 1, 3)) Ausgabe: Hal


Siehe auch: Trim

Trim Löscht Leerzeichen am Anfang und Ende einer Zeichenfolge sowie Kontrollzeichen. Verwendung: string trim (string text) Beispiel: string before_trim, after_trim before_trim = " Test-String " echo("-" + before_trim + "-") after_trim = trim(before_trim) echo("-" + after_trim + "-") Ausgabe: -Test-String- -Test-String- Siehe auch: Mid

Konvertierungen

StrToInt Konvertiert einen Integer-String in eine Zahl. Verwendung: integer strtoint (string str) Beispiel: string str str = "150" echo(strtoint(str) * 2) Ausgabe: 300 Siehe auch: IntToStr

IntToStr Konvertiert einen Integer-Wert in einen String. Verwendung: string inttostr (integer value) Beispiel: integer year year = 2002 echo("Jahr: " + inttostr(year)) Ausgabe: Jahr: 2002


Siehe auch: StrToInt

IntToHex Fragt die Hexadezimal-Darstellung einer Ziffer ab. Verwendung: string inttohex (integer number, integer number_of_digits) Beispiel: integer number number = 255 echo(inttohex(number, 2)) Ausgabe: FF Siehe auch: StrToInt

Base64Encode Verschlüsselt einen String in Base64. Verwendung: string base64encode (string input) Beispiel: # base64 test string input input = "Wie geht es Ihnen?" echo("Original-String: " + input) input = base64encode(input) echo("Verschlüsselt: " + input, _color_red) input = base64decode(input) echo("Entschlüsselt: " + input) Ausgabe: Original-String: Wie geht es Ihnen? Verschlüsselt: aG93IGFyZSB5b3UgPw== Entschlüsselt: Wie geht es Ihnen? Siehe auch: Base64Decode

Base64Decode Entschlüsselt einen Base64-verschlüsselten String. Verwendung: string base64decode (string encoded_string) Beispiel: # base64 test string input input = "Wie geht es Ihnen?" echo("Original-String: " + input)


input = base64encode(input) echo("Verschlüsselt: " + input, _color_red) input = base64decode(input) echo("Entschlüsselt: " + input) Ausgabe: Original-String: Wie geht es Ihnen? Verschlüsselt: aG93IGFyZSB5b3UgPw== Entschlüsselt: Wie geht es Ihnen? Siehe auch: Base64Encode

Registry-Funktionen

RegistryRead Liest die Inhalte eines bestimmten Registry-Schlüssels. (lokal oder remote) Verwendung: integer registryRead (string computer, string reg_path, string reg_key, string string_variable) Anmerkung: computer kann eine IP-Adresse oder ein Host-Name sein. LANS fügt vor diesem Variablenwert automatisch “\\” ein. string_variable bezeichnet die Variable, die das Ergebnis empfängt. Diese Variable sollte in runden Klammern spezifiziert werden. (Siehe Beispiel). Beispiel: # Registry-Test # liest Internet Explorer-Version aus Registry string ip, path, key, version ip = dnsLookup("freedom") path = "SOFTWARE\Microsoft\Internet Explorer\Version Vector" key = "IE" if length(ip) > 0 if registryRead(ip, path, key, "version") > 0 echo("Internet Explorer-Version: " \ + version, _color_blue) end if end if Ausgabe: Internet Explorer-Version: 6.0000

Weitere Funktionen

RegExp Regular Expressions bewerten. Verwendung: integer regexp (string regex, string text_to_evaluate) Anmerkung:


LANS greift auf die TRegExpr Library von Andrey V. Sorokin zurück. Weitere Informationen zu TRegExpr finden Sie unter http://anso.da.ru. Beispiel: # will match Solaris ftp servers with this versions: # 2.6, 2.7, 2.8 and 5.6, 5.7, 5.8 regex = "FTP-Server $SunOS (2|5)\.[678]$ bereit." text_to_match = "220 mars FTP-Server (SunOS 5.7) bereit." if regexp(regex, text_to_match) = 1 echo(text_to_match + " Übereinstimmung") else echo(text_to_match + " keine Übereinstimmung!") end if text_to_match = "220 mars FTP-Server (SunOS 5.5) bereit." if regexp(regex, text_to_match) = 1 echo(text_to_match + " Übereinstimmung") else echo(text_to_match + " keine Übereinstimmung!") end if Ausgabe: 220 mars FTP-Server (SunOS 5.7) bereit. Übereinstimmung 220 mars FTP-Server (SunOS 5.5) bereit. Keine Übereinstimmung!

Sleep Unterbricht die Ausführung des aktuellen Skripts für einen bestimmten Zeitraum (in Millisekunden). Verwendung: sleep (integer time) Beispiel: echo("bitte warten...") sleep(1000) Ausgabe: bitte warten… (Dauer der folgenden Pause: 1000 ms).

Echo Zeigen Sie Text im Debug-Fenster an. Sie können den Text in verschiedenen Farben darstellen. Verwendung: echo (string text, [integer color]) Anmerkung: Folgende Farben können unter anderem verwendet werden: • _color_black • _color_red • _color_green • _color_blue • _color_purple • _color_silver • _color_yellow Eine Darstellung als RGB-Paar ist ebenfalls möglich: $1F11FF. Beispiel:

http://anso.da.ru


string text text = "Willkommen" # Text anzeigen echo(text) # Text in Rot anzeigen echo(text, _color_red) # Text in Farbe $1F11FF anzeigen echo(text, $1F11FF) Ausgabe: Ausgabewert = Willkommen Ausgabewert = Willkommen Ausgabewert = Willkommen Siehe auch: Mid

StatusBar Blendet Mitteilung in der Statusleiste ein. Verwendung: statusbar (string message) Beispiel: string text text = "Willkommen" # Text anzeigen echo(text) # Text in Statusleiste anzeigen statusbar(text) Ausgabe: Willkommen Siehe auch: Echo

Prozedur WriteToLog Trägt Informationen in Log-Datei von LANS ein (lans_log.txt). Verwendung: writetolog (string text) Beispiel: string info info = "Informationen" writetolog(info) Siehe auch: Echo

Zukünftige Einsatzmöglichkeiten des LANS • Umfangreichere Interaktion zwischen LANS und dem N.S.S. (z. B.

direkte Interaktion zwischen LANS-Skripten und dem Scan-Fenster beim Hinzufügen/Ändern/Löschen von Feldern, Statusleiste)


• Fälschen von IP-Paketen; komfortabler Paket-Editor.

Urheberrechtliche Hinweise • TSynEdit (http://synedit.sourceforge.net) • TRegExpr - Autor: Andrey V. Sorokin

http://synedit.sourceforge.net

Handbuch GFI LANguard N.S.S. Zusätzliche Tools und Funktionen • 99

Zusätzliche Tools und Funktionen

Einleitung In diesem Kapitel werden die zusätzlichen Funktionen aus dem Menü „Bearbeiten” beschrieben. • Rechner hinzufügen • Rechner entfernen • Rechner suchen • Rechner anordnen • Folgende Tools stehen unter dem Menü „Werkzeuge“ bereit. • DNS-Lookup • WhoIs Client • Traceroute • SNMP Walk • SNMP-Auditing • MS SQL Server Audit • Aufgelistete Rechner

Rechner hinzufügen Mithilfe der Funktion „Rechner hinzufügen” können Sie Informationen zu weiteren Rechnern im Ausgabe-Fenster anzeigen lassen.

Manuelles Hinzufügen von zu scannenden Rechnern

Nachdem Sie den Rechner der Liste hinzugefügt haben, müssen Sie ihn markieren. Rufen Sie danach das Kontextmenü mit der rechten Maustaste auf und lassen Sie diesen Rechner mit „Informationen erfassen“ ebenfalls vom N.S.S. überprüfen.

Rechner entfernen Wenn ein Rechner nicht länger vom N.S.S. überprüft werden soll, markieren Sie ihn und klicken dann auf „Bearbeiten“ > „Rechner entfernen“. Gleiches gilt für den Fall, wenn die Ergebnisse eines bereits gescannten Rechners nicht im Bericht aufgeführt werden sollen.

100 • Zusätzliche Tools und Funktionen Handbuch GFI LANguard N.S.S.

Rechner suchen Nachdem Sie Ihr Netzwerk gescannt haben, können Sie mit der Option „Rechner suchen“ einen bestimmten Rechner auffinden. Sie können den Bericht nach Host-Name, IP-Adresse, MAC-Adresse oder Benutzername durchsuchen lassen. Hinweis: Hierbei werden nur die in der Anzeige des N.S.S. aufgeführten Informationen durchsucht. Es findet keine erneute Suche nach diesen Daten im Netzwerk statt.

Rechner anordnen Mit dieser Option können Sie festlegen, nach welchen Kriterien die gefundenen Geräte nach Abschluss des Scan-Vorgangs angeordnet werden sollen. Dies kann nach IP-Adresse, Host-Name oder Betriebssystem erfolgen.

DNS-Lookup Mit diesem Tool wird der Domänen-Name in die zugehörige IP-Adresse aufgelöst.

DNS-Lookup durchführen

WhoIs Client Mithilfe dieses Tools können Sie Informationen zu einer Domäne, IP-Adresse oder einem Namen abrufen. Wählen Sie den gewünschten WhoIs-Server oder nutzen Sie die Standardeinstellung, damit der N.S.S. einen Server selektiert.


WhoIs-Lookup durchführen

Traceroute Dieses Werkzeug zeigt den Netzwerk-Pfad an, über den der N.S.S. den Zielrechner erreicht hat.

Traceroute starten

SNMP Walk Per SNMP können böswillige Benutzer an sehr viele Informationen über Ihr Netzwerk gelangen, die eine Passwort-Entschlüsselung oder ähnliche Angriffe erleichtern. SNMP sollte stets deaktiviert sein, es sei denn, dieser Dienst wird unbedingt benötigt.

SNMP Walk

Um diese Funktion nutzen zu können, klicken Sie bitte mit der rechten Maustaste auf den Zielrechner und wählen Sie dann „SNMP Walk“. Dieses Feature steht nur dann zur Verfügung, wenn SNMP auf dem gewählten Rechner aktiviert ist. Wenn Sie den SNMP Walk aufgerufen haben, erscheint im rechten Fenster eine Liste mit Namen, die für bestimmte Objekt-IDs auf dem Rechner stehen. Für eine nähere Erklärung der Daten aus dem SNMP Walk müssen Sie sich an den

102 • Zusätzliche Tools und Funktionen Handbuch GFI LANguard N.S.S.

jeweiligen Hersteller wenden. Einige Hersteller stellen sehr detaillierte Informationen zur Verfügung, während andere diesen Service nicht anbieten, obwohl ihre Geräte SNMP unterstützen. Wenn Sie nur dieses Utility starten wollen, klicken Sie bitte auf „Werkzeuge“ > „SNMP Walk“. Wenn Sie das Tool auf diese Weise starten, müssen Sie die benötigte IP-Adresse manuell eingeben. Hinweis: SNMP sollte bereits vom Router/der Firewall blockiert werden, sodass Internet-Benutzer keinen SNMP-Scan Ihres Netzwerks durchführen können.

SNMP-Auditing Sie können Ihr Netzwerk auch einem SNMP-Audit unterziehen. Auf diese Weise werden Sie über unzuverlässige Community-Strings informiert. Einige Netzwerk-Geräte weisen alternative oder nicht-standardmäßige Community-Strings auf. In der Wörterbuch-Datei ist eine Liste gängiger Community-Strings enthalten, nach denen gesucht werden kann. Für den Wörterbuch-Angriff wird die Standard-Datei snmp-pass.txt verwendet. Sie können diese Datei erweitern und neue Community-Namen eintragen oder den SNMP-Audit mithilfe einer anderen Datei ablaufen lassen.

SNMP-Auditing

Starten Sie den Audit, nachdem Sie die IP-Adresse des Rechners eingegeben haben, auf dem SNMP aktiviert ist.

MS SQL Server Audit Mit diesem Tool können Sie einen Rechner auditieren, auf dem MS SQL Server installiert ist. Standardmäßig wird bei der Kontrolle die Wörterbuch-Datei passwords.txt verwendet. Sie können diese Datei mit neuen Passwörtern erweitern oder eine eigene Datei verwenden.

MS SQL-Auditing


Beginnen Sie mit dem Audit, nachdem Sie die IP-Adresse des Rechners, auf dem MS SQL installiert ist, sowie den Benutzernamen, über den Sie einen Eindringversuch starten möchten, eingegeben haben.

Aufgelistete Rechner

Aufgelistete Rechner

Dieses Utility durchsucht Ihr Netzwerk als erstes nach allen Domänen und/oder Workgroups. Ist diese Bestandsaufnahme abgeschlossen, können Sie einen erneuten Scan nach allen aufgelisteten Rechnern durchführen. Nach dieser Überprüfung informiert Sie das Tool über das auf den Rechnern installierte Betriebssystem und alle eventuellen NetBIOS-Meldungen.

Handbuch GFI LANguard N.S.S. Zusätzliche Scan-Funktionen • 105

Zusätzliche Scan-Funktionen

Zusätzliche Scan-Funktionen Nachdem Sie ein Netzwerk oder einen Rechner gescannt haben, können Sie mit einem rechten Mausklick auf den Computer das Kontextmenü mit weiteren Scan-Funktionen aufrufen.

Über das Kontextmenü stehen zusätzliche Scan-Funktionen bereit.

In Zwischenablage kopieren Mit dieser Option können Sie die markierten Angaben in die Zwischenablage kopieren.

Informationen erfassen Wenn Sie diese Option wählen, wird der Umfang der Scans ausgeweitet. Ist diese Option deaktiviert worden (über „Scan“ > „Optionen“), können sie zusätzliche Informationen über jeden einzelnen Rechner abrufen lassen, indem Sie den Zielrechner mit der rechten Maustaste anklicken und „Informationen erfassen“ wählen.

SNMP Walk Diese Funktion ist nur dann aktiviert, wenn SNMP auf einem Host installiert ist. Der N.S.S. kann dann einen SNMP-Dienst „durchleuchten“ und dadurch viele Daten sammeln, z. B. zu offenen Ports, aktiven Diensten und vielem mehr. Zusätzliche Informationen hierzu finden Sie im Kapitel „Zusätzliche Tools und Funktionen“.

106 • Zusätzliche Scan-Funktionen Handbuch GFI LANguard N.S.S.

Adresse auflösen Mithilfe dieser Option lässt sich die Adresse eines Rechners auflösen. Ist diese Option deaktiviert worden (über „Scan“ > „Optionen“), können sie die Adresse für jeden einzelnen Rechner auflösen lassen, indem Sie den Zielrechner mit der rechten Maustaste anklicken und „Adresse auflösen“ wählen.

Passwort-Crack (Win9x) Aufgrund einer NetBIOS-Sicherheitslücke in Windows 95/98/ME ist es böswilligen Benutzern möglich, Passwörter problemlos und systematisch zu entschlüsseln. . Diese Option ist jedoch nur unter Windows 95/98/ME nutzbar. Weitere Informationen zu diesem Problem finden Sie unter: http://support.microsoft.com/default.aspx?scid=http://support.microsoft.com:80/support/kb/articles/Q273/9/91.ASP&NoWebContent=1

Wörterbuch-Angriff Um die Zuverlässigkeit von Passwörtern zu testen, klicken Sie einfach mit der rechten Maustaste auf eine Freigabe und wählen Sie „Wörterbuch-Angriff“. Hierdurch wird überprüft, ob das jeweilige Passwort wirklich sicher ist. Der Benutzer, über den die Anmeldung erfolgen soll, kann über „Scan” > „Optionen” > „Cracken” festgelegt werden. Für den Crack-Versuch verwendete Passwörter sind in einer Passwort-Liste gespeichert. Diese Liste ist unter passwords.txt gespeichert und kann beliebig erweitert werden. Es ist aber auch möglich, andere Wörterbuch-Dateien zu benutzen.

Wörterbuch-Angriff

Wenn Sie „Aktuellen Status anzeigen” deaktivieren, erhöht sich die Arbeitsgeschwindigkeit dieses Utilitys, da der Scan-Verlauf nicht auf dem Bildschirm angezeigt wird. Diese Option ist verbunden mit „Scan” > „Optionen” > „Passwort-Crack”, „Crack-Versuch über Benutzername:“ Weitere Informationen hierzu finden Sie unter „Scan-Optionen”.

Konfigurierung der Passwort-Datei Wenn Sie nach unsicheren Passwörtern suchen lassen, greift der N.S.S. auf die in der Datei passwords.txt gespeicherten Passwörter zu. Diese Datei lässt sich mit neuen Passwörtern erweitern. Öffnen Sie password.txt im N.S.S.-Verzeichnis oder ganz einfach über das Menü „Ansicht“.

http://support.microsoft.com/default.aspx?scid=http://support.microsoft

Handbuch GFI LANguard N.S.S. Zusätzliche Scan-Funktionen • 107

Patches verteilen auf -> Mit dieser Funktion können Sie einzelnen oder allen Rechnern Patches zuweisen und installieren. Weitere Informationen hierzu finden Sie im Kapitel „Verteilung von Microsoft-Patches”. Dieses Feature steht nur dann per Rechtsklick auf den zu patchenden Rechner zur Verfügung, wenn Patches vom Betriebssystem unterstützt werden (d. h. unter Microsoft NT/2000/XP).

Neuesten Service Pack verteilen auf -> Mit dieser Funktion können Sie einzelnen oder allen Rechnern Betriebssystem-spezifische Service Packs zuweisen. Weitere Informationen hierzu finden Sie im Kapitel „Verteilung von Microsoft-Patches”. Dieses Feature steht nur dann per Rechtsklick auf den zu patchenden Rechner zur Verfügung, wenn Patches vom Betriebssystem unterstützt werden (d. h. unter Microsoft NT/2000/XP).

Individuelle Patches verteilen auf -> Diese Funktion steht im N.S.S. zur Verfügung, wird aber NICHT vom GFI Produkt-Support unterstützt. Unter Umständen kann es Patches geben, die Sie verteilen möchten, die aber nicht offiziell vom N.S.S. unterstützt werden. Kann ein solcher Patch verteilt und im unbeaufsichtigten Modus gestartet werden, hilft Ihnen diese Funktion möglicherweise bei der Installation des Patches. Mit dieser Funktion können Sie einzelnen oder allen Rechnern sämtliche Arten von Patches oder Service Packs zuweisen. Weitere Informationen hierzu finden Sie im Kapitel „Verteilung von Microsoft-Patches”. Dieses Feature steht nur dann per Rechtsklick auf den zu patchenden Rechner zur Verfügung, wenn Patches vom Betriebssystem unterstützt werden (d. h. unter Microsoft NT/2000/XP).

Auditing aktivieren auf -> Siehe Erläuterung im Abschnitt zu „Scan-Ergebnisse analysieren” > „Audit”.

Nachricht verschicken Über diese Option kann der N.S.S. Nachrichten des NetBIOS Messenger mit einer gefälschten Source-IP-Adresse verschicken. Diese Option könnte für Angriffe per „Social Engineering“ eingesetzt werden.

108 • Zusätzliche Scan-Funktionen Handbuch GFI LANguard N.S.S.

Versand einer Nachricht unter falscher Identität

Hinweis: In einigen Fällen funktioniert der Versand von Nachrichten an Workstations jedoch nicht. Grund hierfür kann sein, dass der Microsoft Client auf dem Rechner nicht installiert ist oder dass Messaging-Dienste durch andere Utilities blockiert sind. Bei erfolgreichem Versand erhalten Sie eine entsprechende Bestätigung.

Herunterfahren Mithilfe dieser Funktion können Sie den Rechner per Fernzugriff herunterfahren. Dies funktioniert aber nur dann, wenn der N.S.S. von Benutzern eingesetzt wird, die die entsprechenden Rechte für den Zielrechner besitzen. Fehlerhaft konfigurierte Zugriffsrechte, ob lokale oder Netzwerk-spezifische, erlauben es diesem Feature, Rechner trotz anders lautender Richtlinien auszuschalten.

Handbuch GFI LANguard N.S.S. Syntax der Befehlszeile • 109

Syntax der Befehlszeile

Steuerung des N.S.S. über die Befehlszeile Wenn Sie den N.S.S. über ein Skript oder eine Batch-Datei starten möchten, muss die Syntax der Befehlszeile folgendes Format haben: languard [custom_ini_file.ini] <target> <output_file> [tray] • Alle Angaben in eckigen Klammern [] sind optional. • Alle Angaben in spitzen Klammern <> sind optional. Sie können auch eine ini-Datei angeben, die der N.S.S. verwenden soll. Ansonsten wird die Standard-Datei verwendet. Über die Option [Systemablage] können Sie den N.S.S. auch minimiert laufen lassen. Das Zielformat ist das gleiche wie bei der grafischen Benutzeroberfläche des N.S.S. Eingaben sind für Host-Name, IP-Adresse, IP-Bereich oder eine Liste von Computern möglich. Beispiele: languard alpha output.html languard 192.168.8.10 output.html languard 192.168.8.10-192.168.8.20 output.html languard file:list_of_computers.txt output.html languard ping_them_all.ini file:list_of_computers.txt output.html languard ping_them_all.ini file:list_of_computers.txt output.html tray Sie erhalten diese grundlegenden Informationen auch, wenn Sie im Installationsverzeichnis des N.S.S. in der Befehlszeile „languard/?“ eingeben.

Handbuch GFI LANguard N.S.S. Allgemeine Hinweise • 111

Allgemeine Hinweise

Einleitung Haben seit dem letzten Start des N.S.S. Angriffe auf Ihr Netzwerk stattgefunden, werden Administratoren, die Ihre Logs regelmäßig kontrollieren, darüber alarmiert.

Intrusion Detection Software (IDS) Werden in Ihrem Unternehmen IDS-Produkte eingesetzt, löst der Scan-Vorgang des GFI LANguard Network Security Scanner sämtliche Alarme dieser Produkte aus. Sind Sie nicht mit der Administration des IDS-Systems betraut, sollten Sie daher den zuständigen Administrator über einen bevorstehenden Scan informieren.

Gemeinsame Administration Neben den von den Scans verursachten IDS-Alarmen sollten Sie auch beachten, dass viele der Scans auch in Protokolldateien verzeichnet werden. UNIX-Logs, Web-Server usw. zeigen den Zugriffsversuch des Rechners an, auf dem der N.S.S. gestartet wird. Gibt es mehrere Netzwerk-Administratoren in Ihrem Unternehmen, sollten Sie Ihre Kollegen über bevorstehende Scans informieren.

Sicherheits-Software Bei der Entwicklung des N.S.S. wurde darauf Wert gelegt, dass die Überprüfung von Netzwerken auf Sicherheitslücken, fehlende Patches u. ä. so umfassend wie möglich ist. Keine Sicherheits-Software ist 100% zuverlässig. Es werden ständig neue Angriffsmethoden entwickelt, sodass Sie stets wachsam sein müssen. Nur durch häufige Scans und die Beachtung von Sicherheitswarnungen können Sie sich gegen einen lückenhaften Netzwerk-Schutz absichern.

Handbuch GFI LANguard N.S.S. Troubleshooting/Support • 113

Troubleshooting/Support

Wenn Sie Fragen haben In der Knowledge Base von GFI sind bekannte Probleme und entsprechende Lösungen aufgeführt, die kontinuierlich überprüft und aktualisiert werden. Bei Problemen oder Fragen sollten Sie daher zunächst die Knowledge Base konsultieren. Sollten Sie dort keine Hilfe finden, können Sie Ihre Frage ins Forum stellen.

Knowledge Base Die Knowledge Base von GFI finden Sie unter: http://kbase.gfi.com

Web-Forum Über das GFI LANguard Web-Forum steht Ihnen der User-to-User-Support zur Verfügung. Die GFI-Foren werden auch von den Entwicklern des N.S.S. kontrolliert, und die meisten Fragen/Probleme oder Verbesserungsvorschläge können dort gepostet werden. Je nach Problem/Antwort kann es unter Umständen jedoch einige Tage dauern, bis Sie eine Antwort erhalten. Das Forum erreichen Sie unter http://forums.gfi.com/

Bugs gefunden? Sollten Sie Programmfehler entdecken, veröffentlichen Sie diese bitte im Web-Forum oder schicken Sie eine Info an: [email protected]

http://kbase.gfi.com

http://forums.gfi.com/


Handbuch GFI LANguard N.S.S. Troubleshooting/Support • 115

Index

A

Auditing 8

B

Benutzer 6, 16, 41 Betriebssystem 7

D

Dienste 7, 16, 122 DNS-Lookup 8, 116, 117, 120, 123,

124

E

Ergebnis-Vergleich 77

F

Freeware 5 Freigaben 7, 13, 28

G

Gruppen 13, 17

H

Herunterfahren 8, 125 Hot Fixes 19 HTML 8, 77

K

Konfigurierung von Warnmeldungen 39

O

Offene Ports 7, 19, 122 Operating System 7 Optionen für Passwort-Cracks 28

P

Passwort-Crack 122 Passwort-Datei 123 Passwörter 7, 28, 122, 123 Passwort-Richtlinien 18

R

Registry 18

S

Scan-Optionen 30 Services 7, 16, 122 Shares 7, 13, 16, 28 Shutdown 8, 125 Sicherheitsrichtlinien 13 Sitzungsaufbau 34 SNMP 7, 14, 26, 119, 122 SNMP-Auditing 119 Spoofed Messages 8 Systemanforderungen 11

T

Traceroute 117

V

Vertraute Domänen 16

W

Wörterbuch-Angriff 122

X

XML 8, 77

Documents

GFI LANguard Network Security Scanner 3.3 Handbuch · Handbuch GFI LANguard N.S.S. Inhaltsverzeichnis • iii ... Social Engineering auf Rechner von Kollegen zuzugreifen. Für den