Authentifizierte Nessus-Tests für UNIX und Windows
Contents
1. ein Verwenden Sie wie empfohlen SSH Schl ssel anstelle eines Kennworts dann klicken Sie auf die Schaltfl che Select Ausw hlen neben dem Feld SSH public key to use Zu verwendender ffentlicher SSH Schl ssel und navigieren Sie zur ffentlichen Schl sseldatei auf dem lokalen System Klicken Sie f r das Element SSH private key to use Zu verwendender privater SSH Schl ssel auf die Schaltfl che Select und navigieren dann zu derjenigen privaten Schl sseldatei auf dem lokalen System die zu dem oben gew hlten ffentlichen Schl ssel geh rt Wenn Sie eine Passphrase f r SSH verwenden optional geben Sie sie in das Feld Passphrase for SSH key Passphrase f r SSH Schl ssel ein Nessus und SecurityCGenter Benutzer k nnen mit dem Feld Elevate privileges with Berechtigungen hochstufen mit und einem separaten Kennwort su oder sudo aufrufen Wenn die SSH Datei known_hosts vorhanden und als Teil der Scanrichtlinie im Feld SSH known_hosts file SSH Datei known_hosts angegeben ist wird Nessus sich sofern m glich nur bei den in dieser Datei genannten Hosts anmelden Auf diese Weise kann sichergestellt werden dass derselbe Benutzername und dasselbe Kennwort die Sie f r Audits Ihrer bekannten SSH Server verwenden nicht zur Anmeldung auf einem System verwendet wird das sich nicht unter Ihrer Kontrolle befindet Die wirksa2. Angriffe Weitere Informationen Tenable hat eine Reihe von Dokumenten erstellt in denen die Bereitstellung Installation Konfiguration der Betrieb und die Testmethoden von Nessus ausf hrlich beschrieben werden e Nessus 5 2 Installation and Configuration Guide Nessus 5 2 Installations und Konfigurationshandbuch Schrittanleitung zur Nessus Installation und Konfiguration e Nessus 5 2 User Guide Nessus 5 2 Benutzerhandbuch beschreibt den Einsatz des Nessus Nessus Sicherheitsl ckenscanners einschlie lich Konfiguration und Berichterstellung e Nessus 5 2 Benutzerhandbuch beschreibt Konfiguration und Bedienung der Nessus Benutzeroberfl che e Nessus Compliance Checks Nessus Compliancetests allgemeiner Leitfaden zum Verst ndnis und zur Durchf hrung von Compliancetests mithilfe von Nessus und SecurityCenter e Nessus Compliance Checks Reference Nessus Referenzhandbuch f r Compliancetests umfassender Leitfaden zur Syntax von Nessus Compliancetests e Nessus v2 File Format Nessus V2 Dateiformat beschreibt die Struktur des nessus Dateiformats das mit Nessus 3 2 und NessusClient 3 2 eingef hrt wurde e Nessus 5 0 REST Protocol Specification Nessus 5 0 REST Protokollspezifikation beschreibt das REST Protokoll und die Schnittstelle in Nessus e Nessus 5 and Antivirus Nessus 5 und Virenschutz beschreibt die Funktion verschiedener g ngiger Sicherheitssoftwarepakete in Nessus und
3. Beispiel f r ein Remotesystem das mit hostbasierten Tests getestet wird E scp ssh_key pub root 192 1 1 44 home nessus ssh authorized keys Sie k nnen die Datei auch von dem System kopieren auf dem Nessus installiert ist Hierzu verwenden Sie den Secure FTP Befehl sftp Beachten Sie dass die Datei auf dem Zielsystem den Namen authorized_keys tragen muss Kehren Sie wieder zum System zur ck auf dem der ffentliche Schl ssel abgelegt ist Legen Sie die Berechtigungen sowohl f r das Verzeichnis home nessus ssh als auch f r die Datei authorized keys fest chown R nessus nessus nessus ssh chmod 0600 nessus ssh authorized keys chmod 0700 nessus ssh Wiederholen Sie diesen Vorgang beginnend beim obigen Abschnitt Benutzerkonto erstellen und den SSH Schl ssel einrichten auf allen Systemen die f r SSH Tests berpr ft werden sollen F hren Sie Tests durch um sicherzustellen dass die Konten und Netzwerke korrekt konfiguriert sind F hren Sie unter Verwendung des einfachen UNIX Befehls id vom Nessus Scanner aus den folgenden Befehl aus ssh i home test nessus ssh_key nessus 192 1 1 44 id uld 252 nessus qgid 250 tns gqgroups 250 tns Werden Informationen zum Benutzer nessus zur ckgegeben dann war der Schl sselaustausch erfolgreich Nessus f r hostbasierte SSH Tests konfigurieren Die Nessus Benutzeroberfl che Sofern Sie dies nicht b
4. Verwendung von Version 1 des NTLM Protokolls zu einer Anmeldung an einem Windows Server mit Dom nenanmeldedaten zu bewegen Dies bietet einem Remote Angreifer die M glichkeit einen bei Nessus abgerufenen Hashwert zu verwenden Dieser Hashwert kann m glicherweise geknackt werden um so einen Benutzernamen oder ein Kennwort zu erschlie en Au erdem erm glicht er unter Umst nden auch eine direkte Anmeldung bei anderen Servern Erzwingen Sie die Verwendung von NTLMv2 durch Nessus indem Sie die Scaneinstellung Only use NTLMv2 vor 24 Beginn des Scans aktivieren Auf diese Weise wird verhindert dass der Windows Server eines Angreifers mithilfe von NTLM an einen Hashwert gelangen kann Bei NTLMv2 kann die SMB Signierung verwendet werden Stellen Sie sicher dass die SMB Signierung auf allen Ihren Windows Servern aktiviert ist denn nur so kann verhindert werden dass ein Server einen Hashwert aus einem Nessus Scan abrufen und diesen wiederverwenden kann Au erdem m ssen Sie mit einer Richtlinie die Verwendung starker Kennw rter erzwingen die mithilfe von W rterbuchattacken wie John the Ripper und LOphtCrack nicht so einfach geknackt werden k nnen Beachten Sie dass es eine Unmenge unterschiedlicher Angriffsformen gegen die Windows Sicherheit gibt mit denen Hashwerte abgegriffen werden sollen die dann f r Angriffe wiederverwendet werden k nnen Mit der SMB Signierung verbessern Sie den Schutz gegen derartige Man in the Middle
5. den Gruppen ab die diese Richtlinie verwenden Klicken Sie auf die Richtlinie Nessus Scan GPO und w hlen Sie dann Bearbeiten aus Blenden Sie Computerkonfiguration Richtlinien Windows Einstellungen Sicherheitseinstellungen Eingeschr nkte Gruppen ein Klicken Sie im linken Bereich mit der rechten Maustaste auf Eingeschr nkte Gruppen und w hlen Sie Gruppe hinzuf gen aus W hlen Sie Durchsuchen im Dialogfeld Gruppe hinzuf gen aus geben Sie Nessus Local Access ein und klicken Sie dann auf Namen berpr fen Klicken Sie zwei Mal auf OK um das Dialogfeld zu schlie en Klicken Sie unter Diese Gruppe ist Mitglied von auf Hinzuf gen F gen Sie die Gruppe Administratoren hinzu Klicken Sie zwei Mal auf OK Schritt 4 Sicherstellen dass die betreffenden Ports f r die Nessus Verbindung mit dem Host in der Firewall ge ffnet sind Nessus verwendet SMB Server Message Block und WMI Windows Verwaltungsinstrumentation weswegen der Zugriff auf das System durch die Windows Firewall zugelassen werden muss WMI ber die Windows XP und Windows 2003 Firewall zulassen Klicken Sie auf die Richtlinie Nessus Scan GPO und w hlen Sie dann Bearbeiten aus Blenden Sie Computerkonfiguration Richtlinien Administrative Vorlagen Netzwerk Netzwerkverbindungen Windows Firewall Dom nenprofil ein Hinweis Der Hauptgrund f r die Konfiguration des Dom nenprofils anstelle des Standardprofils besteht darin dass
6. die Kerberos Authentifizierung ben tigen Benutzer authentifizieren sich bei Kerberos indem sie zun chst ein TGT Ticket Granting Ticket ticketgew hrendes Ticket anfordern Wird dem Benutzer ein TGT gew hrt so kann er dieses zur Anforderung von Diensttickets aus dem KDC verwenden und mit diesen andere Kerberos basierte Dienste nutzen Kerberos verwendet das CBC Cipher Block Chain DES Verschl sselungsprotokoll zur Verschl sselung der gesamten Kommunikation Die Nessus Implementierung der Kerberos Authentifizierung f r SSH unterst tzt die Verschl sselungsalgorithmen aes cbc und aes ctr Die Interaktion von Nessus mit Kerberos sieht im berblick wie folgt aus e Der Endbenutzer gibt die IP Adresse des KDC an e nessusd fragt bei sshd ab ob die Kerberos Authentifizierung unterst tzt wird e sshd bejaht dies e nessusd fordert ein Kerberos TGT nebst einem Anmeldenamen und einem Kennwort an e Kerberos schickt ein Ticket an nessusd zur ck e nessusd gibt das Ticket an sshd weiter e nessusd ist angemeldet Windows Systeme Nessus unterst tzt mehrere verschiedene Authentifizierungsmethoden f r Windows Systeme Alle diese Methoden basieren auf der Verwendung eines Benutzernamens eines Kennworts und eines Dom nennamens dieser ist in einigen F llen f r die Authentifizierung optional LanMan Die LanMan Authentifizierungsmethode war der wichtigste Ansatz unter Windows NT und fr hen Windows 2000 Serverbereitste
7. enth lt Tipps und L sungsvorschl ge f r eine verbesserte Funktionsweise der Software ohne Einschr nkung der Sicherheit oder Verhinderung Ihrer Sicherheitsl ckenscans e Nessus 5 and Mobile Device Scanning Nessus 5 und Scans von Mobilger ten beschreibt die Integration von Nessus in Microsoft Active Directory und Verwaltungsserver f r Mobilger te zur Bestimmung von im Netzwerk eingesetzten Mobilger ten e Nessus 5 0 and Scanning Virtual Machines Nessus 5 0 und Scans virtueller Maschinen beschreibt den Einsatz des Sicherheitsl ckenscanners von Tenable Network Security Nessus f r Audits der Konfiguration virtueller Plattformen sowie der darauf ausgef hrten Software e Strategic Anti malware Monitoring with Nessus PVS and LCE Strategische Malware berwachung mit Nessus PVS und LCE beschreibt wie mithilfe der Tenable USM Plattform zahlreiche b sartige Softwareprogramme erkannt werden k nnen und das Ausma der Malware Infizierung bestimmt werden kann Patch Management Integration Integration des Patcehmanagements beschreibt wie Nessus und SecurityCenter mithilfe von Berechtigungen auf die IBM TEM Microsoft WSUS und SCCM VMware Go und Red Hat Network Satellite Patehmanagementsysteme Patch Audits auf Systemen ausf hren f r die dem Nessus Scanner m glicherweise keine Berechtigungen zur Verf gung stehen Real Time Compliance Monitoring Compliance berwachung in Echtzeit erl utert
8. Der KDC Standardport ist 88 und das Standardtransportprotokoll ist udp Der andere m gliche Wert f r das Transportprotokoll ist tcp Schlie lich sind noch der Kerberos Bereichsname Kerberos Realm und die IP Adresse des KDC erforderlich Beachten Sie dass Sie um diese Authentifizierungsmethode verwenden zu k nnen bereits eine Kerberos Umgebung eingerichtet haben m ssen SSH Anmeldedaten mit Tenable SecurityCenter verwenden Laden Sie zur Verwendung der SSH Anmeldedaten mit SecurityCenter die erstellten ffentlichen und privaten SSH Schl ssel in die SecurityCenter Konsole hoch Installieren Sie sie nicht direkt auf den Nessus Scanner weil SecurityCenter diese Anmeldedaten in den Nessus Scanner l dt wenn der Scan eingeleitet wird Nachfolgend gezeigt ist ein Beispiel des Fensterbereichs Edit Scan Options Scanoptionen bearbeiten beim Bearbeiten der Optionen einer Richtlinie In den letzten drei Feldern sind ein Konto und die erforderlichen ffentlichen und privaten SSH Schl ssel angegeben die f r die Tests verwendet werden Der ffentliche SSH Schl ssel muss auf jeden UNIX Host gespeichert werden der auf diese Weise lokal getestet wird 14 SSH Username SoH Public Key SoH Private Key SecurityCenter umfasst bei der Auslieferung bereits eine Anzahl vordefinierter Richtlinien zu Sicherheitsl cken bei denen alle lokalen Tests f r die jeweiligen Betriebssysteme ak
9. Falls ein Dom nencontroller verwendet wird sind auch dort Anmeldefehlerereignisse zu finden Auf UNIX Systemen werden Anmeldefehler in den Systemlogdateien z B var log messages aufgef hrt sofern kein Kerberos Remotecontroller verwendet wird Au erdem kann mit dem Skript hostlevel_check failed nasl festgestellt werden ob das Anmelden am Remotehost f r einen Scan aufgrund ungeeigneter Windows oder SSH Anmeldedaten nicht m glich war F Welche Probleme k nnen bei Hosttests noch auftreten A Es gibt eine ganze Reihe von Faktoren die den Zugriff unterbinden k nnen Hierzu geh ren etwa die Folgenden e Netzwerkfirewalls die Port 22 f r SSH unter UNIX oder Port 445 unter Windows filtern e Hostbasierte Firewalls die Verbindungen ber die genannten Ports unterbinden e Administratoren die auf UNIX Systemen SSH auf einen anderen Port als 22 verschieben e Einige host und netzwerkbasierte Intrusion Prevention Systeme die den Remotezugriff verhindern e Gescannte Systeme die weder ein UNIX noch ein Windows Server sind und stattdessen ein Drucker ein Router ein Faxger t oder ein Anzeigeger t sein k nnten F Ich teste SSH Verbindungen vom Shell Prompt der Scanzielhosts zum Nessus System um die Konnektivit t zu berpr fen Bei der Verbindung kommt es zu Verz gerungen Wieso ist das so A Ursache hierf r ist h chstwahrscheinlich ein infolge einer DNS Fehlkonfiguration durchgef hrter DNS Lookup Wenn Ihre Site DN
10. IX Systembefehle verf gt Offentlichen und privaten SSH Schl ssel einrichten Der erste Schritt besteht in der Einrichtung eines Schl sselpaares aus ffentlichem und privatem Schl ssel das vom Nessus Scanner eingesetzt werden kann Dieses Schl sselpaar kann auf einem beliebigen UNIX System und unter Verwendung eines beliebigen Benutzerkontos erstellt werden Allerdings ist es wichtig dass der definierte Nessus Benutzer Besitzer der Schl ssel ist Verwenden Sie zur Generierung des Schl sselpaares ssh keygen Speichern Sie den Schl ssel danach an einem sicheren Ort Im folgenden Beispiel werden die Schl ssel auf einer Red Hat ES 3 Installation erstellt ssh keygen t dsa Cencrat inog PUDIIC private d a Kay sale Enter file in which to save the key Users test ssh id dsa home test Nessus ssh_key Enter passphrase empty for no passphrase Enter same passphrase again Your Taenia on has been caved aim home test Nessus ssh key Your public key has been saved in home test Nessus ssh key pub The key fingerprint is 0o Ma E rose sur dAn 12371 0109er bertragen Sie den privaten Schl ssel ausschlie lich auf das System auf dem der Nessus Server ausgef hrt wird aber nicht an andere Systeme Wenn ssh keygen zur Eingabe einer Passphrase auffordert geben Sie eine starke Passphrase ein oder dr cken Sie zweimal auf die Eingabetaste in diesem Fall wird durch keine Passphrase festgelegt Wenn eine Passphrase angegeb
11. S verwendet wenden Sie sich an Ihren DNS Administrator um die Konfigurationsprobleme beheben zu lassen Eine m gliche Ursache k nnten fehlende Reverse Lookup Zonen sein Gehen Sie zum Testen von DNS Lookups wie folgt vor host IP_ADRR OF NESSUS SERVER Wenn Sie dig installiert haben k nnen Sie die berpr fung auch wie folgt durchf hren dig x IP_ADRR OF NESSUS SERVER Verwendet Ihre Site DNS nicht dann k nnen Sie die nachfolgend beschriebenen Schritte ausf hren um die Ausf hrung von DNS Lookups zu bergehen 1 Bearbeiten Sie die Datei etc nsswitch conf so dass die Zeile hosts den Wert hosts files erh lt Hinweis Bei manchen OpenSSH Versionen ist dieser Schritt unter Umst nden ung ltig 2 F gen Sie der Datei etc hosts auf dem System die IP Adresse den Namen des Servers auf dem Nessus ausgef hrt wird hinzu 3 Konfigurieren Sie den OpenSSH Remoteserver so dass DNS Lookups auf einem Host nicht ausgef hrt werden Hierzu nehmen Sie folgende Einstellungen vor UseDNS no in der Datei sshd_config f r Release 3 8 der Standardwert ist yes VerifyReverseMapping no Wie Sie Ihren Scanner sch tzen Warum sollte ich meinen Scanner sch tzen Wenn Sie den Nessus Scanner f r die Verwendung von Anmeldedaten auf einem UNIX oder Windows Server konfigurieren verf gt Ihr System ber Anmeldedaten die von einem Angreifer missbraucht werden k nnten Um dies zu verhind
12. Server kann auch so konfiguriert werden dass er nur bestimmte Verschl sselungstypen akzeptiert Stellen Sie sicher dass der erforderliche Algorithmus auf Ihrem SSH Server unterst tzt wird Benutzerberechtigungen F r eine optimale Leistung muss der SSH Benutzer die M glichkeit haben jeden beliebigen Befehl auf dem System auszuf hren Auf UNIX Systemen spricht man hierbei von root Berechtigungen Zwar lassen sich einige Tests etwa auf Patchversionen auch mit eingeschr nkten Rechten ausf hren doch ist f r die vollst ndigen Compliancetests bei denen die Systemkonfigurationen und die Dateiberechtigungen berpr ft werden Root Zugriff erforderlich Aus diesem Grund wird dringend empfohlen SSH Schl ssel anstelle von Anmeldedaten zu verwenden Konfigurationsvoraussetzungen f r Kerberos Wenn Kerberos verwendet wird muss sshd mit Kerberos Unterst tzung konfiguriert werden damit das vom KDC erhaltene Ticket verifiziert werden kann Damit dies funktioniert m ssen Reverse DNS Lookups korrekt konfiguriert worden sein Als Kerberos Interaktionsmethode muss gssapi with mic festgelegt sein Lokale Sicherheitstests mit SSH unter UNIX erm glichen Dieser Abschnitt vermittelt einen berblick ber die Aktivierung von SSH zwischen den an authentifizierten Nessus Tests beteiligten Systemen Er ist nicht als umfassende Einf hrung in SSH gedacht Es wird vorausgesetzt dass der Leser ber die erforderlichen Kenntnisse im Bereich der UN
13. d Filter ksd Clear Filters Plugin ID Host alPot oo Plugin ID 21745 Port Service generalitcp Severity Info 4241 1 192 168 0 2 dt Plugin Name Authentication Failure Local Checks Not Run 26919 1 Synopsis The local security checks are disabled 10736 Description 11219 The credentials provided for the scan did not allow us to log into the remote host or the remote 11011 20 operating system is not supported 10150 10394 E 10395 Risk Factor None 10397 Plugin Output It was not possible to log into the remote host via smb invalid credentials 10785 BD 10859 Plugin Publication Date 2006 06 23 10860 1 Plugin Last Modification Date 2011 08 30 21745 26917 Problembehebung F Wie erkenne ich ob der lokale Scan funktioniert A Sofern auf ihrem Server nicht 100 Prozent aller erforderlichen Patches vorhanden sind wird ein lokaler Scan als Ergebnis wahrscheinlich Informationen zu Patches ausgeben Ferner wird je nach Betriebssystem eine Anzahl von Auditinformationen zur ckgegeben Es kann auch n tzlich sein Nessus aus der Analyse herauszunehmen und dann zu testen ob die Konten und Netzwerke richtig konfiguriert sind F hren Sie unter Verwendung des einfachen UNIX Befehls id vom Nessus Scanner aus den folgenden Befehl aus ssh i home test nessus ssh_key nessus 192 1 1 44 id Vergewissern Sie sich dass Sie die IP Adresse des Systems mit dem die Vertrauensbeziehung k
14. das Dom nenprofil nur dann angewendet wird wenn Windows eine Verbindung mit einem Netzwerk erkennt das Teil der ihm zugeh rigen Dom ne ist Das Standardprofil wird angewendet wenn die Hosts nicht feststellen k nnen ob die Anfrage aus einem Netzwerkbereich einer Dom ne oder einem ffentlichen Netzwerk stammt hierdurch werden Risiken f r den unautorisierten Zugriff auf WMI Ports verringert W hlen Sie Windows Firewall Eingehende Programmausnahmen festlegen Klicken Sie dann mit der rechten Maustaste und w hlen Sie Bearbeiten aus dem Kontextmen aus alternativ doppelklicken Sie auf den Eintrag W hlen Sie Aktiviert aus Klicken Sie auf Anzeigen Geben Sie in den Definitionen f r die Programmausnahmen Folgendes ein o windir system32 wbem unsecapp exe enable wmi o windir system32 dlihost exe enable ddlhost o Hinweis In den oben genannten Eintr gen steht f r den Platzhalter damit sich beliebige IP Adressen in der Dom ne mit diesen Diensten verbinden k nnen Sie k nnen die Sicherheit steigern indem Sie nur bestimmte IP Adressen oder Adressbereiche bei denen Verwaltungstools die Verbindung mit dem Port herstellen oder die IP Adresse des Nessus Scanners zulassen Klicken Sie auf OK Klicken Sie auf OK um die Liste der Richtlinien f r die Firewall aufzurufen W hlen Sie Windows Firewall Ausnahmen f r lokale Ports zulassen aus klicken Sie mit der rechten Maustaste und w hlen Sie Bearbeiten a
15. e Sicherheit steigern indem Sie nur bestimmte IP Adressen oder Adressbereiche bei denen Verwaltungstools die Verbindung mit dem Port herstellen oder die IP Adresse des Nessus Scanners zulassen Klicken Sie auf OK um die Firewall Richtlinien aufzurufen WMI ber Windows Vista 7 8 2008 2008R2 und 2012 Firewall zulassen Klicken Sie auf die Richtlinie Nessus Scan GPO und w hlen Sie Bearbeiten aus Blenden Sie Computerkonfiguration Richtlinien Windows Einstellungen Windows Firewall mit erweiterter Sicherheit Windows Firewall mit erweiterter Sicherheit Eingehende Regeln ein Klicken Sie mit der rechten Maustaste in den Arbeitsbereich und w hlen Sie Neue Regel aus Markieren Sie die Option Vordefiniert und w hlen Sie Windows Verwaltungsinstrumentation WMI aus der Dropdownliste Klicken Sie auf Weiter Aktivieren Sie die folgenden Kontrollk stchen Windows Verwaltungsinstrumentation ASync eingehend Windows Verwaltungsinstrumentation WMI eingehend Windows Verwaltungsinstrumentation DCOM eingehend e Klicken Sie auf Weiter e Klicken Sie auf Fertig stellen e Hinweis Vordefinierte Richtlinien k nnen sp ter bearbeitet werden um Verbindungen mit den Ports basierend auf IP Adresse und Dom nenbenutzer einzuschr nken und so das Risiko eines Missbrauchs von WMI zu senken Schritt 5 Gruppenrichtlinienobjekt verkn pfen e Klicken Sie in der Gruppenrichtlinien Verwaltungskonsole mit der rechten Maus
16. eitsmodell f r lokale Konten auf Klassisch lokale Benutzer authentifizieren sich als sie selbst umgestellt wurde Ein Audit zur SCAP Compliance erfordert den Versand der ausf hrbaren Datei an den Remotehost In Systemen in denen Sicherheitssoftware z B McAfee Host Intrusion Prevention ausgef hrt wird wird die f r das Audit erforderliche ausf hrbare Datei m glicherweise blockiert oder in Quarant ne versetzt In diesem Fall muss eine Ausnahme wahlweise f r den Host oder die versendete ausf hrbare Datei eingerichtet werden Verwendete Technologien Die Herausforderung bei der Ausf hrung eines authentifizierten Scans besteht darin die berechtigten Anmeldedaten auf sichere Weise an den Scanner zu bergeben Der Zweck des Scannens zur Ermittlung von Sicherheitsl cken w rde gewiss verfehlt wenn hierdurch eine noch gr ere Sicherheitsl cke ge ffnet w rde Nessus unterst tzt die Verwendung verschiedener sicherer Methoden um derartige Probleme auf UNIX und Windows Plattformen zu umgehen UNIX Systeme Auf UNIX Systemen verwendet Nessus f r hostbasierte Tests Programme die auf dem SSH Protokoll Secure Shell in Version 2 basieren z B OpenSSH Solaris SSH usw Solche Mechanismen verschl sseln die Daten um eine Erfassung durch Sniffer Programme w hrend der bertragung zu verhindern Nessus unterst tzt drei Arten von Authentifizierungsmethoden zum Einsatz mit SSH Benutzername und Kennwort ffentliche private Sch
17. ele und Berichte als nessus Datei speichern Die Erstellung einer nessus Datei die SSH Anmeldedaten enth lt ist weiter oben im Abschnitt Die Nessus Benutzeroberfl che beschrieben Hinweise zur Ausf hrung eines Befehlszeilenscans mithilfe der nessus Datei entnehmen Sie dem Nessus Benutzerhandbuch Dieses ist verf gbar unter http www tenable com products nessus documentation nessusrc Dateien verwenden Wenn Sie nessusrc Dateien manuell erstellen k nnen Sie mehrere Parameter zur Angabe der SSH Authentifizierung konfigurieren Nachfolgend gezeigt ist ein Beispiel eines nicht gef llten Listings SSH to perform local security checks entry SSH user name ScH vo perform local ecurit cheeksifr ile oN publ e key zo se SCH teosperrorm local seeur tyzcheeksitrle SSH private kean ro user Schr to perform local security cheeklpa werd 2rasschrare for ooH key settings entry SSH user name settings password SSH password unsafe Settings Erle oM public key touU e Serrin o e neeo a pr nva aea e o Wea se ee ine passworal PBassphr ase Eor oono Wenn Sie Kerberos verwenden m ssen Sie einen Nessus Scanner so konfigurieren dass er sich bei einem KDC authentifiziert Hierzu geben Sie die folgenden Informationen in die nessusrc Datei des Scanners ein kKerberos FOC port 3788 Kerberos FDO Transport ucdp Kerberos Realm SSH Only myrealm KBerberos Key Drster 1buer ron Center ERDE 219221652 207655
18. em m ssen Sie im Stammverzeichnis dieses neuen Kontos ein Unterverzeichnis erstellen das den ffentlichen Schl ssel enth lt Im Folgenden verwenden wir hierf r das Verzeichnis home nessus ssh Nachfolgend gezeigt ist ein Beispiel f r Linux Systeme passwd l1 nessus cd home nessus mkdir ssh Bei Solaris 10 Systemen hat Sun den Befehl passwd 1 so erweitert dass zwischen gesperrten und Nichtanmeldekonten unterschieden wird Hierdurch soll sichergestellt werden dass ein gesperrtes Benutzerkonto nicht zur Ausf hrung von Befehlen z B Cron Jobs verwendet werden kann Nichtanmeldekonten werden nur zur Ausf hrung von Befehlen nicht aber zur Unterst tzung einer interaktiven Anmeldesitzung verwendet Bei solchen Konten steht das K rzel NP im Kennwortfeld von etc shadow F hren Sie zur Festlegung eines Nichtanmeldekontos und zur Erstellung des Verzeichnisses f r den ffentlichen SSH Schl ssel in Solaris 10 die folgenden Befehle aus passwd N nessus grep nessus etc shadow mDeseue NE 1937 cd export home nessus mkdir ssh Nach der Erstellung des Benutzerkontos m ssen Sie den Schl ssel auf das System bertragen ihn im passenden Verzeichnis ablegen und die richtigen Berechtigungen festlegen Beispiel Kopieren Sie wie nachfolgend gezeigt den ffentlichen Schl ssel von dem System auf dem die Schl ssel gespeichert sind auf das System das auf Hosttests gescannt wird 192 1 1 44 ist ein
19. en wird muss die Angabe unter Policies Richtlinien gt Credentials Berechtigungen gt SSH Settings Options SSH Einstellungsoptionen erfolgen damit Nessus die schl sselbasierte Authentifizierung verwenden kann Benutzer von Nessus f r Windows sollten auf dem System auf dem Nessus ausgef hrt wird beide Schl ssel in das Anwendungshauptverzeichnis von Nessus standardm ig C Programme Tenable Nessus kopieren Den ffentlichen Schl ssel kopieren Sie dann nach Bedarf auf die Zielsysteme Dies erleichtert die Verwaltung privater und ffentlicher Schl sseldateien Benutzerkonto erstellen und den SSH Schl ssel einrichten Erstellen Sie auf jedem Zielsystem das unter Verwendung eines lokalen Sicherheitstests gescannt werden soll ein neues Benutzerkonto das der Verwendung durch Nessus vorbehalten ist Dieses Benutzerkonto muss auf allen Systemen exakt den gleichen Namen haben Im Folgenden haben wir diesen Benutzer nessus genannt Sie k nnen aber jeden beliebigen anderen Namen verwenden Nach der Erstellung des Kontos f r den Benutzer stellen Sie sicher dass f r dieses Konto kein g ltiges Kennwort festgelegt wurde Auf Linux Systemen werden neue Benutzerkonten standardm ig gesperrt sofern nicht ausdr cklich zu Beginn ein Kennwort festgelegt wurde Wenn Sie ein Konto verwenden f r das ein Kennwort festgelegt wurde sperren Sie das Konto mit dem Befehl passwd Au erd
20. enden 2 uu22a2000 n00nnnnunnnnnnnnnnunnannnnnnnunnnnnnn 14 Authentifizierte Tests auf Windows Plattformen 2 22 20020000nn0nnunnunnunnun nun nun nun nun nun nun 15 ra SE aa ES E RE SEES EAPEEEAEEEIDE a 15 BEN TZEIDETECHHOUNGEH e ae E T ee ee 15 Windows Anmeldenamen f r lokale und Remoteaudits verwenden uu 2u2 2200 n000an0nnnnunnnnnnnnunnnnn 15 Lokales Konto konfigurieren u u04440440nnn nennen nennen nennen nano nennen nnnennnennnennnennnennnennnennnennnennnennnenenn 15 Ein Dom nenkonto f r authentifizierte Scans konfigurieren u222u02240020n0 nenne nenn nenn nenne nenn nano nennennnnnen 16 Schritt 1 Sicherheitsgruppe einrichten ss 2220240000000Bnn0nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnnn 16 Schritt 2 Gruppenrichtlinie einrichten a a dena kann 16 Schritt 3 Richtlinie konfigurieren um die Gruppe Nessus Local Access als Administratoren festzulegen 16 Schritt 4 Sicherstellen dass die betreffenden Ports f r die Nessus Verbindung mit dem Host in der Firewall s 1 al 112 on EUENEELEEEEHEEE NONE HUN HEIECENDEHE E NEE EUCHEE RUNDE EHEN BEDENKEN EEE ERDE EINEIR EEE ERINNERN 17 WMI ber die Windows XP und Windows 2003 Firewall zulassen 02220022200220002000Bnnnennnn nenn ennnnnnne nennen 17 WMI ber Windows Vista 7 8 2008 2008R2 und 2012 Firewall zulasSsSen
21. er wichtigste Aspekt im Zusammenhang mit Windows Anmeldedaten besteht darin dass das Konto das zur Durchf hrung der Tests verwendet wird ber Berechtigungen f r den Zugriff auf alle erforderlichen Dateien und Registrierungseintr ge verf gen muss In vielen F llen ist dies gleichbedeutend mit Administratorrechten Wenn Nessus nicht ber die Anmeldedaten eines Administratorkontos verf gt kann es maximal verwendet werden um in der Registrierung Informationen zu Patches zu ermitteln Dies ist zwar auch eine zul ssige Methode um festzustellen ob ein Patch installiert ist aber inkompatibel mit einigen Patchverwaltungstools von Drittanbietern die es unter Umst nden vers umen den Schl ssel in der Richtlinie festzulegen Wenn Nessus ber Administratorrechte verf gt wird die Version der d11 Datei Dynamic Link Library auf dem Remotehost direkt berpr ft was wesentlich genauer ist Lokales Konto konfigurieren Um einen Windows Server der nicht zu einer Dom ne geh rt mit Anmeldedaten zu konfigurieren m ssen Sie lediglich ein eindeutiges Konto als Administrator erstellen Stellen Sie sicher dass die Konfiguration dieses Kontos nicht den blichen Vorgabewert Nur Gast lokale Benutzer authentifizieren sich als Gast verwendet Andern Sie diesen stattdessen in Klassisch lokale Benutzer authentifizieren sich als sie selbst Um den Server so zu konfigurieren dass er Anmeldungen ber ein Dom nenkonto zul sst m
22. ereits getan haben kopieren Sie die private und die ffentliche Schl sseldatei auf sicherem Wege auf das System das Sie f r den Zugriff auf den Nessus Scanner verwenden werden https localhost 8834 html5 html Nessus vulnerability scanner 2 i ffnen Sie einen Webbrowser stellen Sie wie oben gezeigt eine Verbindung mit der Benutzeroberfl che des Nessus Scanners her und klicken Sie auf die Registerkarte Policies Richtlinien Erstellen Sie eine neue oder bearbeiten Sie eine vorhandene Richtlinie und w hlen Sie dann die Registerkarte Credentials Anmeldedaten auf der linken Seite aus W hlen Sie SSH settings SSH Einstellungen aus dem Dropdownmen oben im Fenster aus New Advanced Policy Credentials SSH settings Credential Type 55H settings r 55H user name raven 55H password unsafe ELLIIITITTITIIIT IT TED 55H public key to use Add File 55H private keyto use Add File Passphr se for 55H key Elev te privileges with su sudao Privilege elevation binary path directory su login Escalation account root Escalation password ELLITTTTTITIIIITTTTIITT Geben Sie auf allen Zielsystemen f r das Element SSH user name SSH Benutzername den Namen des f r Nessus vorgesehenen Kontos ein Standardm ig ist der Eintrag auf root festgelegt Wenn Sie ein Kennwort f r SSH verwenden geben Sie es in das Feld SSH password SSH Kennwort
23. ern m ssen Sie nicht nur gut auf die Sicherheit des Betriebssystems achten unter dem Ihr Scanner ausgef hrt wird sondern sich auch dar ber im Klaren sein dass es f r Angreifer Mittel und Wege geben k nnte den Scanner zur Preisgabe von Sicherheitsinformationen zu bewegen Wie schottet man einen Scanner ab Im Idealfall w rde der Nessus Scanner vollst ndig ber eine Systemkonsole angesteuert werden und keine Netzwerkverbindungen von Remotehosts annehmen Ein solches System m sste physisch so abgesichert sein dass nur Berechtigte darauf zugreifen k nnten Ein solcher Server k nnte durch eine externe Firewall oder einen Switch mit dem Scans auf bestimmte Netzwerke beschr nkt werden k nnten weiter abgeschottet werden Sie d rfen Personal Firewall Software allerdings nicht direkt auf dem Nessus Scannersystem installieren Denken Sie auch daran dass Nessus auf das Scannen bestimmter Netzwerke beschr nkt werden kann Ein solcher Scanner w re nicht allzu n tzlich Ziehen Sie in Betracht einen Remotenetzwerkzugriff auf den Server zuzulassen Nessus unterst tzt standardm ig HT TP Verbindungen ber Port 8834 Eine Systemfirewall kann so konfiguriert werden dass nur Verbindungen g ltiger Nessus Clients angenommen werden die ber Port 8834 eingehen Wenn das System remote administriert oder bedient werden soll kann auch ein sicherer Remotezugriff verwendet werden Unter UNIX l sst sich hierf r das SSH Protokoll Secure Shell ver
24. ert Er kann entweder vom Administrator oder durch Nessus f r fortlaufende Audits manuell aktiviert werden Mit den Plugins 42897 und 42898 kann Nessus den Dienst auf die Dauer des Scans beschr nken Nessus kann den Dienst Remote Registrierung aktivieren und deaktivieren Zu diesem Zweck muss auf dem Zielsystem die Einstellung Manuell anstelle von Deaktiviert f r den Dienst Remote Registrierung konfiguriert sein A Die Windows Benutzerkontensteuerung UAC kann auch deaktiviert werden was jedoch nicht empfohlen wird Offnen Sie zum vollst ndigen Abschalten der Benutzerkontensteuerung die Systemsteuerung w hlen Sie Benutzerkonten aus und deaktivieren Sie die Option Benutzerkontensteuerung ein oder ausschalten Alternativ k nnen Sie auch einen neuen Registrierungsschl ssel namens LocalAccountT okenfFilterPolicy erstellen und dessen Wert auf 1 setzen Dieser Schl ssel muss in der Registrierung an folgender Stelle eingerichtet werden HKLM SOFTWARE Microsoft Windows CurrentVersion Policies system LocalAccountTokenrFil terPolicy Weitere Informationen zu dieser Registrierungseinstellung entnehmen Sie folgendem Artikel MSDN 766945 KB Nessus f r Windows Anmeldungen konfigurieren Die Nessus Benutzeroberfl che httos localhost 8834 htmis html O Nessus vulnerability scanner 2 ffnen Sie einen Webbrowser stellen Sie wie oben gezeigt eine Verbindung mit der Benutze
25. herheitsmodell f r lokale Konten Wenn diese lokale Sicherheitsrichtlinie einen anderen Wert als Klassisch lokale Benutzer authentifizieren sich als sie selbst hat kann ein Compliancetest nicht erfolgreich ausgef hrt werden Windows 2008 Windows Vista und Windows 7 konfigurieren F r die Durchf hrung authentifizierter Scans auf Windows 2008 Windows Vista oder Windows 7 Systemen m ssen verschiedene Konfigurationsoptionen aktiviert werden 1 Unter Windows Firewall gt Windows Firewalleinstellungen muss die Option Datei und Druckerfreigabe aktiviert werden 2 Rufen Sie ber das Tool gpedit msc das Sie ber Ausf hren starten den Gruppenrichtlinienobjekt Editor auf Navigieren Sie zu Richtlinie f r Lokaler Computer gt Administrative Vorlagen gt Netzwerk gt Netzwerkverbindungen gt Windows Firewall gt Standardprofil gt Windows Firewall Engehende Ausnahme f r Datei und Druckerfreigabe zulassen und aktivieren Sie die Richtlinie 3 Im Gruppenrichtlinienobjekt Editor muss Lokale Computerrichtlinie gt Administrative Vorlagen gt Netzwerk gt Netzwerkverbindungen gt Verwendung des Internetverbindungsfirewalls im eigenen DNS Dom nennetzwerk nicht zulassen auf Deaktiviert oder Nicht konfiguriert gesetzt sein 4 Der Dienst Remote Registrierung muss aktiviert sein standardm ig ist er deaktivi
26. ielzahl gesetzlicher Vorschriften Weitere Informationen finden Sie unter www tenable com GLOBALE UNTERNEHMENSZENTRALE Tenable Network Security 7021 Columbia Gateway Drive Suite 500 Columbia MD 21046 USA 1 410 872 0555 www tenable com O tenable network security Copyright 2014 Tenable Network Security Inc Alle Rechte vorbehalten Tenable Network Security und Nessus sind eingetragene Marken von Tenable Network Security Inc 27
27. kaler Zugriff auf dem Zielsystem gew hrt werden ohne dass hierf r ein Agent erforderlich ist Dies erm glicht das Scannen eines sehr gro en Netzwerks zur Ermittlung lokaler Sicherheitsl cken oder Complianceverst e Das in Unternehmen am h ufigsten zu findende Sicherheitsproblem ist dass Sicherheitspatches nicht zeitnah aufgespielt werden Durch einen authentifizierten Nessus Scan kann schnell festgestellt werden welche Systeme in Bezug auf die Patchinstallation nicht auf dem aktuellen Stand sind Dies ist besonders wichtig wenn eine neue Sicherheitsl cke ffentlich gemacht wird und die Gesch ftsleitung zeitnah ber m gliche Auswirkungen auf die Organisation informiert werden m chte Ein weiterer wesentlicher Aspekt f r Unternehmen ist die Compliance in Bezug auf Standortrichtlinien Industriestandards z B die CIS Benchmarks des Center for Internet Security oder Rechtsvorschriften wie Sarbanes Oxley SOX Gramm Leach Bliley GLBA oder HIPAA Organisationen die Kreditkartendaten akzeptieren m ssen die Einhaltung der PCI DSS Standards Payment Card Industry Data Security Standards nachweisen Es gibt eine ganze Reihe weithin bekannter F lle in denen Kreditkartendaten von Millionen von Kunden gestohlen wurden Dies hat bei den Banken die f r die Deckung der Zahlungen zust ndig waren zu erheblichen finanziellen Einbu en gef hrt und zu schweren Strafen oder dem Verlust der Kreditkartenakzeptanzf higkeit bei den H ndle
28. l ssel und Kerberos Benutzername und Kennwort Auch wenn die M glichkeit zur SSH Authentifizierung mit Benutzername und Kennwort vorhanden ist r t Tenable von ihrer Verwendung ab Vor allem dann wenn sie bereits seit l ngerer Zeit verwendet werden sind statische Kennw rter anf llig f r Man in the Middle und Brute Force Angriffe ffentliche private Schl ssel Die Verschl sselung mit ffentlichen Schl sseln auch als Verschl sselung mit asymmetrischen Schl sseln bezeichnet ist dank der Verwendung eines Schl sselpaares aus ffentlichem und privatem Schl ssel eine sicherere Form der Authentifizierung Bei der asymmetrischen Kryptographie wird der ffentliche Schl ssel zur Verschl sselung von Daten und der private zu ihrer Entschl sselung verwendet Die Verwendung ffentlicher und privater Schl ssel ist eine Methode der SSH Authentifizierung die sich durch mehr Sicherheit und Flexibilit t auszeichnet Nessus unterst tzt die Schl sselformate DSA und RSA Kerberos Das im Rahmen des Project Athena am Massachusetts Institute of Technology entwickelte Kerberos ist eine Client Server Anwendung die ein Protokoll mit symmetrischer Verschl sselung verwendet Bei der symmetrischen Verschl sselung wird zur Verschl sselung von Daten und zu ihrer Entschl sselung der gleiche Schl ssel verwendet Unternehmen setzen ein KDC Key Distribution Center Schl sselverteilcenter ein das alle Benutzer und Dienste enth lt die
29. llungen Sie wird auf neueren Windows Bereitstellungen eigentlich nicht mehr verwendet wurde aber aus Gr nden der Abw rtskompatibilit t beibehalten NTLM und NTLMv2 Die mit Windows NT vorgestellte NTLM Authentifizierungsmethode bietet im Vergleich zur LanMan Authentifizierung mehr Sicherheit Die erweiterte Version NTLMv2 ist in kryptografischer Hinsicht allerdings noch sicherer als NTLM und wird deswegen von Nessus standardm ig zur Authentifizierung bei der Anmeldung an einem Windows Server verwendet SMB Signierung Die SMB Signierung ist eine kryptografische Pr fsumme die auf den gesamten von einem Windows Server empfangenen und gesendeten Datenverkehr angewendet wird Viele Systemadministratoren aktivieren diese Funktion auf ihren Servern um sicherzustellen dass Remotebenutzer hunderitprozentig authentifiziert und Mitglied einer Dom ne werden Sie wird von Nessus automatisch verwendet sofern sie vom Windows Remoteserver angefordert wird SPNEGO Das SPNEGO Protokoll Simple and Protected Negotiate bietet SSO Funktionen Single Sign On f r den Zugriff von einem Windows Client auf eine Vielzahl gesch tzter Ressourcen unter Verwendung der Windows Anmeldedaten des Benutzers Nessus unterst tzt die Verwendung von SPNEGO entweder mit NTLMSSP mit LMv2 Authentifizierung oder mit Kerberos und RC4 Verschl sselung Kerberos Nessus unterst tzt die Verwendung der Kerberos Authentifizierung auch in einer Windows Dom ne Um sie zu k
30. mpfehlungen werden durch dieses Symbol und wei en Text auf bersicht ber authentifizierte Nessus Tests Nessus von Tenable ist ein sehr leistungsf higer Sicherheitsl ckenscanner f r das Netzwerk Er bietet eine umfassende Datenbank aus Plugins mit denen auf Vorhandensein einer Vielzahl von Sicherheitsl cken gepr ft werden kann die remote nutzbar sind Neben Remotescans kann Nessus auch zum Scannen lokaler Sicherheitsl cken verwendet werden Zweck Externes Scannen auf Sicherheitsl cken im Netzwerk ist n tzlich um eine Momentaufnahme der im Netzwerk vorhandenen Dienste und der in ihnen m glicherweise vorhandenen Sicherheitsl cken zu erstellen Allerdings ist dies nur eine externe Perspektive Es ist wichtig zu bestimmen welche lokalen Dienste ausgef hrt werden und durch lokale Angriffe oder Konfigurationsfehler entstandene Sicherheitsl cken zu erkennen die das System f r externe Angriffe anf llig machen k nnten aber bei einem externen Scan unter Umst nden nicht erkannt werden Bei einer normalen Sicherheitsl ckenbewertung wird ein Remotescan f r die externen Zugangspunkte und ein Onsite Scan innerhalb des Netzwerks ausgef hrt Mit keinem dieser Scans lassen sich lokale Sicherheitsl cken auf dem Zielsystem ermitteln Ein Teil der erfassten Daten basiert auf den angezeigten Bannerinformationen die m glicherweise nicht aussagekr ftig oder unzutreffend sind Mithilfe sicherer Anmeldedaten kann dem Nessus Scanner lo
31. msten authentifizierten Scans sind solche bei denen das angegebene Konto ber Root Berechtigungen verf gt Da zahlreiche Sites eine Remoteanmeldung als Root nicht zulassen k nnen Nessus Benutzer su oder sudo mit einem separaten Kennwort f r ein Konto aufrufen f r das su oder sudo Berechtigungen konfiguriert wurden Es folgt ein Screenshot der Verwendung von sudo in Verbindung mit SSH Schl sseln In diesem Beispiel hei t das Benutzerkonto audit und wurde der Datei etc sudoers auf dem zu scannenden System hinzugef gt Angegeben wird das Kennwort f r das Konto audit nicht das Root Kennwort Die SSH Schl ssel entsprechen Schl sseln die f r das Konto audit erstellt wurden Compliance Credentials SSH settings Credential Type 55H settings 55H user name root 55H password unsafe 55H public key to use ssh_keypub X 55H private key to use ssh_key X Passphr se for 55H key Elevate privileges with Nothing r Frivilege elevation binary path directory su login Escalation account root 12 Wenn Sie Kerberos verwenden m ssen Sie einen Nessus Scanner so konfigurieren dass er sich bei einem KDC authentifiziert W hlen Sie Kerberos configuration Kerberos Konfiguration wie nachfolgend gezeigt aus dem Dropdownmen aus Compliance Credentials Kerberos configuration Credential Type Kerberos configuration T Kerberos Key Dist
32. nn nnnnnunannnannnnnnunananannnnanannn 24 Warum sollte ich meinen Scanner sch tzen 0000000a0a0n0nnnnnanannnnnnnnananannnnnn an nn ann nnn an un ann nun un anunnnn 24 Wie schottet man einen Scanner aD u uuu0000000ananannnnnnnnanannnnnnnnununnnnnnnnannnannnnnnanun ana nun an an ann nnn un ann 24 Sichere Implementierung von SSH Audits unter UNIX 22202220002220002n00020n00nannnnnnnunnnnnnnnnnunnnnnnnnnnEnn 24 Sichere Windows AuditS 2 2 u0000000000000ananannnnnnanan nn nun nn an nn ann nn nn an an an nun nn an anannnn nn an an an nnnnnnnanannnnnnananannnnnnan ann 24 Weitere Informationen u2 0 0000a000nnnnnnnnnnnannannnn nn nun un nun nun nn nun un nun un nun ann un nn nun nun ann ana nun nnn un nun un nam nn nen 25 Wissenswertes zu Tenable Network Security uu022000200002n00nan00nnnnnnnnunnnnnnnnnunnnnnnn nun nnnm nnna 27 Einleitung Das vorliegende Dokument beschreibt die Durchf hrung authentifizierter Netzwerkscans mit dem Sicherheitsl ckenscanner Nessus von Tenable Network Security Authentifizierte Netzwerkscans erm glichen das Abfragen hostbasierter Daten z B fehlender Patches oder Betriebssystemeinstellungen bei einem remote ausgef hrten Netzwerkaudit Wir freuen uns ber Ihre Anmerkungen und Vorschl ge Senden Sie diese an support tenable com Nessus nutzt die M glichkeit sich ber SSH Secure Shell bei UNIX Remotehosts anzumelden F
33. nn0nnunnunnun nun nun nun nun nun nun nun nun nnEn nen 7 VOL AUS SE Te ee A E A N 7 Konfigurationsvoraussetzungen f r SSH u022200240002n00n0nn nano nenn nenn nenne nenn nenn nennenennnnnenennnnenennnenennn nn 7 Benutzerberechtigungen u02400 240020n0nnnnonnnn anne nenne nenn nnnnenennonnne nenne nnnnnnnnenennennnennnnensnnnnnnensnnensnennnnenenne 8 Konfigurationsvoraussetzungen f r Kerberos u22442240424000n0 nenn nenn nenn nenn nenn nenn nenn nenn nenn nnnnnennnenn nenn nenn nennen 8 Lokale Sicherheitstests mit SSH unter UNIX erm glichen 2u 220224220020020020n00n00n00n00nnannnnnannnnn ann 8 ffentlichen und privaten SSH Schl ssel einrichten 00222002200002000002nno nenn nenne nnnnn nenne nenne nennen 8 Benutzerkonto erstellen und den SSH Schl ssel einrichten 0220022002400220Rnnn nennen nenne nennen 8 eleo PEE EEE RE IE E NER AEEIEENE E EC RESIIEENE TT 9 Nessus f r hostbasierte SSH Tests konfigurieren uuzu20002u0002an00nnnnonnnnunnnnnnnnnnunnnnnnnnnnunnnnunnnnnn 10 Die Nessus Ben ftzer nDerffl che usnscasasemannssnieinn a nannten 10 NESSBHIS BEIEHIS ZB IE tUr UND sinne enteignet SER Teer 13 nessus Dateien VErWENdENi nenn aan Rena ann are aaaaenaenaeerehunten 14 nessusre D teien verwenden sssusniscnncsn anna nn ana en ann een aaa na na nn Kran aan anne nennen 14 SSH Anmeldedaten mit Tenable SecurityCenter verw
34. nnnnnneennnnenennnnennnnnnnnennnenn 18 Schritt 5 Gruppenrichtlinienobjekt verkn pfen ussss2400024000000Rnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 19 Windows XP und Windows 2003 konfigurieren u2 2u2240424008n0 nenn nenn nenn nenn nenn nenn nenn nenn nenn nenn nenenenenenenenenen 19 Windows 2008 Windows Vista und Windows 7 konfigurieren 2022200240022002n00nnnnnnnnnnnnn nenn nnnennnnen 19 Nessus f r Windows Anmeldungen konfigurieren uuzu220220002a200an00nnnnunnannonnnnunnununnnnnunnnnnnnnnnn 20 Die Nessus Benutzeroberfl che uuuu2usensenenennnnennnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnn nennen 20 Nessus Befehlszeile f r UNIX ucccnsnsansnnenanennnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnn nennen 21 nessus Dateien verwenden u ucueneseanananunnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nennen 21 nessusrc Dateien verwenden ucueanseaeanenunnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnnnnnnnnnnnnnnnnnennen 21 Fehlerhafte Anmeldedaten erkennen 22 u 000000a000n0nannnnnnnnnnnanannnnnnnnnnnununnnnununnnnanunnnnunun nun un un nun 21 PrOD IDEN E Gasen a a E ae a E 22 Wie Sie Ihren Scanner sch tzen u uu0000000000ananananannnnnnananannnnnnnnnn an an nn
35. om products nessus documentation nessusrc Dateien verwenden Wenn Sie eine nessusrc Datei manuell erstellen erm glichen drei Eintr ge wie nachfolgend gezeigt die Konfiguration von Benutzername Kennwort und optionaler Dom ne Login conri guration mens Me a e oun E Hoginn conr igurac ions password SMB pae Sr ord Login configurations e nery o MNe doman Opr Tonal Fehlerhafte Anmeldedaten erkennen Wenn Sie Nessus zur Durchf hrung authentifizierter Audits von UNIX oder Windows Systemen verwenden kann die Feststellung ob Sie korrekte Kennw rter und SSH Schl ssel verwendet haben anhand einer Analyse der Ergebnisse schwierig sein Allerdings k nnen Nessus Benutzer nun ganz einfach feststellen ob ihre Anmeldedaten funktionieren oder nicht Zu diesem Zweck hat Tenable der Plugin Familie Settings das Nessus Plugin 21745 hinzugef gt Mit diesem Plugin kann festgestellt werden ob das Anmelden am Remotehost f r den Scan aufgrund ungeeigneter Windows oder SSH Anmeldedaten nicht m glich war War die Anmeldung erfolgreich dann gibt dieses Plugin kein 21 Ergebnis aus Nachfolgend gezeigt ist ein Berichtsbeispiel das bei dem Versuch generiert wurde sich mit Nessus unter Verwendung eines falschen Benutzernamens oder Kennworts an einem Remotecomputer anzumelden 192 168 0 20 2 Vulnerability Summary Host Summary Completed Mar 1 2012 18 10 Remove Vulnerability Audit Trail Filters Mo Filters Ad
36. onfigurieren muss die IP Adresse des Kerberos Dom nencontrollers genauer gesagt die IP Adresse des Windows Active Directory Servers angegeben werden NTLMSSP NT Lan Manager Security Support Provider und LMv2 Werden erweiterte Sicherheitssysteme wie Kerberos oder SPNEGO nicht unterst tzt oder schlagen aus anderen Gr nden fehl dann probiert Nessus eine Anmeldung ber die NTLMSSP LMv2 Authentifizierung Schl gt diese fehl dann versucht Nessus eine Anmeldung unter Verwendung der NTLM Authentifizierung Windows Benutzernamen Kennw rter und Dom nen Das SMB Dom nenfeld ist optional und Nessus kann sich auch ohne dieses Feld unter Angabe der Dom nenanmeldedaten anmelden Benutzername Kennwort und optionale Dom nenangaben beziehen sich auf ein Konto das dem Zielcomputer bekannt ist Werden beispielsweise der Benutzername joesmith und das Kennwort my4x4mp13 angegeben dann sucht der Windows Server diesen Benutzernamen zun chst aus der Liste der Benutzer auf dem lokalen System heraus und bestimmt dann ob er dort auch Teil einer Dom ne ist Der tats chliche Dom nenname ist nur erforderlich wenn der Kontennamen in der Dom ne von dem auf dem Computer abweicht Es ist uneingeschr nkt m glich ein Konto namens Administrator sowohl auf einem Windows Server als auch in der Dom ne zu verwenden In diesem Fall wird zur Anmeldung auf dem lokalen Server der Benutzername Administrator mit dem Kennwort des betreffenden K
37. onfiguriert wurde sowie das richtige Benutzerkonto verwenden in diesem Falle nessus War der Befehl erfolgreich dann sehen Sie die Ergebnisse des id Befehls so als w re dieser auf Ihrem Remotesystem ausgef hrt worden Bei UNIX Audits meldet das Skript ssh_get_info nasl ob die Authentifizierung erfolgreich war Falls die SSH Anmeldung nicht funktioniert k nnen Sie die Einstellung report_verbosity f r Ihren Nessus Scan auf Verbose Ausf hrlich setzen Auf diese Weise werden alle Fehler und Diagnosemeldungen angezeigt solange das betreffende Skript ausgef hrt wird Bei Windows Audits geben die Skripts smb_login nasl und smb_registry_access nasl an ob der w hrend des Scans angegebene Benutzername und das Kennwort korrekt waren und ob die Remote Registrierung gelesen werden konnte Das Skript smb_registry_full_access nasl gibt nur dann eine Warnung aus wenn die Registrierung nicht 22 vollst ndig gelesen werden konnte Den Ergebnissen hostbasierter Tests f r Audits eines Windows Servers k nnen Sie entnehmen ob die Anmeldedaten funktioniert haben Au erdem kann mit dem Skript hostlevel_check failed nasl festgestellt werden ob das Anmelden am Remotehost f r einen Scan aufgrund ungeeigneter Windows oder SSH Anmeldedaten nicht m glich war F Wie erkenne ich wenn der lokale Scan nicht funktioniert A Auf Windows Systemen werden in diesem Fall Anmeldefehlerereignisse auf dem Server generiert
38. ontos verwendet Auch zur Anmeldung an der Dom ne w rde der Benutzername Administrator benutzt diesmal allerdings mit dem Dom nenkennwort und unter Angabe des Dom nennamens Unabh ngig von den verwendeten Anmeldedaten versucht Nessus stets sich mit den folgenden Kombinationen an einem Windows Server anzumelden e Administrator ohne Kennwort e Zuf llig gew hlte Angaben zu Benutzername und Kennwort um G stekonten zu testen e Keine Angabe f r Benutzername und Kennwort um Nullsitzungen zu testen Authentifizierte Tests auf UNIX Plattformen Der in diesem Abschnitt beschriebene Vorgang erm glicht es Ihnen lokale Sicherheitstests auf UNIX Systemen z B Linux Solaris oder Mac OS X auszuf hren Der in diesem Beispiel verwendete SSH Daemon ist OpenSSH Bei Verwendung einer kommerziellen SSH Variante kann sich der Vorgang geringf gig anders gestalten Zum Erm glichen lokaler Sicherheitstests lassen sich zwei grundlegende Methoden verwenden 1 Verwendung eines SSH Schl sselpaars aus privatem und ffentlichem Schl ssel 2 Benutzeranmeldedaten und sudo Zugriff oder Anmeldedaten f r den su Zugriff Voraussetzungen Konfigurationsvoraussetzungen f r SSH Nessus 5 unterst tzt die folgenden Algorithmen blowfish cbc aesXXX chbc aes128 aes192 und aes256 3des cbc und aes ctr Der Blowfish Algorithmus wird vermutlich aufgrund von Exportfragen von einigen kommerziellen SSH Varianten nicht unterst tzt Ein SSH
39. r Windows Hosts verwendet Nessus eine Vielzahl von Microsoft Authentifizierungstechnologien Beachten Sie dass Nessus auch das Simple Network Management Protocol SNMP zur Versions und Datenabfrage bei Routern und Switches verwendet Obwohl auch dies eine Form lokaler Tests ist wird es nicht in diesem Dokument behandelt W hrend der Schwerpunkt in diesem Dokument in erster Linie auf Nessus liegt gelten die beschriebenen Konzepte gleicherma en f r SecurityCenter von Tenable auch wenn dies nicht ausdr cklich erw hnt ist Regeln und Konventionen In der gesamten Dokumentation werden Dateinamen Daemons und ausf hrbare Dateien in einer Schriftart wie courier bold angezeigt z B gunzip httpd oder etc passwd Befehlszeilenoptionen und Schl sselw rter werden ebenfalls in der Schriftart courier bold angezeigt Die Befehlszeilen sind teils mit teils ohne Befehlszeilen Prompt und den Ausgabetext des betreffenden Befehls aufgef hrt In den Befehlszeilen erscheint der ausgef hrte Befehl in der Schriftart courier bold um zu verdeutlichen was der Benutzer eingegeben hat Die vom System generierte Beispielausgabe ist hingegen in der Schriftart courier ohne Fettdruck aufgef hrt Es folgt ein Beispiel f r die Ausf hrung des UNIX Befehls pwd pwd nome test A Wichtige Hinweise und Aspekte werden durch dieses Symbol und graue Textfelder hervorgehoben blauem Grund hervorgehoben Tipps Beispiele und Best Practices E
40. ribution Center KDC Kerberos KDC Port 55 Kerberos KDC Transport tcp igi Kerberos Realm 55H only Der KDC Standardport ist 88 und das Standardtransportprotokoll ist udp Der andere m gliche Wert f r das Transportprotokoll ist tcp Schlie lich sind noch der Kerberos Bereichsname Kerberos Realm und die IP Adresse des KDC erforderlich Umgebung eingerichtet haben m ssen A Beachten Sie dass Sie um diese Authentifizierungsmethode verwenden zu k nnen bereits eine Kerberos Klicken Sie nun unten im Fenster auf Submit Absenden um die Konfiguration abzuschlie en Die neue Scanrichtlinie wird nun der Liste der verwalteten Scanrichtlinien hinzugef gt Nessus Befehlszeile f r UNIX Die Nessus Unterst tzung f r hostbasierte Tests ist ab Nessus 2 2 0 verf gbar und erfordert die Einkompilierung der SSL Unterst tzung F hren Sie den Befehl nessusd d aus um zu berpr fen ob Ihre Version und die SSL Bibliotheken korrekt sind nessusd d root squirrel sbin nessusd d AIS is Nee u 2 ee ald T2 Tool Ffor Link 2o Tea e eh Compiled with gec verson AL 20070826 Red Har 4 1 2172 Current setup flavor nr e35 x30 nasl libnessus ee SSL is used for client server communication Running as euid HO Magic hash 49edd1433ffad7b87b446a4201faeedf Oben Open oL MO Oge Jan 2l 13 nessus Dateien verwenden Nessus kann konfigurierte Scanrichtlinien Netzwerkzi
41. rn oder Verarbeitern bei denen der Datendiebstahl erfolgte Ausma des Zugriffs Authentifizierte Scans k nnen alle Vorg nge ausf hren die auch einem lokalen Benutzer gestattet sind Das Ausma des Zugriffs durch den Scan h ngt von den Berechtigungen des Benutzerkontos ab f r das Nessus konfiguriert wurde Nichtberechtigte Benutzer mit lokalem Zugriff auf UNIX Systeme k nnen grundlegende Sicherheitsprobleme feststellen z B im Zusammenhang mit Patchversionen oder Eintr gen in die Datei etc passwd Um jedoch umfassendere Informationen wie beispielsweise Systemkonfigurationsdaten oder systemweit g ltige Dateiberechtigungen zu erhalten ist ein Konto mit Root Berechtigungen erforderlich F r authentifizierte Scans auf Windows Systemen ist die Verwendung eines Administratorkontos notwendig Verschiedene Bulletins und Softwareupdates von Microsoft haben dazu gef hrt dass das Auslesen der Registrierung zur Ermittlung des Softwarepatchstandes ohne Administratorrechte unzuverl ssig ist Der Administratorzugriff ist erforderlich um direkt aus dem Dateisystem lesen zu k nnen Auf diese Weise kann Nessus eine Verbindung mit einem Computer herstellen und mithilfe einer direkten Dateianalyse den tats chlichen Patchstand des untersuchten Systems feststellen Unter Windows XP Professional funktioniert dieser Dateizugriff mit einem lokalen Administratorkonto nur dann wenn die Richtlinie Netzwerkzugriff Modell f r gemeinsame Nutzung und Sicherh
42. roberfl che des Nessus Scanners her und klicken Sie auf die Registerkarte Policies Richtlinien Erstellen Sie eine neue oder bearbeiten Sie eine vorhandene Richtlinie und w hlen Sie dann die Registerkarte Credentials Anmeldedaten auf der linken Seite aus W hlen Sie Windows credentials Windows Anmeldedaten aus dem Dropdownmen oben im Fenster aus 20 Compliance Credentials Windows credentials Credential Type Windows credentials SME account admin SME password ETITIITITT SME domain optional SME password type Password Additional 5MB account 1 Additional SMIB password 1 Additional SME domain optional 1 Geben Sie den SMB Kontennamen das Kennwort und optional die Dom ne an Klicken Sie unten im Fenster auf Submit Senden um die Konfiguration abzuschlie en Die neue Scanrichtlinie wird nun der Liste der verwalteten Scanrichtlinien hinzugef gt Nessus Befehlszeile f r UNIX nessus Dateien verwenden Nessus kann konfigurierte Scanrichtlinien Netzwerkziele und Berichte als nessus Datei speichern Die Erstellung einer nessus Datei die Windows Anmeldedaten enth lt ist weiter oben im Abschnitt Nessus User Guide Die Nessus Benutzeroberfl che beschrieben Hinweise zur Ausf hrung eines Befehlszeilenscans mithilfe der nessus Datei entnehmen Sie dem Nessus Benutzerhandbuch Dieses ist verf gbar unter http www tenable c
43. taste auf die Dom ne oder Organisationseinheit und w hlen Sie Vorhandenes Gruppenrichtlinienobjekt verkn pfen aus e W hlen Sie das Gruppenrichtlinienobjekt Nessus Scan GPO aus Windows XP und Windows 2003 konfigurieren F r die Durchf hrung authentifizierter Scans auf Windows XP oder Windows 2003 Systemen m ssen verschiedene Konfigurationsoptionen aktiviert werden 1 Der WMI Dienst muss auf dem Zielsystem aktiviert sein 2 Der Dienst Remote Registrierung muss aktiviert sein standardm ig ist er deaktiviert Er kann entweder vom Administrator oder durch Nessus f r fortlaufende Audits manuell aktiviert werden Mit den Plugins 42897 und 42898 kann Nessus den Dienst auf die Dauer des Scans beschr nken 3 Die Datei und Druckerfreigabe muss in der Netzwerkkonfiguration des Zielsystems aktiviert sein 4 Zwischen dem Nessus Scanner und dem Zielsystem m ssen die Ports 139 und 445 offen sein 5 Es muss ein SMB Konto verwendet werden das auf dem Zielsystem ber lokale Administratorrechte verf gt Unter Umst nden m ssen Sie die lokalen Windows Sicherheitsrichtlinien ndern da andernfalls der Zugriff oder geerbte Berechtigungen gesperrt werden k nnten Eine Richtlinie die authentifizierte Scans h ufig beeintr chtigt finden Sie unter Verwaltung gt Lokale Sicherheitsrichtlinie gt Sicherheitseinstellungen gt Lokale Richtlinien gt Sicherheitsoptionen gt Netzwerkzugriff Modell zur gemeinsamen Nutzung und Sic
44. tenable network security Authentifizierte Nessus Tests f r UNIX und Windows 17 Januar 2014 Revision 32 Inhaltsverzeichnis EEE NENNE Tee en ee a ee EEE STRENGE 4 Regeln Una KONVEnlIOnen zen niiair aa ei dunenerenneEeReuhe 4 bersicht ber authentifizierte Nessus Tests 2 222s 22000 00000n00nnn0nnnnnnnnunnnnnnnnunnnnunnnnnnnnunnnnun nun nnnun nun 4 ZWECK een ee een en eneE Tee Teen 4 AUS BES ZUOEIIES ven ee ae ee en een ee ee 5 Verwendete Technologien u2 4u02240020000enn nenn none nenn nenn nenne nenn nnnenennnnnnennnnenennnnnenennnnnnensnnenennsnnenennnnen 5 LIND SYS OT e ea zus nn Besen ea as ee us T ee enable Dee re ne ee 5 Benutzername UNA KERN WOR Een ee een nei ae ea naeh Deine 5 ffentliche private Schl ssel uu00u4nnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 6 BEIDES een ee een 6 VUMOOWS SYS EE a E EE E E E EE EEE 6 EE E d p ee ae ee 6 NEEM ENO NTENV een E E E 6 SMB SIOMIELLING aee E EEE E ee ee E ee 6 SPNE I eos nen E nen E E 7 POD TO E E E E E E E E E E EHUIRLERERNIEER 7 NTLMSSP NT Lan Manager Security Support Provider und LMV2 uuuusssssnnssnnnnnnnnennnnnnnnnnnnnennnnnnnnnnnnn nen 7 Windows Benutzernamen Kennw rter und Dom nen unuussusunsnannnnnnnnnnnnnnnnnnnnnnnn nen ann nun nnnnn ann nn nnnnn anne nn 7 Authentifizierte Tests auf UNIX Plattformen 2 2 200200200n0
45. tiviert sind Um diese Richtlinien jedoch verwenden zu k nnen m ssen sie zun chst kopiert werden und es m ssen ihnen ein bestimmtes SSH Schl sselpaar sowie ein bestimmtes Benutzerkonto hinzugef gt werden Die SSH Schl sselpaare werden von SecurityCenter verwaltet und an jeden verwalteten Nessus Scanner bergeben Sobald die ffentlichen SSH Schl ssel auf den gew nschten UNIX Hosts und die privaten Schl ssel unter SecurityCenter installiert wurden wird eine Vertrauensbeziehung hergestellt die es Benutzern gestattet sich von den Nessus Scannern aus an jedem UNIX Host anzumelden Besteht die Gefahr dass die Nessus Scanner nicht mehr sicher sind dann m ssen neue ffentliche und private SSH Schl ssel generiert werden Authentifizierte Tests auf Windows Plattformen Voraussetzungen Benutzerberechtigungen Ein Fehler der sehr h ufig gemacht wird besteht darin ein lokales Konto zu erstellen das nicht ber ausreichende Berechtigungen verf gt um eine Remoteanmeldung durchzuf hren und sinnvolle Ma nahmen zu ergreifen Standardm ig erhalten neue lokale Konten unter Windows Gastberechtigungen sofern die Anmeldung remote erfolgte Hierdurch werden remote ausgef hrte Sicherheitsl ckenaudits unm glich gemacht Ein weiterer h ufiger Fehler ist die Erweiterung des Zugriffs den Gastbenutzer erhalten k nnen Dies verringert die Sicherheit Ihres Windows Servers Windows Anmeldenamen f r lokale und Remoteaudits verwenden D
46. us dem Kontextmen aus alternativ doppelklicken Sie auf den Eintrag W hlen Sie Aktiviert Aktiviert aus Klicken Sie auf OK W hlen Sie Windows Firewall Eingehende Programmausnahmen festlegen aus klicken Sie mit der rechten Maustaste und w hlen Sie Bearbeiten aus dem Kontextmen aus alternativ doppelklicken Sie auf den Eintrag W hlen Sie Aktiviert aus Klicken Sie auf Anzeigen Geben Sie in den Definitionen f r die Portausnahmen Folgendes ein o 135 TCP enable o Hinweis In den oben genannten Eintr gen steht f r den Platzhalter damit sich beliebige IP Adressen in der Dom ne mit diesen Diensten verbinden k nnen Sie k nnen die Sicherheit steigern indem Sie nur bestimmte IP Adressen oder Adressbereiche bei denen Verwaltungstools die Verbindung mit dem Port herstellen oder die IP Adresse des Nessus Scanners zulassen Klicken Sie auf OK um die Liste der Firewall Richtlinien aufzurufen W hlen Sie Windows Firewall Eingehende Portausnahmen festlegen aus klicken Sie mit der rechten Maustaste und w hlen Sie Bearbeiten aus dem Kontextmen aus alternativ doppelklicken Sie auf den Eintrag W hlen Sie Aktiviert aus Klicken Sie auf das Feld Unerbetene eingehende Meldungen von diesen IP Adressen zulassen und geben Sie ein Hinweis In den oben genannten Eintr gen steht f r den Platzhalter damit sich beliebige IP Adressen in der Dom ne mit diesen Diensten verbinden k nnen Sie k nnen di
47. uss das Sicherheitsmodell Klassisch aufgerufen werden Gehen Sie zu diesem Zweck wie folgt vor 1 ffnen Sie Gruppenrichtlinie indem Sie auf Start gt Ausf hren klicken gpedit msc eingeben und abschlie end auf OK klicken 2 W hlen Sie Computerkonfiguration gt Windows Einstellungen gt Sicherheitseinstellungen gt Lokale Richtlinien gt Sicherheitsoptionen aus 3 ffnen Sie in der Liste die Richtlinie Netzwerkzugriff Modell zur gemeinsamen Nutzung und Sicherheitsmodell f r lokale Konten 4 W hlen Sie in diesem Dialog Klassisch lokale Benutzer authentifizieren sich als sie selbst aus und klicken Sie auf OK um die Auswahl zu speichern Dies hat zur Folge dass lokale Dom nenbenuitzer sich als sich selbst authentifizieren auch wenn sie f r den betreffenden Server eigentlich nicht lokal im engeren Sinne sind Ohne diesen Schritt m ssten sich alle Remotebenutzer einschlie lich der echten Benutzer in der Dom ne als Gast authentifizieren und w rden in diesem Fall nicht ber ausreichende Rechte zur Durchf hrung eines Remote Audits verf gen Beachten Sie dass das Tool gpedit msc in einigen Versionen wie dem von Tenable nicht unterst tzten Windows 7 Home nicht verf gbar ist Ein Dom nenkonto f r authentifizierte Scans konfigurieren Zur Erstellung eines Dom nenkontos f r hostbasierte Remote Audits auf einem Windo
48. wenden Halten Sie den SSH Daemon auf dem aktuellen Stand und verwenden Sie starke Kennw rter und oder noch st rkere Authentifizierungsmethoden Auf Windows Servern bieten die Terminaldienste ein ausreichendes Ma an Kontrolle ber die Dienste f r Nessus Windows In beiden F llen sollten Sie das System immer so aktuell wie m glich halten und keine nicht erforderlichen Netzwerkdienste ausf hren Anleitungen zum H rten von Systemen entnehmen Sie den CIS Benchmarks Center for Internet Security Sichere Implementierung von SSH Audits unter UNIX Verwenden Sie niemals SSH Kennw rter zur Durchf hrung von Remotescans Wenn Sie ein Netzwerk scannen m sste ein b swilliger Benutzer lediglich einen modifizierten SSH Daemon ausf hren und die Eingaben f r Benutzername und Kennwort aufzeichnen Auch wenn Sie f r jeden Host eine eindeutige Kombination aus Benutzername und Kennwort verwenden ist die Verwendung statischer Kennw rter risikobehaftet Wenn Sie sich ber ein gef hrdetes System mit einem Kennwort an einem Server anmelden besteht die Chance dass das Kennwort entwendet wird da es ber eine SSH Verbindung gesendet wird Nachdem der Angreifer den Remoteserver bernommen hat kann er den SSH Daemon durch einen eigenen ersetzen der die Kennw rter eingehender Verbindungen protokolliert Sichere Windows Audits Wenn die Option Only use NTLMv2 Nur NTLMv2 verwenden deaktiviert wurde ist es theoretisch m glich Nessus unter
49. wie die L sungen von Tenable Sie bei der Erf llung zahlreicher gesetzlicher Vorschriften und Finanzstandards unterst tzen Tenable Products Plugin Families Tenable Produkt Plugin Familien stellt eine Beschreibung und Zusammenfassung der Plugin Serien f r Nessus Log Correlation Engine und den Passive Vulnerability Scanner bereit SecurityCenter Administration Guide SecurityCenter Administratorhandbuch Weitere Onlineressourcen sind nachfolgend aufgef hrt Nessus Diskussionsforum https discussions nessus org Tenable Blog http www tenable com blog Tenable Podcast http www tenable com podcast Beispielvideos zum Gebrauch http www youtube com user tenablesecurity Tenable Twitterfeed http twitter com tenablesecurity Setzen Sie sich mit uns in Verbindung via E Mail support tenable com sales tenable com oder ber unsere Website unter http www tenable com Wissenswertes zu Tenable Network Security Wenn es um die fr hzeitige Erkennung neu entwickelter Sicherheitsl cken Bedrohungen und Compliance relevanter Risiken geht verlassen sich mehr als 20 000 Organisationen auf Tenable Network Security Hierzu geh ren neben dem gesamten US Verteidigungsministerium eine Reihe von Gro unternehmen und Regierungsbeh rden weltweit Die Nessus und SecurityCenter L sungen sind nach wie vor branchenf hrend beim Ermitteln von Sicherheitsl cken beim Verhindern von Angriffen und bei der Erf llung einer V
50. ws Server muss der Server unter einem der Betriebssysteme Windows Vista Windows XP Professional Windows 2003 Windows 2008 Windows 7 oder Windows 8 ausgef hrt werden und zudem Teil einer Dom ne sein Es sollten unter Ber cksichtigung der Sicherheit f nf allgemeine Schritte zur Einrichtung dieses Scans erfolgen Schritt 1 Sicherheitsgruppe einrichten Richten Sie zun chst eine Sicherheitsgruppe namens Nessus Local Access ein e Melden Sie sich beim Dom nencontroller an und ffnen Sie Active Directory Benutzer und Computer e Erstellen Sie die Sicherheitsgruppe im Men W hlen Sie dazu Aktion gt Neu gt Gruppe aus e Nennen Sie die Gruppe Nessus Local Access Achten Sie darauf dass als Bereich Global und als Typ Sicherheit festgelegt sind e F gen Sie der Gruppe Nessus Local Access das Konto hinzu das Sie zur Ausf hrung von authentifizierten Nessus Scans unter Windows verwenden werden Schritt 2 Gruppenrichtlinie einrichten Als N chstes m ssen Sie eine Gruppenrichtlinie namens Local Admin GPO einrichten e ffnen Sie die Gruppenrichtlinien Verwaltungskonsole e Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekte und w hlen Sie Neu aus e Geben Sie als Namen der Richtlinie Nessus Scan GPO ein Schritt 3 Richtlinie konfigurieren um die Gruppe Nessus Local Access als Administratoren festzulegen Hier f gen Sie der Richtlinie Nessus Scan GPO die Gruppe Nessus Local Access hinzu und legen sie in
Download Pdf Manuals
Related Search