Sicher surfen und arbeiten
OpenVAS-Selbsttest für Ihre PC-Sicherheit - so geht's
OpenVAS ist ein realistischer, simulierter Hackerangriff, der zeigt, wie sicher Ihr PC ist. Wie Sie die Freeware installieren und einstellen, lesen Sie hier.
Wir zeigen, wie Sie den Sicherheits-Selbsttest mit OpenVAS machen und Ihren PC samt Internet testen können: Die beste Kette ist nur so gut wie ihr schwächstes Glied, sagt ein Sprichwort. Für Netzwerke, ganz gleich, ob im Unternehmen oder zu Hause, gilt dasselbe. Die beste Firewall nützt nichts, wenn eine fehlerhafte Anwendung schadhaften Code ausführen kann. Deshalb sollten Sie regelmäßig mit Pro werkzeugen Ihr Heimnetzwerk durchsuchen und Löcher schließen, bevor sich ungebetener Besuch bei Ihnen häuslich einrichtet. Unterstützung bietet Ihnen dabei das frei verfügbare Werkzeug OpenVAS. Es sucht in einem Netzwerk die angeschlossenen Geräte nach bekannten Angriffspunkten ab. Wird es fündig, simuliert es einen Angriff mit allen Raf nessen. Das Ergebnis des Scans gibt das Tool in einem detaillierten Bericht aus.
Im folgenden Artikel werden wir Ihnen zeigen, wie man OpenVAS installiert, die Grundeinstellungen vornimmt und einen ersten Test im Heimnetzwerk durchführt. Zusätzlich lernen Sie noch weitere Hilfsmittel kennen, die Sie bei der tieferen Analysedes Datenverkehrs im Netzwerk unterstützen.
Hinweis: Verwenden Sie OpenVAS nur im eigenen Netzwerk. Da das Tool aktiv versucht, Sicherheitslücken auszunutzen und in das angegriffene System einzudringen, ist ein Einsatz gegen fremde Rechner verboten und strafbar. Das unterscheidet OpenVAS von einem Portscanner. Ihr eigenes Netz zu testen, kann Ihnen niemand verbieten.
OpenVAS installieren - So gehts
OpenVAS wurde als quelloffene Weiterentwicklung des berühmten Vulnerability TestersNessus aufgesetzt. Seitdem Nessus in eine proprietäre Lizenz überführt wurde, wird OpenVAS selbstständig weiterentwickelt. Aktuell steht das Release 6 vom März 2013 zum Download in mehreren Versionen zur Verfügung. Auf der Webseite finden Sie den Quellcode oder bereits vorkompilierte Pakete für gängige Linux-Distributionen. Beides setzt voraus, dass Sie OpenVAS fest als Server auf einem Rechner installieren wollen.
Es gibt jedoch noch eine dritte Möglichkeit: die OpenVAS-6 Demo Virtual Appliance. Dabei handelt es sich um einen fertigen Server inklusive Betriebssystem, den Sie in einer virtuellen Maschine laufen lassen können. Das eignet sich sehr gut, um die Funktionen auszutesten. Neben dem Server benötigen Sie noch einen Client, um den Server zu steuern. Hier bietet sich der Greenbone Security Assistant an, der als Weboberfläche läuft und sich ebenfalls auf der Demo befindet.
Die Virtual Appliance liegt als OVA-Datei vor. Das Format hat nichts mit OpenVAS zu tun, sondern stellt eine Partition im Open Virtualisation Format zur Verfügung. Dieses Format kann von allen Virtualisierungsumgebungen wie Virtualbox oder Vmware importiert werden. Damit Sie also die Virtual Appliance starten können, ist noch etwas Vorarbeit nötig. Sollten Sie noch keine Virtualisierungsumgebung installiert haben, laden Sie sich bitte die aktuelle Version von Virtualbox und installieren sie. Anschließend importieren Sie die Virtual Appliance unter Datei/Importieren. Sie können alle Voreinstellungen übernehmen.
Bei diesem Vorgang wird von Virtualbox eine Kopie der Daten in einem eigenen Formatangelegt. Nach Abschluss des Vorgangs können Sie also die ursprüngliche OVADatei wieder löschen. Nun ist die Virtual Appliance fertig zum Start. Nach dem Bootvorgang sehen Sie eine Kommandozeile, an der Sie sich mit dem Benutzernamen openvas und dem gleichen Kennwort anmelden können. Der Vorteil ist, dass Sie nun die IP-Adresse des Scanners im Netzwerk angezeigt bekommen. Der Vulnerability-Scanner-Server ist aber auch ohne Anmeldung bereits lauffähig.
Jetzt können Sie sich von jedem Rechner im Netzwerk an dem Scanner anmelden. Dazu geben Sie mit einem vorangestellten https:// die IP-Adresse der Appliance in Ihrem Webbrowser ein und bestätigen, dass Sie dem bisher unbekannten Zertifikat vertrauen. Anschließend empfängt Sie der Anmeldebildschirm des Greenbone Security Assistant mit einem unfreundlich schauenden Dackel.
Voreingestellt ist hier der Benutzer admin mit dem Kennwort admin. Nachdem Sie sich erfolgreich angemeldet haben, können Sie bereits einen ersten Test starten. Besser ist es jedoch, das System auf den neuesten Stand zu bringen. Denn OpenVAS bietet ähnlich wie eine Anti-Viren-Lösung regelmäßig neue Pakete mit Sicherheitslücken an. Zum Aktualisieren legen Sie unter Administration/User einen neuen Benutzer an und schränken seinen Scanbereich auf das lokale Netzwerk ein.
Anschließend aktualisieren Sie unter Administration/NVT Feed, SCAP Feed und CERT Feed die Kollektion der Testskripte. Den Kern stellen die NVTs dar. NVT steht für Network Vulnerability Test. Sie können auch eigene Skripte anlegen, Details dazu finden Sie auf den Seiten für Entwickler.
Den ersten Angriff mit OpenVAS durchführen
Wichtig für einen Angriff ist, dass er von einem eigenen Rechner aus ausgeführt wird. Wollen Sie testen, wie sicher Ihr Netz von außen ist, müssen Sie den Test sogar von einem anderen Netz aus starten (z.B. per UMTS). Nur dann sehen Sie, wie gut Ihre Router-Firewall Sie schützt (zumeist nicht schlecht). Aber auch Angriffe innerhalb des eigenen Netzes können aufschlussreich sein. Den Angriff starten Sie am einfachsten in Greenbone unter Scan Management/New Task. Klicken Sie auf das Icon mit dem Zauberstab. Daraufhin erscheint ein Task Wizard. Sie brauchen lediglich eine IP-Adresse des Zielrechners eingeben. OpenVAS gibt weitere Standardeinstellungen vor. Das genügt auch für den ersten Durchgang.
Nach etwa fünf Minuten sollte ein Ergebnis vorliegen. Zwischenzeitlich können Sie sich auch den Status in der Rubrik Scan Management/Tasks anzeigen lassen. Wenn der Test abgeschlossen ist, lassen Sie sich in den Task Details das Ergebnis anzeigen. OpenVAS unterteilt die entdeckten Sicherheitslöcher in die Gefahrenklassen High, Medium und Low. Sie werden in einem umfangreichen Report mit vielen Zusatzinformationen aufgelistet. Neben einer detaillierten Beschreibung der Sicherheitslücke und einem Verweis auf zusätzliche Informationen im Internet findet sich auch jeweils ein Tipp, wie die Lücke geschlossen werden kann. Das macht den Report zu einem unverzichtbaren Hilfsmittel bei der Pflege eines Netzwerks.
Der Report lässt sich praktischerweise in vielen Formaten exportieren, neben vielen Austauschformaten auch als PDF- oder HTML-Datei. Ebenso können Anwender bestimmte Ergebnisse herausfiltern. Das erleichtert die anschließende Analyse und Reparatur des untersuchten Systems.
Ein gut gepflegtes System, auf dem regelmäßig Updates eingespielt wurden und das über eine Anti-Malware-Suite verfügt, sollte nur wenige Lücken aufweisen. Anders sieht es aus bei Rechnern mit veralteter Software, die für den Einsatz im Internet, zum Beispiel als Webserver, geplant sind. Diese Fälle sind sehr interessant für Angreifer und Datenspione.
