8.3. Auswerten der Tools

Eine typische Analyse beginnt mit dem Einsatz eines Tools für das Sammeln von Informationen. Bei der Analyse des gesamten Netzwerks sollten Sie zuerst das Layout festlegen, um aktive Hosts zu identifizieren. Sobald diese gefunden wurden, sollten Sie jeden Host einzeln untersuchen. Das Untersuchen dieser Hosts bedarf weiterer Tools. Das Wissen, welche Tools für was verwendet werden, ist der wohl bedeutendste Schritt beim Aufdecken von Schwachstellen.

Wie bei jedem Aspekt des täglichen Lebens gibt es viele verschiedene Tools, die die gleiche Arbeit verrichten. Dieses Konzept lässt sich auch auf Schwachstellenanalysen anwenden. Es gibt Tools, die speziell für Betriebssysteme, Applikationen oder Netzwerke (basierend auf Protokollen) eingesetzt werden können. Einige Tools sind kostenlos, andere nicht. Einige Tools sind intuitiv und benutzerfreundlich, andere eher kryptisch und schlecht dokumentiert, oder besitzen Features, die andere Tools wiederum nicht haben.

Das Finden der richtigen Tools kann eine Herausforderung darstellen. Schlussendlich zählt die Erfahrung. Wenn möglich, richten Sie ein Testlabor ein und probieren soviele Tools aus wie nur möglich, und beachten Sie dabei die Stärken und Schwächen. Lesen Sie die README-Datei oder man-Seite zum Tool. Suchen Sie zusätzlich dazu im Internet nach weiteren Informationen wie Artikel, Schritt-für-Schritt-Anleitungen und Mailinglisten für ein Tool.

Die untenstehend beschriebenen Tools sind nur ein kleines Beispiel der erhältlichen Tools.

8.3.1. Scannen von Hosts mit Nmap

Nmap ist ein beliebtes Tool, das mit Red Hat Enterprise Linux ausgeliefert wird, und zum Feststellen eines Netzwerk-Layouts verwendet werden kann. Nmap ist schon seit vielen Jahren auf dem Markt und ist das wahrscheinlich am häufigsten verwendete Tool für die Sammlung von Informationen. Es enthält eine ausgezeichnete man-Seite, die detaillierte Informationen zu Optionen und Verwendung bietet. Administratoren können Nmap in einem Netzwerk verwenden, um Hosts und offene Ports auf diesen Systemen zu finden.

Nmap ist ein kompetenter erster Schritt bei der Schwachstellenanalyse. Sie können die Hosts in Ihrem Netzwerk aufzeigen und eine Option angeben, die versucht zu bestimmen, welches Betriebssystem auf einem bestimmten Host läuft. Nmap ist eine gute Grundlage für das Einführen sicherer Services und das Abstellen unbenutzter Services.

8.3.1.1. Nmap verwenden

Nmap kann von einem Shell-Prompt oder von einer grafischen Benutzeroberfläche aus verwendet werden. Geben Sie an einem Shell-Prompt den Befehl nmap gefolgt vom Hostnamen oder der IP-Adresse des zu scannenden Computers ein.

nmap foo.example.com

Die Ergebnisse des Scannens (die einige Minuten brauchen können, abhängig davon, wo sich der Host befindet), sollten wie folgt aussehen:

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on localhost.localdomain (127.0.0.1):
(The 1591 ports scanned but not shown below are in state: closed)
Port       State       Service
22/tcp     open        ssh
25/tcp     open        smtp
111/tcp    open        sunrpc
515/tcp    open        printer
950/tcp    open        oftep-rpc
6000/tcp   open        X11

Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds

Nmap prüft die häufigsten Ports für dieNetzwerkkommunikation auf mithörende oder wartende Services. Dieses Wissen ist sinnvoll für Administratoren, die unnötige Services abschalten möchten.

Weitere Informationen zu Nmap finden Sie auf der offiziellen Homepage unter folgender URL:

http://www.insecure.org/

8.3.2. Nessus

Nessus ist ein Komplett-Service Sicherheitsscanner. Die Plug-In-Architektur von Nessus ermöglicht Benutzern das Anpassen an ihre Systeme und Netzwerke. Wie mit jedem Scanner ist Nessus nur so gut wie die Signatur-Datenbank, die verwendet wird. Glücklicherweise wird Nessus häufig aktualisiert. Eigenschaften sind vollständige Berichterstattung, Host-Scanning und Echtzeit-Schwachstellensuche. Denken Sie jedoch daran, dass fehlerhafte Ergebnisse auch bei einem so leistungsstarken und häufig aktualisiertem Tool wie Nessus auftreten können.

AnmerkungHinweis
 

Nessus wird nicht mit Red Hat Enterprise Linux mitgeliefert und wird nicht unterstützt. Die Erwähnung in diesem Handbuch gilt nur als Referenz für Benutzer, die an dieser beliebten Applikation interessiert sind.

Weitere Informationen zu Nessus finden Sie auf der offiziellen Webseite unter folgender URL:

http://www.nessus.org/

8.3.3. Nikto

Nikto ist ein ausgezeichneter CGI-Scanner. Nikto hat die Fähigkeit, nicht nur CGI-Schwachstellen zu suchen, sondern diese auch so zu prüfen, dass Intrusion Detection Systeme umgangen werden. Es wird von ausgezeichneter Dokumentation begleitet, die vor dem Ausführen des Programms sorgfältig gelesen werden sollte. Wenn Sie Ihre Webserver, die CGI-Skriptebereitstellen, gefunden haben, ist Nikto eine ausgezeichnete Ressource für das Prüfen der Sicherheit dieser Server.

AnmerkungHinweis
 

Nikto wird nicht mit Red Hat Enterprise Linux mitgeliefert und wird nicht unterstützt. Die Erwähnung in diesem Handbuch gilt nur als Referenz für Benutzer, die an dieser beliebten Applikation interessiert sind.

Weitere Informationen zu Nikto finden Sie unter folgender URL:

http://www.cirt.net/code/nikto.shtml

8.3.4. VLAD the Scanner

VLAD ist ein Scanner, der vom RAZOR-Team bei Bindview, Inc. entwickelt wurde, und für das Prüfen auf Schwachstellen eingesetzt werden kann. Es prüft auf die SANS Top Ten Liste der häufigsten Sicherheitsprobleme (SNMP, Datei-Sharing, etc.). Obwohl er nicht soviele Eigenschaften wie Nessus besitzt, ist VLAD auf jeden Fall das Testen wert.

AnmerkungHinweis
 

VLAD wird nicht mit Red Hat Enterprise Linux mitgeliefert und wird nicht unterstützt. Die Erwähnung in diesem Handbuch gilt nur als Referenz für Benutzer, die an dieser beliebten Applikation interessiert sind.

Weitere Informationen zu VLAD finden Sie auf der Webseite des RAZOR-Teams unter folgender URL:

http://razor.bindview.com/tools/vlad/index.shtml

8.3.5. Ihre zukünftigen Bedürfnisse vorausplanen

Abhängig von Ihrem Ziel und den Ressourcen gibt es viele Tools auf dem Markt. Es gibt Tools für Wireless Netzwerke, Novell-Netzwerke, Windows Systeme, Linux Systeme und vieles mehr. Einen weiteren, wichtigen Teil der Analysen kann auch diephysische Sicherheit, Mitarbeiterüberwachung oder Voice/PBX-Netzwerkanalysen sein. Sie können neue Konzepte wie das War Walking — das Scannen der Perimeter der physischen Struktur des Unternehmens auf Schwachstellen im Wireless Netzwerk — erforschen und in Ihre Analysen übernehmen. Fantasie und Bloßstellung sind die einzigen Grenzen bei der Planung und Durchführung von Schwachstellenanalysen.