8.3. Auswerten der Tools
Eine typische Analyse beginnt mit dem Einsatz eines Tools f�r das Sammeln von Informationen. Bei der Analyse des gesamten Netzwerks sollten Sie zuerst das Layout festlegen, um aktive Hosts zu identifizieren. Sobald diese gefunden wurden, sollten Sie jeden Host einzeln untersuchen. Das Untersuchen dieser Hosts bedarf weiterer Tools. Das Wissen, welche Tools f�r was verwendet werden, ist der wohl bedeutendste Schritt beim Aufdecken von Schwachstellen.
Wie bei jedem Aspekt des t�glichen Lebens gibt es viele verschiedene Tools, die die gleiche Arbeit verrichten. Dies trifft auch auf Schwachstellenanalysen zu. Es gibt Tools, die speziell f�r Betriebssysteme, Applikationen oder Netzwerke (basierend auf Protokollen) eingesetzt werden k�nnen. Einige Tools sind kostenlos, andere wiederum nicht. Einige Tools sind intuitiv und benutzerfreundlich, andere eher kryptisch und schlecht dokumentiert oder besitzen Features, die andere Tools wiederum nicht haben.
Das Finden der richtigen Tools kann eine Herausforderung darstellen. Schlussendlich z�hlt die Erfahrung. Wenn m�glich, richten Sie ein Testlabor ein und probieren soviele Tools aus wie nur m�glich, und beachten Sie dabei die St�rken und Schw�chen. Lesen Sie die README-Datei oder man-Seite zum Tool. Suchen Sie zus�tzlich dazu im Internet nach weiteren Informationen wie Artikel, Schritt-f�r-Schritt-Anleitungen und Mailinglisten f�r ein Tool.
Die untenstehend beschriebenen Tools sind nur ein kleines Beispiel der erh�ltlichen Tools.
8.3.1. Scannen von Hosts mit Nmap
Nmap ist ein beliebtes Tool, das mit Red Hat Enterprise Linux ausgeliefert wird, und zum Feststellen eines Netzwerk-Layouts verwendet werden kann. Nmap ist schon seit vielen Jahren auf dem Markt und ist das wahrscheinlich am h�ufigsten verwendete Tool f�r die Sammlung von Informationen. Es enth�lt eine ausgezeichnete man-Seite, die detaillierte Informationen zu Optionen und Verwendung bietet. Administratoren k�nnen Nmap in einem Netzwerk verwenden, um Hosts und offene Ports auf diesen Systemen zu finden.
Nmap ist ein kompetenter, erster Schritt bei der Schwachstellenanalyse. Sie k�nnen die Hosts in Ihrem Netzwerk aufzeigen und eine Option angeben, die versucht zu bestimmen, welches Betriebssystem auf einem bestimmten Host l�uft. Nmap ist eine gute Grundlage f�r das Einf�hren sicherer Services und das Abstellen unbenutzter Services.
8.3.1.1. Nmap verwenden
Nmap kann von einem Shell-Prompt aus verwendet werden. Geben Sie an einem Shell-Prompt den Befehl nmap gefolgt vom Hostnamen oder der IP-Adresse des zu scannenden Computers ein.
Die Ergebnisse des Scannens (die einige Minuten brauchen k�nnen, abh�ngig davon, wo sich der Host befindet), sollten wie folgt aussehen:
Starting nmap V. 3.50 ( www.insecure.org/nmap/ )
Interesting ports on localhost.localdomain (127.0.0.1):
(The 1591 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
25/tcp open smtp
111/tcp open sunrpc
443/tcp open https
515/tcp open printer
950/tcp open oftep-rpc
6000/tcp open X11
Nmap run completed -- 1 IP address (1 host up) scanned in 71.825 seconds |
Nmap pr�ft die h�ufigsten Ports f�r die Netzwerkkommunikation auf mith�rende oder wartende Services. Dieses Wissen ist sinnvoll f�r Administratoren, die unn�tige Services abschalten m�chten.
Weitere Informationen zu Nmap finden Sie auf der offiziellen Homepage unter folgender URL:
https://www.insecure.org/
8.3.2. Nessus
Nessus ist ein Komplett-Service Sicherheitsscanner. Die Plug-In-Architektur von Nessus erm�glicht Benutzern das Anpassen an deren Systeme und Netzwerke. Wie mit jedem Scanner ist Nessus nur so gut wie die Signatur-Datenbank, die verwendet wird. Gl�cklicherweise wird Nessus h�ufig aktualisiert und dessen Features beinhalten vollst�ndige Berichterstattung, Host-Scanning und Echtzeit-Schwachstellensuche. Denken Sie jedoch immer daran, dass fehlerhafte Ergebnisse auch bei einem so leistungsstarken und h�ufig aktualisiertem Tool wie Nessus auftreten k�nnen.
| Hinweis |
---|
| Nessus wird nicht mit Red Hat Enterprise Linux mitgeliefert und wird nicht unterst�tzt. Die Erw�hnung in diesem Handbuch gilt nur als Referenz f�r Benutzer, die eventuell an dieser beliebten Applikation interessiert sind. |
Weitere Informationen zu Nessus finden Sie auf der offiziellen Homepage unter folgender URL:
https://www.nessus.org/
8.3.3. Nikto
Nikto ist ein ausgezeichneter CGI-Scanner (Common Gateway Interface). Nikto hat die F�higkeit, nicht nur CGI-Schwachstellen zu suchen, sondern diese auch so zu pr�fen, dass Intrusion-Detection-Systeme umgangen werden. Es wird von ausgezeichneter Dokumentation begleitet, die vor dem Ausf�hren des Programms sorgf�ltig gelesen werden sollte. Wenn Sie Webserver mit CGI-Skripten besitzen, ist Nikto eine ausgezeichnete Quelle f�r das Pr�fen der Sicherheit dieser Server.
| Hinweis |
---|
| Nikto wird nicht mit Red Hat Enterprise Linux mitgeliefert und wird nicht unterst�tzt. Die Erw�hnung in diesem Handbuch gilt nur als Referenz f�r Benutzer, die an dieser beliebten Applikation interessiert sind. |
Weitere Informationen zu Nikto finden Sie unter folgender URL:
https://www.cirt.net/code/nikto.shtml
8.3.4. VLAD Scanner
VLAD ist ein Schwachstellen-Scanner, der vom RAZOR-Team bei Bindview, Inc. entwickelt wurde und f�r das Pr�fen auf Schwachstellen eingesetzt werden kann. Es pr�ft laut SANS Top Ten Liste der h�ufigsten Sicherheitsprobleme (SNMP-Probleme, Datei-Sharing Fragen, etc.). Obwohl er nicht soviele Features wie Nessus besitzt, ist VLAD auf jeden Fall wert, genauer betrachtet zu werden.
| Hinweis |
---|
| VLAD wird nicht mit Red Hat Enterprise Linux mitgeliefert und wird nicht unterst�tzt. Die Erw�hnung in diesem Handbuch gilt nur als Referenz f�r Benutzer, die an dieser beliebten Applikation interessiert sind. |
Weitere Informationen zu VLAD finden Sie auf der Webseite des RAZOR-Teams unter folgender URL:
https://www.bindview.com/Support/Razor/Utilities/
8.3.5. Ihre zuk�nftigen Bed�rfnisse vorausplanen
Abh�ngig von Ihrem Ziel und den Ressourcen gibt es viele Tools auf dem Markt. Es gibt Tools f�r Wireless Netzwerke, Novell-Netzwerke, Windows Systeme, Linux Systeme und vieles mehr. Einen weiteren, wichtigen Teil der Analysen kann auch die physikalische Sicherheit, Mitarbeiter�berwachung oder Voice/PBX-Netzwerkanalysen sein. Sie k�nnen neue Konzepte wie das War Walking — das Scannen der Perimeter der physischen Struktur des Unternehmens auf Schwachstellen im Wireless Netzwerk — erforschen und in Ihre Analysen �bernehmen. Fantasie und Erfahrung im Umgang mit der Auffindung und L�sung von Sicherheitsproblemen sind die einzigen Grenzen bei der Planung und Durchf�hrung von Schwachstellenanalysen.