Login: Support | Partner    
 
Home » Learning Center » Task: CPE-basiert Richtlinien prüfen 

Task: CPE-basiert Richtlinien prüfen

CPE steht für Common Product Enumeration. Es handelt sich um ein strukturiertes Benennungsschema für IT-Systeme, IT-Platformen und Softwarepakete.

Mit anderen Worten: CPE bietet eine eindeutige Identifikationsnummer für praktisch jedes Softwareprodukt für das eine Schwachstelle bekannt ist.

Das CPE-Verzeichnis wird von MITRE und NIST gepflegt. MITRE pflegt ebenfalls CVE (Common Vulnerability Enumeration) und andere relevante Sicherheits-Standards.

CPE-basiert einfache Sicherheitsrichtlinien prüfen

top^

Bei jedem Scan-Vorgang werden die CPEs zu den vorgefundenen Produkten erfasst. Dies passiert unabhängig von der Frage ob die Produkte ein Sicherheitsproblem aufweisen oder nicht.

Auf dieser Basis ist es möglich einfache Sicherheitsrichtlinien zu formulieren und deren Einhaltung zu prüfen.

Mit dem Greenbone Security Manager lassen sich sowohl Richtlinien auf das Vorhandensein von Produkten als auch auf das Fehlen von Produkten formulieren. Diesen Fällen kann jeweils ein Schwergrad zugeordnet werden der dann entsprechend im Bericht auftauchen wird.

Problematische Produkte auffinden

top^

Dieses Beispiel zeigt wie das Vorhandensein eines bestimmten Produktes in einer IT-Umgebung als schwerwiegendes Problem eingestuft und entsprechend berichtet wird.

  1. Die Information ob ein bestimmtes Produkt auf den Zielsystemen vorliegt wird durch ein spezielles oder auch unabhängig voneinander von verschiedenen Network Vulnerability Tests (NVTs) eingeholt.

    D.h., dass man für ein bestimmtes Produkt eine spezifische Scan Configuration erstellen kann die sich ausschließlich auf diese Produkt konzentriert und keine anderen Scans ausführt.

    Der Vorteil einer solchen speziellen Scan Configuration ist, dass sie wesentlich schneller ausgeführt werden kann als eine umfangreiche Scan Configuration wie z.B. "Full and Fast".

    Der Nachteil einer speziellen Scan Configuration ist, dass man eine gewisse Erfahrung mitbringen sollte um genau die richtigen NVTs auszuwählen und dabei auch eine maximale Trefferwahrscheinlichkeit zu erreichen.

    Für den Anfang ist es einfacher, eine umfangreiche Scan Configuration als Basis zu verwenden. Dann braucht man sich nicht um das zu suchende Produkt im besonderen zu kümmern sondern trägt nur dessen CPE entsprechend ein.

    Dieses Beispiel geht den einfachen Weg. Als erstes wird eine Kopie der Scan Configuration "Full and Fast" erstellt, denn "Full and Fast" ist als voreingestellte Scan Configuration nicht änderbar.

  2. Bearbeiten Sie die eben erstellte Scan Configuration indem sie auf klicken.

  3. Auf der Übersichtsseite zu dieser Scan Configuration werden im Abschnitt "Network Vulnerability Test Preferences" alle NVTs die man Parametrisieren kann augelistet. Über kann direkt zur Bearbeitung eines bestimmten NVTs gesprungen werden anstatt sich durch die Familienstruktur durchzuclicken.

  4. Es läßt sich entweder eine einzelne CPE (in diesem Beispiel wird Internet Explorer 7 angebgeben) direkt angeben oder mit Semikolon getrennt eine Liste von CPEs.

    In diesem Beispiel wird eingestellt, dass der Schweregrad "High" ausgelöst wird sofern die CPE vorgefunden wird ("present").

    Bestätigen Sie Ihre eingaben mit "Save Config".

  5. Falls die Erkennungsleistung über lokale Sicherheitstests erhöht werden soll, dann sollte zunächst ein entsprechender Zugang konfiguriert werden. Falls noch nicht geschehen, erstellen Sie dafür einen ensprechenden Anwender auf den Zielsystemen (ein niedrig privilegiertes Benutzer-Konto reicht aus).

  6. Nun werden die Zielsysteme (Targets) festgelegt und ggf. mit den entsprechenden Credentials verknüpft.

  7. Als nächstes wird die Aufgabe (Task) erstellt. Dafür kombinieren Sie die oben erstellte Scan Configuration mit den erstellten Zielsystemen.

  8. Der Scan wird gestartet in dem für den eben erstellten Task auf geklickt wird. Es kann einige Zeit dauern, bis der Scan abgeschlossen ist. Den aktuellen Stand des Scans erhalten Sie indem Sie auf klicken.

  9. Sobald der Status auf "Done" wechselt, ist der vollständige Bericht verfügbar. Sie können aber auch schon während des Scans die bereits gefundenen Ergebnisse einsehen.

    Um sich nur die Ergebnisse der Prüfung der CPE-basierten Sicherheitsrichtlinie anzeigen zu lassen, läßt sich ein enstprechender Filter formulieren (Suchtext "cpe" und, in diesem Beispiel Bedrohungskategorie "High").

  10. In diesem Beispiel wurde der Internet Explorer 7 auf einem der Zielsysteme gefunden und als schwerwiegendes Problem berichtet.

Abwesenheit wichtiger Produkte feststellen

top^

Dieses Beispiel zeigt wie das Fehlen eines bestimmten Produktes in einer IT-Umgebung als schwerwiegendes Problem eingestuft und entsprechend berichtet wird.

  1. Führen Sie die Schritte 1 bis 3 wie bei der oben Beschriebenen Methode zum auffinden problematischer Produkte durch.

    Bedenken Sie bei der Wahl eines allgemeinen Scans wie "Full and Fast", dass dann sowohl die reine Anwesenheit eines Produktes auf der Festplatte als auch dessen Ausführung (besonders z.B. als Dienst) gleich behandelt wird.

    D.h., falls Sie ganz sicher sein wollen, dass das gewünschte Produkt auch tatsächlich als Dienst aktiv läuft sollten die Prüfungen die lediglich das Vorhandensein prüfen ausgeschaltet werden. Wenn Sie sich die Arbeit noch nicht machen wollen, können Sie bei ausgelösten Alarm aber auch anhand der einzelnen Testergebnisse nachlesen ob ein Dienst oder nur eine Installation gefunden wurde.

  2. Diesmal wird die Konfiguration von "CPE-based Policy Check" so vorgenommen, dass der Schweregrad "High" ausgelöst wird sofern Norton Antivirus auf den Zielsystemen fehlt.

  3. Soll auch das reine Vorhandensein einer Installation des Produktes berücksichtigt werden, dann kann die die Erkennungsleistung über lokale Sicherheitstests erhöht werden. Konfigurieren Sie in diesem Fall einen entsprechender Zugang. Falls noch nicht geschehen, erstellen Sie dafür einen ensprechenden Anwender auf den Zielsystemen (ein niedrig privilegiertes Benutzer-Konto reicht aus).

    In Fällen in denen Sie einen laufenden Netzwerk-Dienst suchen, macht dies in der Regel keinen Sinn sondern erhöht die Anzahl der Fehlalarme ("False Positives"').

  4. Nun werden die Zielsysteme (Targets) festgelegt und ggf. mit den entsprechenden Credentials verknüpft.

  5. Als nächstes wird die Aufgabe (Task) erstellt. Dafür kombinieren Sie die oben erstellte Scan Configuration mit den erstellten Zielsystemen.

  6. Der Scan wird gestartet in dem für den eben erstellten Task auf geklickt wird. Es kann einige Zeit dauern, bis der Scan abgeschlossen ist. Den aktuellen Stand des Scans erhalten Sie indem Sie auf klicken.

  7. Sobald der Status auf "Done" wechselt, ist der vollständige Bericht verfügbar. Sie können aber auch schon während des Scans die bereits gefundenen Ergebnisse einsehen.

    Um sich nur die Ergebnisse der Prüfung der CPE-basierten Sicherheitsrichtlinie anzeigen zu lassen, läßt sich ein enstprechender Filter formulieren (Suchtext "cpe" und, in diesem Beispiel Bedrohungskategorie "High").

  8. In diesem Beispiel wurde Norton Antivirus auf einem der Zielsysteme nicht gefunden.


Greenbone Networks GmbH © 2009-2013
Alle Rechte vorbehalten. Impressum. Datenschutzerklärung. AGB.
Kontakt
FAQ