<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//DE">
<HTML>
<HEAD>
<META http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<META NAME="GENERATOR" CONTENT="lfparser_2.19">
<META NAME="LFCATEGORY" CONTENT="System Administration">
<!-- this is used be a number of tools:
=LF=AUTHOR: Georges Tarbouriech
=LF=CAT___: System Administration
=LF=TITLE_: Nessus: another brick in the (security) wall, nur ein weiterer Stein in der (Sicherheits-)Mauer
=LF=NUMBER: 217
=LF=ANAME_: article217.shtml
-->
<TITLE>lf217, System Administration: Nessus: another brick in the (security) wall, nur ein weiterer Stein in der (Sicherheits-)Mauer</TITLE>
<!-- stylesheet added by lfparser: -->
<style type="text/css">
<!--
td.top {font-family: Arial,Geneva,Verdana,Helvetica,sans-serif; font-size:12 }
pre { font-familiy:monospace,Courier }
p.cl { color:#EE9500 }
a.nodec { text-decoration:none }
p.trans { font-size:8pt; text-align:right }
p.clbox { width:50%; alignment:center; background-color:#FFD700; border-style:none; border-width:medium; border-color:#FFD700; padding:0.5cm ; text-align:center }
p.foot { background-color:#AAAAAA; color:#FFFFFF; border-style:none; border-width:medium; border-color:#AAAAAA; padding:0.5cm ; margin-top:0.1cm; margin-right:1cm; margin-left:1cm; text-align:center }
-->
</style>
</HEAD>
<BODY bgcolor="#ffffff" text="#000000">
<!-- this is generated html code. NEVER use this file for your
translation work. Instead get the file with the same article number
and .meta.shtml in its name. Translate this meta file and then
use lfparser program to generate the final article -->
<!-- lfparser can be obtained from http://www.linuxfocus.org/~guido/dev/lfparser.html -->
<!-- 2pdaIgnoreStart -->
<!-- start navegation bar -->
<!-- top navegation bar -->
<TABLE cellspacing="0" cellpadding="0" border="0" align="center" width="90%">
<TR bgcolor="#2e2292">
<TD class="top"><TABLE cellspacing="0" cellpadding="0" border="0" width=
"100%">
<TR><TD width="144"><IMG src="../../common/images/logolftop.gif"
alt="[LinuxFocus-icon]" width="350" height="45" align="left"
border="0"></TD>
<TD class="top">
<TABLE width="100%">
<TR align="right">
<TD class="top"><A class="nodec" href="../index.shtml"><FONT color=
"#DDDDDD" size="-1">Home</FONT></A> | <A class=
"nodec" href="../map.html"><FONT color=
"#DDDDDD" size="-1">Plan</FONT></A> | <A class=
"nodec" href="../indice.html"><FONT color=
"#DDDDDD" size="-1">Index</FONT></A> | <A class="nodec" href="../Search/index.html"><FONT color=
"#DDDDDD" size="-1">Suchen</FONT></A> </TD>
</TR>
<TR align="right">
<TD class="top">
<HR width="100%" noshade size="1">
</TD>
</TR>
</TABLE>
</TD>
</TR>
</TABLE>
</TD>
</TR>
</TABLE>
<!-- end top navegation bar -->
<!-- blue bar -->
<TABLE cellspacing="0" cellpadding="0" border="0" align="center"
width="90%">
<TR bgcolor="#00ffff">
<TD><IMG src="../../common/images/transpix.gif" width="1" height=
"2" alt=""></TD>
</TR>
</TABLE>
<!-- end blue bar -->
<!-- bottom navegation bar -->
<TABLE cellspacing="0" cellpadding="0" border="0" align="center"
width="94%">
<TR bgcolor="#000000">
<TD>
<TABLE cellspacing="0" cellpadding="1" border="0" width=
"100%">
<TR align="center">
<TD><A class="nodec" href="../News/index.shtml"><FONT color=
"#FFFFFF">Nachrichten</FONT></A> </TD>
<TD><FONT color="#FFFFFF">|</FONT> </TD>
<TD><A class="nodec" href="../Archives/index.html"><FONT color=
"#FFFFFF">Archiv</FONT></A> </TD>
<TD><FONT color="#FFFFFF">|</FONT> </TD>
<TD><A class="nodec" href="../Links/index.shtml"><FONT color=
"#FFFFFF">Links</FONT></A> </TD>
<TD><FONT color="#FFFFFF">|</FONT> </TD>
<TD><A class="nodec" href="../aboutus.html"><FONT color=
"#FFFFFF">Über uns</FONT></A> </TD>
</TR>
</TABLE>
</TD>
</TR>
</TABLE>
<!-- end bottom navegation bar -->
<!-- stop navegation bar -->
<!-- SSI_INFO -->
<!-- tr_staticssi include virtual -->
<!-- tr_staticssi exec cmd -->
<!-- addedByLfdynahead ver 1.1 --><TABLE ALIGN="right" border=0><TR><TD ALIGN="right"><FONT SIZE="-1" FACE="Arial,Helvetica">Dieser Artikel ist verfübar in: <A href="../../English/November2001/article217.shtml">English</a> <A href="../../Castellano/November2001/article217.shtml">Castellano</a> <A href="../../Deutsch/November2001/article217.shtml">Deutsch</a> <A href="../../Francais/November2001/article217.shtml">Francais</a> <A href="../../Portugues/November2001/article217.shtml">Portugues</a> <A href="../../Russian/November2001/article217.shtml">Russian</a> <A href="../../Turkce/November2001/article217.shtml">Turkce</a> </FONT></TD></TR></TABLE><br>
<!-- SSI_INFO STOP -->
<!-- 2pdaIgnoreStop -->
<!-- SHORT BIO ABOUT THE AUTHOR -->
<TABLE ALIGN=LEFT BORDER=0 WIDTH="30%" >
<TR>
<TD>
<!-- 2pdaIgnoreStart -->
<!-- PALM DOC -->
<TABLE BORDER=0 hspace=4 vspace=4> <TR> <TD>
<font size=1> <img src="../../common/images/2doc.gif" width=34 align=left border=0 height=22 alt="convert to palm"><a href="http://cgi.linuxfocus.org/cgi-bin/2ztxt">Convert to GutenPalm</a><br>or <a href="http://cgi.linuxfocus.org/cgi-bin/2pda">to PalmDoc</a></font>
</TD> </TR> </TABLE>
<!-- END PALM DOC -->
<!-- 2pdaIgnoreStop -->
<br>
<IMG src="../../common/images/Georges-Tarbouriech.jpg" alt=
"[Photo of the Author]" height="124" width="115">
<BR>von Georges Tarbouriech <br> <font size="1"><georges.t(at)linuxfocus.org></font>
<BR><BR>
<I>Über den Autor:</I><BR>
<P>Georges benutzt Unix schon seit langem. Seiner Meinung nach ist
Computersicherheit eine der großen Herausforderungen dieses
Jahrhunderts. <BR></P>
<!-- TRANSLATED TO de -->
<BR><BR><I>Übersetzt ins Deutsche von:</I><BR>
Hubert Kaißer <font size="1"><hubert.kaisser(at)botb.de></font>
<!-- TRANSLATED TO STOP -->
<BR><BR><i>Inhalt</i>:
<UL>
<LI><A HREF="#217lfindex0">Nessus runterladen und installieren</A></LI>
<LI><A HREF="#217lfindex1">Nessus konfigurieren und ausführen</A></LI>
<LI><A HREF="#217lfindex2">Nessus bei der Arbeit</A></LI>
<LI><A HREF="#217lfindex3">Plugins</A></LI>
<LI><A HREF="#217lfindex4">Und nun zu etwas völlig anderem!</A></LI>
<LI><A HREF="#217lfindex5">Nun ist es vorbei!</A></LI>
<LI><A HREF="http://cgi.linuxfocus.org/cgi-bin/lftalkback?anum=217&lang=en">Talkback für diesen Artikel</A></LI>
</UL>
</TD></TR></TABLE>
<!-- HEAD OF THE ARTICLE -->
<br>
<H2>Nessus: another brick in the (security) wall, nur ein weiterer Stein in der (Sicherheits-)Mauer</H2>
<IMG src="../../common/images/article217/illustration217.png"
hspace="10" width="177" height="172" alt="[illustration]">
<!-- ABSTRACT OF THE ARTICLE -->
<P><i>Zusammenfassung</i>:
<P>
<P>
Nessus ist ein freier Security Scanner, den man von <A href=
"http://www.nessus.org/">http://www.nessus.org/</A> herunterladen
kann. Renaud Deraison hat das Projekt initiiert und er pflegt es.
Zur Zeit der Erstellung dieses Artikels ist die stabile Version
1.09 und die experimentelle 1.14. Die Software ist unter der GPL
lizenziert und viele Leute tragen zu dem Projekt, speziell zu den
Plugins, bei... während einige andere Leute von Nessus profitieren
ohne den Namen überhaupt zu erwähnen (mehr davon am Ende dieses
Artikels). Nessus arbeitet auf vielen Unixvarianten als Client und
als Server und auf Win32 als Client. Lassen Sie uns dieses
großartige Werkzeug betrachten.
</P></P>
<HR size="2" noshade align="right"><BR>
<!-- BODY OF THE ARTICLE -->
<A NAME="217lfindex0"> </A>
<H2>Nessus runterladen und installieren</H2>
<P>
Unter <A href=
"http://www.nessus.org/">http://www.nessus.org/</A> ist diese
großartige Software erhältlich. Da Nessus als Client für win32
erhältlich ist, ist die Betrachtung der Posixversion in diesem
Artikel naheliegend.
<br>
Um Nessus zu benutzen, braucht man mindestens nmap und Gtk (Gimp
Toolkit). Von der Nessus Webseite führen Links dort hin. Aber da
man Nessus auf der Kommandozeile benutzen kann, ist Gtk nicht
unbedingt notwendig.
<br>
Man kann Nessus auf drei verschiedene Arten bekommen: die gute, die
schlechte und die häßliche.
<br>
Die gute ist der normale Weg, das heißt, man lädt die Archive von
der nächstgelegenen FTP-Site. Es gibt vier Archive: die
Nessus-Bibliotheken, die NASL-Bibliotheken, den Nessus-Kern und die
Nessus-Plugins. Einmal ausgepackt, erstellt und installiert man sie
wie gewohnt: ./configure, make, make install, in der Reihenfolge der
obigen Archive. Wenn eine frühere Version auf dem Rechner
installiert ist, muß diese zuerst entfernt werden. Um dies zu
erreichen, hält nessus ein Deinstallationsscript bereit, welches nach
dem ersten "./configure" ausgeführt werden muß, es ist das Script welches
im Nessus-Bibliotheken Verzeichnis steht.
Das Script ist vor dem ersten "make"
auszuführen. Das gleiche ist bei allen vorhandenen Paketen zu tun
(außer das Ausführen des uninstall-Scripts) und man ist fertig.
<br>
Der schlechte Weg besteht darin, ein runterladbares Script namens
nessus-installer.sh auszuführen. Dann wird "sh nessus-installer.sh"
das Paket automatisch installieren. Die vier Pakete müssen nicht
getrennt installiert weden. Es ist jetzt nur ein eigenes Paket.
<br>
Der häßliche Weg: sobald man lynx auf dem Rechner installiert hat
und man mit dem Internet verbunden ist, muß man nur "lynx
-source http://install.nessus.org | sh" tippen und das wars. Man
darf NICHT root sein, um dies zu tun.
<br>
Offenbar ist der empfohlene Weg der "gute" Weg,... wenn man nessus
herunterlädt ist Sicherheit von Wichtigkeit! Wenn wir schon von
Wichtigem reden: man sollte nicht vergessen die MD5 Checksums
runterzuladen.
<br>
Nessus beinhaltet verschiedene Utilities (nasl, eine Scriptsprache,
nessus-adduser, nessus-build...). Alle Utilities haben ihre
eigene Manpage für den Client und für den Server. Mehr Dokumentation
gibt es in der Distribution (README, INSTALL,...) oder auf der
Nessus-Webseite.
</p>
<A NAME="217lfindex1"> </A>
<H2>Nessus konfigurieren und ausführen</H2>
<p>
Um das Vorgehen zu illustrieren, hier einige Beispiele mit der Nessus
X11-Version, jene mit Gtk.
</p>
<strong>Der nessusd-Server</strong>
<p>
Um Nessus zu starten, muß man offensichtlich den Serverdaemon
nessusd starten. Wenn man den Daemon zum ersten Mal startet, muß man
den Benutzernamen und das Paßwort angeben, indem man den
nessus-adduser-Befehl benutzt.
Wenn das Nessus-Bibliothekenpaket mit der Option "--enable-cipher"
kompiliert wurde (empfohlen, um nicht zu sagen zwingend!), wird ein
Private Key generiert. Dieser Key kann mit einem Passwort geschützt
werden. Viele Optionen sind verfügbar, wenn man den Server startet
und man findet alle in der Manpage von Nessus.
<br>
Davon ausgehend, kann man die Benutzerdatenbank und die
entsprechenden Regeln erzeugen. Das heißt, wer den Serverdaemon
ausführen darf, was er scannen darf (einen Rechner, ein
Netzwerk...). Die Regeln folgen der Form "accept" oder "deny",
gefolgt von einer Netzwerk-IP-Adresse mit ihrer Netmask.
<br>
Zum Beispiel erlaubt accept 192.168.1.0/24 dem Benutzer, das ganze
192.168.1er-Netzwerk auszutesten.
<br>
Es ist ebenso möglich, einen einzigen Benutzer zu definieren, der
überhaupt keine Regeln hat. Wenn man mehreren Benutzern erlauben
will nessusd auszuführen, muß man sehr vorsichtig sein, was man
ihnen erlauben will. Man kann schließlich nicht jeden alles im
Netzwerk machen lassen.
<br>
Nicht zuletzt ist nessusd auf eine Konfigurationsdatei angewiesen, die
man (gewöhnlich) in /usr/local/etc/nessus/nessusd.conf findet. Diese
Datei kann man von Hand ändern, sobald man weiß, was man tut.
</p>
<strong>Der nessus-Client</strong>
<p>
Man kann den nessus-Client starten, um sich mit einem nessusd-Server
zu verbinden. Um den Client auszuführen, reicht es, "nessus &" in
einer Shell einzugeben. Das öffnet das Nessus-Setup-Fenster, nachdem
es das oben erwähnte Passwort abfragt. Dieses Fenster stellt sieben
Tabs zur Verfügung.
<br>
Das erste Tab heißt "nessusd host". Von da kann man zum
nessusd-Rechner verbinden, indem man auf den "Log in"-Knopf klickt.
Natürlich unter der Voraussetzung, daß man sich als dieser Benutzer
einloggen darf, in anderen Worten, daß der Benutzername in der
Benutzerdatenbank vorhanden ist.
<br><br>
<P><center><A HREF="../../common/images/article217/host.jpg"><IMG
SRC="../../common/images/article217/hostth.jpg" width="233" height="297" ALT="nessusd host"></A></center>
<br><br>
Das zweite Tab betrifft die Plugins. Dort aktiviert oder deaktiviert
man die benutzten Plugins, die während der Scan benutzt werden.
Zum Beispiel kann man die gefährlichen Plugins deaktivieren (jene,
die einen Rechner zum Absturz bringen können!). Wenn man auf ein
Plugin klickt, zeigt der untere Teil des Fensters einige
Informationen über dieses Plugin.
<br><br>
<center><A HREF="../../common/images/article217/plug.jpg"><IMG
SRC="../../common/images/article217/plugth.jpg" width="233" height="297" ALT="plugins" ALIGN=TEXTTOP></A>
<A HREF="../../common/images/article217/plugd.jpg"><IMG
SRC="../../common/images/article217/plugdth.jpg" width="200" height="265" ALT="plugin detail"
ALIGN=TEXTTOP></A></center>
<br><br>
Das dritte Tab ermöglicht die Einstellungen für das Plugin
vorzunehmen. Das betrifft ping, TCP, FTP... Hier kann man sehr gut
abstimmen wie man Nessus benutzen will, um den Zielrechner, die
Zielrechner oder das Zielnetzwerk zu scannen.
<br><br>
<P><center><A HREF="../../common/images/article217/prefs.jpg"><IMG
SRC="../../common/images/article217/prefsth.jpg" width="233" height="297" ALT="preferences"></A></center>
<br><br>
Das vierte Tab erlaubt die Definition der Scanoptionen und den
benutzten Portscanner. Üblicherweise ist dies nmap.
<a href="../July2001/article170.shtml">>Hier mehr über nmap<</a>.
<br><br>
<P><center><A HREF="../../common/images/article217/scop.jpg"><IMG
SRC="../../common/images/article217/scopth.jpg" width="233" height="297" ALT="scan options"></A></center>
<br><br>
Das fünfte Tab ist zum Einstellen des Ziels des Scans. Im Zielfeld
kann man den Namen eines Rechners, die Namen verschiedener Rechner,
getrennt durch Kommas, eine oder mehrere IPs, wiederum getrennt
durch Kommas oder eine Netzwerkadresse mit ihrer Netzmaske angeben
(zum Beispiel 192.168.1.0/24). Es gibt auch ein Kästchen, um einen
DNS-Zonentransfer durchzuführen. Das heißt, wenn man zu einem
DNS-Server verbindet, wird nessus versuchen eine Liste der Rechner in
dieser Domain zu bekommen.
<br><br>
<P><center><A HREF="../../common/images/article217/targ.jpg"><IMG
SRC="../../common/images/article217/targth.jpg" width="233" height="297" ALT="target selection"></A></center>
<br><br>
Das sechste Tab erlaubt es dem Benutzer sein Passwort zu ändern,
seinen Private Key zu löschen oder Regeln hinzuzufügen.
<br><br>
<P><center><A HREF="../../common/images/article217/user.jpg"><IMG
SRC="../../common/images/article217/userth.jpg" width="233" height="297" ALT="user"></A></center>
<br><br>
Nicht zuletzt öffnet das siebente Tab das Creditsfenster, welches auch
die Versionsnummer enthält. Das sind alle Informationen, die man
haben muß, wenn man Nessus für ein anderes Projekt nutzen will...
Nun, es sollte so sein!
<br><br>
<P><center><A HREF="../../common/images/article217/cred.jpg"><IMG
SRC="../../common/images/article217/credth.jpg" width="233" height="297" ALT="credits"></A></center>
<br><br>
Es gibt ein achtes Tab, wenn man Nessus mit der Konfigurationsoption
"--enable-save-kb" kompiliert. kb steht für "Knowledge Base". Dies
ist eine experimentelle Eigenschaft, die es erlaubt die Ergebnisse
eines früheren Tests zu nutzen. Diese Eigenschaft wird in Nessus
1.1.0 voreingestellt sein. Mehr über kb auf <A
HREF="http://www.nessus.org/doc/kb_saving.html">www.nessus.org/doc/kb_saving.html</a>.
<br>
Nachdem man jedes Tab "besucht" hat, kann man das "Biest" von der
Leine lassen. Es genügt den "Start the scan"-Knopf zu klicken. Was
passiert dann?
</p>
<A NAME="217lfindex2"> </A>
<H2>Nessus bei der Arbeit</H2>
<p>
Wenn man den Scan startet, öffnet nessus ein Fenster, um den
Scanstatus anzuzeigen. Zum Beispiel, man testet ein ganzes Netzwerk
192.168.1.0/24. Acht Rechner werden gleichzeitig angezeigt, die
zeigen welches Plugin für welchen Rechner benutzt wird, neben einer
Fortschrittsanzeige. Hier sieht man wie es aussieht:
<br><br>
<P><center><A HREF="../../common/images/article217/atst.jpg"><IMG
SRC="../../common/images/article217/atstth.jpg" width="276" height="291" ALT="scan status"></A></center>
<br><br>
Wie man sieht, kann der ganze Test jederzeit gestoppt werden.
<br>
Offensichtlich wird der Test eine recht lange Zeit dauern, wenn man
ein ganzes Netzwerk mit vielen Rechnern scant. Es wird von den
Betriebssystemen, der Netzwerkgeschwindigkeit, den Rechneraufgaben
(mehr oder weniger offene Ports), der Anzahl der aktiven Plugins
usw., abhängen.
<br>
Man kann auch auf zwei andere Arten testen: abgelöste Scans oder
differentielle Scans. Dies setzt voraus, daß man Nessus mit der oben
erwähnten Konfigurationsoption "--enable-save-kb" kompiliert. Die
abgelösten Scans erlauben Tests im Hintergrund zu laufen, während die
differentiellen Scans, wie der Name sagt, nur die Unterschiede
zwischen zwei Scans zeigen.
<br>
Man findet viel mehr Informationen über diese Eigenschaften auf
<A HREF="http://www.nessus.org/doc">Nessus Dokumentation
(www.nessus.org/doc)</a>.
<br>
Das wichtigste sind die Ergebnisse, die man am Ende des Scans
erhält. Eins der großartigsten Eigenschaften von Nessus ist, wie
es Berichte bereitstellt.
<br><br>
<P><center><A HREF="../../common/images/article217/rep.jpg"><IMG
SRC="../../common/images/article217/repth.jpg" width="284" height="240" ALT="report"></A></center>
<br><br>
Diese Berichte sind ziemlich detailliert und schlagen oft eine
Lösung für die entdeckten Schwachstellen vor. Sie sind sogar
wirklich zuverlässig. Wenn eine gefundene Schwachstelle keine echte
ist, sagt nessus, daß es ein falscher Treffer sein kann. Dies kann
zum Beispiel mit gepatchten Versionen einiger Daemons passieren:
Eine kürzlich korrigierte Schwachstelle kann als potentielles Risiko
erkannt werden. Aber für solche Fälle werden Plugins schnell
aktualisiert.
<br>
Ein weiterer kleiner Fehler mag aus nmap (2.53) resultieren, wenn es
die Betriebssystemversion identifiziert. Aber dies ist wirklich kaum
interessant. Mir persönlich macht es nichts, wenn Unbekannt 4.0
mit SP6a als Unbekannt 4.0 mit SP5 erkannt wird oder wenn der
Linuxkernel 2.2.19 als 2.2.14 ermittelt wird. Ich werde mich auch
nicht darüber beschweren, wenn "exotische" Betriebssysteme wie
AmigaOS oder BeOS als Drucker oder Router identifiziert werden.
Ich kann mir nicht vorstellen, Fyodor (nmaps Autor) eine Email zu
schicken, um ihm zu sagen: Wer benutzt heute noch solche
Betriebssysteme in einem Netzwerk? Was AmigaOS angeht würde ich
sagen 5 Leute... auf der ganzen Welt :-(
<br>
Einige andere Betriebssysteme werden auch nicht perfekt erkannt,
aber sie sind oft ziemlich "neu" oder nicht wirklich verbreitet.
Dies trifft auf MaxOS X oder QNX zu. Aber ist es auch nicht so
wichtig und dies kann schon in der neuen 2.54 Betaversion von nmap
gelöst sein (und, so nebenbei, diese neue Version stellt eine MacOS
X-Portierung zur Verfügung).
<br>
Jedenfalls, der Hauptpunkt ist, daß Nessus Unmengen an Informationen
bereitstellt, um die Rechnerangriffspunkte oder die Schwächen des
lokalen Netzwerks zu korrigieren.
<br>
Diese Berichte können als Text, NSR, HTML, HTML mit Tortengraphik
gespeichert werden... und erlauben so den Vergleich von zwei Scans.
Es mag augenfällig scheinen, aber der Zustand eines Netzwerks zu
einer gegebenen Zeit kann recht verschieden zu dem 30 Minuten später
sein. Warum? Ein Netzwerk lebt! Dies ist eins der Hauptgründe, warum
es nicht so einfach ist, ein Netzwerk zu sichern: Dinge ändern sich
die ganze Zeit. Wenn Sie sich über die Notwendigkeit der Benutzung
von Werkzeugen wie nessus und nmap wundern, ist das die Antwort.
<br>
Wenn man neugierig ist, wie Nessus arbeitet, muß man die Systemlogs
durchschauen oder, wenn man snort benutzt, die snort-Logs. Ein
weiterer Ort um Informationen zu finden ist /usr/local/var/nessus.
<br>
Von nun an wird man wahrscheinlich einiges zu tun haben, um die
Schwächen von vielen Maschinen im Netzwerk zu verringern. Umso mehr
man jeden Rechner absichert, umso besser.
Um bei dieser großen Aufgabe zu helfen, sind nessus (und genauso
nmap) die Werkzeuge, ohne die man nicht leben kann.
</p>
<A NAME="217lfindex3"> </A>
<H2>Plugins</H2>
<p>
Plugins sind das "Herz" von nessus. Sie sind die Sicherheitstests,
sie sind die Testprogramme, um einen gegebenen Angriffspunkt zu
entdecken. NASL (Nessus Attack Scripting Language) ist die
empfohlene Sprache, um Sicherheitstests zu schreiben. Man findet
einiges über NASL unter der URL: <A
HREF="http://www.nessus.org/doc/nasl.html">http://www.nessus.org/doc/nasl.html</a>.
<br>
Ebenso ist dies der Ort, an dem man die richtigen Informationen
findet, wenn man zum nessus-Projekt beitragen will. Zum Zeitpunkt
der Erstellung des Artikels gibt es 756 Plugins in der
nessus-Datenbank!
<br>
Es gibt fast 20 Pluginkategorien: Backdoors, Denial of Service,
Erlangen von root von einem anderen Rechner... Wie bereits erwähnt,
informiert jedes Plugin über Berichte. Es sagt aus, was falsch ist
und was man tun sollte, um das Problem zu berichtigen.
<br>
Man kann nicht über die Plugins schreiben, ohne CVE (Common
Vulnerabilities and Exposures) zu erwähnen. Es gibt eine riesige
Informationsdatenbank auf <A
HREF="http://cve.mitre.org">http://cve.mitre.org</a>.
Dort findet man alles über bekannte Sicherheitslücken. Dies ist ein
anderer großartiger Ort, um Wissen zu teilen. Solch eine Webseite
ist die unbedingte Referenz, die man sich anschauen muß.
<br>
Natürlich gibt es viel mehr über die nessus-Plugins zu sagen, aber
ein Buch wäre nicht genug. Ein guter Ansatz, um zu verstehen, wie sie
funktionieren, wie sie geschrieben werden, ist, sie im Verzeichnis
/usr/local/lib/nessus/plugins zu lesen.
Nochmals ein Danke an Renaud Deraison und die Mitwirkenden für diese
großartige Arbeit.
</p>
<A NAME="217lfindex4"> </A>
<H2>Und nun zu etwas völlig anderem!</H2>
<p>
Auch wenn dieser Titel ein bißchen wie Monty Python klingt, ist da
leider kein Humor enthalten.
Die drei oder vier Leute, die meine Artikel lesen, kennen meine
gewohnten Off-Topic Sätze: dieses Mal ist es ein ganzer Abschnitt! Es
ist wirklich Off-Topic, es ist eine andere Geschichte. Packen wir es
an.
<br>
Da ich recht interessiert an Computersicherheit bin, besuche ich oft
die dem Thema gewidmeten Webseiten. Sei es, um über neue
Schwachstellen zu lernen oder um neue Sicherheitswerkzeuge zu
entdecken. Zufällig fand ich ein paar Produkte, die auf
Online-Scandiensten basieren. Tatsächlich nennen sie sich selbst
(zumindest zur Zeit) ASP (Application Service Provider). Wenn man
ein bißchen weiter klickt, entdeckt man schnell, daß das Werkzeug
hinter dem Dienst Nessus ist. So weit, so gut. Aber, wenn man
versucht, ausführliche Informationen zu finden, findet man nirgends
das Wort "nessus". Das verletzt mich dann zutiefst!
<br>
Viele Leute, die für die Free Software Community arbeiten, tun dies
ohne Bezahlung und nicht für ihren Lebensunterhalt. Die einzige
Bezahlung, die sie bekommen, nennt man: Wertschätzung. Nessus wird
unter der GPL veröffentlicht. Das heißt, jeder kann das Produkt
benutzen, es ändern, es anpassen... solange der ursprüngliche Autor
erwähnt wird bzw. die ursprünglichen Autoren erwähnt werden.
Natürlich sagt die Lizenz noch mehr aus. Wenn Sie die GPL nicht kennen,
können sie sie <A
HREF="http://www.gnu.org/licenses/licenses.html">hier</a> nachschauen.
<br>
Für mich sieht es wie Diebstahl aus. Ich meine, daß ich nicht einmal
eine Lizenz brauche, um die Arbeit anderer Leute wertzuschätzen. Ich
habe sehr viel Respekt für diese Leute, die (fast immer) umsonst
arbeiten und es mit einer Gemeinschaft teilen. Sie verdienen
Anerkennung von dieser Gemeinschaft. Dies stimmt besonders, wenn
jemand versucht, Geld mit der Arbeit von jemand anderem zu verdienen.
Man kann das Respekt, Anerkennung nennen, es ist nicht wirklich
wichtig. Fakt ist, diese Worte scheinen ihre Bedeutung verloren zu
haben. Sicher könnte man sagen, daß die GPL die Ursache eines
solchen Verhaltens ist. Bei ASP wird es nicht als Verkaufen der
Software erachtet. Je nach Land mag die GPL keine rechtliche Wirkung
haben.
<br>
Eine Lösung könnte sein, daß die Benutzer eines solchen ASP den
Namen des Scanprogramms anfordern, das die Arbeit macht. Die
gegebene Antwort wird wenigstens zeigen, ob die Leute, die den
Dienst anbieten "ehrlich" sind. Wenn sie nicht antworten oder wenn
sie sagen, daß sie das Programm "erfunden" hätten (welches als
Nessus erkannt wurde) benutzen Sie es einfach nicht! Installieren
Sie stattdessen (das echte) Nessus. Es wird sowieso sicherer sein.
<br>
Aber nochmals: brauchen wir eine Lizenz, um "Danke" zu sagen zu
Leuten, die eine wirklich große und großartige Arbeit geleistet
haben? Und, nebenbei, Renaud Deraison hat nicht vor, die
nessus-Lizenz zu ändern: nessus will weiter unter der GPL bleiben.
<br>
Entschuldigung für diese lange Abschweifung, aber ich glaube, dies
mußte gesagt werden.
</p>
<A NAME="217lfindex5"> </A>
<H2>Nun ist es vorbei!</H2>
<p>
Trotz des letzten Abschnitts sollte man sich von diesem Artikel vor
allem an die hohe Qualität von Nessus erinnern. Es ist eine recht
eindrucksvolle Software. Wenn man es in Verbindung mit nmap benutzt,
wird es ein Muss, wenn Sicherheit ein Anliegen ist.
Es ist ein sehr verläßliches Werkzeug, daß jeden Tag verbessert
wird. Danke an Renaud und seine Freunde für ihre dauernden
Aktualisierungen der Plugins.
<br>
Heutzutage kann ein Systemadministrator nicht ohne nessus und nmap
arbeiten. Diese Werkzeuge sind in der Lage, Schwachstellen zu finden,
die man schon behoben glaubte. Dies stimmt für die meisten
Betriebssysteme in Ihrem Netzwerk. Und wenn sie wissen, daß einige
Betriebssysteme löchrig wie Siebe sind, dann erlaubt nessus Ihnen,
sich ein bischen zu entspannen.
<br>
Nessus kann auch verstehen helfen wie ein Netzwerk (oder ein
Rechner) kompromittiert werden kann.
<br>
Wenn Sie die zur Verfügung gestellten Berichte aufmerksam durchlesen
und sie mit einbeziehen und die richtigen Korrekturen machen, werden
Sie die Sicherheit Ihres Netzwerks (oder Rechners) um einiges
verbessern. Und wieder sagte ich "verbessern": Ihr Netzwerk wird
nicht 100% sicher sein, nur weil sie nessus laufen lassen. Der Weg
zur Sicherheit ist sehr lang und wir sind sehr weit vom Ende
entfernt.
<br>
Nochmals ein Danke an die Free Software Community für die großartige
Arbeit, die sie für die Sicherheit leistet.
<br>
Was die netten Leute betrifft, die versuchen, Geld mit der Arbeit
dieser Mitglieder der Free Software Community zu machen, möchte ich
etwas hinzufügen. "Danke" zu sagen ist keine Schande. Ehrlich zu
sein ist nicht so schrecklich, oder? Wenn sich dieses Verhalten
ausweitet, besteht das Risiko darin, daß es das Ende der Community
oder einen großen Wechsel der Lizenzierung (und wahrscheinlich immer
mehr Patente!) bedeutet. In beiden Fällen werden Sie auf sich
alleine gestellt sein und die Situation wird für sie härter werden.
Und leider werden wir nicht mehr freie Software nutzen können. Das
bedeutet nicht, daß sie in der Lage sein werden Ihre zu verkaufen.
Denken Sie darüber nach!
<br>
Leben wir nicht in einer großartigen Zeit?
<!-- vim: set sw=2 ts=2 et: -->
<!-- 2pdaIgnoreStart -->
<A NAME="talkback"> </a>
<h2>Talkback für diesen Artikel</h2>
Jeder Artikel hat seine eigene Seite für Kommentare und Rückmeldungen. Auf dieser Seite kann jeder eigene Kommentare abgeben und die Kommentare anderer Leser sehen:
<center>
<table border="0" CELLSPACING="2" CELLPADDING="1">
<tr BGCOLOR="#C2C2C2"><td align=center>
<table border="3" CELLSPACING="2" CELLPADDING="1">
<tr BGCOLOR="#C2C2C2"><td align=center>
<A href="http://cgi.linuxfocus.org/cgi-bin/lftalkback?anum=217&lang=en"><b> Talkback Seite </b></a>
</td></tr></table>
</td></tr></table>
</center>
<HR size="2" noshade>
<!-- ARTICLE FOOT -->
<CENTER><TABLE WIDTH="98%">
<TR><TD ALIGN=CENTER BGCOLOR="#9999AA" WIDTH="50%">
<A HREF="../../common/lfteam.html">Der LinuxFocus Redaktion schreiben</A>
<BR><FONT COLOR="#FFFFFF">© Georges Tarbouriech, <a href="../../common/copy.html">FDL</a> <BR><a href="http://www.linuxfocus.org">LinuxFocus.org</a></FONT>
<BR><a href="http://cgi.linuxfocus.org/cgi-bin/lfcomment?lang=de&article=article217.shtml" target="_TOP">Einen Fehler melden oder einen Kommentar an LinuxFocus schicken</A><BR></TD>
<TD BGCOLOR="#9999AA">
<!-- TRANSLATION INFO -->
<font size=2>Autoren und Übersetzer:</font>
<TABLE>
<tr><td><font size="2">en --> -- : Georges Tarbouriech <font size="1"><georges.t(at)linuxfocus.org></font></font></td></tr>
<tr><td><font size="2">en --> de: Hubert Kaißer <hubert.kaisser(at)botb.de></font></td></tr>
</TABLE>
</TD>
</TR></TABLE></CENTER>
<p><font size=1>2001-10-17, generated by lfparser version 2.19</font></p>
<!-- 2pdaIgnoreStop -->
</BODY>
</HTML>