Teil 2 - NESSUS-Plugins auswählen

Autor: Johannes Schmidt, MCSEboard.de

Sobald die Formalitäten geklärt sind, wird es spannend. Starten Sie Ihren NESSUS-Server und -Client und verbinden Sie diesen mit Ihrem Server. Beide Komponenten können durchaus auf dem gleichen Server ausgeführt werden. Eine detaillierte Anleitung wie Sie NESSUS einsetzten und konfigurieren können, wird zum einen mit der BOSS CD mitgeliefert und befindet sich zum anderen in den man pages zu NESSUS.

Der NESSUS-Client (es gibt auch eine Windows Version mit dem Namen nessusWX) bietet diverse Einstellungsmöglichkeiten. Die wichtigsten werde ich nachfolgend kurz beschreiben.

Unter dem Reiter "Zielauswahl" finden Sie Einstellungsmöglichkeiten bezüglich der zu scannenden Systeme. Hier können Sie entweder einzelne Hosts oder wie empfohlen ganze Subnetze eintragen.

Unter dem Reiter "Allgemein" können Sie konfigurieren, wie viele Hosts gleichzeitig gescannt werden sollen und wie viele Checks pro Host gleichzeitig ausgeführt werden sollen. Die Werte dieses Reiters hängen stark von der verwendeten Hardware ab. Auf einem IBM T43 unter Verwendung der BOSS-Live-CD habe ich bis jetzt meist 10 Systeme gleichzeitig gescannt und dabei max. 7 gleichzeitige Checks pro System durchführen lassen. Auf einem 2 x Dual Opteron System hingegen habe ich bis zu 40 Systeme gleichzeitig scannen können. Grundsätzlich kann man sagen, dass die CPU-Leistung den Flaschenhals darstellt (OK, bei dem 2 x Dual Opteron ist es meist die WAN-Verbindung).

Zudem steht Ihnen unter dem Reiter "Allgemein" die Möglichkeit offen, den essentiell notwendigen Portscan zu konfigurieren. Es stehen hierbei verschiedene Scanner zur Verfügung. Ich entscheide mich meist für den klassischen nmap. Als Scan-Range sollte ein Full-Range-Scan durchgeführt werden: Port 0 – 65535.

Der wohl spannendste Reiter ist "Plugins". Hier werden die Plugins ausgewählt, die bei diesen Scan Anwendung finden. Um das Risiko eines Systemausfalls zu minimieren, empfiehlt es sich die Plugins der Gruppe „Denial of Service“ zu deaktivieren. Diese würde ich nur gegen Server im Perimeter-Netzwerk ausführen (die sollten das aushalten können). Plugins, die Betriebssysteme oder Services untersuchen, die Sie nicht einsetzen, können deaktiviert werden um Zeit zu sparen.

Wichtig: Der Aussagewert des Scans steht und fällt mit der Aktualität der Plugins. Sie sollten sich vor jedem Scan die neusten Plugins (kostenlos) von www.nessus.org herunterladen.