Teil 3 - Scan Durchführen & Auswerten

Autor: Johannes Schmidt, MCSEboard.de

Nachdem Sie in den vorangegangen Schritten alle notwendigen Einstellungen vorgenommen haben, geht es nun los. Starten Sie die Session. NESSUS wird Ihnen in einem Status-Fenster anzeigen, welches System gerade untersucht wird und wie weit die Prüfung fortgeschritten ist. Je nach Umfang Ihres Scans, können Sie sich nun zurück lehnen und das System für sich arbeiten lassen.

Sobald der Scan beendet ist, stehen Ihnen verschiedene Formate zur Verfügung, in die Sie das Ergebnis exportieren können. Welches hier das richtige Format für Ihre Auswertung ist, dürfen Sie selbst entscheiden. Die Auswahl reicht von PDF über sql bis hin zu html. Insbesondere die html-Version ist managementtauglich, da diese mit schönen farbigen Diagrammen geschmückt wird.

NESSUS versieht seine Feststellungen mit verschiedenen Risikostufen und unterlegt diese i. d. R. mit CVE-ID’s der gefundenen Schwachstellen. Nicht selten werden auch Links zu Microsoft-KB-Artikeln mit ausgegeben, die dem Administrator helfen können das Problem zu beseitigen. Die Werte mit dem Tag „Info“ stellen i. d. R. tatsächlich nur Informationen dar, die keine Wertung beinhalten. Diese Informationen können helfen, um sich ein besseres Bild über die von dem System zur Verfügung gestellten Dienste zu machen.

Wichtig: Bei seinen Feststellungen verlässt sich NESSUS oft auf so genannte Banner, die von den Systemen zurück geschickt werden. Hierdurch ist es nicht unwahrscheinlich, dass der Report einige false positives enthält. Man sollte diesen also mit eingeschaltenem Verstand und fundiertem Wissen über die eingesetzte Technologie lesen.

Und nun? Nachdem der Report erstellt wurde, sollte man sich zusammen mit den verantwortlichen Administratoren daran setzten, die festgestellten Schwachstellen zu beseitigen. Evtl. aufgedeckte Schwächen in Prozessen, wie z. B. dem Patchmanagement, sollten besprochen und ausgeräumt werden. Des Weiteren ist nun ein guter Zeitpunkt, die Serverliste zu aktualisieren.

Da Systemsicherheit keine einmalige Sache ist, sollten Sie Ihr Netzwerk in regelmäßigen Intervallen einer Sicherheitsprüfung unterziehen. Die Prüfungen können auch erweitert werden, in dem man z. B. alle in der Domäne vorhandenen Accounts und deren Rechte einer Prüfung unterzieht.