Ist ein Rechner einige Monate im Einsatz, kann man schnell die Übersicht über die installierten Programme, eingerichteten Plugins oder aktivierten Dienste verlieren. In größeren Netzwerken kann dieser Wildwuchs rasch zu einem konkreten Sicherheitsproblem werden. Denn während Administratoren gegen jede mögliche Attacke gewappnet sein müssen, reicht dem Angreifer im Zweifel eine einzige kritische Schwachstelle. Daher ist es absolut notwendig, den Status des eigenen Netzwerkes genau zu kennen - und genau hier hilft Nessus. Die Software scannt Endpunkte in internen und externen Netzwerken und zeigt detailliert die Schwachstellen sowie andere Informationen an. Der Vorteil ist, dass Nessus ohne Agenten arbeitet, was Installation und Einsatz deutlich vereinfacht.
Die Software ist ursprünglich als Open-Source-Projekt gestartet, wurde aber 2005 mit Version 3 in eine proprietäre Lizenz umgewandelt. Inzwischen ist Nessus bei Version 5 angekommen und wird laut dem Hersteller in mehr als 75.000 Unternehmen genutzt. Nutzer können zwei verschiedene "Feeds" aktivieren. Diese enthalten die notwendigen Informationen und Signaturen rund um Schwachstellen und aktive Dienste. Der kostenlose HomeFeed ist für den nicht-kommerziellen Einsatz gedacht und scannt maximal 16 IPs im Netzwerk. Der kommerzielle ProfessionalFeed bietet keinerlei Einschränkungen, schnellen Zugriff auf neue Plugins und eine VMware-basierte virtuelle Appliance. Der Nachteil: Der Profi-Feed kostet mindestens 1500 US-Dollar für ein Ein-Jahres-Abo. Er lässt sich aber 15 Tage lang testen. Darüber hinaus gibt es kostenpflichtige Zusatz-Bundles mit erweiterten Serviceangeboten, wie Trainings oder Remote Scanning (Perimeter Service).
Eine wichtige Information vorab: Nessus ist ein klassisches Dual-Use-Programm, ein Einsatz des Programmes könnte also unter Umständen unter den "Hackerparafen" 202c StGB fallen. Sprechen Sie den Einsatz der Software also in jedem Fall mit Ihren Vorgesetzten ab, lassen Sie sich die Scans schriftlich bestätigen und zielen Sie nur auf Geräte, die sich in Ihrem Besitz befinden.
Installation und Oberflächenwahl
Die Installation von Nessus ist simpel. Für Windows-Nutzer steht auf der Homepage eine MSI-Datei zum Download bereit. Zusätzlich sind entsprechende Pakete für Mac OS, diverse Linux-Distributionen, Free BSD und Oracle zu haben. Dazu gibt es Clients für iOS und Android in Form von Apps.
Im ersten Schritt installiert das Setup-Programm den Server und den Dienst nessusd. Die weitere Konfiguration wird anschließend über den Browser vorgenommen. Normalerweise startet das Installationsprogramm den Browser automatisch. Sollte dies nicht funktionieren, ist der Nessus-Server unter der Adresse: https://localhost:8384 erreichbar. Nun sind für die Installation noch zwei Schritte notwendig: Zunächst erstellt man einen Admin-Nutzer, anschließend benötigt Nessus den Aktivierungscode, den man beim Kauf oder bei der Registrierung für seinen jeweiligen Feed erhalten hat. Anschließend verbindet sich der Server mit dem Nessus-Hauptserver, überprüft den Code und lädt oder aktualisiert anschließend die Plugins.
Ist dies erfolgreich, zeigt Nessus die Login-Seite. Diese setzt Flash 10.2 voraus, im Test hatten wir einige Probleme mit älteren Versionen von Firefox. Sehr interessant ist im Nessus 5.0.2 die HTML5-basierte Oberfläche. Diese bietet die gleichen Funktionen wie bei den Vorversionen, ist aber optisch deutlich moderner. Die UI ist integriert und kann über https://localhost:8834/html5.html angesteuert werden.
Im Test konnten wir mit einem aktuellen Firefox, Internet Explorer 9 und einem aktuellen Chrome problemlos auf das Interface zugreifen. Auch mit Windows 8 gab es keine Probleme, sowohl der IE 10 als auch die Modern-UI- (vormals Metro-) Variante können problemlos auf den Server zugreifen.
Scan durchführen
Sobald der Server eingerichtet ist, kann das Scannen beginnen. Die grundlegende Bedienung ist simpel: Ein Klick auf die Schaltfläche Scan zeigt alle aktiven Überprüfungen an, mit einem Klick auf New Scan öffnet sich der entsprechende Dialog. Die Grundfunktionen von Nessus sind angenehm einfach: Zunächst legt man einen Namen für den Test fest und wählt den Scan Type. Wahlweise kann man sofort einen Scan durchführen oder ein Template als Vorlage für spätere Checks erstellen. Nutzer des Pro-Feeds können die einzelnen Scans automatisieren und automatisch zeitlich steuern.
Nessus bringt vier verschiedene Scan Policies mit:
-
External Network Scan: Mit dieser Policy fährt Nessus das komplette Programm auf. Die Anwendung nutzt alle verfügbaren Plugins und überprüft sämtliche 65.535 Ports der jeweiligen Zielsysteme. Die Policy lässt sich typischerweise nutzen, um Server und Systeme zu überprüfen, die vom Internet aus erreichbar sind.
-
Internal Network Scan: Diese Scan-Policy dürfte die meisten Ansprüche erfüllen und ist deutlich schneller als der externe Scan. Das liegt unter anderem daran, dass sie nicht alle verfügbaren Ports überprüft. Zudem wird das Plugin "CGI Abuse" deaktiviert; mehr zu den Plugins in einem späteren Kapitel.
-
Web-App-Tests: Diese Policy soll bekannte und unbekannte Schwachstellen in Web-Applikationen finden und aufzeigen. Dazu nutzt der Scanner auch Fuzzing-Funktionen und "spidert" sich durch die jeweilige Zielseite, um mögliche Schwachstellen oder anfällige Komponenten in der App zu finden.
-
Prepare for PCI-DSS audits: Diese Policy schließlich soll einen Überblick geben, inwieweit das Netzwerk die Vorgaben eines PCI-DSS-Audits erfüllt und die Compliance-Vorgaben erfüllt.
Zuletzt muss man Nessus die zu prüfenden Ziele übergeben. Die Applikation nimmt dabei nahezu jedes Format auf. So können einzelne Hosts angegeben werden, je IP sollte man eine Zeile nutzen. Alternativ kann man ein Ziel- und ein Endsystem oder einen CIDR-Block angeben. Nessus kann außerdem mit Webadressen arbeiten; das Format für einen zu scannenden Server sieht dann etwa so aus:"www.webseite.org". Wer seine Server als Textliste hat, kann diese direkt in den Scanner hochladen.
Ein Klick auf Create Scan nutzt die Eingaben und startet mit der Überprüfung der angegebenen Zielsysteme. Je nach Umfang kann diese einige Zeit in Anspruch nehmen. Der große Vorteil von Nessus ist, dass der Browser beispielsweise beendet werden kann - der Scan läuft dann trotzdem weiter. So lässt sich Nessus etwa auf einem Server installieren. Der Scan kann dann von einem anderen Rechner aus initiiert werden und anschließend über Nacht oder am Wochenende durchlaufen. Laufende Scans lassen sich selbstverständlich jederzeit manuell anhalten und wiederaufnehmen.
Eine der großen Neuerungen ist, dass Nessus 5 nicht mehr nur PCs oder Netzwerkendpunkte überprüft, sondern auch mit mobilen Geräten klarkommt. Der Scanner kann sich in ein Active Directory Service Interface oder einen Apple Profile Manager aufschalten. Mithilfe dieser Informationen kann der Scanner Android- und iOS-Geräte auf bekannte Schwachstellen überprüfen und diese in die Übersicht der IT-Produkte aufnehmen und dokumentieren.
Scan-Ergebnisse auswerten
Der beste Scan bringt nichts, wenn man die Ergebnisse nicht ordentlich aufbereiten und interpretieren kann. Nessus greift dem Nutzer hier angenehm unter die Arme. Nach jedem Scan werden die gesammelten Informationen im Bereich Results gespeichert und passend aufbereitet. Hier wird jeder überprüfte Host aufgezeigt. Im neuen Interface hat der Hersteller Tenable die Ansicht deutlich überarbeitet. Diese zeigt nun für jeden Host das Scan-Ergebnis an. Die Farbe Lila steht dabei für kritische Sicherheitslücken, Orange für mittlere Schwachstellen, und Grau zeigt allgemeine Informationen an. Ein Klick auf einen Host zeigt die genauen Informationen zu einem Netzwerkendpunkt an.
Einen noch schnelleren Überblick liefert der Punkt Vulnerabilities. Dieser zeigt alle gefundenen Schwachstellen samt der gesammelten Informationen zu den überprüften Systemen. Ein Klick auf einen Eintrag zeigt die Details zur gefundenen Schwachstelle an. Dazu existiert eine Zusammenfassung und, falls vorhanden, einen Link zu einer möglichen Lösung des Problems. Dazu gibt es Informationen zum möglichen Risiko sowie detaillierte Informationen zu Referenzen. Ganz unten im Eintrag ist zudem die direkte Ausgabe des jeweiligen Plugins verfügbar.
Der letzte Punkt ist vor allem für die Nutzung der Info-Plugins wichtig. Dort finden sich zahlreiche Informationen über aktive Dienste, das verwendete Betriebssystem oder offene Ports. So kann man beispielsweise auch herausfinden, ob und welche VoIP-Dienste vom Nutzer installiert werden. Dabei hilft die Sortierfunktion enorm. Sobald man einen Buchstaben eintippt, filtert Nessus die passenden Einträge heraus.
Die Funktion Audit Trail ist seit Version 5 neu mit an Bord. Sie bietet einen interessanten neuen Blickwinkel auf die Scans. Audit Trail liefert Informationen, warum ein bestimmtes Plugin kein Ergebnis zeigt. Ein Beispiel dafür ist die Schwachstelle "mDNS Detection". Ein Klick auf Audit Trail zeigt zwei IPs in unserem Testscan an, bei beiden wurde die Schwachstelle nicht gefunden.
Ein Klick auf die jeweilige IP zeigt, warum: In einem Fall ist der Port geschlossen, bei der anderen IP konnte der mDNS-Host-Name nicht ermittelt werden. Audit Trail klappt noch nicht überall, liefert aber durchaus relevante Informationen und kann im Zweifel etwa auch bei der Fehlersuche genutzt werden.
Nessus kann alle Scans in zahlreichen Formaten, darunter PDF, CSV oder HTML, exportieren. Zusätzlich steht das proprietäre Nessus-Format zur Verfügung, mit dem alle Daten von einer Installation in eine andere übertragen werden können. Das hilft beispielsweise, wenn man seinen Vorgesetzten einen schnellen Überblick der Infrastruktursicherheit im Unternehmen geben möchte - oder um etwa Ausgaben für mehr Sicherheitskomponenten zu rechtfertigen.
Policies erstellen und Plugins auswählen
Wem die Standard-Policies nicht mehr ausreichen, der kann sich komplett eigene Richtlinien erstellen. Das geht entweder von einer komplett leeren Vorlage aus oder indem man eine bestehende Richtlinie dupliziert und diese anschließend bearbeitet. Das Erstellen einer neuen Policy ist einfach. Zunächst wählt man den Setting Type. Zur Auswahl stehen folgende Punkte:
-
Basic: Hier wird der Name für die Policy definiert und festgelegt, ob sie für alle Nutzer sichtbar sein soll.
-
Port Scanning: Dieser Punkt aktiviert oder deaktiviert die Port-Scanning-Funktionen. Zudem kann man hier den Bereich der Ports einstellen, die überprüft werden.
-
Performance: Hier lässt sich die Geschwindigkeit optimieren, etwa wie viele Checks pro Hosts durchgeführt werden.
-
Advanced: In diesem Bereich lassen sich die erweiterten Funktionen anpassen, etwa rund um die Punkte DNS, oder ob die Details auf dem Server gespeichert werden sollen.
Im Bereich Credentials lassen sich Zugangsdaten hinterlegen. So kann Nessus auch Server und Endpunkte überprüfen, die eigentlich durch ein Kennwort geschützt werden. Unterstützt werden Windows-Logins, SSH, Kerberos und Zugangsdaten im Klartext - etwa für Telnet, rsh oder rexec.
Richtig interessant wird es im Bereich Plugins. Hier listet Nessus alle Plugins auf, die dem System aktuell zur Verfügung stehen. In diesem Bereich kann man sich richtig austoben - um alle Plugins zu beschreiben, reicht der Platz in diesem Artikel allerdings nicht aus. Über die Filteroptionen lassen sich die Plugins gezielt einschränken und sortieren. Damit kann man beispielsweise einen Scan erstellen, der nur Sicherheitslücken anzeigt, für die ein Exploit bekannt ist. Es lassen sich nahezu beliebig viele Filter einrichten, sodass man mit ein wenig Arbeit eine Policy gezielt auf die eigene Umgebung zuschneidern kann.
Fazit
Keine Frage, verglichen mit anderen Scannern verlangt Nessus eine ordentliche Investition. So kostet das Basispaket für die kommerzielle Nutzung (ProfessionalFeed) pro Jahr 1500 US-Dollar. Zur Evaluierung steht dem Interessierten eine 15-tägige Nessus-Evaluation-Version mit eingeschränkter Funktionalität zur Verfügung. Dagegen ist die nicht kommerzielle, private Verwendung (HomeFeed) kostenlos. Zusätzlich offeriert der Hersteller Tenable Network Security verschiedene Nessus-Bundles für den Businesseinsatz. Die Preise liegen zwischen 590 und 5790 US-Dollar je nach Umfang und Laufdauer.
Dafür erhält man ein allerdings ein sehr umfangreiches Tool, dessen Grundfunktionen relativ einfach zu bedienen ist, das aber genügend Tiefe bietet, um auch komplexe IT-Umgebungen zu überprüfen. Nessus arbeitet angenehm schnell; je mehr Systeme allerdings überprüft werden müssen, desto länger dauert der Scan-Vorgang.
Nessus ist ein mächtiges Tool, das in den falschen Händen zweifelsohne eine Menge Schaden anrichten kann. Allein deswegen ist es wichtig, dass sich Administratoren mit Nessus oder einem ähnlichen Schwachstellenscanner auseinandersetzen und ihn erst dann - nach vorheriger innerbetrieblicher Absprache - auf das eigene System loslassen.
Der praktische Nebeneffekt von Nessus ist, dass der Scanner quasi nebenbei ein umfangreiches Inventory der verwendeten IT anlegt. In Kombination mit der neuen Funktion für die mobilen Endgeräte dürfte man so auch einiges an Schatten-IT aufdecken, die von Anwendern innerhalb des Unternehmens "unbeaufsichtigt" genutzt wird. (hal)