Ein System scannen
Dies ist das zentrale Kapitel für Betreibende. Es führt durch jede Möglichkeit, einen Scan auf der Greenbone Enterprise Appliance auszuführen: den Task-Assistenten für einen schnellen ersten Scan, das manuelle Konfigurieren eines Scans (Target plus Task), authentifizierte Scans mit Local Security Checks und Credentials, CVE-Scans, Container-Tasks sowie die Verwaltung aller Objekte, von denen Scans abhängen - Targets, Portlisten, Tasks, Scan-Konfigurationen, Zeitpläne, Scanner und Alerts. Es schließt mit den typischen Hindernissen, auf die du beim Scannen stößt.
Basierend auf dem Handbuch der Greenbone Enterprise Appliance (GOS 22.04 / OPENVAS SCAN 22.04), Kapitel 10, geprĂĽft im Juni 2026. Der Scan-Workflow ist in der kostenlosen Community Edition identisch. Nicht jedes Appliance-Modell unterstĂĽtzt jede hier gezeigte MenĂĽoption - prĂĽfe die Modelltabellen in Handbuchkapitel 3, falls eine Funktion fehlt.
Ein Schwachstellen-Scan ist ein aktiver Eingriff in ein System. Aggressive Scan-Konfigurationen wie Full and very deep ultimate enthalten VTs, die Dienste stören, Abschaltungen verursachen oder einen Denial of Service auslösen können. Scanne nur Hosts, die dir gehören oder für die du eine ausdrückliche schriftliche Testautorisierung hast, und verwende gegen Produktivsysteme sichere Konfigurationen. Siehe Abschnitt 11 für die Hindernisse und Nebenwirkungen, die du einplanen solltest.
1. Den Task-Assistenten für einen ersten Scan nutzen​
Der Task-Assistent kann mit minimaler Eingabe einen einfachen Scan konfigurieren und starten (§10.1). Es gibt drei Varianten: einen einfachen Assistenten, einen erweiterten Assistenten und einen Assistenten, der einen bestehenden Task ändert.
1.1 Einfacher Task-Assistent​
Scans > Tasks > (ĂĽber das Assistenten-Symbol fahren) > Task Wizard
-> IP-Adresse oder Hostnamen eingeben
-> Start Scan
Der Assistent erstellt dann automatisch ein neues Target, erstellt einen neuen Task, startet den Task sofort und zeigt die Seite Tasks. Wenn du einen DNS-Namen eingibst, muss die Appliance ihn auflösen können. Sobald der Task gestartet ist, kannst du den Fortschritt auf der Seite Tasks verfolgen; ein Klick auf den Balken in der Spalte Status zeigt den Report schon vor Abschluss des Scans, und der vollständige Report ist verfügbar, sobald der Status Done erreicht.
1.2 Erweiterter Task-Assistent​
Der erweiterte Assistent stellt mehr Konfigurationsoptionen bereit (§10.1.2). Die Eingabefelder entsprechen den Target- und Task-Feldern, die in den Abschnitten 3 und 4 weiter unten beschrieben sind.
Scans > Tasks > (ĂĽber das Assistenten-Symbol fahren) > Advanced Task Wizard
-> den Task definieren
-> Create
Wenn du eine Adresse in Email report to eingibst, wird automatisch ein Alert erstellt, der den Report nach Abschluss des Tasks per E-Mail versendet (siehe Abschnitt 13). Der Assistent startet den Task sofort und zeigt die Seite Tasks.
1.3 Task-Änderungsassistent​
Dieser Assistent ändert einen bestehenden Task (§10.1.3).
Scans > Tasks > (ĂĽber das Assistenten-Symbol fahren) > Modify Task Wizard
-> den Task im Dropdown Task auswählen
-> Create Schedule (Radio-Button) und ersten Termin/Uhrzeit setzen
-> Email report to (Adresse)
-> Modify Task
2. Zwei Arten zu scannen​
Die Appliance kann ein Target mit zwei Ansätzen scannen (§10.2):
- Einfacher Scan - das Target wird nur von auĂźen ĂĽber das Netzwerk geprĂĽft.
- Authentifizierter Scan mit Local Security Checks (LSC) - die Appliance meldet sich zusätzlich mit gültigen Credentials am Target an und untersucht es von innen.
Einen Scan manuell zu konfigurieren erfolgt immer in drei Schritten: ein Target erstellen, einen Task erstellen, den Task starten.
3. Ein Target erstellen​
Ein Target definiert, was gescannt wird (§10.2.1).
Configuration > Targets > (Neu-Symbol) -> definieren -> Save
Wichtige Felder:
- Name / Comment - Freitext; wähle einen aussagekräftigen Namen (zum Beispiel
Mailserver,DMZ,ClientNetwork). - Hosts - die zu scannenden Systeme, kommagetrennt, aus einer ASCII-Datei importiert (Kommas oder Zeilenumbrüche) oder aus der Host-Asset-Datenbank importiert. Erforderlich ist entweder eine IP-Adresse oder ein auflösbarer Hostname, und die Appliance muss eine Verbindung zum System herstellen können.
- Exclude Hosts - Hosts, die aus der obigen Liste entfernt werden sollen, gleiche Syntax wie
Hosts. - Allow simultaneous scanning via multiple IPs - auf
Nosetzen für fragile Dienste (zum Beispiel IoT-Geräte), die abstürzen können, wenn sie über IPv4 und IPv6 gleichzeitig erreicht werden. - Port list - die für den Scan verwendete Portliste (siehe Abschnitt 8). Eine Portliste kann direkt mit angelegt werden.
- Alive Test - die Methode, mit der entschieden wird, ob ein Target erreichbar ist.
- Credentials -
SSH Credential,SMB Credential,ESXi CredentialundSNMP Credentialermöglichen authentifizierte Scans (siehe Abschnitt 5). Jedes kann direkt mit angelegt werden. - Reverse Lookup Only / Reverse Lookup Unify - das Scannen auf Adressen beschränken, die zu einem DNS-Namen auflösen, und einen Namen nur einmal scannen, wenn mehrere Adressen darauf auflösen.
3.1 Host-Notation​
Hosts können als einzelne IPs, Hostnamen, Bereiche oder CIDR eingegeben und beliebig gemischt werden:
192.168.15.5 single IPv4
mail.example.com host name
192.168.15.5-192.168.15.27 IPv4 range, long form
192.168.55.5-27 IPv4 range, short form
192.168.15.0/24 IPv4 CIDR
fe80::222:64ff:fe76:4cea single IPv6
::12:fe5:fb50-::12:fe6:100 IPv6 range, long form
::13:fe5:fb50-fb80 IPv6 range, short form
fe80::222:64ff:fe76:4cea/120 IPv6 CIDR
Die maximal konfigurierbare Anzahl an IP-Adressen beträgt bei den meisten Modellen 4096 (die kleinste IPv4-Maske ist also /20 und die kleinste IPv6-Maske /116, sofern keine weiteren Hosts konfiguriert sind). Die Greenbone Enterprise 6500 erlaubt bis zu 16777216 Adressen und entsprechend größere Subnetze. Bei CIDR-Notation zählen die Netz- und Broadcast-Adressen nicht als nutzbar und werden nicht gescannt; füge sie explizit hinzu, wenn es echte, scanbare Hosts sind.
3.2 Alive-Test​
Die Alive-Test-Methode kann pro Target festgelegt werden (§10.2.1). Die Optionen reichen von Scan Config Default (verwendet ICMP Ping) über ICMP Ping, TCP-ACK Service Ping, TCP-SYN Service Ping, mehrere Kombinationen mit ARP bis hin zu Consider Alive. Der Test muss manchmal lokal angepasst werden: Router und Firewalls beantworten einen TCP Service Ping unter Umständen mit einem TCP-RST, selbst wenn der Host tatsächlich nicht erreichbar ist, und Proxy-ARP-Geräte beantworten unter Umständen einen ARP Ping. Siehe Abschnitt 11 für die Symptome.
3.3 Erhöhte SSH-Rechte​
Wenn SSH-Credentials ausgewählt sind, kannst du zusätzlich erhöhte Credentials hinterlegen (zum Beispiel root). Es erscheint ein zweites Dropdown für die erhöhten Credentials. Die Appliance meldet sich mit den Standard-SSH-Credentials an und führt dann su - username aus; für den eigentlichen Scan wird der erhöhte Benutzer verwendet.
Diese Funktion ist experimentell. Die Rechte des erhöhten Benutzers müssen auf dem Target bereits konfiguriert sein, stty und unset müssen verfügbar sein, und der Benutzer muss den Prompt über ein vorangestelltes export PS1= ändern dürfen. Standard- und erhöhte SSH-Credentials dürfen nicht identisch sein. Erhöhte Credentials werden nach der Konfiguration immer verwendet, selbst wenn die Scan-Konfiguration keine relevanten VTs enthält, und sie erhöhen die Appliance-Last, die Anzahl der SSH-Verbindungen und die Scan-Dauer spürbar - berücksichtige das in Firewalls, IDS und Logging.
4. Einen Task erstellen und starten​
Ein Task verknüpft ein Target mit einer Scan-Konfiguration und einem Scanner und steuert die Ausführung (§10.2.2).
Scans > Tasks > (ĂĽber New fahren) > New Task -> definieren -> Save
Wichtige Felder:
- Name / Comment - Freitext.
- Scan Targets - ein zuvor erstelltes Target (oder direkt eines anlegen).
- Alerts - Statusänderungen können per E-Mail, Syslog, HTTP oder über einen Connector kommuniziert werden (siehe Abschnitt 13).
- Schedule - einmal oder wiederholt zu einer festgelegten Zeit ausfĂĽhren (siehe Abschnitt 12).
- Add results to Assets - die Ergebnisse in das Asset-Management einspeisen. Erforderlich fĂĽr CVE-Scans (siehe Abschnitt 6).
Apply OverridesundMin QoDsteuern, wie Ergebnisse in die Asset-Datenbank gelangen. - Alterable Task - erlauben, dass Target, Scanner und Scan-Konfiguration auch dann noch bearbeitet werden können, wenn bereits Reports existieren. Die Konsistenz zwischen Reports kann dann nicht mehr garantiert werden.
- Auto Delete Reports - optional nur eine maximale Anzahl an Reports behalten; die Werkseinstellung behält alle Reports.
- Scanner - standardmäßig die eingebauten Scanner
OpenVASundCVE(siehe Abschnitt 10). Die folgenden Optionen gelten nur fĂĽr den OpenVAS-Scanner; der CVE-Scanner hat keine Optionen. - Scan Config - eine der vordefinierten oder benutzerdefinierten Konfigurationen (siehe Abschnitt 9). Genau eine pro Task.
- Order for target hosts -
Sequential,RandomoderReverse.Randomwird empfohlen, weil es die Fortschrittsschätzung verbessert. Der Alive-Test ist unabhängig davon immer zufällig. - Maximum concurrently executed NVTs per host / Maximum concurrently scanned hosts - die Geschwindigkeitsstellschrauben
maxchecksundmaxhosts. Die Defaults sind sinnvoll; sie zu erhöhen kann die Targets, das Netzwerk oder die Appliance belasten. - Tag - einen zuvor konfigurierten Tag mit dem Task verknüpfen.
4.1 Den Task starten​
Klicke in der Task-Zeile auf das Start-Symbol. Der Task reiht sich in die Warteschlange ein, und der Scanner beginnt. Geplante Tasks zeigen ein zusätzliches Symbol und starten zu ihrer geplanten Zeit. Ein Task kann gelegentlich in der Warteschlange verbleiben. Klicke auf den Balken Status, um den Report anzuzeigen; der vollständige Report erscheint, wenn der Status Done erreicht.
5. Authentifizierte Scans mit Local Security Checks​
Bei einem authentifizierten Scan prüft die Appliance das Target sowohl über das Netzwerk als auch durch Anmeldung mit einem gültigen Benutzer, um lokale Sicherheitsprüfungen auszuführen (§10.3). Die Anmeldung wird in den eigenen Logs des Targets aufgezeichnet, aber LSC-VTs sind minimal invasiv: Die Appliance ermittelt nur das Risiko und verändert nichts auf dem Target. Die relevanten VT-Familien laufen nur, wenn die Anmeldung erfolgreich ist.
Die Appliance verwendet je nach Target-Typ unterschiedliche Credentials:
| Methode | Standard-Port | Erlaubte Credential-Typen | Einsatz |
|---|---|---|---|
| SMB | 445/tcp, 139/tcp | Username + Password | Patch-Stand und installierte Software unter Microsoft Windows |
| SSH | 22/tcp (pro Target konfigurierbar) | Username + Password, Username + SSH Key | Patch-Stand unter Unix/Linux |
| ESXi | gemäß VMware KB 2039095 | Username + Password | VMware-ESXi-Server |
| SNMP | 161/udp | SNMP | Router, Switches und andere SNMP-fähige Komponenten |
5.1 Vor- und Nachteile​
Ein authentifizierter Scan ist ein Whitebox-Ansatz: Mit Zugriff von innen liest die Appliance die Registry, Software-Versionen und Patch-Stände aus und liefert damit weitaus mehr Schwachstellendetails als ein reiner Remote-Scan. Local Security Checks sind die schonendste Scan-Methode. Ein reiner Remote-Scan ist ein Blackbox-Ansatz, der Fehlfunktionen provozieren kann, um Informationen zu gewinnen, und selbst mit sicheren Prüfungen gewisse Auswirkungen haben kann.
Die Ergebnisse hängen stark von den Berechtigungen des Kontos ab. Unter Linux genügt meist ein unprivilegierter Benutzer. Unter Microsoft Windows sind unprivilegierte Benutzer stark eingeschränkt (kein Zugriff auf die Registry oder den Systemordner \windows), sodass administrative oder Domänen-Konten weitaus mehr Ergebnisse liefern. Selbst mit safe_checks=yes in einem Full and fast-Scan sind manche VTs invasiv, aber sicher - die Heartbleed-VT zum Beispiel läuft, weil sie keinen Schaden anrichtet, obwohl sie auf ein Speicherleck testet; die geleakten Daten werden sofort verworfen.
5.2 Ein Credential erstellen​
Configuration > Credentials > (Neu-Symbol) -> definieren -> Save
| Typ | Erforderliche Eingaben |
|---|---|
| Username + Password | Username, Password (oder ein zufälliges Passwort automatisch erzeugen) |
| Username + SSH Key | Username, Passphrase, Private Key; optional Certificate + Private Key |
| SNMP | Community (SNMPv1/v2c) oder Username + Password + Privacy Password + Auth/Privacy-Algorithmus (SNMPv3) |
| S/MIME Certificate | Zertifikatsdatei |
| PGP Encryption Key | Datei mit öffentlichem Schlüssel |
| Password only | Password |
Weitere Hinweise: Allow insecure use erlaubt unverschlüsselte Authentifizierungsmethoden. Benutzernamen erlauben nur englische alphanumerische Zeichen plus - _ \ . @ - deutsche Umlaute müssen transliteriert werden (ß zu ss, ä zu a und so weiter). Da das SNMP-Credential singulär ist, probiert die Appliance immer jede SNMP-Version durch, sodass ein Scan gleichzeitig eine erfolgreiche und eine fehlgeschlagene SNMP-Anmeldung anzeigen kann. Ein Credential muss mit mindestens einem Target verknüpft sein, bevor die Scan-Engine es anwenden kann.
5.3 Credentials verwalten​
Liste die Credentials unter Configuration > Credentials auf. Die Liste zeigt Name, Typ, ob unsichere Verwendung erlaubt ist, und Login. Aktionen pro Credential sind Papierkorb (nur wenn ungenutzt), bearbeiten, klonen und Export nach XML. Je nach Typ kannst du auĂźerdem Installationspakete herunterladen, die das Scan-Konto und seine Berechtigungen anlegen und bei der Deinstallation wieder zurĂĽcksetzen:
- EXE-Paket (Microsoft Windows) - fĂĽr
Username + Password. - RPM-Paket (Red Hat und Derivate) und DEB-Paket (Debian und Derivate) - fĂĽr
Username + SSH Key. - Public key-Download - fĂĽr
Username + SSH Key.
Wenn die automatische Passworterzeugung aktiviert ist, muss das Installationspaket verwendet werden; ansonsten ist es optional. Die Detailseite ergänzt die Register Information, User Tags und Permissions.
5.4 Anforderungen pro Betriebssystem​
Diese fassen die Anforderungen je Target-Betriebssystem zusammen (§§10.3.3 bis 10.3.9). Übernimm die exakten Gerätebefehle aus dem Handbuch und nicht aus dem Gedächtnis.
| Target-OS | Protokoll | Benötigtes Konto / Setup |
|---|---|---|
| Microsoft Windows | SMB | Ein Domänen-Konto mit einer Domänen-Richtlinie, die lokale Admin-Rechte gewährt, wird dringend empfohlen (siehe unten). Remote-Registry-Dienst gestartet; Datei- und Druckerfreigabe an; Firewall-Ausnahme auf der Appliance; WMI-Zugriff erlaubt |
| Microsoft Windows (eigenständig) | SMB | Registry-DWORD LocalAccountTokenFilterPolicy = 1 auf Nicht-Domänen-Hosts |
| VMware ESXi | ESXi | Lokaler Benutzer auf jedem ESXi-Host (VCSA-Benutzer sind den Hosts nicht bekannt); entweder Admin-Rolle oder eine Read-only-Rolle mit der Berechtigung Global > Settings |
| Linux / Unix | SSH | Regulärer Benutzer reicht meist aus; root oder wheel-Mitgliedschaft für Policy-Tests; Public-Key-Authentifizierung darf in sshd_config nicht deaktiviert sein |
| Cisco OS | SNMP oder SSH | SNMPv1/v2c/v3; fĂĽr SSH ein rollenbasierter Benutzer mit geringsten Rechten, der show version ausfĂĽhren kann |
| Huawei VRP | SNMP oder SSH | SNMPv1/v2c/v3; fĂĽr SSH ein Benutzer mit geringsten Rechten, der display device, display version, display patch-information ausfĂĽhren kann |
| Huawei EulerOS | SSH | Regulärer Benutzer; gleiche SSH-Key-Anforderungen wie bei Linux/Unix; RPM-Installationspaket verfügbar |
| GaussDB | SSH | Konto muss GaussDB-Ausführungsberechtigung haben; spezifische Anforderungen je Kontotyp (root, gaussdba, regulärer Benutzer, regulärer DB-Benutzer gauss) |
Microsoft Windows. Ein Domänen-Konto mit einer Domänen-Richtlinie, die lokale Administratorrechte gewährt, ist der empfohlene Ansatz: Die Richtlinie wird einmal erstellt und wiederverwendet, es sind keine lokalen Registry-Änderungen nötig, nur ein Domänen-Konto kann domänenbezogene Findings erkennen, und Kerberos plus eine Richtlinie Deny log on locally / Deny log on through Remote Desktop Services reduzieren die Angriffsfläche. Das Handbuch führt durch das Anlegen einer Sicherheitsgruppe Greenbone Local Scan, eines GPO Greenbone Local SecRights, der Restricted-Group-Mitgliedschaft, der Deny-Logon-Einstellungen und der optionalen Read-only-Registry-Berechtigungen.
Die optionalen Read-only-Registry-Einschränkungen sind Tattooing - sie bleiben nach dem Entfernen des GPO bestehen und sind nicht einfach umkehrbar. Prüfe zuerst die Kompatibilität mit deiner Umgebung. Sie brechen außerdem zwei schreibabhängige VTs (Leave information on scanned Windows hosts, OID 1.3.6.1.4.1.25623.1.0.96171, und Windows file Checksums, OID 1.3.6.1.4.1.25623.1.0.96180). Ein GPO ganz ohne lokale Admin-Rechte zu bauen, wird nicht empfohlen - der Aufwand ist riesig und die Änderungen lassen sich nicht sauber rückgängig machen.
Linux / Unix und EulerOS. Authentifiziere dich mit einem Passwort oder einem privaten SSH-Key. Behalte die sshd_config-Defaults MaxSessions: 10 und MaxAuthTries: 6 oder höher bei. Unterstützte Schlüsselformate sind PEM oder OpenSSH; unterstützte Schlüsseltypen sind Ed25519, ECDSA, RSA und DSA. Installiere locate/mlocate, um teure find-Aufrufe zu reduzieren. Mit Root-Zugriff wird ein fester Satz von Read-only-Befehlen (bash, cat, dpkg, rpm, id, netstat, uname und ähnliche) ausgeführt - diese Liste ist nicht statisch und wächst mit VTs und erkannter Software.
Cisco OS / Huawei VRP. Die Standard-Portliste hat keine UDP-Ports, daher wird 161/udp (SNMP) nicht erkannt und mit Full and fast läuft keine SNMP-Prüfung. Verwende eine benutzerdefinierte Portliste, die die Netzwerkgeräte-Ports enthält (SSH, HTTP/S, SCCP, SIP/S, SNMP, NTP und so weiter). Beschränke die Appliance bei SNMP mit einem SNMP-View auf den Subtree mit der Systembeschreibung und schränke sie mit einer Access-List ein. Erstelle für SSH eine Rolle/View mit geringsten Rechten, die auf die Versionsbefehle beschränkt ist. Auf Cisco erfordert Full and fast außerdem ssh server rate-limit 240.
GaussDB. Der Scan-Benutzer muss GaussDB-Ausführungsberechtigung haben. Ein Scan als root wird nicht empfohlen. Die Anforderungen unterscheiden sich je Konto: root benötigt PermitRootLogin yes (oder prohibit-password für Key-Authentifizierung) und muss zsql/zengine ausführen können; der DB-Installationsbenutzer gaussdba, ein regulärer Benutzer oder ein regulärer DB-Benutzer (gauss, in jeder Scan-Konfiguration konfiguriert) haben jeweils ihre eigenen engeren Voraussetzungen.
6. CVE-Scans​
Der CVE-Scanner prognostiziert wahrscheinliche Sicherheitsrisiken aus vorhandenen Scan-Daten, anstatt einen frischen Schwachstellen-Scan auszuführen (§10.4). Er gleicht die CPEs der Hosts im neuesten Report für dieselbe IP-Adresse mit den CVEs in der aktuellen SecInfo ab. Es werden nur Reports von Tasks mit aktiviertem Add results to Assets berücksichtigt. Das ist nützlich, wenn die meisten Schwachstellen bereits behoben wurden und du eine schnelle Prognose willst.
1. Einen vollständigen Scan (zum Beispiel Full and fast) mit "Add results to Assets" = Yes ausführen
2. Scans > Tasks > (ĂĽber New fahren) > New Task
3. den Task definieren, Scanner = CVE setzen, Save
4. den Task starten
5. Scans > Reports > den Report öffnen
Voraussetzungen und Einschränkungen:
- Eine CVE wird nur erkannt, wenn ihr in der National Vulnerability Database (NVD) ein korrektes CPE zugeordnet ist; solange die NVD-Seite
Undergoing analysisanzeigt, sind keine Ergebnisse zu erwarten. - Die Asset-Datenbank benötigt aktuelle Daten, führe also zuerst einen vollständigen Scan aus (authentifizierte Scans erhöhen, was der CVE-Scan finden kann) und wiederhole ihn regelmäßig.
- Der CVE-Scanner kann False Positives melden: Er verifiziert nicht, dass die Schwachstelle tatsächlich existiert, und er kann zurückportierte Sicherheitsfixes nicht erkennen, weil die NVD diesen Fixed-Status nicht erfasst.
Jede erkannte CVE erscheint als Schwachstelle im Report; der Abschnitt Detection Method verlinkt auf die VT, aus der sie stammt.
7. Container-Tasks​
Ein Container-Task importiert und stellt Reports bereit, die auf anderen Appliances erstellt wurden (§10.5).
Scans > Tasks > (ĂĽber New fahren) > New Container Task -> Name -> Save
(in der Task-Zeile) Import-Symbol -> nach der Report-XML suchen
-> add to assets = Yes -> Import
Container-Tasks sind durch ein eigenes Symbol in der Spalte Status gekennzeichnet. Listenaktionen umfassen Import, Papierkorb, bearbeiten, klonen und Export; die Detailseite ergänzt die Register reports, results, notes und overrides.
8. Targets verwalten​
Liste alle Targets unter Configuration > Targets auf (§10.6). Die Liste zeigt Name, Hosts, Anzahl der IPs, Portliste und Credentials. Aktionen pro Target sind Papierkorb (nur wenn ungenutzt), bearbeiten, klonen und Export nach XML; mehrere Targets können gleichzeitig in den Papierkorb verschoben oder exportiert werden. Die Detailseite bietet die Register Information, User Tags und Permissions sowie die üblichen Aktionen erstellen/klonen/bearbeiten/Papierkorb/exportieren.
9. Portlisten erstellen und verwalten​
Eine Portliste definiert, welche Ports ein Scan prüft (§10.7). Wenn Anwendungen auf ungewöhnlichen Ports laufen, passe eine Portliste an oder erstelle eine. Standard-Portlisten werden über den Feed ausgeliefert, mit jedem Feed-Update aktualisiert, können nicht bearbeitet werden und tauchen nach einem Feed-Update wieder auf, wenn sie gelöscht wurden - das dauerhafte Entfernen erfordert, dass der Feed Import Owner sie löscht und anschließend auf (Unset) gesetzt wird.
9.1 Eine Portliste erstellen​
Configuration > Port Lists > (Neu-Symbol) -> definieren -> Save
Port Ranges werden manuell eingegeben (kommagetrennt) oder aus einer ASCII-Datei importiert (Kommas oder ZeilenumbrĂĽche). Jeder Eintrag ist ein einzelner Port (7) oder ein Bereich (9-11), optional mit einem vorangestellten Protokoll-Spezifizierer T: fĂĽr TCP oder U: fĂĽr UDP - zum Beispiel T:1-3, U:7, 9-11. Ohne Spezifizierer wird TCP angenommen.
9.2 Eine Portliste importieren​
Configuration > Port Lists > (Import-Symbol) -> nach der XML suchen -> Import
9.3 Portlisten verwalten​
Die Liste zeigt Name sowie die Gesamtanzahl der Ports und die Anzahl der TCP- und UDP-Ports. Aktionen sind Papierkorb (nur wenn ungenutzt; solange sie im Papierkorb ist, wird sie nicht durch ein Feed-Update erneut heruntergeladen), bearbeiten (nur selbst erstellte, ungenutzte Listen), klonen und exportieren. Die Detailseite ergänzt ein Register Port Ranges, das den ersten und letzten Port sowie den Protokoll-Spezifizierer jedes Bereichs zeigt.
10. Tasks verwalten​
Liste alle Tasks unter Scans > Tasks auf (§10.8). Für jeden Task zeigt die Liste Name (mit Symbolen für alterable, Remote-Scanner, für andere sichtbar oder im Besitz eines anderen), Status, Anzahl der Reports, letzter Report, höchste Schwere und Trend.
Der Balken Status spiegelt den Lebenszyklus wider: keine Läufe, requested/queued, running (der Prozentsatz basiert auf ausgeführten VTs, nicht auf verstrichener Zeit), processing, Done, stop requested, stopped, resuming, deleting und interrupted/error. Tasks, die requesting, processing, stopping, resuming oder deleting sind, können nicht gestoppt, fortgesetzt oder gelöscht werden. Das Fortsetzen scannt jeden nicht abgeschlossenen Host von Grund auf neu, behält aber vollständig gescannte Hosts.
Aktionen pro Task sind start, stop (entdeckte Ergebnisse werden in die Datenbank geschrieben), Zeitplan anzeigen (nur geplante Tasks), resume, Papierkorb, bearbeiten, klonen und exportieren. Die Detailseite bietet die Register Information, User Tags und Permissions plus VerknĂĽpfungen zu reports, results, notes und overrides.
10.1 Task-Berechtigungen vergeben​
Berechtigungen können pro Task vergeben werden, sodass ein anderer Benutzer, eine Gruppe oder eine Rolle ihn sehen und auf seine Reports zugreifen kann (§10.8.1).
Scans > Tasks > (Task-Details öffnen) > Register Permissions
-> (Neu-Symbol) -> Berechtigungstyp in Grant auswählen
-> User / Group / Role und den konkreten Principal wählen -> Save
Standardmäßig kann ein regulärer Benutzer keine Berechtigungen für andere erstellen; das erfordert sowohl die globale als auch die spezifische get_users-Berechtigung.
11. Scan-Konfigurationen​
Eine Scan-Konfiguration legt fest, welche VTs laufen und wie (§10.9). Die Appliance liefert vordefinierte Konfigurationen, die über den Feed verteilt werden; wie Standard-Portlisten können sie nicht bearbeitet werden und tauchen nach einem Feed-Update wieder auf, sofern sie nicht dauerhaft vom Feed Import Owner entfernt wurden.
11.1 Standard-Scan-Konfigurationen​
| Konfiguration | Was sie tut |
|---|---|
| Empty | Leere Vorlage, keine VTs; klone sie für eine vollständig benutzerdefinierte Konfiguration (statische VT-Familien) |
| Base | Nur Informationsgewinnung, keine Schwachstellenerkennung; Ping Host plus OS-Info (statische Familien) |
| Discovery | Nur Informationen; inventarisiert Ports, Hardware, Firewalls, Dienste, Software, Zertifikate (dynamische Familien) |
| Host Discovery | Erkennt ĂĽber Ping Host, welche Hosts erreichbar sind; keine Schwachstellenerkennung (statische Familien) |
| System Discovery | Erkennt Hosts plus OS und Hardware; keine Schwachstellenerkennung (statische Familien) |
| Full and fast | Empfohlener Ausgangspunkt; nahezu alle VTs, keine die das Target beschädigen, auf eine niedrige Falsch-Negativ-Rate abgestimmt (dynamische Familien) |
| Full and fast ultimate | Full and fast plus VTs, die Dienste stören oder Abschaltungen verursachen können; höhere Falsch-Positiv-Rate (dynamische Familien) |
| Full and very deep | Wie Full and fast, ignoriert aber Port-/Dienst-Erkennung bei der Auswahl der VTs; sehr langsam (dynamische Familien) |
| Full and very deep ultimate | Full and very deep plus gefährliche VTs; sehr langsam, höhere Falsch-Positiv-Rate (dynamische Familien) |
"Dynamische" VT-Familien nehmen nach einem Feed-Update automatisch neue VTs auf; "statische" Familien tun das nicht.
11.2 Eine Scan-Konfiguration erstellen​
Configuration > Scan Configs > (Neu-Symbol)
-> Name, eine Basis wählen (Base / Empty / Full and fast / eine vorherige Konfiguration) -> Save
-> (Bearbeiten-Symbol) bei der neuen Konfiguration
-> Edit Network Vulnerability Test Families: neue Familien automatisch aufnehmen? VT-Familien/VTs auswählen
-> optional Scanner Preferences und VT Preferences bearbeiten
-> Save
Mehrere OS-spezifische Local-Security-Check-Familien (AIX, AlmaLinux, Amazon Linux, CentOS, Debian, Fedora, Red Hat, SuSE, Ubuntu, Huawei EulerOS und andere) können nicht bearbeitet werden. Damit der Notus Scanner funktioniert, muss die VT Determine OS and list of installed packages via SSH login (OID 1.3.6.1.4.1.25623.1.0.50282) aktiviert sein.
Jede benutzerdefinierte Konfiguration mit der Scanner-Preference safe_checks auf no kann unzuverlässig sein und mehr False Positives erzeugen, was manuelle Analyse und Overrides erfordern kann.
11.3 Eine Scan-Konfiguration importieren​
Configuration > Scan Configs > (Import-Symbol) -> nach der XML suchen -> Import
Importiere nur Konfigurationen, die mit der aktuellen GOS-Version erstellt wurden; andere Versionen können Fehler verursachen oder sich unerwartet verhalten. Existiert der Name bereits, wird ein numerisches Suffix angehängt. Bearbeite die importierte Konfiguration wie oben.
11.4 Scanner Preferences​
Scanner Preferences werden auf der Bearbeitungsseite der Konfiguration unter Edit Scanner Preferences bearbeitet (§10.9.4). Alle zu dokumentieren würde den Rahmen sprengen, und undokumentierte können veraltet sein. Die wichtigsten sind: safe_checks (deaktiviert schädigende VTs), optimize_test (startet nur VTs, deren Voraussetzungen erfüllt sind), auto_enable_dependencies, max_sysload und min_free_mem (drosseln, wenn die Appliance ausgelastet ist), non_simult_ports, plugins_timeout und scanner_plugins_timeout, checks_read_timeout, alive_test_ports und test_alive_wait_timeout (Boreas-Alive-Scanner), unscanned_closed / unscanned_closed_udp sowie die vhost-Preferences test_empty_vhost und expand_vhosts.
11.5 VT Preferences​
VT Preferences werden pro VT unter Network Vulnerability Test Preferences bearbeitet (§10.9.5). Das Handbuch dokumentiert die Port-Scanner-VTs Ping Host und Nmap (NASL wrapper). Beachte, dass die meisten Ping Host-Parameter unter GOS 22.04 nicht mehr unterstützt werden, weil sie mit dem Boreas-Alive-Scanner inkompatibel sind. Die Nmap-Optionen bilden direkt die Nmap-Kommandozeilen-Flags ab (Pakete fragmentieren, OS-Erkennung, Service-Scan, RTT-Timeouts, Wiederholungen, Parallelität, Quell-Port, Scan-Technik) und eine Timing policy von Paranoid bis Insane.
11.6 Scan-Konfigurationen verwalten​
Die Liste zeigt Name, Typ, Anzahl und Trend der VT-Familien sowie Anzahl und Trend der VTs (die Trend-Symbole zeigen an, ob neue Familien/VTs nach einem Feed-Update automatisch aufgenommen werden). Aktionen sind Papierkorb (nur wenn ungenutzt), bearbeiten (nur selbst erstellte, ungenutzte Konfigurationen), klonen und exportieren. Die Detailseite ergänzt die Register Scanner Preferences, NVT Families, NVT Preferences, User Tags und Permissions und kann außerdem eine Konfiguration importieren.
12. Geplante Scans​
Ein Zeitplan macht aus einem Task einen automatischen Scan, der einmal oder wiederholt läuft (§10.10). Die Appliance liefert standardmäßig keine Zeitpläne.
12.1 Einen Zeitplan erstellen​
Configuration > Schedules > (Neu-Symbol) -> definieren -> Save
Felder: Name, Comment, Timezone (Default UTC±00:00; die Appliance läuft intern in UTC, daher ist die gewählte Zeitzone relevant - zum Beispiel America/New_York für EST), First Run, Run Until (mit einer Checkbox Open End; Tasks mit einer Endzeit können nicht manuell gestartet werden), Duration (ein maximales Laufzeitfenster; läuft die Zeit ab, wird der Task abgebrochen und bis zum nächsten Slot ausgesetzt) und Recurrence (Once, Hourly, Daily, Weekly, Monthly, Yearly, Workweeks oder Custom).
12.2 Zeitpläne verwalten​
Die Liste zeigt Name, ersten Lauf, nächsten Lauf, Wiederholung und Dauer. Aktionen sind Papierkorb (nur wenn ungenutzt), bearbeiten, klonen und exportieren. Die Detailseite bietet die üblichen Register und Aktionen.
13. Scanner erstellen und verwalten​
Die Appliance liefert zwei Scanner (§10.11): OpenVAS Default (die Scan-Engine) und CVE (der Prognose-Scanner aus Abschnitt 6). Der Scanner wird beim Erstellen eines Tasks ausgewählt. Das Erstellen eines neuen Scanners dient nur dazu, einen Remote-Scanner (Sensor) hinzuzufügen.
Liste die Scanner unter Configuration > Scanners auf. Aktionen sind Papierkorb, bearbeiten, klonen und exportieren (die ersten drei nur für selbst erstellte Scanner), plus Verify (bestätigen, dass der Scanner online und mit seinen Zertifikaten und Credentials erreichbar ist) sowie Download von Zertifikat / CA-Zertifikat (nur selbst erstellte Scanner). Die Detailseite bietet die üblichen Register und Aktionen.
14. Alerts verwenden​
Ein Alert verknüpft ein Event mit einer Bedingung und einer Aktion (§10.12). Wenn das Event eintritt und die Bedingung erfüllt ist, läuft die Aktion - zum Beispiel einen Report per E-Mail versenden, wenn ein Task abgeschlossen ist und eine Schwachstelle hoher Schwere gefunden wurde.
14.1 Einen Alert erstellen​
Configuration > Alerts > (Neu-Symbol) -> definieren -> Save
- Event - Task-Statusänderung, SecInfo hinzugefügt/aktualisiert (VTs, CVEs, CPEs, CERT-Bund- und DFN-CERT-Advisories) oder Ticket zugewiesen/bearbeitet.
- Condition -
Always, ein Schweregrad-Schwellenwert, eine Schweregrad-Änderung oder ein Powerfilter, der mindestens N Ergebnisse mehr als der vorherige Scan trifft. Die Optionen unterscheiden sich für Task-, SecInfo- und Ticket-Alerts. - Report Content / Delta Report (Task-Alerts) - den Report mit einem Powerfilter einschränken und optional einen Delta-Report erzeugen.
- Method - eine Methode pro Alert; erstelle mehrere Alerts auf demselben Event fĂĽr mehrere Methoden.
14.2 Alert-Methoden​
| Methode | Was sie tut |
|---|---|
Versendet den Report (Notice, eingebettet oder als Anhang) an eine Adresse; benötigt den konfigurierten Mailhub; unterstützt S/MIME- oder PGP-Verschlüsselung und $-Platzhalter | |
| HTTP Get | Ruft eine URL als HTTP GET auf, zum Beispiel ein SMS-Gateway oder einen Issue-Tracker-Eintrag |
| SCP | Kopiert den Report ĂĽber Secure Copy Protocol mit einem Credential, einem Known-Hosts-Key und einem Zielpfad auf einen Host |
| Send to host | Sendet den Report ĂĽber TCP an einen Host/Port |
| SMB | Kopiert den Report ĂĽber SMB auf einen UNC-Freigabepfad mit einem Credential; unterstĂĽtzt %-Platzhalter und eine Max Protocol-Version |
| SNMP | Sendet einen SNMP-Trap an einen Agent unter Verwendung eines Community-Strings |
| Sourcefire Connector | Sendet Daten an ein Cisco Firepower Management Center |
| Start Task | Startet einen zusätzlichen Task |
| System Logger | Sendet den Alert an einen Syslog-Daemon (im GOS-Admin-MenĂĽ konfiguriert) |
| verinice.PRO Connector | Sendet Daten an eine verinice.PRO-Installation |
| TippingPoint SMS | Lädt einen CSV-Report über eine HTTPS-API auf ein TippingPoint Security Management System hoch |
| Alemba vFire | Erstellt ein Ticket in vFire mit dem angehängten Report |
Die Methode Email erfordert To Address, From Address und Content; Verschlüsselungszertifikate müssen PEM-kodiert, X.509, für die Empfängeradresse ausgestellt und gültig sein. SCP erfordert Credential, Host, Known Hosts, Path und Report (Standard-Port 22). SMB erfordert Credential, Share path (zum Beispiel \\host\share, vorab erstellt) und File path.
14.3 Alerts zuweisen und verwalten​
Weise einen bestehenden Alert zu, indem du einen Task bearbeitest und ihn im Dropdown Alerts auswählst; der Task erscheint dann auf der Detailseite des Alerts. Liste Alerts unter Configuration > Alerts auf, mit Name, Event, Bedingung, Methode, Filter und Aktiv-Status. Aktionen sind Papierkorb (nur wenn ungenutzt), bearbeiten, klonen, exportieren und Test.
15. Hindernisse beim Scannen​
Die Standardwerte funktionieren in den meisten Umgebungen, müssen aber manchmal angepasst werden (§10.13):
- Hosts nicht gefunden - standardmäßig pingt die Appliance zuerst und behandelt nicht antwortende Hosts als tot. Lokale Firewalls, die Ping-Antworten unterdrücken, führen dazu, dass Hosts übersprungen werden. Passe den Alive-Test (TCP Ping oder ARP Ping innerhalb derselben Broadcast-Domäne) am Target oder an der Scan-Konfiguration an.
- Lange Scan-Dauern - gegen eine Firewall, die Pakete verwirft (drop), wartet der Port-Scanner auf jeden Port-Timeout. Stimme die Portlisten oder die Firewall ab; eine Firewall, die ablehnt (reject) statt zu verwerfen, vermeidet das Warten auf den Timeout, was besonders bei UDP-Ports zählt.
- VT nicht verwendet - die Standard-Portliste enthält keine UDP-Ports, daher wird
161/udpnie erkannt und SNMP-VTs laufen nie, obwohlFull and fastsie enthält. Füge die benötigten UDP-Ports zu einer benutzerdefinierten Portliste hinzu, statt alle Ports zu aktivieren, was Scans stark verlangsamen würde. - vhosts scannen - der Scanner löst Hostname-/IP-Beziehungen automatisch auf und vermeidet doppelte Ergebnisse für virtuelle Hosts. Zwei Scanner-Preferences steuern das:
test_empty_vhostundexpand_vhosts(siehe Abschnitt 11.4).