Online-Security-Scanner, Teil 2
Schwachstellen-Scanner suchen anhand einer großen Sammlung von Sicherheitslöchern nach Angriffspunkten in Servern und Netzen. Mittlerweile bieten eine Reihe von Web-Sites solche Schwachstellen-Scans über das Internet an, teilweise sogar kostenlos.
- Daniel Bachfeld
Teil 1: Online-Sicherheitstests für Heimanwender
Server, die mit dem Internet verbunden sind, müssen gegen Angriffe von außen sicher sein. Schwachstellen-Scanner suchen anhand einer großen Sammlung von Sicherheitslöchern nach möglichen Angriffspunkten in Servern und Netzen und geben einen Überblick, wie es um die Sicherheit der Systeme steht. Die Installation und Konfiguration von Scannern wie Nessus unter Linux ist nicht ganz trivial, Produkte für Windows, wie der Internet Security Scanner von ISS, bisweilen nicht ganz billig.
Viele Online-Schwachstellenscanner beruhen auf der Open-Source-Software Nessus. Nessus verwendet Plug-Ins, um Systeme auf verschiedene Schwachstellen zu untersuchen. Die Zahl verfügbarer Plug-Ins geht in die Tausende, da viele nur eine spezielle Applikation oder eine spezielle Schwachstelle testen. Damit man seinen Windows/IIS-Server nicht unnötigerweise auf Schwachstellen im Apache überprüft, sollte man die Plug-Ins einzeln aktivieren und deaktivieren können. Die meisten Dienste bieten jedoch nur komplette Checks an. Selbst wenn man davon ausgeht, dass der Anbieter eine sinnvolle Vorauswahl getroffen hat, bleibt zu kritisieren, dass der Kunde nicht feststellen kann, welche Tests durchgeführt wurden. Einzig it.sec bietet derzeit ein Webfrontend zur Konfiguration der Plug-Ins an. Allerdings sollte man hier wissen was man tut: Ein Plug-In versehentlich deaktiviert und man wähnt sich in Sicherheit.
Die Online-Scans für größere Netzwerke sind meist kostenpflichtig, einen Free-Trial-Account für eine einmalige Überprüfung oder einen begrenzten Zeitraum bieten aber alle an. Meist darf man nur die nach aussen sichtbare IP-Adresse als Ziel angeben, unter Umständen ist dies auch mal eine Firewall oder ein Proxy. Beliebige Adressen sind nicht nur kostenplichtig, sie erfordern in der Regel meist die Abgabe einer Erklärung, dass man berechtigt ist, diese zu überprüfen. Eventueller Mißbrauch der Scanner soll damit verhindert werden.
Security Metrics
SecurityMetrics überprüft mit Nessus mehrere Systeme gleichzeitig, die man in einer Liste angeben kann. Ein Trial-Account erlaubt einen Lauf gegen bis zu drei Systeme: Webserver, Mailserver und Firewall. Dazu benötigt man eine gültige E-Mail-Adresse in der zu überprüfenden Domäne. Für den Start des Trial-Tests erhält man eine spezielle E-Mail mit einer URL, eine E-Mail informiert den Anwender über deren Abschluss. Der anschließend abrufbare Bericht zeigt offene Ports. Auf den Ports erreichbare Applikationen werden einer tieferen Analyse unterzogen: Alle gefundenen Schwachstellen werden mit Portnummer, Risikoeinschätzung und einer mehr oder minder genauen Erklärung des Problems dargestellt. Meist ist dort auch schon ein erster Schritt zur Behebung des Problems beschrieben. Ein Brute-Force-Modul versucht zusätzlich noch Benutzeraccounts zu knacken.
