Vulnerability Management - Teil 4 - Beschreibung der Basis Scans

Beitragsseiten

Seite 4 von 6

 

Teil 4 - Beschreibung der Basis Scans

 

Die täglichen Basis Scans können sehr gut mit dem Quasi-Standard Werkzeug nmap ausgeführt werden. Dieses ist auf nahezu allen Plattformen verfügbar.

 

Um Bandbreitenbelastung und Laufzeit der Scans so gering wie möglich zu halten, ist es sinnvoll, wenn nicht sogar erforderlich, die Anzahl auszuführender Scans auf das erforderliche Minimum zu beschränken. Je größer die Anzahl zu scannender Geräte / Subnetze ist, um so wichtiger wird diese Anforderung.

 

Schnelles Ermitteln des Scan Umfangs durch PING Scan

Um den genauen Scan Umfang fest zu legen, werden in einer Vorstufe die tatsächlich aktiven IP Adressen in den zu scannenden Netzen ermittelt. Dies kann durch einen PING Scan erfolgen oder durch Abfrage geeigneter Daten aus allen beteiligten ARP-Caches. Letzteres ist schwieriger umzusetzen, erhöht aber die Genauigkeit der Identifizierung der Geräte in den nachfolgenden Schritten, da so nicht nur IP, sondern auch MAC Adressen bekannt werden.

 

In besonders großen Netzen kann es darüber hinaus sinnvoll oder gar erforderlich sein, die PING Scans zu segmentieren. Hierbei werden je Subnetz oder - je nach Größe des Subnetzes - je nach Anzahl möglicher IP Adressen im jeweiligen Subnetz, einzelne Scan Jobs erstellt und ausgeführt. Dabei kann die Anzahl parallel laufender PING Scans ebenfalls festgelegt und so der Bandbreiten Verbrauch an alle Bedürfnisse angepasst werden.

 

Ausführen des Basis Scans

Sobald für ein Subnetz bzw. eine Untermenge von IP Adressen die tatsächlich aktiven Adressen ermittelt wurden, wird unmittelbar darauf der eigentliche Basis Scan - ebenfalls mit nmap - mit der Liste der aktiven IP Adressen und für alle zuvor festgelegten Ports gestartet. Hierbei wird nicht nach Gerätetypen unterschieden.

 

Sind IP Adressen aus dem zuvor ermittelten Umfang während des Scans nicht mehr erreichbar, führt dies nur zu geringem Overhead. Kommen während des Scan Vorgangs weitere IP Adressen hinzu, werden diese zwar nicht mehr berücksichtig. Allerdings tritt diese Situation auch bei jeder anderen Vorgehensweise auf, sobald ein Scanner eine höhere Adresse bearbeitet, als die neu hinzu gekommene.

 

Durch geeignetes Scripting in dieser Vorphase können die nicht mehr erreichten IP Adressen in eine Re-Scan Queue gestellt werden, die immer wieder von Zeit zu Zeit abgearbeitet wird, bis sie keine Einträge mehr enthält. Allerdings ist ein solches Vorgehen in Adressbereichen mit DHCP Adressen wenig sinnvoll, da sich hinter der verpassten Adresse längst ein ganz anderes Gerät verbergen kann.

 

Die hier aufgezeigten systemischen Schwächen lassen sich nur abfangen, wenn DCHP Log-Dateien sehr zeitnah zur Verfügung stehen, ausgewertet und die Ergebnisse von einem permanent laufenden Scanner sofort verarbeitet werden.

 

Der Basis Scan erzeugt einen Scan Report, der je nach Präferenz im csv oder xml erstellt und maschinell weiter verarbeitet wird. Diese Verarbeitung sollte unmittelbar auf die Report Erstellung erfolgen und beinhaltet diese Schritte:

  • die Identifikation gescannter Gerät anhand verknüpfter CMDB Daten
    • Matching auf Basis von MAC Adressen, FQDN bzw. Hostnamen, ggf. IP Adressen wenn statisch vergeben
    • Ermittlung des Gerätetyps
  • Anwendung einer Regel Engine zur Feststellung der Compliance
    • anhand des Gerätetyps kann die Policy (Festlegung der Ports und ihrer Sollzustände) ermittelt werden
    • formale Prüfung auf den Hostnamen, sofern Namenskonventionen bestehen

 

Werden diese Ergebnisse in eine geeignete Datenbank geschrieben, sind so 3 verschiedene Informationen verfügbar:

  • Liste der Geräte, bei denen keine Identifikation möglich war
    • fehlender CMDB Eintrag
    • fehlende Identifikationsmerkmale (MAC Adresse, Hostname) 
    • unzureichender Identifikationsalgorithmus 
  • Liste der Geräte, die als „compliant“ eingestuft wurden
  • Liste der Geräte, die als „non-compliant“ eingestuft wurden

 

Auf diese Weise ist nicht nur ein schneller Überblick über die grundlegende Schwachstellen Situation ermöglicht, sondern darüber hinaus werden die CMDB Daten auch einer permanenten aktiven Überprüfung ausgesetzt. Dadurch wird die Qualität der CMDB dauerhaft erhöht bzw. auf hohem Niveau etabliert. Dafür sind lediglich die erforderlichen Sanierungsprozesse zu definieren und abzuarbeiten.

 

Darüber hinaus entsteht eine revisionsfähige Historie über alle Scan Aktivitäten und Ergebnisse. Auch die Erstellung und Verfolgung von Sanierungsaufträgen kann durch diese Grundlagen automatisiert werden.