Springe zum Hauptinhalt

Verteilte Massenscans mit OpenVAS

Für einen deut­schen Kon­zern ha­be ich ein Kon­zept ent­wi­ckel­t, um Schwach­stel­len­tests für Mas­sen von Ge­rä­ten durch­zu­füh­ren. Das Netz des Kon­zerns ent­hält zir­ka 130.000 Ge­rä­te, da­von ge­hö­ren ca. 80.000 zu dem Un­ter­neh­mens­be­reich, der mei­ne Ex­per­ti­se ein­ge­kauft hat.

Wie in Kon­zer­nen üb­lich, ha­ben wir ge­wach­se­ne Struk­tu­ren, sprich: wir ha­ben kei­ne ge­nau­en In­for­ma­ti­o­nen, wel­che Ge­rä­te nun zu die­sem Un­ter­neh­men­be­reich ge­hö­ren und wel­che nicht -- letz­te­re dür­fen wir dann auch nicht an­fas­sen, sonst gib­t­'s Är­ger. Er­schwert wird das noch durch mo­bi­le User, die teil­wei­se aus dem Aus­land kom­men. Net­work Ac­cess Con­trol (NAC) gibt es in dem Netz na­tür­lich nicht, das wä­re ja zu ein­fach ;-)

Ich ha­be nun ein zwei­stu­fi­ges Kon­zept ent­wi­ckel­t: In der ers­ten Stu­fe wer­den al­le be­kann­ten Ge­rä­te her­aus­ge­sucht -- das ist müh­sam, aber sonst nicht wei­ter in­ter­es­sant. In der zwei­ten Stu­fe wer­den die iden­ti­fi­zier­ten Ge­rä­te dann auf Schwach­stel­len gescannt. Das Kon­zept sieht fol­gen­de Punk­te vor:

  • We­b­in­ter­fa­­ce,

  • Da­ten­­bank mit den Ge­rä­ten, Ge­rä­te­a­r­ten, Stan­d­or­ten und Scan­­-­­Auf­trä­­gen,

  • Ge­rä­te kön­­nen nach ver­­­schie­­de­­nen Kri­te­ri­en aus der Da­ten­­bank se­lek­tiert wer­­den (Stan­d­or­t, IP­­-­­­Adres­­se, Ge­rä­te­­ty­­p, et­c.),

  • ver­­­schie­­den Scan­­-­­Pro­­fi­le, z.B. Ar­­beits­­platz­rech­­ner, Un­­ix­­-­­­Ser­­ver, Win­­dows-­­­Ser­­ver, Dru­cke­r,

  • im Un­­ter­­neh­­mens­­netz ver­­­teil­te "Sen­­so­ren­", und

  • Er­­ge­b­­nis­­se wer­­den zen­tral ge­­sam­­mel­t.

Als Scan­ner aus­ge­wählt wur­de Open­VAS. Zum Einen, weil kei­ne Li­zenz­kos­ten an­fal­len, zum An­de­ren, weil es sehr fle­xi­bel ist.

Lei­der soll das ver­teil­te Scan­nen erst im Herbst 2010 im­ple­men­tiert wer­den. Aber Open­VAS hat ein Ma­na­ge­ment­-­Schnitt­stel­le (OMP), über die sich Scan­-­Jobs an­le­gen und star­ten las­sen, und die Da­ten lan­den in ei­ne sq­li­te­-­Da­ten­bank. Da­mit wa­ren "nur" ein paar Skrip­te nö­tig, um die ge­wünsch­te Funk­ti­on zu im­ple­men­tie­ren.

Die Eck­punk­te sin­d: Ein Skript trägt die Scan­auf­trä­ge in die Da­ten­bank ein. Ein Cron­job sucht neue Scan­-­Auf­trä­ge, ver­teilt sie (per OMP) an die Sen­so­ren, holt dort die Re­ports der fer­tig­ge­stell­ten Auf­trä­ge ab und pflegt sie in die Open­VAS­-­Da­ten­bank auf dem "Mas­ter". Auf dem Mas­ter läuft eben­falls ein Open­VAS­-­Web­fron­tent (der gsa), um die Re­ports an­zu­se­hen.

Portrait von Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
  +49 871 6606-318
  +49 175 29 78 072
  h.goebel@goebel-consult.de