Linux-Magazin 20 Jahre Linux (Vorschau)
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Sysadmin<br />
www.linux-magazin.de Open VAS 4 09/<strong>20</strong>11<br />
84<br />
Abbildung 6: Mit Severity Override lässt sich jede vom Scanner generierte Meldung in der Bedeutung zwischen »Security hole« und »False positive« neu einstufen.<br />
die Sicherheitsrichtlinien der gegebenen<br />
Netzinfrastruktur. Selbst den eigenen<br />
Server im öffentlichen Bereich des Firmennetzes<br />
über das Internet zu scannen,<br />
kann eine Herausforderung werden.<br />
Aus dem Innern des<br />
Zielobjekts<br />
Sehr viel bessere Ergebnisse liefern Open-<br />
VAS-Scans, die die Möglichkeit zum Log in<br />
auf dem Zielhost haben und diesen aus<br />
dem Innern heraus analysieren. Der Log in<br />
sollte nicht über einen Root-Account laufen,<br />
bereits ein normaler Account liefert<br />
genug Informationen zum System und<br />
dessen Schwachstellen.<br />
Auch die User-Passwort-Paare der Zielsysteme<br />
sind ein schützenswertes Gut.<br />
Leider gehen der Open-VAS-Manager und<br />
damit die neuen, über OMP arbeitenden<br />
Open-VAS-Clients damit nicht sonderlich<br />
pfleglich um, da sie die Paare einfach<br />
im Klartext in der SQLite-Datenbank<br />
speichern und so zumindest für den Administrator<br />
des Scanservers zugänglich<br />
machen, der ja nicht zwingend zugleich<br />
der Admin aller Zielsysteme ist. Eine einfache<br />
SQL-Anweisung in der Form<br />
sqlite3 tasks.db 'select * fromU<br />
lsc_credentials;'<br />
gibt Personen mit Zugang zur Datenbank<br />
alle vertraulichen Informationen preis.<br />
Die Zugangsdaten verschlüsselt abzulegen<br />
löst das Problem auch nicht, da während<br />
des Scans die Daten entschlüsselt<br />
verschiebt, was einem Quasi-Einmalzugang<br />
für diesen Scan entspricht.<br />
Das Erzeugen der Schlüsselpaare erfolgt<br />
ähnlich wie bei Open SSH und ist detailliert<br />
unter [15] beschrieben. Doch funktionieren<br />
entgegen der Open-VAS-Dokumentation<br />
derzeit nur DSA- und keine<br />
RSA-Schlüssel [16]. Das macht den Einsatz<br />
des eingebauten Tools zur Paketerzeugung<br />
(unter »Extras | LSC Credentials<br />
Manager«) wenig empfehlenswert.<br />
Nachdem das Schlüsselpaar (hier für<br />
den Nutzer »sshovas«) erzeugt ist, sollwerden<br />
und der Schlüssel innerhalb der<br />
Anwendung hinterlegt wäre.<br />
Auch der klassische Open-VAS-Client<br />
zeigt hier Schwächen, er legt die Zugangsdaten<br />
im Klartext in den lokalen Konfigurationsdateien<br />
».openvasrc« (Tabelle 1)<br />
ab. Davor wird zwar gewarnt, aber die<br />
Klartextablage der Passphrase zum privaten<br />
Schlüssel ist keine gute Alternative.<br />
Optimal wäre, die Daten verschlüsselt<br />
zu speichern in Verbindung mit einem<br />
nicht hinterlegten Masterpasswort oder<br />
gar mit Unterstützung einer Smartcard –<br />
reichlich Entwicklungsbedarf für spätere<br />
Open-VAS-Versionen.<br />
Wichtig ist dabei, dass der Open-VAS-<br />
Client eine geänderte Konfiguration in<br />
den Zugangsdaten immer nur beim Scan<br />
des Zielobjekts in der Datei aktualisiert.<br />
Denn selbst wenn der Admin vor dem<br />
Schließen des Programms die Zugangsdaten<br />
löscht, verbleiben diese in der Konfigurationsdatei.<br />
Sicherheit durch Schlüssel<br />
Um Zugangsdaten möglichst einfach auf<br />
mehrere Systeme zu verteilen und die<br />
Problematik der zentralen Zugangsdaten<br />
zu entschärfen, bieten sich asymmetrische<br />
Schlüssel an. Der öffentliche<br />
Schlüssel kommt auf die Zielsysteme.<br />
Der zugrunde liegende Account sollte<br />
ein deaktiviertes Passwort haben, sodass<br />
allein der auf dem Client verbleibende<br />
private Schlüssel den Zugang ermöglicht.<br />
Da die Passphrase sich nur im Klartext<br />
hinterlegen lässt, verzichtet man gleich<br />
darauf. Zum Schutz des privaten Schlüssels<br />
bietet sich derzeit an, ihn gesichert<br />
aufzubewahren, etwa auf USB-Stick, oder<br />
ihn nochmals mit Truecrypt, PGP oder<br />
Encryptfs zu verschlüsseln.<br />
Da der passende öffentliche Schlüssel<br />
auch auf dem Zielsystem (in »~./.ssh/<br />
authorized_keys2«) hinterlegt sein muss,<br />
kann der Admin des Zielsystems den Zugriff<br />
durch Hinzufügen oder Entfernen<br />
des öffentlichen Schlüssels steuern. Er<br />
könnte sogar durch ein spezielles Open-<br />
VAS-Plugin den Zugang auf einen einmaligen<br />
Scan beschränken, indem es nach<br />
dem Scan die Schlüsseldatei selbst mit<br />
pread(cmd: "/bin/mv", argv: make_listU<br />
("mv","~/.ssh/authorized_keys2",U<br />
"~/.ssh/authorized_keys2.bak"));<br />
Listing 4: Meldung nach internem<br />
Login<br />
01 Reported by NVT "SSH Authorization"<br />
(1.3.6.1.4.1.25623.1.0.90022):<br />
02<br />
03 It was possible to login using the SSH credentials<br />
supplied.<br />
04 Hence local security check are enabled.<br />
Abbildung 7: Auswirkungen von Severity Override auf einen Bericht.