Scan-Report mit Zusatzinfos

Nessus wacht
über das System

Um maximale Informationen aus den Berichten zu ziehen, müssen Sie sich mit der Scanner-Logik vertraut machen. Die Scan-Vorgänge basieren auf NASL-Scripts (siehe Kasten »Selbst ist der Admin: eigene Scan- Routinen« auf der Vorseite). Für jedes dieser Scripts führt der Scanner die folgenden Schritte aus: Zunächst stellt der Scanner sicher, dass alle in den Abhängigkeiten der Scripts definierten Scans durchgeführt wurden. Dann ermittelt der Scanner, ob der betreffende Dienst auf dem Ziel-Host überhaupt läuft. Dazu wird meist die Knowledge Base konsultiert. Sofern möglich, werden Sicherheitslücken erkannt. Als Nächstes versucht sich der Scanner an der Verifizierung der Sicherheitslücke. Dieser Vorgang ist von Script zu Script unterschiedlich geregelt. Meist sendet das Script bestimmte Werte oder Kommandos an einen Dienst und analysiert dessen Antworten. Schließlich bestimmt Nessus auf Grundlage der zurückgegebenen Informationen, ob es sich um eine kritische Sicherheitslücke handelt. Dazu wird ein so genannter Risikofaktor gesetzt.

Eindeutige Klassifizierung
Abhängig von den Daten, die die Dienste zurückgeben,werden diese als Sicherheitslücke (Security Hole), Warnung (Warning) oder als Warnhinweis (Security Note) klassifiziert. Die unterschiedlichen Kategorien werden im Bericht durch verschiedene Symbole gekennzeichnet. Hilfreich: Jedes Nessus- Test-Script besitzt eine eigene ID, damit es eindeutig identifizierbar und ausführbar ist. Die Script-ID kann dem Report Viewer in der Regel nicht entnommen werden. Dafür findet man die ID bei verschiedenen Exportausgaben, beispielsweise beim HTML-Bericht. Über die Plug-in-Suche auf der Nessus-Homepage (www.nessus.org/plugins/index.php?view=search) haben Sie die Möglichkeit, weitere Details zu den jeweiligen Scripts abzurufen.