Warnungen richtig deuten

Nessus wacht
über das System

Als Nächstes gilt es, die Informationen, die Sie einem Bericht entnehmen, zu interpretieren. Dabei geht es primär darum, herauszulesen, welche Informationen in den einzelnen Angaben stecken, was tatsächlich berichtet wird, wie die Infos in den Gesamtkontext der Umgebung passen und welche Schlussfolgerungen daraus gezogen werden müssen. Auch die Frage, ob die Ausgaben die tatsächlichen Verhältnisse widerspiegeln, müssen Sie sich stellen. Dabei sollten Sie sich zunächst vergegenwärtigen, dass Nessus potenzielle Schwachstellen lediglich aufgrund eines einfachen Frage-Antwort-Spiels beurteilt. Ein umfangreicher Sicherheitscheck, der sich beispielsweise am Ausnutzen eines offenen Ports versucht, findet selten statt. Nessus wertet in erster Linie die Rückgaben der Hosts und der angesprochenen Dienste aus. Will man die Ausgaben von Nessus von Grund auf verstehen, so muss man sich insbesondere mit NASL sowie dem Aufbau und dem Ablauf von Test-Scripts befassen. Aber auch ohne tief gehende NASL-Kenntnisse können Sie den Berichten alle notwendigen Informationen für das Erkennen und Beseitigen eines Risikos entnehmen. Die wichtigsten Informationen sind die Zusammenfassung, die Risikoklassifizierung und die Lösungsvorschläge. Hat man verstanden, warum ein Warnhinweis ausgegeben wird, so folgt daraus meist der nächste Schritt.

Keine Panikmache
Der Albtraum eines jeden Administrators sind die so genannten False Positives. Dabei handelt es sich um Fehlalarme, die oft als Folge einer nicht sachgerechten Konfiguration dem Administrator das Leben schwer machen und viel Arbeit verursachen. Falschmeldungen werden möglicherweise aber auch durch eine unvollständige Ausführung oder durch Bugs verursacht. Sie können außerdem durch veraltete Test-Scripts entstehen, die eine bereits gepatchte Sicherheitslücke unter die Lupe nehmen und fälschlicherweise ein Problem melden. Für das Testen von Verwundbarkeiten eines Systems gibt es zwei Ansätze: eindringendes Scannen und nicht-eindringendes Scannen. Im ersten Fall sendet man an den jeweiligen Dienst Daten, die die Schwachstelle ausnutzen und beispielsweise ein System zum Absturz bringen. Bei der zweiten Methode sendet man an den Dienst Anfragen, die die Schwachstelle verifizieren, den Dienst aber selbst nicht lahm legen oder auf eine andere Art beschädigen. Nessus unterstützt beide Verfahren. Um die ungefährlichere Variante zu wählen, stellen Sie sicher, dass die Option Safe checks im Register Options/General eingeschaltet ist. Standardmäßig ist dieser Schalter aktiviert. Diese Einstellung sorgt übrigens auch dafür, dass unnötige Informationen nicht in den Berichten landen.