Suchen

Nessus-Lehrgang – Teil 6 Nessus 4 bringt mehr Performance, mehr Optionen und bessere Reports

Redakteur: Peter Schmitz

Seit kurzem steht mit Nessus 4 eine neue Version des bekannten Vulnerability-Scanners zur Verfügung. Für die meisten Anwender von Nessus dürfte die Performance-Steigerung der neuen Version 4 die auffälligste Veränderung gegenüber Version 3 sein. Nessus 4 bietet aber auch eine Reihe weiterer Neuerungen, darunter die Möglichkeit, Scan-Reports dank XSLT nach individuellen Vorgaben aufzubereiten.

Firma zum Thema

Ein Update auf Nessus 4 ist ein Muss, das mit mehr Performance belohnt wird. Die Arbeit mit Nessus funktioniert aber weiter wie gewohnt.
Ein Update auf Nessus 4 ist ein Muss, das mit mehr Performance belohnt wird. Die Arbeit mit Nessus funktioniert aber weiter wie gewohnt.
( Archiv: Vogel Business Media )

Hinter dem Performance-Sprung bei Nessus 4 steckt ein radikaler Umbau der Code-Basis, die nunmehr vollständig thread-basierend ist und dieselbe Engine auf Windows- wie auf Unix-Systemen verwendet. Zum Glück wirkt sich dieser massive Eingriff hinter den Kulissen nicht auf die Bedienoberfläche aus, sodass für erfahrene Administratoren weiterarbeiten können, ohne sich neu einarbeiten zu müssen.

Sowohl Administratoren, die Nessus unter Windows ausführen, als auch solche, die Linux einsetzen, dürfen sich über zusätzliche Features freuen. Für beide Plattformen stehen jetzt native 64-Bit-Versionen zur Verfügung (ebenso für FreeBSD). Selbstverständlich werden die neuesten Linux-Distributionen (Debian 5, Fedora 10 usw.) unterstützt.

Bildergalerie

Für Linux-Administratoren stellt es eine ganz erhebliche Arbeitserleichterung dar, dass künftig keinerlei externe Bibliotheken mehr nötig sind, d. h. es besteht kein Anlass mehr, die Systemkonfiguration zu verändern, wenn Nessus installiert werden soll. Windows-Administratoren wiederum wird freuen, dass ab Nessus 4 sämtliche Kommandozeilentools (wie nessus-fetch, nessuscmd …) nun auch unter ihrer Plattform zur Verfügung stehen.

Verbesserungen an der NASL (Nessus Attack Scripting Language)

Was Nessus seine besondere Bedeutung gibt, ist die NASL (siehe Software-Schwachstellen mit der Nessus Attack Scripting Language entdecken). Nessus 4 beinhaltet auch Verbesserungen an diesem Kernelement.

Reguläre Ausdrücke lassen sich mit der PCRE (Perl Compatible Regular Expressions)-Programmbibliothek auswerten, die von der neusten Version der NASL unterstützt wird. Weitere Neuerungen betreffen das XML-Parsing, die BigNum-Library sowie Features hinsichtlich Sockets und Packet-Forgery .

Seite 2: Optimierte Portscans und mehr Möglichkeiten für Compliance-Checks

Optimierte Portscans und mehr Möglichkeiten für Compliance-Checks

Der Portscan-Bereich von Nessus hat ein wichtiges Facelift erhalten. So wurde der TCP-SYN-Portscanner komplett neu programmiert und funktioniert nun identisch auf der Windows- und der Unix-Plattform. Zudem steht jetzt ein nativer UDP-Portscanner zur Verfügung (dies aber nur den Abonnenten der kommerziellen Variante „ProfessionalFeed“, vgl. Netzwerk-Vulnerability-Scan und Prüfung von Client-Konfigurationen.

Eine wichtige Neuerung ist weiterhin, dass nunmehr lokale und remote Portscanner kombiniert werden können. Es lassen sich also z. B. gleichzeit der Nessus SYN scanner und der netstat portscanner (WMI) aktivieren. In diesem Fall versucht Nessus, den Scan zuerst via WMI durchzuführen und greift nötigenfalls auf den SYN-Scanner zurück.

Auch hinsichtlich der zunehmend wichtiger werden Compliance wurden bedeutende Neuerungen eingearbeitet. Die Plugins für den PCI-DSS der Zahlkartenindustrie (vgl. Was Unternehmen hinsichtlich PCI DSS wissen sollten und beachten müssen) werden in Nessus 4 vollständig unterstützt. Bei der Prüfung der Compliance von Datenbanken ist es nun auch möglich, via SSL eine Verbindung zu MS SQL herzustellen.

Gefilterte .nessus-Datei

Bereits seit NessusClient 3.2 ist es möglich, das Ergebnis eines Scans in Form einer Datei im Format .nessus zu exportieren (bzw. zu importieren). Bei .nessus-Dateien handelt es sich um XML-Dateien, die alle benötigten Informationen vereinen: die gescannten Rechner, die vom Administrator festgelegten Richtlinien und vor allem die Scanergebnisse. Lediglich Passwörter fehlen in .nessus-Dateien.

Als Neuerung wirkt sich die Filterung von Scan-Ergebnissen auch auf die exportierte .nessus-Datei aus, deren Umfang so leicht kontrolliert und den individuellen Bedürfnissen angepasst werden kann.

Scan-Reports dank XSLT individualisieren

Aber fraglos das wichtigste Feature für die meisten Administratoren dürfte sein, dass man in Nessus 4 Berichte mithilfe von XSLT-Stylesheets individuell anpassen kann. XSLT (Extensible Stylesheet Language Transformation) ist eine Programmiersprache, um XML-Dokumente in andere Formate zu überführen.

Als Ausgabe beliebige Datenformate möglich (sowie entsprechende Stylesheets zur Verfügung stehen bzw. selbst erstellt werden). Übliche Formate für Berichte sind etwa HTML oder CSV. Bereits im Auslieferungszustand bringt Nessus 4 mehrere Stylesheets mit, mit denen Berichte nach gewissen Kriterien gestaltet werden können.

Seite 3: Scan-Ergebnisse filtern und aufbereiten

Bekanntlich besteht der weitaus größte Teil aller Scanergebnisse üblicherweise aus Einträgen mit dem „Risk factor: None“. In einer übersichtlichen Anzeige der Ergebnisse stören derartige Einträge eher. Um eine HTML-Seite zu generieren, die alle „High Risk“-Ergebnisse darstellt, gehen Sie wie folgt vor:

Führen Sie zunächst wie an anderer Stelle beschrieben (So funktioniert das System- und Schwachstellen-Scanning mit Nessus) einen Sicherheitsscan durch. Sobald dieser abgeschlossen ist, führen Sie im Reiter „Report“ die folgenden Schritte durch: Klicken Sie auf „Filter“, wählen Sie im linken Pulldown-Menü „Plugin severity is“ und rechts den Eintrag „High“. Klicken Sie auf „Apply filter“.

Zurück im Reiter „Report“ öffnen Sie das Pulldown-Menü „Stylesheet“ und wählen eine Sortierung, die Ihren Bedürfnissen entspricht, etwa „Sort By Vulnerability Detail“. Klicken Sie dann auf „View Template“. Sofort öffnet sich der Bericht in dieser Filterung und Formatierung im Webbrowser.

Sofern man sich mit der Stylesheet-Syntax auskennt, ist es nicht schwer, die vorhandenen XSL-Stylesheets an die eigenen Bedürfnisse anzupassen. Gehen Sie dazu folgendermaßen vor: Öffnen Sie das Stylesheet, das Sie modifizieren möchten. Sie finden die vorhandenen Stylesheets bei Windows-Systemen unter „C:\Programme\Tenable\Nessus\data“, bei Linux-Systeme unter „/opt/nessus/var/nessus-client/data“.

Klicken Sie unter Windows die zu modifizierende Datei mit der rechten Maustaste an, und wählen Sie „Öffnen mit, Editor“. Wählen Sie sofort „Datei, Speichern unter“, und speichern Sie die Datei mit einem neuen Namen (aber derselben Endung .xsl“) in dem eben angegebenen Ordner, in dem sich auch die Vorlage befindet. Führen Sie nun die gewünschten Modifikationen durch. Beim nächsten Start des Nessus-Clients wird das modifizierte Stylesheet automatisch im Pulldown-Menü „Stylesheet“ des Reiters „Report“ angezeigt.

Fazit

Ein Update auf Nessus 4 ist ein Muss, das mit einem Performance-Schub belohnt wird. Benutzer müssen sich aber nicht an eine neue Benutzerschnittstelle gewöhnen: Die Arbeit mit Nessus funktioniert weiter ganz wie mit Nessus 3 gewohnt. Zusätzliche Features stehen demjenigen offen, der sie nutzen will.

Die wichtigsten neuen Features dürften die Möglichkeit sein, Reports mithilfe von XSLT gemäß eigener Vorgaben zu erstellen, sowie die Tatsache, dass nun auch unter Windows sämtliche der UNIX-Kommandozeilentools zur Verfügung stehen.

(ID:2040263)