Springe zum Hauptinhalt Profilbild Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer



Anfrage
Logo Goebel Consult

Verteilte Massenscans mit OpenVAS

Für einen deutschen Konzern habe ich ein Konzept entwickelt, um Schwachstellentests für Massen von Geräten durchzuführen. Das Netz des Konzerns enthält zirka 130.000 Geräte, davon gehören ca. 80.000 zu dem Unternehmensbereich, der meine Expertise eingekauft hat.

Für einen deutschen Konzern habe ich ein Konzept entwickelt, um Schwachstellentests für Massen von Geräten durchzuführen. Das Netz des Konzerns enthält zirka 130.000 Geräte, davon gehören ca. 80.000 zu dem Unternehmensbereich, der meine Expertise eingekauft hat.

Wie in Konzernen üblich, haben wir gewachsene Strukturen, sprich: wir haben keine genauen Informationen, welche Geräte nun zu diesem Unternehmenbereich gehören und welche nicht -- letztere dürfen wir dann auch nicht anfassen, sonst gibt's Ärger. Erschwert wird das noch durch mobile User, die teilweise aus dem Ausland kommen. Network Access Control (NAC) gibt es in dem Netz natürlich nicht, das wäre ja zu einfach ;-)

Ich habe nun ein zweistufiges Konzept entwickelt: In der ersten Stufe werden alle bekannten Geräte herausgesucht -- das ist mühsam, aber sonst nicht weiter interessant. In der zweiten Stufe werden die identifizierten Geräte dann auf Schwachstellen gescannt. Das Konzept sieht folgende Punkte vor:

  • Webinterface,

  • Datenbank mit den Geräten, Gerätearten, Standorten und Scan-Aufträgen,

  • Geräte können nach verschiedenen Kriterien aus der Datenbank selektiert werden (Standort, IP-Adresse, Gerätetyp, etc.),

  • verschieden Scan-Profile, z.B. Arbeitsplatzrechner, Unix-Server, Windows-Server, Drucker,

  • im Unternehmensnetz verteilte "Sensoren", und

  • Ergebnisse werden zentral gesammelt.

Als Scanner ausgewählt wurde OpenVAS. Zum Einen, weil keine Lizenzkosten anfallen, zum Anderen, weil es sehr flexibel ist.

Leider soll das verteilte Scannen erst im Herbst 2010 implementiert werden. Aber OpenVAS hat ein Management-Schnittstelle (OMP), über die sich Scan-Jobs anlegen und starten lassen, und die Daten landen in eine sqlite-Datenbank. Damit waren "nur" ein paar Skripte nötig, um die gewünschte Funktion zu implementieren.

Die Eckpunkte sind: Ein Skript trägt die Scanaufträge in die Datenbank ein. Ein Cronjob sucht neue Scan-Aufträge, verteilt sie (per OMP) an die Sensoren, holt dort die Reports der fertiggestellten Aufträge ab und pflegt sie in die OpenVAS-Datenbank auf dem "Master". Auf dem Master läuft ebenfalls ein OpenVAS-Webfrontent (der gsa), um die Reports anzusehen.