Geräte Scans

Schwachstellen Scans sind eine beliebte Technik von Angreifern um Lücken in den Systemen zu finden. Damit diesen Lücken geschlossen sein können bevor ein Angreifer sie findet und ausnutzt, setzt unser Team folgende Tools ein:

• nmap wird verwendet um offene Ports zu finden und die Dienste hinter den Ports zu erkennen.
• InsightVM wird verwendet um von allen, von außen erreichbaren, Servern, die Schwachstellen zu erkennen, aufzulisten, sowie Behebungsanleitungen zu erstellen. Wichtig ist dies vor allem in Anbetracht der Exponiertheit der Server zum Internet hin.
• Mozilla Observatory wird verwendet um Schwachstellen und Fehlkonfiguration im Webseitendesign zu erkennen.

Beim Beantragen von Firewallregeln für vom Internet erreichbaren Servern, führen wir solche Scans durch, als auch für schon laufende Regeln. Wir schicken den Regelbeanträgern Behebungsanleitungen zu.
Technikverantwortliche können im NetAdmin für ihre Kostenstelle Behebungsanleitungen aus Schwachstellen Scans für alle von ausen erreichbare Geräte herunterladen.

Was sind die Nebeneffekte eines Scans?

Wir geben unser Bestes, dass der Betrieb durch den Scan nicht gestört wird. Eine Auflistung der möglichen Auswirkungen auf dem System wäre:

• Erhöhtes Aufkommen von Logs, durch die Verbindungsversuche, sowohl auf Protokollebene als auch auf Netzwerkebene
• Leicht erhöhte CPU Last durch Verbindungsanfragen etc

Was können Technikverantwortliche tun?

• Ab und an kontrollieren, wann die Regel für ihren IP Bereich auslaufen (nach Expiry sortieren)
• Kontrollieren ob 130.92.254.29 & 2001:620:400:254::29 nicht durch eine ACL blockiert wird
• Den ScanAssistant installieren https://secdl.unibe.ch/Rapid7_InsightVM_Agent/ScanAssistant_Readme.txt
• Die Hardening Guidelines lesen und schauen ob die Punkte die zum Server passen, angepasst werden müssen

Was macht der ScanAssistant

Der Scan-Assistent dient dazu, einen lokalen authentifizierten Scan zu ermöglichen. Dadurch sollen false positive Schwachstellen vermieden werden.

Der Scan-Assistent bietet Ihnen eine sichere Alternative(statt User und Password) für authentifizierte Scans, die die asymmetrische Verschlüsselung mit elliptischen Kurven (ECDSA) und den erweiterten Verschlüsselungsstandard (AES) nutzt, um einen vertrauenswürdigen, sicheren Kanal zwischen dem Scan-Assistenten und der Scan-Engine zu bilden.

https://docs.rapid7.com/nexpose/scan-assistant-combined/#when-should-i-use-the-scan-assistant

Hier noch ein Schema das den Datenfluss vom ScanAssistant zeigt: