Bundesamt für Sicherheit in der Informationstechnik

Open Vulnerability Assessment System (OpenVAS)

Logo Open Vulnerability Assesement System

Gefahren

In den letzten Jahren sind die Bedrohungen in der Informationstechnik und die Zahl von Angriffen gegen IT-Systeme ständig gewachsen. Wie im BSI-Lagebericht 2014 aufgezeigt, werden Angriffe meist über das Internet geführt. Schwachstellen in Betriebssystemen sowie Sicherheitslücken in Anwendungsprogrammen und Softwarekomponenten werden aus der Ferne von Angreifern ausgenutzt um Schadsoftware auf dem Rechner eines Internet-Surfers zu installieren, diesen auszuspionieren oder ihn für Spam-Versand oder kriminelle Aktivitäten wie Bot-Nets zu nutzen. Auch die Infektion aller Rechner eines lokalen Netzwerks mit Schadsoftware kann so ein Leichtes sein.

Zunahme der Gefährdungstrends von 2013 auf 2014 Auszug aus dem BSI-Lagebericht 2014 Gefährdungstrends Entwicklung von IT-Bedrohungen nach Einschätzung des BSI Quelle: Bundesamt für Sicherheit in der Informationstechnik

Schutzmaßnahmen

Einzelne Sicherheitsbarrieren wie beispielsweise eine Firewall reichen nicht aus, um alle Angriffe zu vereiteln. Nur eine Kombination aus verschiedenen Sicherheitslösungen und aktueller System- und Anwendungs-Software auf IT-Systemen schützt bestmöglich vor Angreifern. Eine der Sicherheitslösungen, mit der dieses Ziel erreicht und uunter anderem die Aktualität der eingesetzten Software überwacht werden kann, ist das Open Vulnerability Assessment System (OpenVAS).

OpenVAS

Das Open Vulnerability Assessment System (OpenVAS) ist eine Kombination aus mehreren Diensten und Werkzeugen, die zusammen eine umfangreiche und mächtige Lösung für Schwachstellen-Scanning und Schwachstellen-Management darstellen.

Beschreibung der Struktur und der Arbeitsbereiche von OpenVAS. Beschreibung der Struktur und der Arbeitsbereiche von OpenVAS Quelle: Greenbone Networks

Bei Sicherheitsuntersuchungen der in einem Netzwerk vorhandenen IP-basierten Systeme mittels OpenVAS können verschiedene Prüftiefen eingestellt werden.
Ergänzende Sicherheitssoftware kann für lokale Prüfungen oder aufbereitete Berichtauswertungen eingebunden werden, um so Schwachstellen auf den Zielsystemen genauer zu identifizieren oder zu analysieren. Es können übersichtlich Prüfberichte erstellt und Alarme für Sicherheitsvorkommnisse ausgelöst werden.
Durch Einordnung der gefundenen Probleme in Sicherheitsklassen können Sicherheitslücken einfach priorisiert und Sicherheitsmeldungen zugeordnet werden. Umfangreiche Möglichkeiten zur Bearbeitung von Prüfberichten sowie deren Vergleich oder Export erlauben zügig einen Netzwerk-weiten Überblick über die Trends der IT-Sicherheit zu gewinnen, um so Sicherheitslücken aufzuspüren und zu schließen, bevor Angreifer diese Lücken missbräuchlich nutzen können.

Darstellung des Network Vulnerability Tests (NVT) Feed-Sync für openVAS. NVTs sind Prüfmodule für Sicherheitslücken. Darstellung des Network Vulnerability Tests (NVT) Feed-Sync für openVAS Quelle: Greenbone Networks

Eine wichtige Grundlage der regelmäßigen Scans mit OpenVAS sind die täglich aktualisierten Schwachstellen-Prüfroutinen (Network Vulnerability Tests (NVTs). Detailinformationen zu den NVTs.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Entwicklung verschiedener Funktionen des OpenVAS-Frameworks, sowie zahlreicher Schwachstellen-Prüfroutinen (NVTs) unterstützt.

Eigenschaften von OpenVAS

Konfiguration

  • Bedienung über Web-Browser (GSA), Desktop-Anwendung (GSD) oder Kommandozeile (CLI)
  • Mehrbenutzer- beziehungsweise mandantenfähig
  • Hilfetexte zur Funktionalität und Bedienung integriert
  • Einbindung verschiedener Sicherheitswerkzeuge über entsprechende Schnittstellen und Steuerprotokolle
  • Zeitgesteuerte Prüfungen
  • Skalierbarer Master-Slave-Betrieb mit Scan-Sensoren
  • Management von Scan-Aufgaben
  • Manuelle oder automatische Aktualisierung der Schwachstellen-Prüfroutinen (NVTs) über das Internet
  • Weit über 25.000 Schwachstellen-Prüfroutinen (NVTs) verfügbar

Der Greenbone Security Assistant stellt eine freie, Web-Browser-basierte  Bedienoberfläche für OpenVAS dar, die unter verschiedensten Web-Browsern  genutzt werden kann. Greenbone Security Assistant Quelle: Greenbone Networks

Prüfung

  • Security-Scanning von kompletten Netzwerken
  • Durchführung lokaler Sicherheitsprüfungen
  • Prüfung von Web-Applikationen
  • Nutzung individueller Richtlinienvorgaben
  • IT-Grundschutz-Unterstützung
  • Inventarisierungs-Unterstützung
  • Alarmierung bei Richtlinien-Verstoß oder erkannten Schwachstellen
  • Erweiterung um Prognose-Scans

Der Greenbone Security Desktop stellt eine freie, Qt-basierte Bedienoberfläche für OpenVAS dar. Qt ist eine cross-platform Applikation und UserInteface framework, dass die Verwendung unter verschiedensten Betriebssystemen erlaubt. Greenbone Security Desktop Quelle: Greenbone Networks

Berichtsmanagement

  • Zentrale Sammlung und Auswertung der Scans-Ergebnisse in einem Prüfbericht
  • Ergebnisübersicht mit Filterung und Sortierung
  • Delta-Vergleich von Prüfberichten
  • Umfangreiche Suchfunktion in Prüfberichten
  • Kennzeichnung von "False Positives"
  • Notizen-Funktion zur Kommentierung der Scan-Ergebnisse in Prüfberichten
  • Hilfestellungen zu den gefundenen Schwachstellen in den Prüfberichten und über das Internet
  • Export von Prüfberichten in unterschiedliche Formate, darunter TXT, PDF, XML, HTML, LaTeX, sowie topologische und geographische Visualisierung
  • Unterstützung des Security Content Automation Protocol (SCAP) Standards
  • Delta-Reports: Anzeige von Unterschieden zwischen Scan-Ergebnissen
  • Volle Integration der SCAP-Datenbank (Security Content-Automatisierung Protocol) mit aktuellen CPE- und CVE--Common Vulnerabilities and Exposures-Informationen
  • Unterstützung von Information Security Management Systemen (z. B. verinice, Nagios)

Anforderungen

OpenVAS ist ein Server-basiertes Sicherheitswerkzeug, welches auch über ein Command Line Interface (CLI) gesteuert werden kann. Es wird auf einem Linux basierten Rechner installiert und ist über die Web-Oberfläche Greenbone Security Assistant (GSA) von einem beliebigen Arbeitsplatz aus komfortabel bedienbar. Das Programm Greenbone Security Desktop (GSD) zur Steuerung von OpenVAS ist für Linux und Windows als Freie Software verfügbar, genauso wie alle anderen Komponenten von OpenVAS.

Bundeslizenz

Das BSI hat einen Bundeslizenzvertrag mit der Firma Greenbone Networks GmbH zur Unterstützung von Bundesbehörden geschlossen, der die Bereitstellung von dem auf OpenVAS basierenden Greenbone Security Manager (GSM), dem Greenbone Security Feed (GSF), Schulungen, Support und weitere Leistungen beinhaltet. Für weitere Informationen zu den Bundeslizenzen können sich Behörden wenden an: openvas-bund@bsi.bund.de

Der Greenbone Security Manager (GSM) 1.7.0 wurde für Greenbone als Unauthenticated Vulnerability Scanner beim amerikanischen NIST (National Institute of Standards and Technology) validiert.

Kontakt

oss@bsi.bund.de

Weitere Informationen