Sicherheitstest des BSI: Friendly Fire für Server und PCs

Wenn Nessus der Nachtwächter ist, der an Türen und Fenstern klopft, um herauszufinden, ob der Besitzer vergessen hat abzuschließen, ist SLAD der Wachhund im Haus, der von Innen alle möglichen Einfallswege abcheckt. Das Modul ist, grob gesagt, eine übergeordnete Steuerung, mit der sich eine Reihe von Schwachstellen-Testern steuern lässt. Dazu gehören Programme wie John The Ripper, das nach schwachen Passwörten sucht, Tripwire, das Eindringlingen nachspürt oder Chkrootkit, das versucht, die Tarnung von Rootkits auszuhebeln. In der aktuellen BOSS-Version 2.0 kann der SLAD über den Nessus-Client auf den Zielsystemen installiert werden. Allerdings ist dafür ein wenig Handarbeit vonnöten, auch wenn der Installer viel Arbeit abnimmt. Auf dem Zielsystem muss in der Regel die SSH-Authentifizierung um Passwörter erweitert werden. Das passiert in der Datei

/etc/ssh/sshd_config

Dort müssen die beiden Parameter „PermitRootLogin“ und „PasswordAuthentication“ auf „yes“ gesetzt sein. Gibt es die Einträge noch nicht, muss man sie selbst einfügen, in der Regel sind sie aber bereits vorhanden und nur durch ein Hash auskommentiert. Solcherart vorbereitet, lässt sich der Installer im Nessus-Client starten. Benötigt werden noch der Hostname des Ziels und die Zugangsdaten für einen Account mit root-Rechten. SLAD lädt die aktuellste Datei von der Homepage des Projekts herunter und installiert sie auf dem Zielsystem. Die Kommunikation läuft verschlüsselt, daher muss auch ein SSH-Authentifizierungsweg angegeben werden. In der Regel ist die Auswahl „Neuer SLAD Key mit automatisch generierter Passphrase“ die sicherste Option. Die Passphrase wird am Ende der Installation angezeigt und sollte notiert werden.

Nach einer ganzen Reihe von Meldungen ist die Software dann erfolgreich am Host angekommen.

Um mit SLAD-Modulen zu arbeiten, ist in Nessus die Erstellung eines eigenen Scan-Auftrags sinnvoll. Wichtig ist, dass das SLAD-Plugin ausgewählt, der Hostname angegeben und die ID-Daten für SSH konfiguriert sind. Das SSH-Plugin erfordert vor dem Start des Scans (einmalig) den Public-Key des Zielsystems, der während der SLAD-Installation generiert wurde. Er ist in der Datei

/opt/slad/.ssh/authorized_keys

enthalten, die auf den Nessus-Server kopiert, in [ziel-ip-adresse].ssh_pblic.key umbenannt und im Eingabefeld „SLAD SSH Public Key“ angegeben wird. Der passende Private-Key ist bereits auf dem Server und liegt im Verzeichnis /home/[user]/.nessus. Die SLAD-SSH-Key-Passphrase ist das entweder selbst gewählte oder automatisch generierte Passwort. Nun steht dem Scan nichts mehr im Weg. Nach dem ersten Start übergibt Nessus die Scanaufträge an den SLAD auf dem Zielsystem. Das lässt sich im Report unter dem Eintrag „SSH“ verfolgen. Erst nach einer Weile, unter Umständen auch erst nach mehreren Stunden, sind Ergebnisse verfügbar, die ein erneuter Lauf des Scanauftrags vom Zielsystem abholt.