In einfachen Schritten zeigt der Beitrag wie mit Nessus Home ein Netzwerk-Server oder Cloud-Server geprüft wird und Sicherheitslücken aufgedeckt werden. Die Nessus Home Lizenz erlaubt die Privatnutzung in Heimnetzwerken und erlaubt eine einmalige oder regelmäßige Prüfung von bis zu 16 DNS/IP Adressen. Die Software erhältst du kostenfrei zum Download nach einfacher Registrierung hier.
Warum ist eine Schwachstellen Prüfung wichtig?
Viele Software und Hardware Hersteller bieten in regelmäßigen oder unregelmäßigen Abständen neue Firmware und Software-Versionen an, um Bugs oder Sicherheitslücken zu bereinigen. Die Updates werden aber nur in den wenigsten Fällen automatisch aktualisiert. Bei einer Sicherheitslücke addiert sich zu der Zeit, die ein Hersteller für die Patcherstellung benötigt, die Zeit, die der Anwender benötigt bis er das Update installiert.
Hersteller wie Apple mit iOS, Microsoft mit Windows 10 und Office 365, aber auch Mozilla Firefox arbeiten heute vorbildlich. Deren Versionen werden in der Voreinstellung automatisch nach Update-Verfügbarkeit aktualisiert. Viele andere Hersteller erfordern leider immer noch, dass der Anwender neue Versionen lädt und installiert. Oftmals Monate oder Jahre zu spät bei kritischen Sicherheitslücken.
Die Rolle von Schwachstellen-Scanner oder neudeutsch Vulnerability-Scanner
Sicherheits-Systeme wie der Nessus Scanner von Tenable Network Security bieten eine grafische Oberfläche, um IP-Systeme auf bekannte Schwachstellen zu prüfen. Der Scanner prüft entweder nur bekannte TCP/IP Service-Ports, oder führt eine komplette Prüfung aller Ports von 0 bis 65535 durch.
Je genauer man ein System prüfen möchte, umso mehr Service-Zugangsdaten kann man dem Nessus Scanner bereitstellen. Dann wird aus einem Test der nach Diensten sucht und maximal noch die Standard-Passworte prüft ein tiefer Scan der geprüften Maschine.
Einfache Tests wie nmap prüfen nur, ob ein offener Service gefunden wird. Schwachstellen-Scanner hingegen prüfen nach tausenden Schachstellen – oder auch Exploits genannt – innerhalb der gefundenen Dienste. Wichtig bei solchen Tools ist natürlich, wie aktuell die interne Exploit-Datenbank ist.
Von der Installation zum Scan
Die Installation verlief in wenigen Minuten. Obwohl die Software nur für Windows 7und 8.x zum Download angeboten wird, funktioniert die 64-Bit Version ohne Probleme unter Windows 10. Die Linux und OS-X Version habe ich nicht getestet. Nessus Home ist ein lokaler Web-Server der vom Browser unter https://localhost:8834/ angesprochen wird. Daher gehe ich davon aus, dass Nessus Home unter Linux und OS-X ident funktioniert und bedient wird.
Das Update der internen Exploit-Datenbank gleich nach der Installation hat vergleichsweise lange gedauert und hat ohne Vorwarnung eine große Datenmenge über mein DSL geladen. Die Schwachstellen-Infodatenbank von Nessus Home liegen unter C:\ProgramData\Tenable\Nessus und das Verzeichnis hat nach dem Update über 3 GB.
Nach der Installation und dem Update kann sofort der erste Scan definiert werden. Primär muss natürlich die DNS- oder IP-Adresse des Hosts angegeben werden, der gescannt werden soll.
Die Home Edition wird mit einer Lizenz aktiviert, die an die registrierte Email-Adresse geschickt wird. Mit dieser Gratislizenz können 8 der verfügbaren 17 Templates genutzt werden. Hier eine Übersicht der freien und kostenpflichtigen Templates.
Nach der Konfiguration eines Scans kann die Prüfung der IP-Adresse(n) per Zeitpunkt definiert werden, oder sofort gestartet werden. Optional kann ein E-Mail-Server konfiguriert werden, an den die Ergebnisse gesandt werden.
In meinem Beispiel habe ich einen Linux Server geprüft. Der Server hat alle aktuellen Patches installiert, nutzt jedoch ein selbsterzeugtes SSL-Zertifikat für den Web-Server. Erstaunlich, was ein Scanner alles über das Zielsystem herausfinden kann, hier ein Beispielergebnis:
Zu allen Ergebnissen gibt es einen detaillierten Bericht mit Handlungsempfehlungen. Ggfls. benötigst du zu dem Zeitpunkt jedoch Expertenunterstützung, sollte es kein direktes Softwareupdate für die Schwachstelle geben.
Nessus Home – Resümee
Bei dem Vulnerability-Scanner handelt es sich um eine gelungene Lösung und ein gutes Beispiel, wie eine komplexe Expertenlösung auch für den Heimanwender nutzbar gemacht wird. Nahezu jedermann kann mit Nessus Home seinen Desktop, oder seinen Heim- und Cloud-Server testen, oder herausfinden welche Netzwerk-Dienste auf seinem PC oder Netzwerk-Gerät laufen. Als weitere Idee kannst du ja auch deinen Smart-TV und deinen netzwerkfähigen SAT-Receiver scannen oder vom Internet aus deinen DSL-Router.
Macht eure Netzwerke sicher! Informiert euren Provider, wenn euer Cloud-Server nach Patches schreit! Nessus Home hilft euch bei der Kontrolle!