[Openvas-users-de] Nachträgliches deaktivieren von Loginchecks

Christian Fischer christian.fischer at greenbone.net
Di Okt 18 12:00:35 CEST 2016


Hi,

ich Antworte hier gerade an die Mailingliste damit die vorherige
Off-List Mail nicht verlorgen geht:

On 18.10.2016 11:32, Heddrich, Jens wrote:
> Am 2016-10-18 10:56, schrieb Christian Fischer:
>> Hi,
>>
>> On 17.10.2016 17:18, Heddrich, Jens wrote:
>>> gibt es eine Möglichkeit Standard Loginchecks aus einem Task zu löschen
>>> ohne diesen komplett neu zu definieren?
>>
>> ich denke die Frage bezieht sich auf die Standard-SSH Logins welche
>> während einem Scan durchgeführt werden? Diese können für das NVT "SSH
>> Brute Force Logins with default Credentials" (OID:
>> 1.3.6.1.4.1.25623.1.0.103239) innerhalb einer Scan-Config deaktiviert
>> werden:
>>
>> Family "Settings"
>> -> Options for Brute Force NVTs (OID: 1.3.6.1.4.1.25623.1.0.103697)
>> -> Leere "Credentials file:" hochladen
>>
>> So lange es sich nicht um einen "Alterable Task" (Siehe:
>> http://docs.greenbone.net/GSM-Manual/gos-3.1/de/scanning.html#creating-a-task)
>>
>> handelt kann dies nachträglich nur über ein Clonen des Tasks und einer
>> Zuweisung einer neuen Scan-Config mit der oben genannten, geänderten
>> Einstellung.
> Also kann man bei "nicht" Alterable Tasks nachträglich diese Scans nicht
> deaktivieren? (Eigentlich macht es ja keinen Sinn, ich weiß, aber ich
> würde gerne den Trend beibehalten.)

Ja, das nachträglich deaktivieren bei "nicht" Alterable Tasks ist leider
nicht möglich.

>>> Unsere IPMI Module müllen sonst die Postfächer zu :)
>>
>> Nur ein kleiner Hinweis hierzu:
>>
>> Wer garantiert, dass nicht irgendwann mal ein User mit
>> Standard-Credentials (z.B. admin:admin) auf dem Device angelegt wird?
>> Sinnvoller wäre m.M. nach eine konfigurieren von Ausnahmen für die
>> Scanner-Maschine.
> Was genau ist mit "konfigurieren von Ausnahmen für die Scanner-Maschine"
> gemeint?
> Mit Standard-Credentials kann ich nachvollziehen, aber leider wird die
> Übersichtlichkeit doch sehr eingeschränkt, man möchte auch wissen wenn
> sich jemand per IPMI per Brutforce versucht einzuloggen.

Damit ist gemeint, dass keine Meldungen geloggt werden die vom System
auf denen OpenVAS läuft verursacht werden. Ich bin leider nicht in der
Materie IPMI "drin" ob dies auf dem entsprechenden, gescannten System
konfigurierbar ist. Notfalls macht es auch Sinn, einen Mail-Filter zu
konfigurieren der Meldungen bei denen die Angreifer-IP gleich dem
OpenVAS System ist in einen entsprechenden Unterordner kopiert werden.

Dies sind m.M. bessere Alternativen zum generellen Deaktivieren der
Default-Credentials Überprüfung.

Grüße

-- 

Christian Fischer | PGP Key: 0x54F3CE5B76C597AD
Greenbone Networks GmbH | http://greenbone.net
Neuer Graben 17, 49074 Osnabrück, Germany | AG Osnabrück, HR B 202460
Geschäftsführer: Lukas Grunwald, Dr. Jan-Oliver Wagner


Mehr Informationen über die Mailingliste Openvas-users-de