1.6.3 openVAS

Mit den Tool OpenVAS (Open Vulnerability Assessment System) steht ein freies Werkzeug zur Verfügung, mit dem verschiedenste Schwachstellen von Geräten im eigenen Netz untersucht werden können. Die Entwicklung des Tools wird vom DFNVerein zur Förderung eines deutschen Forschungsnetzes e.V.-CERTComputer Emergency Response Team und dem BSI unterstützt.

OpenVAS ist eine Weiterentwicklung der letzten freien Version des Tools Nessus, für welches 2005 die Benutzung von neuen Versionen kostenpflichtig wurde.

Mit OpenVAS können Systeme auf ihre Verwundbarkeit überprüft werden. Ein auf einem UNIX-ähnlichen Betriebssystemen installierter OpenVAS-Dämon kann von OpenVAS-Clients, die auch unter Windows einsetzbar sind, über das Netz administriert werden und den Test auf Verwundbarkeit durchführen um zu erkennen, ob in ein Netzwerk eingebrochen oder ob es missbraucht werden kann.

Neben vielen anderen Tests werden auch Port Scans durchgeführt, wobei das zu verwendene Scan-Programm angegeben werden kann. Häufig wird hierzu Nmap benutzt. Innerhalb von OpenVAS wird zudem Arachni verwendet, wobei dieses Schwachstellen in Webanwendungen auffinden kann (siehe für eine Übersicht von Schwachstellenscannern für Webanwendungen). Arachni kann u.a. testen, ob Cross Site Scripting oder verschiendene Arten von Injections (z.B. SQL Injection) bei einer Webseite möglich sind. Arachni kann auch unabhängig von OpenVAS genutzt werden. Bei dem Test einer sich in der Entwicklung befindlichen Webanwendung an der FH Lübeck wurde hiermit beispielsweise entdeckt, dass die Eingaben in das Formular bei der Erstregistrierung im Klartext übertragen wurden.

Als Ergebnis zeigt OpenVAS einen umfangreichen Report, der auf verschiedene Arten u.a. auch grafisch ausgegeben werden kann. In den Reports werden die gefundenen Lücken im Klartext beschrieben. Die Größe des Risikos und Lösungsvorschläge werden angegeben.

Im Folgenden ist der Report (von Nessus) für eine gefundene Sicherheitslücke zu sehen:


Vulnerability  ftp 
               (21/tcp)  The remote FTPFile Transfer Protocol server seems to be vulnerable to an exhaustion 
                         attack which may makes it consume all available memory on the 
                         remote host when it receives the command : 
                         NLST /../*/../*/../*/../*/../*/../*/../*/../*/../*/../ 
                         Solution : upgrade to ProFTPd 1.2.2 if the remote server is 
                         Proftpd, or contact your vendor for a patch. 
                         Reference : http://online.securityfocus.com/archive/1/169069 
                         Risk factor : High 
                         Nessus ID : 10634


Eine regelmäßige Überprüfung der eigenen Systeme mit OpenVAS ist ratsam. Für wissenschaftliche Einrichtungen in Deutschland bietet das DFN-CERT den Netzwerkprüfungsservice an (siehe auch Artikel in den DFN-Mitteilungen). Bei diesem Service wird unter anderem OpenVAS für die Untersuchung der Netzsicherheit genutzt.

Vom BSIBundesamt für Sicherheit in der Informationstechnik gibt es eine Studie, wie Penetrationstests durchgeführt werden sollten.