Task: OVAL SC
OVAL steht für Open Vulnerability and Assessment Language. Es ist ein Ansatz für standardisierte Beschreibung des (Sicherheits-)status eines IT-Systems. OVAL-Dateien beschreiben ein Sicherheitsproblem und definieren Tests um den verletzbaren Zustand eines Systems zu identifizieren. Sie wissen in welchem Zustand das Problem behoben ist. Oft bezieht sich das auf die Versionsnummern bestimmter Softwareprodukte.
Um gemäß einer OVAL-Beschreibung zu prüfen benötigen Sie also Informationen über den Systemzustand. Dieser wird in einer ebenfalls als XML standardisierten Form erhoben, der System Characteristics (SC).
Es gibt verschiedene Lösungen, die auf Basis von OVAL-Dateien und SC-Dateien Prüfungen durchführen. OVAL-Dateien werden von verschiedenen Herstellern zur Verfügung gestellt. MITRE pflegt das OVAL Repository mit über 13.000 Einträgen.
OVAL Adoption Program
 |
Greenbone ist offizieller OVAL Adopter und der Greenbone Security Manager ist registriert
als "Systems Characteristics Producer".
Siehe dazu: OVAL Adoption Program |
Unterstützt werden die OVAL Versionen 5.3 bis 5.10. Sollten bei der Verwendung fehlerhafte, fehlende oder unvollständige OVAL-Elemente gefunden werden, so bitten wir um Rückmeldung über unseren Support. Die OVAL-SC Realisierung bei Greenbone erlaubt es, innerhalb eines Tages Updates für OVAL-SC zu aktivieren und damit zeitnah jegliche Verbesserungen für den Anwender bereitzustellen.
Scan-Daten als OVAL-SCs einsammeln
Während eines Scans sichtet der Greenbone Security Manager zahlreiche Informationen über die angegebenen Zielsysteme. Diese Informationen werden in einem eigenen, optimierten Daten-Pool verwaltet. Teile davon eignen sich aber auch direkt als Bestandteil von OVAL System Chracteristics.
Die Erstellung von OVAL-SC Dateien ist nicht voreingestellt sondern muss in der Scan Configuration eingeschaltet werden. Die folgende Scan Configuration konzentriert sich genau auf diese Aufgabe: collect-oval-sc.xml
Importieren Sie diese in den GSM:
Die neue Scan Configuration wird anschliessend in der Liste angezeigt:
Die umfassendsten Ergebnisse zu den Zielsystemen werden über authentifizierte Scans ermittelt. Dafür muss zunächst ein Zugangskonto für das Zielsystem eingerichtet werden. Sorgen Sie dafür, dass das Konto auf dem Zielsystem entsprechend eingerichtet ist. Für unixoide Systeme reicht in der Regel ein niedrig privilegierter Zugang, bei Windows-Systemen sind zumeist Administrator-Rechte notwendig.
Das folgende Beispiel zeigt die Einrichtung eines Ziels mit Linux. Für ein Windows-System muss das Credential bei SMB anstatt bei SSH gesetzt werden.
Nun wird der Task eingerichtet. Starten Sie ihn unmittelbar danach.
Der Scan-Vorgang ist schnell, da mit der speziellen Scan Configuration zielgerichtet nur die notwendigen Informationen eingesammelt werden.
Die Ergebnisse werden als Log-Information abgelegt. Stellen Sie den Filter entsprechend ein, so sehen die OVAL System Characteristics in für Lesbarkeit formatiertem XML:
Bitte beachten: Haben Sie die Daten von vielen Zielsystemen gesammelt, so kann das den technischen Rahmen für die Ansicht sprengen.
OVAL-SC exportieren
OVAL-SC's sind so definiert, dass sich eine Beschreibungs-Datei auch nur genau auf ein System bezieht. Mit Greenbone können aber beliebig viele System Characteristics zu verschiedenen Systemen in einem einzelnen Schritt gesammelt werden.
Wir stellen daher zwei Report Format Plugins zur Verfügung:
-
OVAL System Characteristics: Für eine einzelne System Characteristics-Datei, die dann als XML geliefert wird.
-
OVAL System Characteristics Archive: Für eine beliebige Anzahl von Systeme Characteristics Dateien die in einer Zip-Datei zusammengefasst sind. Jede einzelne SC-Datei wird nach der IP-Adresse des jeweiligen Systems benannt.
Beide Plugins stehen auf der Report Formats-Seite zum Download bereit.
Importieren Sie diese Report Format Plugins, prüfen Sie die Signaturen und aktivieren Sie sie schließlich. Wie das im Detail geht, können Sie hier nachlesen: Feature: Report Formats
Nun können Sie die Ergebnisse in für die weitere Verwendung geeigneter Form direkt herunterladen. Wählen Sie dafür das Report Format "OVAL-SC" oder "OVAL-SC Archive" bei "Full report" aus:
Die Zip-Archive sehen wir folgt aus:
Beispiel: OVAL-SC für ovaldi verwenden
Die Organisation MITRE stellt nicht nur OVAL zur Verfügung sondern auch eine Referenzimplementierung für die lokale Ausführung von OVAL-Tests. Der OVAL Interpreter ovaldi ist unter einer Open Source Lizenz verfügbar.
Greenbone macht es über die Bereitstellung von OVAL System Characteristics möglich, dass ein ovaldi-Aufruf beispielsweise auf einem Linux-System läuft, aber ein Windows-System prüft. Umgekehrt ist das natürlich genauso möglich.
War das im obigen Beispiel gescannte Zielsystem ein Debian Linux System, können Sie nun die offiziellen Debian OVAL definitions 2010 herunterladen und den Test ausführen ("false" bedeutet, dass ein Test keinen Befund hatte).
Ovaldi erstellt automatisch zur folgenden Ausgabe auch eine HTML- und eine XML-Version: oval-sc-debian-squeeze-sample-ovaldi-results.html (102 KByte) und oval-sc-debian-squeeze-sample-ovaldi-results.xml (4,2 MByte).
$ cd /tmp $ ovaldi -m -o /tmp/oval-definitions-2010.xml \ -i /tmp/oval-sc-debian-squeeze-sample.xml \ -a /usr/share/ovaldi/xml/ ---------------------------------------------------- OVAL Definition Interpreter Version: 5.10.1 Build: 2 Build date: Sep 11 2012 07:49:59 Copyright (c) 2002-2012 - The MITRE Corporation ---------------------------------------------------- Start Time: Tue Sep 11 12:12:52 2012 ** parsing /tmp/oval-definitions-2010.xml file. - validating xml schema. ** checking schema version - Schema version - 5.3 ** skipping Schematron validation ** parsing /tmp/oval-sc-debian-lenny-sample.xml for analysis. - validating xml schema. ** running the OVAL Definition analysis. Analyzing definition: FINISHED ** applying directives to OVAL results. ** OVAL definition results. OVAL Id Result ------------------------------------------------------- oval:org.debian:def:1965 false oval:org.debian:def:1966 false oval:org.debian:def:1967 false oval:org.debian:def:1968 false oval:org.debian:def:1969 false oval:org.debian:def:1970 false oval:org.debian:def:1971 false oval:org.debian:def:1972 false oval:org.debian:def:1973 false oval:org.debian:def:1974 false ... oval:org.debian:def:2124 false oval:org.debian:def:2125 false oval:org.debian:def:2126 false oval:org.debian:def:2127 false oval:org.debian:def:2128 false oval:org.debian:def:2129 false oval:org.debian:def:2130 false oval:org.debian:def:2131 false oval:org.debian:def:2132 false oval:org.debian:def:2133 false ------------------------------------------------------- ** finished evaluating OVAL definitions. ** saving OVAL results to results.xml. ** running OVAL Results xsl: /usr/share/ovaldi/xml//results_to_html.xsl. ----------------------------------------------------
War das im obigen Beispiel gescannte Zielsystem ein Microsoft Windows System, können Sie nun die von MITRE zur Verfügung gestellten Definitionen herunterladen und den Test ausführen ("false" bedeutet, dass ein Test keinen Befund hatte).
Ovaldi erstellt automatisch zur folgenden Ausgabe auch eine HTML- und eine XML-Version: oval-sc-windows-xp-sample-ovaldi-results.html (23 KByte) und oval-sc-windows-xp-sample-ovaldi-results.xml (159 KByte).
$ cd /tmp $ ovaldi -m -o /tmp/windows.xml \ -i /tmp/oval-sc-windows-xp-sample.xml \ -a /usr/share/ovaldi/xml/ ---------------------------------------------------- OVAL Definition Interpreter Version: 5.10.1 Build: 2 Build date: Sep 11 2012 07:49:59 Copyright (c) 2002-2012 - The MITRE Corporation ---------------------------------------------------- Start Time: Tue Sep 11 15:57:55 2012 ** parsing /tmp/windows.xml file. - validating xml schema. ** checking schema version - Schema version - 5.10 ** skipping Schematron validation ** parsing /tmp/oval-sc-windows-xp-sample.xml for analysis. - validating xml schema. ** running the OVAL Definition analysis. Analyzing definition: FINISHED ** applying directives to OVAL results. ** OVAL definition results. OVAL Id Result ------------------------------------------------------- oval:org.mitre.oval:def:754 true oval:org.mitre.oval:def:15339 false oval:org.mitre.oval:def:15465 false oval:org.mitre.oval:def:15452 false oval:org.mitre.oval:def:15377 false oval:org.mitre.oval:def:15346 false oval:org.mitre.oval:def:15173 false oval:org.mitre.oval:def:15057 false oval:org.mitre.oval:def:15546 false oval:org.mitre.oval:def:14566 false oval:org.mitre.oval:def:720 false oval:org.mitre.oval:def:627 false oval:org.mitre.oval:def:286 false oval:org.mitre.oval:def:748 false oval:org.mitre.oval:def:684 false oval:org.mitre.oval:def:396 false oval:org.mitre.oval:def:1205 false oval:org.mitre.oval:def:679 false oval:org.mitre.oval:def:165 false oval:org.mitre.oval:def:565 false oval:org.mitre.oval:def:289 false oval:org.mitre.oval:def:730 false oval:org.mitre.oval:def:1162 false oval:org.mitre.oval:def:2041 false oval:org.mitre.oval:def:1946 false oval:org.mitre.oval:def:1815 false oval:org.mitre.oval:def:1282 false oval:org.mitre.oval:def:1804 false oval:org.mitre.oval:def:1469 false oval:org.mitre.oval:def:718 false oval:org.mitre.oval:def:347 false oval:org.mitre.oval:def:283 false oval:org.mitre.oval:def:282 false ------------------------------------------------------- ** finished evaluating OVAL definitions. ** saving OVAL results to results.xml. ** running OVAL Results xsl: /usr/share/ovaldi/xml/results_to_html.xsl. ----------------------------------------------------