Login: Support | Partner    
 
Home » Learning Center » Task: OVAL SC 

Task: OVAL SC

OVAL steht für Open Vulnerability and Assessment Language. Es ist ein Ansatz für standardisierte Beschreibung des (Sicherheits-)status eines IT-Systems. OVAL-Dateien beschreiben ein Sicherheitsproblem und definieren Tests um den verletzbaren Zustand eines Systems zu identifizieren. Sie wissen in welchem Zustand das Problem behoben ist. Oft bezieht sich das auf die Versionsnummern bestimmter Softwareprodukte.

Um gemäß einer OVAL-Beschreibung zu prüfen benötigen Sie also Informationen über den Systemzustand. Dieser wird in einer ebenfalls als XML standardisierten Form erhoben, der System Characteristics (SC).

Es gibt verschiedene Lösungen, die auf Basis von OVAL-Dateien und SC-Dateien Prüfungen durchführen. OVAL-Dateien werden von verschiedenen Herstellern zur Verfügung gestellt. MITRE pflegt das OVAL Repository mit über 13.000 Einträgen.

OVAL Adoption Program

top^
Greenbone ist offizieller OVAL Adopter und der Greenbone Security Manager ist registriert als "Systems Characteristics Producer".

Siehe dazu: OVAL Adoption Program

Unterstützt werden die OVAL Versionen 5.3 bis 5.10. Sollten bei der Verwendung fehlerhafte, fehlende oder unvollständige OVAL-Elemente gefunden werden, so bitten wir um Rückmeldung über unseren Support. Die OVAL-SC Realisierung bei Greenbone erlaubt es, innerhalb eines Tages Updates für OVAL-SC zu aktivieren und damit zeitnah jegliche Verbesserungen für den Anwender bereitzustellen.

Scan-Daten als OVAL-SCs einsammeln

top^

Während eines Scans sichtet der Greenbone Security Manager zahlreiche Informationen über die angegebenen Zielsysteme. Diese Informationen werden in einem eigenen, optimierten Daten-Pool verwaltet. Teile davon eignen sich aber auch direkt als Bestandteil von OVAL System Chracteristics.

Die Erstellung von OVAL-SC Dateien ist nicht voreingestellt sondern muss in der Scan Configuration eingeschaltet werden. Die folgende Scan Configuration konzentriert sich genau auf diese Aufgabe: collect-oval-sc.xml

Importieren Sie diese in den GSM:

Die neue Scan Configuration wird anschliessend in der Liste angezeigt:

Die umfassendsten Ergebnisse zu den Zielsystemen werden über authentifizierte Scans ermittelt. Dafür muss zunächst ein Zugangskonto für das Zielsystem eingerichtet werden. Sorgen Sie dafür, dass das Konto auf dem Zielsystem entsprechend eingerichtet ist. Für unixoide Systeme reicht in der Regel ein niedrig privilegierter Zugang, bei Windows-Systemen sind zumeist Administrator-Rechte notwendig.

Das folgende Beispiel zeigt die Einrichtung eines Ziels mit Linux. Für ein Windows-System muss das Credential bei SMB anstatt bei SSH gesetzt werden.

Nun wird der Task eingerichtet. Starten Sie ihn unmittelbar danach.

Der Scan-Vorgang ist schnell, da mit der speziellen Scan Configuration zielgerichtet nur die notwendigen Informationen eingesammelt werden.

Die Ergebnisse werden als Log-Information abgelegt. Stellen Sie den Filter entsprechend ein, so sehen die OVAL System Characteristics in für Lesbarkeit formatiertem XML:

Bitte beachten: Haben Sie die Daten von vielen Zielsystemen gesammelt, so kann das den technischen Rahmen für die Ansicht sprengen.

OVAL-SC exportieren

top^

OVAL-SC's sind so definiert, dass sich eine Beschreibungs-Datei auch nur genau auf ein System bezieht. Mit Greenbone können aber beliebig viele System Characteristics zu verschiedenen Systemen in einem einzelnen Schritt gesammelt werden.

Wir stellen daher zwei Report Format Plugins zur Verfügung:

  • OVAL System Characteristics: Für eine einzelne System Characteristics-Datei, die dann als XML geliefert wird.

  • OVAL System Characteristics Archive: Für eine beliebige Anzahl von Systeme Characteristics Dateien die in einer Zip-Datei zusammengefasst sind. Jede einzelne SC-Datei wird nach der IP-Adresse des jeweiligen Systems benannt.

Beide Plugins stehen auf der Report Formats-Seite zum Download bereit.

Importieren Sie diese Report Format Plugins, prüfen Sie die Signaturen und aktivieren Sie sie schließlich. Wie das im Detail geht, können Sie hier nachlesen: Feature: Report Formats

Nun können Sie die Ergebnisse in für die weitere Verwendung geeigneter Form direkt herunterladen. Wählen Sie dafür das Report Format "OVAL-SC" oder "OVAL-SC Archive" bei "Full report" aus:

Die Zip-Archive sehen wir folgt aus:

Beispiel: OVAL-SC für ovaldi verwenden

top^

Die Organisation MITRE stellt nicht nur OVAL zur Verfügung sondern auch eine Referenzimplementierung für die lokale Ausführung von OVAL-Tests. Der OVAL Interpreter ovaldi ist unter einer Open Source Lizenz verfügbar.

Greenbone macht es über die Bereitstellung von OVAL System Characteristics möglich, dass ein ovaldi-Aufruf beispielsweise auf einem Linux-System läuft, aber ein Windows-System prüft. Umgekehrt ist das natürlich genauso möglich.

War das im obigen Beispiel gescannte Zielsystem ein Debian Linux System, können Sie nun die offiziellen Debian OVAL definitions 2010 herunterladen und den Test ausführen ("false" bedeutet, dass ein Test keinen Befund hatte).

Ovaldi erstellt automatisch zur folgenden Ausgabe auch eine HTML- und eine XML-Version: oval-sc-debian-squeeze-sample-ovaldi-results.html (102 KByte) und oval-sc-debian-squeeze-sample-ovaldi-results.xml (4,2 MByte).

$ cd /tmp
$ ovaldi -m -o /tmp/oval-definitions-2010.xml \
    -i /tmp/oval-sc-debian-squeeze-sample.xml \
    -a /usr/share/ovaldi/xml/

----------------------------------------------------
OVAL Definition Interpreter
Version: 5.10.1 Build: 2
Build date: Sep 11 2012 07:49:59
Copyright (c) 2002-2012 - The MITRE Corporation
----------------------------------------------------

Start Time: Tue Sep 11 12:12:52 2012

 ** parsing /tmp/oval-definitions-2010.xml file.
    - validating xml schema.
 ** checking schema version
     - Schema version - 5.3
 ** skipping Schematron validation
 ** parsing /tmp/oval-sc-debian-lenny-sample.xml for analysis.
    - validating xml schema.
 ** running the OVAL Definition analysis.
      Analyzing definition:  FINISHED
 ** applying directives to OVAL results.
 ** OVAL definition results.

    OVAL Id                                 Result
    -------------------------------------------------------
    oval:org.debian:def:1965                false
    oval:org.debian:def:1966                false
    oval:org.debian:def:1967                false
    oval:org.debian:def:1968                false
    oval:org.debian:def:1969                false
    oval:org.debian:def:1970                false
    oval:org.debian:def:1971                false
    oval:org.debian:def:1972                false
    oval:org.debian:def:1973                false
    oval:org.debian:def:1974                false
    ...
    oval:org.debian:def:2124                false
    oval:org.debian:def:2125                false
    oval:org.debian:def:2126                false
    oval:org.debian:def:2127                false
    oval:org.debian:def:2128                false
    oval:org.debian:def:2129                false
    oval:org.debian:def:2130                false
    oval:org.debian:def:2131                false
    oval:org.debian:def:2132                false
    oval:org.debian:def:2133                false
    -------------------------------------------------------


 ** finished evaluating OVAL definitions.

 ** saving OVAL results to results.xml.
 ** running OVAL Results xsl: /usr/share/ovaldi/xml//results_to_html.xsl.

----------------------------------------------------

War das im obigen Beispiel gescannte Zielsystem ein Microsoft Windows System, können Sie nun die von MITRE zur Verfügung gestellten Definitionen herunterladen und den Test ausführen ("false" bedeutet, dass ein Test keinen Befund hatte).

Ovaldi erstellt automatisch zur folgenden Ausgabe auch eine HTML- und eine XML-Version: oval-sc-windows-xp-sample-ovaldi-results.html (23 KByte) und oval-sc-windows-xp-sample-ovaldi-results.xml (159 KByte).

$ cd /tmp
$ ovaldi -m -o /tmp/windows.xml \
    -i /tmp/oval-sc-windows-xp-sample.xml \
    -a /usr/share/ovaldi/xml/

----------------------------------------------------
OVAL Definition Interpreter
Version: 5.10.1 Build: 2
Build date: Sep 11 2012 07:49:59
Copyright (c) 2002-2012 - The MITRE Corporation
----------------------------------------------------

Start Time: Tue Sep 11 15:57:55 2012

 ** parsing /tmp/windows.xml file.
    - validating xml schema.
 ** checking schema version
     - Schema version - 5.10
 ** skipping Schematron validation
 ** parsing /tmp/oval-sc-windows-xp-sample.xml for analysis.
    - validating xml schema.
 ** running the OVAL Definition analysis.
      Analyzing definition:  FINISHED
 ** applying directives to OVAL results.
 ** OVAL definition results.

    OVAL Id                                 Result
    -------------------------------------------------------
    oval:org.mitre.oval:def:754             true
    oval:org.mitre.oval:def:15339           false
    oval:org.mitre.oval:def:15465           false
    oval:org.mitre.oval:def:15452           false
    oval:org.mitre.oval:def:15377           false
    oval:org.mitre.oval:def:15346           false
    oval:org.mitre.oval:def:15173           false
    oval:org.mitre.oval:def:15057           false
    oval:org.mitre.oval:def:15546           false
    oval:org.mitre.oval:def:14566           false
    oval:org.mitre.oval:def:720             false
    oval:org.mitre.oval:def:627             false
    oval:org.mitre.oval:def:286             false
    oval:org.mitre.oval:def:748             false
    oval:org.mitre.oval:def:684             false
    oval:org.mitre.oval:def:396             false
    oval:org.mitre.oval:def:1205            false
    oval:org.mitre.oval:def:679             false
    oval:org.mitre.oval:def:165             false
    oval:org.mitre.oval:def:565             false
    oval:org.mitre.oval:def:289             false
    oval:org.mitre.oval:def:730             false
    oval:org.mitre.oval:def:1162            false
    oval:org.mitre.oval:def:2041            false
    oval:org.mitre.oval:def:1946            false
    oval:org.mitre.oval:def:1815            false
    oval:org.mitre.oval:def:1282            false
    oval:org.mitre.oval:def:1804            false
    oval:org.mitre.oval:def:1469            false
    oval:org.mitre.oval:def:718             false
    oval:org.mitre.oval:def:347             false
    oval:org.mitre.oval:def:283             false
    oval:org.mitre.oval:def:282             false
    -------------------------------------------------------


 ** finished evaluating OVAL definitions.

 ** saving OVAL results to results.xml.
 ** running OVAL Results xsl: /usr/share/ovaldi/xml/results_to_html.xsl.

----------------------------------------------------