#1 17. Juni 2005 Informationen aus dem BSI 16.06.2005 18:31 BOSS (BSI OSS Security Suite) ===================== Einführung --------------- Sicherheitslücken in der elektronischen Datenverarbeitung bergen für jede Behörde, jedes Unternehmen und auch für den privaten Anwender die Gefahr, Geld oder Arbeitszeit zu verlieren. Absolute Sicherheit gibt es bekanntermaßen nicht. Es existieren jedoch Freie Software Produkte die Nutzern die Arbeit bei der Identifikation von Sicherheitsproblemen und deren Lösung abnehmen können. Das BSI hat im Jahr 2005 ein Entwicklungsvorhaben abgeschlossen, das sich zum Ziel gesetzt hatte, die zentrale Verwaltung und Steuerung von Sicherheitsscans als netzweite Sicherheitsaudits durchführen zu können. Eine leicht bedienbare und deutschsprachige grafische Oberfläche war dabei Voraussetzung. Weiterhin sollte eine Vereinfachung der zentralen Durchführung und Auswertung der wichtigen Sicherheitsscans durch viele Hilfestellungen und einfache Konfigurationsmöglichkeiten gewährleistet werden. Eine weitere wesentliche Anforderung war zudem die Einbindung verschiedener lokaler Open Source Sicherheitssoftware, deren Prüfergebnisse die Scans von Linux-Systemen im Netz wesentlich ergänzen sollte. Weitere beliebige Sicherheitssoftware sollte in die BOSS-Oberfläche leicht integriert werden können. Die unter diesen Anforderungen entwickelte Open Source Software BOSS (BSI OSS Security Suite) baut im wesentlichen auf dem bewährten Sicherheits-Scanner Nessus [1] auf. Hinzugekommen ist neben der BOSS-Oberfläche der Security Local Auditing Daemon (SLAD) [2], der die Steuerung der angebundenen lokalen Sicherheitssoftware übernimmt. Die Benutzerfreundlichkeit wurde durch die BOSS-Oberfläche wesentlich erweitert. Durch den entwickelten SLAD verfügt Nessus jetzt über die Möglichkeit Ziel-Systeme auch intensiv von innen her auf Schwachstellen oder gar bereits erfolgreiche Angriffe zu prüfen. Die zentrale, vereinfachte Steuerung und Auswertung vereinfacht damit das organisationsweite Sicherheitsauditing fundamental. Es werden für das Aufspüren von Sicherheitsproblemen in der behörden- bzw. der unternehmensweiten Informationstechnik neue Maßstäbe gesetzt. Für Nessus existieren derzeit über 7000 Plugins für die Prüfung auf verschiedenste Sicherheitslücken aller relevanten Betriebssysteme und Netzwerk-Produkte. Täglich kommen neue hinzu. Der SLAD steuert jetzt schon die wichtigen Sicherheitmodule TIGER, John-The-Ripper, Tripwire, LSOF, ClamAV Antivirus und Chkrootkit. Auf der BOSS-Live-CD wurde zusätzliche Freie Sicherheitssoftware wie nmapfe, Ethereal, netcat, ngrep und ntop zur Nutzung unter dem Betriebssystem KNOPPIX integriert. Weitere Sicherheitstools sind enthalten. Hinweise ----------- Das aktuelle BOSS Download-Image beinhaltet ausschließlich Freie Software. Dies betrifft ebenso die enthaltenen Plugins. Da diese nicht den gesamten Prüfumfang aller verfügbaren Plugins umfassen können und neue Sicherheitslücken veröffentlicht bzw. bekannt wurden, die auf der BOSS-Live-CD bisher nicht aktualisiert werden konnten, sind die derzeit durch BOSS getroffenen Sicherheitsaussagen nicht immer zutreffend. Sie sollten daher die Plugins beim Einsatz von BOSS in sensiblen Bereichen möglichst häufig aktualisieren. Man kann die Plugins bei einer Installation selbsttätig vervollständigen bzw. aktualisieren. Dies erfordert aber tiefere Systemkenntnisse und ein sorgfältiges Studium der Dokumentationen. Auch die nicht unter Freier Software-Lizenz stehenden Plugins können gegen Registrierung kostenfrei von der Nessus Homepage herunter geladen und unter BOSS verwendet werden. Bei der Software BOSS und auch der BOSS-Live-CD handelt es sich um Freie Software, die zum Teil unter GNU GPL steht. Wir weisen darauf hin, dass sich jeder Nutzer von BOSS und der BOSS-Live-CD mit den auf der CD oder im Internet nachzuvollziehenden lizenzrechtlichen Bedingungen der einzelnen Komponenten vertraut machen muß. Download ------------- Im Folgenden werden Ihnen drei ISO-Images zum Download angeboten. (Die Verteilung der BOSS-Live-CD am BSI-Stand (Stand B103) ist für den LinuxTAG (22.06. - 25.06.05) geplant.) BSI Nessus Live CD BOSS (BOSS-Live-CD) download der BOSS-Live-CD "BOSSv112.iso"Aus diesem Image lässt sich eine Live-CD erstellen mit der man BOSS ohne Installation starten kann. Desweiteren sind sämtliche Installationspakete enthalten. Die Quellen-CDs (Sourcen) der BOSS-Live-CD (Der komplette Satz Sourcen der BOSS-Live-CD ist von der Intevation GmbH erhältlich.) download der Quell-CD 1 "BOSSv112_src1.iso" download der Quell-CD 2 "BOSSv112_src2.iso" Die Checksummen für alle drei Images sind in der MD5-Prüfsummendatei (txt) enthalten. download der MD5-Prüfsummendatei als komprimierte Datei. Systemvorraussetzungen Intel-kompatibler Prozessor ab i586 Mindestens 128 MB Hauptspeicher (mit Linux-Auslagerungspartition) Empfohlen 256 MB oder mehr Hauptspeicher Bootfähiges CD-ROM-Laufwerk Verwendung Stellen Sie sicher (siehe BIOS-Setup), dass Ihr Rechner von CD / DVD booten kann, indem dieses vor anderen aktiven Bootmedien (Festplatte etc.) in der Boot-Reihenfolge eingetragen ist. Legen Sie dann die CD in Ihr CD- oder DVD-Laufwerk ein und und starten Sie Ihren Computer erneut. Das von der Live-CD geladene System belegt ausschließlich Hauptspeicher und schreibt in der Regel nicht von sich aus nichts auf andere Speichermedien Ihres Computers. Auf der CD (gebootet oder auch nur gemounted) finden Sie Informationen und die entsprechenden Pakete zur Installation von Nessus auf Fedora Core 3, SUSE 9.2, Debian 3.0 und Windows XP. Mailingliste Zur Diskussion von Problemen und deren Lösungen sowie als Rückmeldung der Nutzer von BOSS für das Projekt, haben wir eine Mailingliste eingerichtet. Wir würden uns über eine rege Nutzung freuen. intevation.de Mailing Lists Referenzen [1] Nessus Nessus Vulnerability Scanner [2] Checkrootkit chkrootkit -- locally checks for signs of a rootkit [3] Tripwire OpenSource Looking for Open Source Tripwire? | Tripwire, Inc. [4] ClamAV http://www.clamav.net [5] John the Ripper John the Ripper password cracker [6] Tiger Tiger UNIX security tool - Summary [Savannah] [7] SLAD slad.dn-systems.org [8] Intevation GmbH Intevation: Hauptseite [9] KNOPPIX Projekt Live GNU/Linux ffis e. V. Index of / [10] Bundesamtes für Sicherheit in der Informationstechnik BSI: Startseite Bundesamt für Sicherheit in der Informationstechnik + Multi-Zitat Zitieren