Es sind mit Sicherheit genügend Monitoringsoftwaresuiten und Netzwerkscanner auf dem freien Markt erhältlich. Viele davon zielen auf die unterschiedlichsten Themengebiete, einige wenige davon auf die Infrastruktursicherheit. Einiges wird bereits durch gute AV-Managementlösungen abgedeckt, doch eben nicht alles. Das ungepatchte Flash bleibt genauso unentdeckt, wie ein GTK oder ein ungepatchtes PDF-Tool. Mein Themenschwerpunkt ist also (wie üblich) die Infrastruktursicherheit, der Fokus liegt heute bei Administratoren in KMU, basierend auf Kundenrückfragen an mich zum Thema. Warum? Es kann mit Sicherheit hier nicht jeder mit Pentest-Distro’s umgehen, viele sind auch für den „Otto-Normal-Administrator“ zu schwierig zu bedienen. Dieser wünscht sich eher die schnelle Antwort auf die Frage sind meine Hütten dicht – und wenn nicht, welche sind’s und was soll ich dagegen tun?
Genau hier setzt GFI Languard 2012 an. GFI ist einfach zu installieren und bietet ohne Vorkenntnisse schnellen Einblick in die Schwachstellen der Anwendungsrechner. Der Administrator will hier mit Sicherheit wissen, was auf den Rechnern seiner Anwender los ist, und diese Möglichkeit hat er in den meisten Fällen mit Languard auch.
GFI vergleicht Soll mit Ist anhand einer von GFI gepflegten Patchdatenbank, man ist also in diesem Fall auf GFI’s Dienstleister angewiesen und deren schnelle Reaktion auf aktuelle CVE’s. Die Patchdatenbank lässt sich nur aktualisieren, wenn man einen gültigen Softwarepflegevertrag hat.
Schön finde ich, dass neben Windows-Hütten auch Mac-OSX und Linux Ziele überprüft werden können. Allerdings werden Macs hier (noch) stiefmütterlich behandelt. Ein veraltetes GTK und eine veraltete PDF-Library wurde in meinem Test mit MacOSX 10.8 ebenso nicht erkannt, wie ein testweise deaktiviertes Gatekeeper und ein aktivierter Infrarotport. Mir scheint, das Augenmerk liegt bei OSX in der Überprüfung Soll/Ist zum Patchlevel des Betriebssystem und der Programmkäufe im Appstore, hier mag ich mich allerdings auch irren und freue mich über Korrekturhinweise. Linux-Ziele konnte ich zu diesem Zeitpunkt auch nur rudimentär überprüfen, ein veraltetes Java und ungenutzte Konten wurden richtig bemängelt. Die Versionsüberprüfung der Libraries meinem Testsystem war allerdings stellenweise nicht vollständig und in Einzelfällen falsch. Immerhin, in homogenen Windows-Umgebungen ist man für die meisten Umgebungen erst einmal bestens gerüstet, und das passt wieder für meine Zielgruppe.
Languard soll Agentfrei zu betreiben sein, es sei ebenfalls zeitplangesteuert als Dienst zu nutzen und es kann warnen. Die Software bietet Hilfe bei der Bereitstellung von Tools und bei der Entfernung von unerwünschten Programmen. Ein übersichtliches Dashboard und ein Aktivitätsmonitor bieten schnellen Überblick über das, was da im Unternehmen abgeht. Das Tool kann alarmieren und z.B. per Email informieren, wenn bei zeitgesteuerten Scans mal etwas auffällt. Das Tool kann in Grenzen selbstständig aktiv werden, und so z.B. unerwünschte Software deinstallieren. Die Schwachstellenliste deckt sich allerdings nicht immer mit den Empfehlungen des BSI und ist so auch erstmal als ergänzende Sicherheitskomponente zu sehen. Manche Ergebnisse sind definitiv hinterfragenswert, z.B. die Bemängelung von „Autoshare“, das Feature macht in der Administration grundsätzlich Sinn, ohne diese Funktion sind manche Aktivitäten nicht mal umsetzbar.
Schwerer Patzer: Sehr problematisch wird es, wenn Anwendungen neu paketiert werden, z.B. durch Drittanbieter-MSI Paketierer, hier schlägt die Erkennung von Bedrohungen gänzlich fehl. Die so verteilte Software kann deswegen nicht auf Aktualisierungen geprüft werden.
Der Reportbuilder generiert umfangreiches Wissen und man kommt so schnell an die Kisten, die Aufmerksamkeit bedürfen, und das alles ohne die bei anderen Lösungen meistens benötigte Tiefenkenntnis.
Der primäre Fokus liegt zwar auf den KMU’s, allerdings sind Relayagenten auch in der Lage in größere Netze zu erfassen. Scans dauern allerdings und die Ergebnisse sind erwartungsgemäß erst hilfreich, wenn ein ausreichend berechtigtes Anmeldekonto verwendet wird. Es wird zwar mit der „agentfreien“ Benutzung geworben, der volle Umfang lässt sich allerdings erst mit der Installation eines Agents erreichen, dessen Rollout relativ zügig über die Konsole geschieht.
Der Agent wird meldungsfrei an den Anwenderarbeitsplatz verteilt. Erst bei einem Scan wird er aktiv und schluckt nur geringe Ressourcen.
Sehr gut finde ich, dass GFI die Möglichkeit (wie in vielen GFI-Produkten) der Nutzung eines SQL-Servers anbietet, denn die Access-Datenbank dürfte auch schon in kleineren Netzen schnell an ihre Leistungsgrenzen stoßen.
Die tolle Übersicht bietet einen schnellen Überblick über den Zustand der Infrastruktur und jeweils Korrekturmöglichkeiten für die meisten Schwachstellen. Die GUI ist gelungen und so findet sich jeder Administrator schnell zurecht.
Fazit:
Wer einen Blick riskiert, wird nicht enttäuscht. GFI bietet ein interessantes Preismodell, eine 5-Ziele- Testversion wird für 30 Tage bereitgestellt. Wer keine Vorkenntnisse hat und wissen möchte, welchen Blödsinn die Rasselbande treibt und sich nicht lange mit quälenden Installationsroutinen oder Gruppenrichtlinien aufhalten möchte, kann hier mit Sicherheit gewinnen. In homogenen Windows-Umgebungen lässt sich ebenfalls ein brauchbares Ergebnis erzielen. Ein wenig schwerer wird es, wenn die Umgebung heterogener ist, doch auch hier erzielt Languard brauchbare Ergebnisse.
GFI Languard 2012 ist sehr einfach zu bedienen und mit Sicherheit eine sehr gute Hilfe, um adäquat auf Bedrohungen zu reagieren. Die Software eignet sich meiner Meinung nach nicht nur für KMU sondern auch schon für größere Umgebungen. Die bei den Scans benötigte Bandbreite ist gering. Die Software kann logischer Weise keinen gesunden Menschenverstand ersetzen und kann natürlich kein geschultes Fachpersonal und gekonnten Umgang mit Pen-Test Distributionen ersetzen. Sie ist als Erweiterungskomponente und zeitsparende Hilfe im KMU-Umfeld zu sehen.
Wer (wie die meisten) Benutzer im Unternehmen hat, denen umgangssprachlich „schwer beizukommen ist“, hat mit GFI Languard 2012 für seine Rasselbande zunächst einmal in’s Schwarze getroffen. Das Produkt hat zwar einige, wenige Schwächen, die allerdings bei Kenntnis in den meisten Fällen gut umgangen werden können.
Mehr Informationen sind bei GFI auf deren WebSite verfügbar: Link.