Skip to main content

Einen Scan einrichten und durchführen

Bevor Sie beginnen

  • Stellen Sie sicher, dass der Sensor, den Sie verwenden möchten, installiert, aktiviert und gestartet wurde.

  • Stellen Sie sicher, dass Ihr Netzwerk alle Anforderungen erfüllt.

  • Stellen Sie sicher, alle Voraussetzungen für die Bereitstellung zu erfüllen.

  • Administrator- oder Managerrechte erforderlich.

Siehe Discovery-Workflow und -Berechtigungen und Voraussetzungen für die Sensorinstallation.

Sammeln benötigter Informationen

  • Sie benötigen den Namen des Sensors, den Sie verwenden möchten.

  • Die Abteilung, der der Sensor zugewiesen ist (sofern Sie Abteilungen in Ihrem Konto verwenden).

  • Die Ports, über die Sie Ihr Netzwerk scannen möchten.

  • Die FQDNs und IP-Adressen, die Sie in den Scan einbeziehen wollen.

  • Ob Sie Server Name Indication (SNI) verwenden, um mehrere Domänen von einer einzigen IP-Adresse aus zu bedienen.

Einrichten und Durchführen des Scans

  1. Wählen Sie im CertCentral-Konto im Menü der Seitenleiste Discovery > Discovery verwalten.

  2. Wählen Sie auf der Seite Scan verwalten Scan hinzufügen.

  3. Einrichten Ihres Scans

    Stellen Sie auf der Seite Einen Scan hinzufügen im Abschnitt Einen Scan erstellen die erforderlichen Scan-Daten bereit.

    1. Name des Scans

      Geben Sie Ihrem Scan einen Namen, damit Sie ihn leichter erkennen können (Namen werden wichtig, wenn Sie mehrere Scans haben).

    2. Division

      Wählen Sie die Abteilung mit dem Sensor, den Sie für den Scan verwenden möchten.

      Während der Installation, weisen Sie den Sensor einer Abteilung zu. Sie sehen nur die Sensoren, die der ausgewählten Abteilung zugewiesen sind.

      Anmerkung

      Sie werden den Namen Ihrer Organisation sehen, wenn Ihr Konto keine Abteilungen verwendet.

    3. Ports

      Geben Sie die Ports an, die Sie verwenden möchten, um Ihr Netzwerk nach SSL/TLS-Zertifikaten zu scannen.

      Verwenden Sie Alle, um alle Ports in einem angegebenen Bereich zu berücksichtigen.

      Verwenden Sie Standard um üblicherweise für SSL/TLS-Zertifikate verwendete Ports zu berücksichtigen: 443, 389, 636, 22, 143, 110, 465, 8443, 3389.

    4. SNI aktivieren (optional)

      Wenn Sie Server Name Indication (SNI) verwenden, um mehrere Domänen von einer einzigen IP-Adresse aus zu bedienen, aktivieren Sie SNI-Scans für den Scan (begrenzt auf maximal 10 Ports pro Server).

      Anmerkung

      Ein SNI-Scan muss keine IP-Daten als Teil der Ergebnisse haben.

    5. Sensor

      Wählen Sie den Sensor, den Sie für den Scan verwenden möchten. Sie sehen nur die Sensoren, die der von Ihnen ausgewählten Abteilung zugeordnet sind.

      Anmerkung

      Sie werden den Namen Ihrer Organisation sehen, wenn Ihr Konto keine Abteilungen verwendet.

    6. Zu scannende IP/FQDN

      FQDNs und IP-Adressen einbeziehen:

      Geben Sie die FQDNs und IP-Adressen ein, die Sie bei dem Scan berücksichtigen wollen und klicken Sie auf Einbeziehen. Sie können einzelne IP-Adressen (10.0.0.1), einen Bereich von IP-Adressen (10.0.0.1-10.0.0.255) oder einen IP-Bereich im CIDR-Format (10.0.0.0/24) einbeziehen.

      FQDNs und IP-Adressen ausschließen:

      Geben Sie die IP-Adresse ein, die Sie aus einem IP-Adressbereich ausschließen möchten, und klicken Sie auf Ausschließen. Sie können eine einzelne IP-Adresse (10.0.0.1), einen Bereich von IP-Adressen (10.0.0.1–10.0.0.255) oder einen IP-Bereich im CIDR-Format (10.0.0.0/24) ausschließen.

    7. Suchen Sie in der Scan-Liste die Domänen und Subdomänen, die Sie in den Scan einbeziehen oder von ihm ausschließen möchten. Wählen Sie den entsprechenden Link in der Spalte Aktion.

      Alle Unterdomänen einschließen – Schließt alle Unterdomänen der Domäne in den Scan ein.

      Alle Unterdomänen ausschließen – Schließt alle Unterdomänen der Domäne vom Scan aus.

      Unterdomänen hinzufügen oder Unterdomänen bearbeiten – Wählen Sie aus den verfügbaren Unterdomänen aus, die Sie in den Scan einbeziehen oder von ihm ausschließen möchten.

      Löschen – Löscht die IP/FQDN aus der Scan-Liste.

    8. Wählen Sie anschließend Weiter.

      Anmerkung

      Bei Verwendung von Unterdomänen:

      • Sie können jederzeit Subdomänen jeder Ebene zu einer Überprüfung hinzufügen.

      • Das System zeigt nur eine einzige Subdomäne an, die eine Ebene tiefer als die Domäne liegt.

      • Nur öffentlich gelistete Subdomains sind zur Auswahl verfügbar. So können Sie beispielsweise nur Subdomänen zum Scan hinzufügen, die auf dem öffentlichen DNS-Server verfügbar sind oder von CT protokolliert werden.

  4. Wann scannen

    Konfigurieren Sie Ihren Scan für eine sofortige Ausführung oder planen Sie ihn.

    Um einen Grenzwert festzulegen, für wie lange ein unfertiger Scan fortgeführt werden soll, bevor Sie ihn anhalten, wählen Sie Scan bei Zeitüberschreitung stoppen, und wählen Sie eine maximale Laufzeit.

  5. Einstellungen: Scanoptionen

    Der optimierte Scan bietet grundlegende SSL/TLS-Zertifikats- und Serverinformationen im Zusammenhang mit erkannten kritischen TLS/SSL-Serverproblemen. (Heartbleed, Poodle [SSLv3], FREAK, Logjam, DROWN, RC4, POODLE [TLS], Cross-Site Scripting, SQL Injection, Cross-Domain Policy und CSRF).

    Wählen Sie, was gescannt werden soll

    Passen Sie die in Ihren Scanergebnissen enthaltenen Informationen an.

    • Nach konfigurierten Verschlüsselungs-Suiten scannen: Informieren Sie sich über die Cipher Suites und TLS/SSL-Protokolle, die auf Ihrem Server konfiguriert sind, um eine sichere Client-Server-Kommunikation während des TLS/SSL-Handshakes herzustellen.

    • SSLv2, SSLv3, TLSv1.0 und TLSv1.1 aktivieren: Aktivieren Sie diese TLS/SSL-Protokolle, die für die Verwendung beim Handshaking zur Verfügung stehen.

    • IP-Adressen der Hosts bei jedem Scan aktualisieren: Aktualisieren Sie die IP-Adressen des Hosts bei jedem Scanvorgang, wenn sich die IP-Adressen des Hosts häufig ändern.

      Sie können auch die Optionen Betriebssystem und Serveranwendung auswählen, um aktuelle Informationen zu erhalten:

      • Betriebssystem

      • Servertyp

      • Serveranwendung

      • Version der Anwendung

    • SSH-Schlüsselerkennung aktivieren: Ermitteln Sie die auf Ihrem Server konfigurierten SSH-Schlüssel. Der Scan identifiziert die SSH-Schlüssel-Fingerabdrücke, Algorithmen und Methoden zur Authentifizierung von SSH-Schlüsseln, die für Ihren Server auf dem SSH-aktivierten Port (Standardport 22) konfiguriert sind.

      Weitere Informationen über SSH-Schlüssel finden Sie unter SSH-Schlüssel.

    • Nur nach kritischen TLS/SSL-Server-Problemen scannen (schneller): Entdecken Sie nur kritische TLS/SSL-Server-Probleme wie Heartbleed, Poodle (SSLv3), FREAK, Logjam, DROWN, RC4, POODLE (TLS), Cross-Site Scripting, SQL-Injection, domänenübergreifende Richtlinien und CSRF.

    • Wählen Sie, nach welchen TLS-/SSL-Server-Problemen gescannt werden soll: Passen Sie Ihren Scan an, indem Sie angeben, welche TLS/SSL-Serverprobleme (kritisch und/oder nicht kritisch) Sie scannen möchten, z. B. POODLE, BEAST, SWEET32 usw.

      Anmerkung

      Wenn Sie mehr Scan-Optionen hinzufügen, erhöht sich die Belastung der Netzwerkressourcen durch den Scan, was zu einer längeren Scan-Zeit führt.

  6. Erweiterte Einstellungen: Scanleistung

    Verwenden Sie die unten stehenden Optionen für die Scanleistung, um zu konfigurieren, wie schnell der Scan abgeschlossen wird oder um die Auswirkungen von Scans auf die Netzwerkressourcen zu begrenzen:

    • Aggressive Scans belasten die Netzwerkressourcen stärker und senden eine große Anzahl von Scan-Paketen an das Netzwerk. Discovery deckelt, wie viele Pakete gesendet werden, um zu verhindern, dass eine unbeabsichtigte Anzahl Pakete gesendet wird.

      Anmerkung

      Die aggressive Einstellung kann zu Fehlalarmen im IDS (Intrusion Detection System) und im IPS (Intrusion Prevention System) führen.

    • Langsame Scans begrenzen die Auswirkungen des Scans auf die Netzwerkressourcen und reduzieren die Häufigkeit von Fehlalarmen im IDS oder IPS. Sendet nur wenige Scanpakete auf einmal und wartet auf eine Antwort, bevor weitere Pakete gesendet werden.

  7. Erweiterte Einstellungen: Fügen Sie dem Scan Tags hinzu.

    Verwenden Sie diese Option, um Ihrem Scan Tags hinzuzufügen. Die Tags gelten für alle bei der Netzwerksuche gefundenen Zertifikate. Verwenden Sie diese Funktion, um die in Ihrem Netzwerk oder einem anderen von Ihnen verwalteten Netzwerk konfigurierten Zertifikate zu identifizieren und zu verwalten.

  8. Erweiterte Einstellungen: Weitere Einstellungen

    Reduzieren Sie Firewall-Alarme durch Einschränkung von TLS/SSL-Serverprüfungen.

    Bei dieser Option müssen Sie wissen, dass die Effektivität des Scans eingeschränkt wird, da dieser möglicherweise nicht alle TLS/SSL-Probleme erfasst.

    Zur Identifizierung von TLS/SSL-Serverproblemen (zum Beispiel Heartbleed), emulieren Scans manchmal ein TLS/SSL-Problem, um gewährleisten, dass der Server sicher ist. Diese Emulationen können in Ihrem Netzwerk Fehlalarme der Firewall auslösen. Um solche Alarme zu vermeiden, können Sie die TLS/SSL-Serverprüfungen einschränken.

    Geben Sie die zu scannenden Ports zur Überprüfung der Host-Verfügbarkeit an

    Die hier angegebenen Ports, dienen nur der Sicherstellung der Hostverfügbarkeit.

    Im ersten Schritt sendet der Scan einen Ping an den Host, um seine Verfügbarkeit zu prüfen.

    Falls ICMP-Pings (Internet Control Message Protocol) auf einem Host deaktiviert sind, verwenden Sie diese Einstellung, um die Ports festzulegen, die zur Prüfung der Hostverfügbarkeit gescannt werden können. Je weniger Ports angegeben werden, desto schneller ist der Scan.

    Port-Debugging aktivieren

    Verwenden Sie diese Option, um Daten über Firewalls und geschlossene Ports zu protokollieren und zu sammeln.

  9. Speichern und Planen/Speichern und Ausführen

    Wenn Sie fertig sind, müssen Sie Ihren Scan speichern.

    • Falls Sie ihn sofort ausführen, wählen Sie Speichern und Ausführen.

    • Wenn Sie den Scan später durchführen möchten, wählen Sie Speichern und Planen.

Wie geht es weiter?

Der Scan wird sofort oder gemäß Zeitplan ausgeführt. Die Scandauer ist abhängig von der Netzwerkgröße und der beim Einrichten ausgewählten Scanleistungseinstellungen.

Wichtig

Falls ein Scan im IDS oder im IPS einen falschen Alarm auslöst, listen Sie den Scan als erlaubt in ihren IDS/IPS-Dienstprogrammen ein.

Langsamere Scans lösen weniger Fehlalarme aus. Möglicherweise müssen Sie auch den Sensor Ihrer Firewall als erlaubt listen, um die Kommunikation mit digicert.com zu ermöglichen.

Gehen Sie zur Verwaltung Ihrer Scans auf die Seite Scans verwalten (Wählen Sie im Menü der Seitenleiste Discovery > Discovery verwalten).

Gehen Sie zur Anzeige von Scandetails oder zum Ändern der Scaneinstellungen auf die Detailseite des Scans (Wählen Sie auf der Seite Scans verwalten den Scan-Namen).

  • Auf den Registerkarten Discovery-Standort und Scaneinstellungen können Sie Scaneinstellungen anzeigen oder ändern.

  • Auf der Registerkarte Scanaktivität sehen Sie die Daten der aktuellen und vergangenen Scans wie Startzeit, Dauer, Scanstatus und Aktionen.

    • Um Details zu gescannten Zertifikaten anzuzeigen, wählen Sie Zertifikate anzeigen.

    • Um die Informationen über Firewalls und geschlossene Ports zu erhalten, wählen Sie Debug-Bericht herunterladen.

    • Um Details zu erkannten Schlüsseln anzuzeigen, wählen Sie Schlüssel anzeigen.