Einen Scan einrichten und durchführen

Bevor Sie beginnen

  • Stellen Sie sicher, dass der Sensor, den Sie verwenden möchten, installiert, aktiviert und gestartet wurde.
  • Stellen Sie sicher, alle Anforderungen an das Netzwerk zu erfüllen.
  • Stellen Sie sicher, alle Voraussetzungen für die Bereitstellung zu erfüllen.
  • Sie sind ein Administrator oder Manager im CertCentral-Konto

Siehe Discovery-Workflow und -Berechtigungen und Voraussetzungen für die Sensorinstallation.

Sammeln benötigter Informationen

Sie können außerdem einige Informationen sammeln:

  • Den Namen des Sensors, den Sie für den Scan verwenden wollen
  • Die Abteilung, der der Sensor zugewiesen ist (sofern Sie Abteilungen in Ihrem Konto verwenden)
  • Die Ports, über die Sie Ihr Netzwerk scannen möchten
  • Die FQDNs und IP-Adressen, die Sie in den Scan einbeziehen wollen
  • Bringen Sie in Erfahrung, ob Sie Server Name Indication (SNI) nutzen, um mehrere Domänen von einer einzigen IP-Adresse aus zu bedienen*

Einrichten und Durchführen des Scans

  1. Klicken Sie im CertCentral-Konto im Menü der Seitenleiste auf Discovery > Discovery verwalten.

  1. Klicken Sie auf der Seite „Scan verwalten“ auf Scan hinzufügen.

  1. Einrichten Ihres Scans

    Stellen Sie auf der Seite „Einen Scan hinzufügen“ unter „Einen Scan einrichten“ die erforderlichen Scan-Daten bereit.

    1. Scanname
      Geben Sie Ihrem Scan einen Namen, damit Sie ihn leichter erkennen können (Namen werden wichtig, wenn Sie mehrere Scans haben).
    2. Abteilung
      wählen Sie die Abteilung mit dem Sensor, den Sie für den Scan verwenden möchten.
      Während der Installation, weisen Sie den Sensor einer Abteilung zu. In der Sensor-Dropdownliste sehen Sie nur die Sensoren, die der ausgewählten Abteilung zugewiesen sind.
      Hinweis: Falls Sie in Ihrem Konto keine Abteilungen verwenden, sehen Sie den Namen Ihrer Organisation.
    3. Ports
      Geben Sie die Ports an, die Sie verwenden möchten, um Ihr Netzwerk nach SSL/TLS-Zertifikaten zu scannen.
      Verwenden Sie Alle, um alle Ports in einem angegebenen Bereich zu berücksichtigen.
      Verwenden Sie Standard um Ports zu berücksichtigen, die üblicherweise für SSL/TLS-Zertifikate verwendet werden: 443, 389, 636, 22, 143, 110, 465, 8443, 3389.
    4. SNI aktivieren*
      Verwenden Sie Server Name Indication (SNI), um mehrere Domänen von einer einzigen IP-Adresse aus zu bedienen? Markieren Sie dieses Kontrollkästchen, um SNI-Scannen für den Scan zu aktivieren (begrenzt auf max. 10 Ports pro Server).
      Hinweis: Ein SNI-Scan muss keine IP-Daten als Teil der Ergebnisse haben.
    5. Sensor
      Wählen Sie den Sensor, den Sie für den Scan verwenden möchten. In der Dropdownliste sehen Sie nur die Sensoren, die der ausgewählten Abteilung in der Dropdownliste Abteilung zugewiesen sind.
      Hinweis: Falls Sie in Ihrem Konto keine Abteilungen verwenden, sehen Sie die Ihrer Organisation zugewiesenen Sensoren.
    6. Zu scannende FQDNs/IP
      FQDNs und IP-Adressen berücksichtigen:
      Geben Sie die FQDNs und IP-Adressen ein, die Sie bei dem Scan berücksichtigen wollen und klicken Sie auf Einbeziehen.Sie können eine einzelne IP-Adresse (10.0.0.1), einen Bereich von IP-Adressen (10.0.0.1–10.0.0.255) oder einen IP-Bereich im CIDR-Format (10.0.0.0/24) ausschließen.
      FQDNs und IP-Adressen ausschließen:
      Geben Sie die IP-Adresse ein, die Sie aus einem IP-Adressbereich ausschließen möchten, und klicken Sie auf Ausschließen. Sie können eine einzelne IP-Adresse (10.0.0.1), einen Bereich von IP-Adressen (10.0.0.1–10.0.0.255) oder einen IP-Bereich im CIDR-Format (10.0.0.0/24) ausschließen.
    7. Klicken Sie anschließend auf Weiter.

  1. Wann scannen

    Konfigurieren Sie Ihren Scan für eine sofortige Ausführung oder planen Sie ihn.

    Um einen Grenzwert festzulegen, für wie lange ein unfertiger Scan fortgeführt werden soll, bevor Sie ihn anhalten, Aktivieren Sie Scan bei Zeitüberschreitung stoppen, und wählen Sie eine maximale Laufzeit.

  1. Einstellungen: Scanoptionen

    Der optimierte Scan bietet grundlegende SSL/TLS-Zertifikats- und Serverinformationen im Zusammenhang mit erkannten kritischen TLS/SSL-Serverproblemen. (Heartbleed, Poodle[SSLv3], FREAK, Logjam, DROWN, RC4 und POODLE[TLS]).

    Wählen, was gescannt werden soll

    Um die in Ihren Scanergebnissen enthaltenen Informationen anzupassen, aktivieren Sie Wählen, was gescannt werden soll. Passen Sie nun den Scan Ihren Bedürfnissen an. Um festzulegen, nach welchen TLS/SSL-Serverproblemen, z. B. POODLE (TLS) oder BEAST, gescannt werden soll, aktivieren Sie Wählen, nach welchen TLS/SSL-Serverproblemen gescannt werden soll.

Das Hinzufügen weiterer Scan-Optionen erhöht die Auswirkung des Scans auf die Netzwerkressourcen sowie die Zeit, die für den Abschluss des Scans benötigt wird.

  1. Erweiterte Einstellungen: Scanleistung

    Verwenden die Scanleistungsoptionen, um zu konfigurieren, wie schnell der Scan abgeschlossen wird, oder zur Begrenzung der Scanauswirkungen auf die Netzwerkressourcen.

    • Aggressive Scans
      haben stärkere Auswirkungen auf die Netzwerkressourcen. Senden eine große Anzahl Scanpakete an das Netz. Discovery deckelt, wie viele Pakete gesendet werden, um zu verhindern, dass eine unbeabsichtigte Anzahl Pakete, gesendet werden.
      Hinweis: Die aggressive Einstellung kann zu Fehlalarmen im IDS (Intrusion Detection System) und im IPS (Intrusion Prevention System) führen.
    • Langsame Scans
      Begrenzen die Auswirkungen des Scans auf die Netzwerkressourcen und reduziert die Häufigkeit von Fehlalarmen im IDS oder IPS. Sendet nur wenige Scanpakete auf einmal und wartet auf eine Antwort, bevor weitere Pakete gesendet werden.

  1. Erweiterte Einstellungen: Weitere Einstellungen

    Reduziert die Firewall-Alarme durch die Einschränkung von TLS/SSL-Serverprüfungen.

    Bei dieser Option müssen Sie wissen, dass die Effektivität des Scans eingeschränkt wird, da dieser möglicherweise nicht alle TLS/SSL-Probleme erfasst.

    Zur Identifizierung von TLS/SSL-Serverproblemen (zum Beispiel Heartbleed), emulieren Scans manchmal ein TLS/SSL-Problem, um gewährleisten, dass der Server sicher ist. Diese Emulationen können in Ihrem Netzwerk Fehlalarme der Firewall auslösen. Um solche Alarme zu vermeiden, können Sie die TLS/SSL-Serverprüfungen einschränken.

    Geben Sie die zu scannenden Ports zur Überprüfung der Host-Verfügbarkeit an

    Die hier angegebenen Ports, dienen nur der Sicherstellung der Hostverfügbarkeit.

    Im ersten Schritt sendet der Scan einen Ping an den Host, um seine Verfügbarkeit zu prüfen.
    Falls ICMP-Pings (Internet Control Message Protocol) auf einem Host deaktiviert sind, verwenden Sie diese Einstellung, um die Ports festzulegen, die zur Prüfung der Hostverfügbarkeit gescannt werden können. Je weniger Ports angegeben werden, desto schneller ist der Scan.

    Protokollierung der gefilterten Ports aktivieren

    Verwenden Sie diese Option, um Daten über Firewalls und geschlossene Ports zu protokollieren und zu sammeln.

  1. Speichern und Planen/Speichern und Ausführen

    Wenn Sie fertig sind, möchten Sie Ihren Scan speichern.

    • Falls Sie ihn sofort ausführen, klicken Sie auf Speichern und Ausführen.
    • Falls Sie den Scan vorausplanen, klicken Sie auf Speichern und Planen.

Wie geht es weiter?

Der Scan wird sofort oder gemäß Zeitplan ausgeführt. Die Scandauer ist abhängig von der Netzwerkgröße und der beim Einrichten ausgewählten Scanleistungseinstellungen.

Falls ein Scan im IDS oder im IPS einen falschen Alarm auslöst, tragen Sie den Scan in die Whitelist ihrer IDS/IPS-Dienstprogramme ein. Wählen Sie für die Ausführung Ihres Scans außerdem die Option Langsam. Langsamere Scans lösen weniger Fehlalarme aus. Möglicherweise müssen Sie auch den Sensor Ihrer Firewall in die Whitelist aufnehmen, um die Kommunikation mit digicert.com zu ermöglichen.

Gehen Sie zur Verwaltung Ihrer Scans auf die Seite Scan (Klicken Sie im Menü der Seitenleiste auf Discovery > Discovery verwalten).

Gehen Sie zur Anzeige von Scandetails oder zum Ändern der Scaneinstellungen auf die Detailseite des Scans (Klicken Sie auf der Seite „Scan“ auf den Link Scan-Name).

  • Auf den Registerkarten Discovery-Standort und Scaneinstellungen können Sie Scaneinstellungen anzeigen oder ändern.
  • Auf der Registerkarte Scanaktivität sehen Sie die Daten der aktuellen und vergangenen Scans wie Startzeit, Dauer, Scanstatus und Aktionen.
    • Um Details zu gescannten Zertifikaten anzuzeigen, klicken Sie auf Zertifikate anzeigen.
    • Um die Informationen über Firewalls und geschlossene Ports zu erhalten, klicken Sie auf Bericht über gefilterte Ports herunterladen.

Über

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.