Configurar y ejecutar un escaneo

Antes de comenzar

  • Verifique que el sensor que desea usar se haya instalado, activado e iniciado.
  • Verifique que haya cumplido con todos los requisitos de red.
  • Verifique que haya cumplido con todos los requisitos de implementación.
  • Que sea administrador o gestor en la cuenta de CertCentral.

Vea Flujo de trabajo y permisos de Discovery y Requisitos de instalación de sensores.

Reunir la información necesaria

Además, querrá reunir algunos datos:

  • El nombre del sensor que se usará para el escaneo.
  • La división a la que el sensor está asignado (si está usando divisiones en su cuenta).
  • Los informes que desea usar para escanear su red.
  • Los FQDN y las direcciones IP que desea incluir en el escaneo.
  • Averigüe si está usando la Indicación de nombre de servidor (SNI) para atender varios dominios desde una única dirección IP.*

Configurar y ejecutar su escaneo

  1. En su cuenta de CertCentral, en el menú lateral, haga clic en Discovery > Administrar Discovery.

  1. En la página Administrar escaneo, haga clic en Agregar escaneo.

  1. Configurar su escaneo

    En la página Agregar un escaneo, en Configurar escaneo, brinde la información necesaria del escaneo.

    1. Nombre de escaneo
      Asígnele un nombre a su escaneo para que pueda identificarlo fácilmente (los nombres se tornan más importantes cuando tiene varios escaneos).
    2. División
      Elija la división con el sensor que desea usar para el escaneo.
      Durante la instalación, asigna el sensor a una división. En la lista desplegable Sensor, solo puede ver los sensores asignados a la división seleccionada.
      Nota: Si no está usando divisiones en su cuenta, verá el nombre de su organización.
    3. Puertos
      Especifique los puertos que desea usar para escanear su red en busca de certificados SSL/TLS.
      Use Todos para incluir todos los puertos en un intervalo especificado
      Use Predeterminado para incluir los puertos comúnmente usados para los certificados SSL/TLS: 80, 443, 389, 636, 22, 143, 110, 465, 8443, 3389.
    4. Activar SNI*
      ¿Está usando la Indicación de nombre de servidor (SNI) para atender varios dominios desde una única dirección IP? Seleccione esta casilla a fin de activar el escaneo SNI para el escaneo (limitado a un máximo de 10 puertos por servidor).
      Nota: Es posible que un escaneo SNI no tenga la información de la IP como parte de los resultados.
    5. Sensor
      Elija el sensor que desea usar para el escaneo. En la lista desplegable, solo puede ver los sensores asignados a la división seleccionada en la lista desplegable División.
      Nota: Si no está usando divisiones en su cuenta, verá los sensores asignados a su organización.
    6. FQDN/IP para escanear
      Incluir los FQDN y las direcciones IP:

      Ingrese los FQDN y las direcciones IP que desea incluir en el escaneo y haga clic en Incluir.Puede incluir direcciones IP únicas (10.0.0.1), un intervalo de direcciones IP (10.0.0.1-10.0.0.255) o un intervalo de IP en formato CIDR (10.0.0.0/24).
      Excluir FQDN y direcciones IP:
      Ingrese la dirección IP que desea excluir de un intervalo de dirección IP y haga clic en Excluir. Puede excluir una única dirección IP (10.0.0.1), un intervalo de direcciones IP (10.0.0.1-10.0.0.255) o un intervalo de IP en formato CIDR (10.0.0.0/24).
    7. Cuando haya terminado, haga clic en Siguiente.
  1. Cuándo explorar

    Configure su escaneo para que se ejecute ahora o prográmelo.

    Para establecer un límite durante el que un escaneo no terminado debe ejecutarse antes de detenerlo, seleccione Detener si el tiempo de escaneo supera y seleccione un tiempo máximo de ejecución.

  1. Configuración: Opciones de exploración

    El escaneo optimizado proporciona un certificado SSL/TLS básico e información del servidor junto con los problemas críticos del servidor TLS/SSL descubiertos. (Heartbleed, Poodle[SSLv3], FREAK, Logjam, DROWN, RC4 y POODLE[TLS]).

    Elegir qué escanear

    Para personalizar la información incluida en los resultados de su escaneo, seleccione Elegir qué escanear. Luego, personalice el escaneo para que se ajuste a sus necesidades. Por ejemplo, si desea especificar qué problemas del servidor TLS/SSL se escanean, como POODLE (TLS) o BEAST, seleccione Elegir qué problemas del servidor TLS/SSL escanear.

Agregar más opciones de escaneo aumenta el impacto del escaneo en los recursos de la red, así como cuánto demora en completarse.

  1. Configuración avanzada: Eficacia de la exploración

    Use las opciones Rendimiento de escaneo para configurar cuán rápidamente se completa el escaneo o para limitar el impacto de los escaneos en los recursos de la red.

    • Escaneos agresivos
      Tienen un impacto mayor en los recursos de la red. Envía una gran cantidad de paquetes de escaneo a la red. Dicovery restringe cuántos paquetes se envían para evitar que se envíe una cantidad no intencional de paquetes.
      Nota: Usar la configuración agresiva puede activar falsas alarmas en el Sistema de detección de intrusiones (IDS) o en el Sistema de prevención de intrusiones (IPS).
    • Escaneos lentos
      Limite el impacto del escaneo en los recursos de la red y reduzca la cantidad de falsas alarmas IDS o IPS. Envíe unos pocos paquetes de escaneo por vez y espere una respuesta antes de enviar más paquetes.
  1. Configuración avanzada: Más ajustes

    Reducir las alarmas de firewall limitando las verificaciones del servidor TLS/SSL

    Use esta opción con el entendimiento de que puede limitar la eficacia de su escaneo, ya que puede generar problemas del servidor TLS/SSL omitidos.

    Para identificar los problemas del servidor TLS/SSL (por ejemplo, Heartbleed), a veces, los escaneos emulan un problema del servidor TLS/SSL para asegurarse de que el servidor esté seguro. Esas emulaciones pueden provocar falsas alarmas de firewall en su red. Para evitar esas alarmas, puede limitar las verificaciones del servidor TLS/SSL.

    Especificar los puertos que se deben escanear para verificar la disponibilidad del host

    Los puertos que especifica aquí solo se usan para verificar la disponibilidad del host.

    El primer paso del proceso de escaneo hace ping al host para verificar su disponibilidad.
    Si los ping del Protocolo de mensajes de control de Internet (ICMP) están desactivados en un host, use esta configuración para especificar los puertos que se pueden escanear para verificar la disponibilidad del host. Cuantos menos puertos se especifiquen, el escaneo será más rápido.

  1. Guardar y programar o Guardar y ejecutar

    Cuando haya terminado, querrá guardar su escaneo.

    • Si lo ejecutará ahora, haga clic en Guardar y ejecutar.
    • Si ha programado el escaneo, haga clic en Guardar y programar.

Qué sigue

Su escaneo se ejecutará ahora o según lo programado. El tiempo de finalización del escaneo depende del tamaño de la red y de la configuración del rendimiento del escaneo seleccionado durante la configuración.

Si un escaneo activa una falta alarma en los sistemas de detección de intrusiones (IDS) o en los sistemas de protección de intrusiones (IPS), asegúrese de pasar los escaneos a la lista blanca en sus utilidades IDS/IPS. Además, configure su escaneo para ejecutarse Lento. Los escaneos más lentos tienen menos probabilidades de activar falsas alarmas. También es posible que deba incluir el sensor en la lista blanca de su firewall para evitar la comunicación con digicert.com.

Para administrar sus escaneos, vaya a la página Escaneo (en el menú lateral, haga clic en Discovery > Administrar Discovery).

Para ver los detalles del escaneo o modificar la configuración del escaneo, vaya a la página de detalles del escaneo (en la página Escaneos, haga clic en el enlace del nombre del escaneo).

  • En las pestañas Ubicación de Discovery y Configuración de la exploración, vea o modifique la configuración de la exploración.
  • En la pestaña Actividad de escaneo, vea los detalles de los escaneos actuales y anteriores, como la hora de inicio, la duración, el estado del escaneo y las acciones.