Imposta ed esegui una scansione
Prima di iniziare
Verifica che il sensore che vuoi usare sia installato, attivato e avviato.
Verifica che la tua rete soddisfi tutti i requisiti.
Verifica di soddisfare tutti i requisiti di utilizzo.
Sono necessari i privilegi amministratore o manager.
Consulta Flusso di lavoro Discovery e autorizzazioni e Requisiti di installazione sensore.
Raccogli le informazioni necessarie
Il nome del sensore che vuoi usare.
La divisione a cui è assegnato il sensore (se usi le divisioni nel tuo account).
Le porte che vuoi usare per eseguire la scansione della rete.
Gli FQDN e gli indirizzi IP che vuoi includere nella scansione.
Se stai usando l’Indicazione nome server (SNI) per servire più domini da un solo indirizzo IP.
Imposta ed esegui la scansione
Nel tuo account CertCentral, nel menu della barra laterale, seleziona Discovery > Gestisci Discovery.
Nella pagina Gestisci scansioni, seleziona Aggiungi scansione.
Imposta la tua scansione
Nella pagina Aggiungi scansione, nella sezione Crea scansione, fornisci le informazioni di scansione necessarie:
Nome scansione
Assegna un nome alla tua scansione in modo da poterla facilmente identificare (i nomi diventano più importanti quando hai più scansioni).
Divisione
Scegli la divisione con il sensore che vuoi usare per la scansione.
Durante l’installazione, assegni il sensore a una divisione. Puoi vedere solo i sensori assegnati alla divisione selezionata.
Nota
Se il tuo account non utilizza divisioni, vedrai il tuo nome organizzazione.
Porte
Specifica le porte che vuoi usare per eseguire la scansione della rete per i certificati SSL-TLS.
Usa Tutto per includere tutte le porte in un intervallo specificato.
Usa Predefinito per includere le porte comunemente usate per i certificati SSL/TLS: 443, 389, 636, 22, 143, 110, 465, 8443, 3389.
Abilita SNI (facoltativo)
Se stai usando l’Indicazione nome server (SNI) per servire più domini da un solo indirizzo IP, abilita la scansione SNI per la scansione (limitata a un massimo di 10 porte per server).
Nota
una scansione SNI non può avere delle informazioni IP come parte dei risultati.
Sensore
Scegli il sensore che vuoi usare per la scansione. Vedrai solo i sensori assegnati alla divisione che hai selezionato.
Nota
Se il tuo account non utilizza divisioni, vedrai il tuo nome organizzazione.
IP/FQDN da sottoporre a scansione
Includi FQDN e indirizzi IP:
Inserisci FQDN e indirizzi IP che vuoi includere nella scansione e seleziona Includi. Puoi includere indirizzi IP singoli (10.0.0.1), un intervallo di indirizzi IP (10.0.0.1-10.0.0.255) o un intervallo IP in formato CIDR (10.0.0.0/24).
Escludi FQDN e indirizzi IP:
Inserisci l’indirizzo IP che vuoi escludere da un intervallo di indirizzi IP e seleziona Escludi. Puoi escludere un singolo indirizzo IP (10.0.0.1), un intervallo di indirizzi IP (10.0.0.1-10.0.0.255) o un intervallo IP in formato CIDR (10.0.0.0/24).
Nell’elenco di scansioni, trova i domini e i sottodomini che vuoi escludere dalla scansione. Quindi, seleziona il link appropriato nella colonna Azioni.
Includi tutti i sottodomini – Include tutti i sottodomini del dominio nella scansione.
Escludi tutti i sottodomini – Esclude tutti i sottodomini del dominio dalla scansione.
Aggiungi sottodomini o Modifica sottodomini – Scegli dai sottodomini disponibili che vuoi includere o escludere dalla scansione.
Elimina – Elimina l’IP/FQDN dall’elenco di scansioni.
Al termine, seleziona Avanti.
Nota
Quando usi dei sottodomini:
A una scansione puoi sempre aggiungere sottodomini di qualsiasi livello.
Il sistema visualizza unicamente un sottodominio di un livello più basso del dominio.
Solo sottodomini elencati pubblicamente sono disponibili per la selezione. Ad esempio, puoi aggiungere alla scansione solo sottodomini disponibili sul server DNS pubblico o registrati CT.
Quando eseguire la scansione
Configura la tua scansione per eseguirla adesso o per programmarla.
Per impostare un limite per la durata con cui una scansione non completata deve essere eseguita prima che si arresti, seleziona Interrompi se il tempo di scansione viene superato e seleziona un tempo di esecuzione massimo.
Impostazioni: Opzioni scansione
La scansione ottimizzata fornisce un certificato SSL/TLS base e le informazioni server insieme a tutti i problemi critici del server TLS/SSL rilevati. (Heartbleed, Poodle (SSLv3), FREAK, Logjam, DROWN, RC4, POODLE [TLS], Cross-site scripting, SQL injection, Cross-domain policy e CSRF).
Scegli cosa sottoporre a scansione
Personalizza le informazioni incluse nei tuoi risultati di scansione.
Esegui scansione per pacchetti di crittografia configurati: Scopri i pacchetti di crittografia e i protocolli TLS/SSL configurati sul tuo server per stabilire una comunicazione client-server sicura durante il TLS/SSL handshake.
Abilita SSLv2, SSLv3, TLSv1.0 e TLSv1.1: Abilita questi protocolli TLS/SSL disponibili per l’utilizzo nello handshaking.
Aggiorna indirizzi IP host con ogni scansione: Aggiorna gli indirizzi IP dell’host ogni volta che esegui la scansione se questi indirizzi cambiano frequentemente.
Puoi anche selezionare le opzioni SO e Applicazione server per informazioni aggiornate su quanto segue:
Sistema operativo
Tipo di server
Applicazione server
Versione applicazione
Abilita scoperta chiave SSH: Scopri le chiavi SSH configurate sul tuo server. La scansione identifica impronte digitali delle chiavi SSH, algoritmi e metodi di autenticazione delle chiavi SSH configurate per il tuo server sulla porta SSH abilitata (porta predefinita 22).
Per maggiori informazioni sulle chiavi SSH, consulta Chiavi SSH.
Esegui scansione solo per problemi del server TLS/SSL server critici (più veloce): Scopri solo problemi critici TLS/SSL quali Heartbleed, Poodle (SSLv3), FREAK, Logjam, DROWN, RC4, POODLE (TLS), Cross-site scripting, SQL injection, Cross-domain policy e CSRF.
Scegli quali problemi del server TLS / SSL sottoporre a scansione: Personalizza la tua scansione specificando quali problemi server TLS/SSL (critici e/o non critici) vuoi sottoporre a scansione, quali POODLE, BEAST, SWEET32, ecc.
Nota
L’aggiunta di altre opzioni di scansione aumenta l’onere della scansione sulle risorse di rete, allungando la durata della scansione.
Impostazioni avanzate: Performance scansione
Usa le opzioni di Performance scansione di seguito per configurare la velocità con cui viene completata la scansione o per limitare l’impatto delle scansioni sulle risorse di rete:
Scansioni aggressive implica un onere maggiore sulle risorse di rete e invia molti pacchetti di scansione alla rete. Discovery definisce quanti pacchetti vengono inviati per evitare l’invio di un numero non voluto di pacchetti.
Nota
L’uso dell’impostazione aggressiva può attivare falsi allarmi sul Sistema di rilevamento intrusioni (IDS) o sul sistema di prevenzione delle intrusioni (IPS).
Scansioni lente limitano l’impatto della scansione sulle risorse di rete e riducono il numero di falsi allarmi IDS o IPS. Invia qualche pacchetto di scansione alla volta e attende una risposta prima di inviare altri pacchetti.
Impostazioni avanzate: Aggiungi tag alla scansione
Usa questa opzione per aggiungere tag alla tua scansione. I tag sono validi per tutti i certificati trovati durante la scansione di rete Usa questo per identificare e gestire i certificati configurati sulla tua rete e su altre reti che gestisci.
Impostazioni avanzate: Altre impostazioni
Riduci gli allarmi firewall limitando i controlli del server TLS/SSL
Usa questa opzione con la consapevolezza che può limitare l’efficacia della tua scansione, poiché può generare problemi del server TLS/SSL saltati.
Per identificare i problemi del server TLS/SSL (ad esempio Heartbleed), le scansioni talvolta emulano un problema del server TLS/SSL per verificarne la sicurezza. Tali emulazioni potrebbero attivare falsi allarmi firewall sulla rete. Per evitare tali allarmi, puoi limitare i controlli del server TLS/SSL.
Specifica le porte da sottoporre a scansione per verificare la disponibilità host
Le porte che specifichi qui vengono usate solo per verificare la disponibilità host.
La prima fase nel processo di scansione esegue il ping dell’host per verificarne la disponibilità.
Se i ping dell’Internet Control Message Protocol (ICMP) sono disabilitati su un host, usa questa impostazione per specificare le porte che possono essere sottoposte a scansione per verificare la disponibilità host. Meno porte vengono specificate, più veloce sarà la scansione.
Abilita il debug delle porte
Usa questa opzione per registrare e raccogliere i dati su porte con firewall e chiuse.
Salva e programma/Salva ed esegui
Al termine, dovrai salvare la scansione.
Se la esegui adesso, seleziona Salva ed esegui.
Se desideri eseguirla successivamente, seleziona Salva e pianifica.
Passaggi successivi
La tua scansione sarà eseguita adesso o in base alla programmazione. Il tempo di completamento scansione dipende dalla dimensione della rete e dalle impostazioni di performance scansione selezionate durante la configurazione.
Importante
Se una scansione attiva un falso allarme nei sistemi di rilevamento intrusioni (IDS) o nei sistemi di prevenzione delle intrusioni (IPS), accertati di aggiungere le scansioni all’elenco degli elementi consentiti (allowlist) nelle tue utility IDS/IPS.
Le scansioni lente hanno meno probabilità di attivare falsi allarmi. Potresti dover aggiungere il sensore all’allowlist del tuo firewall per consentire la comunicazione con digicert.com.
Per gestire le tue scansioni, vai alla pagina Gestisci scansioni (nel menu della barra laterale, seleziona Discovery > Gestisci Discovery).
Per visualizzare i dettagli della scansione o modificare le impostazioni scansione, vai nella pagina dei dettagli della scansione (nella pagina Gestisci scansioni, seleziona il nome della scansione).
Nelle schede Posizione Discovery e Impostazioni scansione, visualizza o modifica le impostazioni di scansione.
Nella scheda Attività di scansione, visualizza i dettagli delle scansioni attuali e passate come l’ora di inizio, la durata, lo stato della scansione e le azioni.
Per visualizzare i dettagli dei certificati sottoposti a scansione, seleziona Visualizza certificati.
Per ricevere le informazioni sulle porte con firewall e chiuse, seleziona Scarica report debug.
Per visualizzare dettagli chiave scoperti, seleziona Visualizza chiavi.