Module

Hier finden Sie unsere Modulbeschreibungen. Aktuell bietet Enginsight Ihnen zwei große Module an, den Observer und den Client (Pulsar). Der Observer ist für den “Blick von Außen” verantwortlich. Er untersucht, welche Informationen man alleine durch die Beobachtung Ihrer Endpunkte von außen gewinnen kann, ohne internen Zugang zu den Systemen zu haben. Die gewonnenen Informationen werden in den folgenden Komponenten präsentiert: Webseite, HTTP-Header, SSL/TLS, Redirects, Web Threat Intelligence (WTI) und PortScan. Der Client (Pulsar) sorgt für den “Blick von Innen”. Sie können ihn ganz einfach auf Ihrem System installieren. Die gewonnenen Informationen werden in die folgenden Komponenten aufgeteilt: Übersicht, Metriken und Software.

Achtung!

Ein dauerhaftes Monitoring kann nur gewährleistet werden, wenn die IP-Adressen, von denen aus die Überwachung stattfindet nicht durch Firewall-Regeln blockiert werden. Bitte leiten Sie daher dieses Datenblatt an Ihren Hoster/Provider weiter.

Endpunkte - Blick von Außen (Observer)

Der Observer steht für den “Blick von Außen”. Er untersucht, welche Informationen man alleine durch die Beobachtung Ihrer Endpunkte von außen gewinnen kann, ohne internen Zugang zu den Systemen zu haben. Die gewonnenen Informationen werden in den folgenden Komponenten präsentiert: Webseite, HTTP-Header, SSL/TLS, Redirects, Web Threat Intelligence (WTI) und PortScan.

Einen neuen Endpunkt anlegen

Wie Sie einen neuen Endpunkt anlegen erfahren Sie an dieser Stelle in unserem Start Guide.

Übersicht über Ihre Endpunkte

Endpunkte sind erreichbare IP-Adressen, Hostnames oder einfache URLs. Sie können von einem Endpunkt Informationen über Erreichbarkeit, Verfügbarkeit und Sicherheit ermitteln. Endpunkte stellen die Schnittstelle zu einem Netzwerk dar. Sie können Endpunkte zu Servern zuweisen oder allgemeine Dienste, wie beispielsweise den Zertifikatsmanager nutzen.

Wenn Sie viele Endpunkte haben, dann kann es hilfreich sein, die Endpunkteübersicht anzupassen. Dazu klicken Sie einfach auf die Symbole, rechts oben in der Übersicht.

_images/endpunkteuebersichtansicht3.png

Wenn Sie das links zu sehende Symbol auswählen, kommen Sie zur “Balkenansicht”. Das ist auch die Ansicht, die im obigen Bild dargestellt ist. Bei der Balkenansicht sehen Sie alle Endpunkte einer Domain in einem Balken. Für jede Domain wird ein eigener Balken erstellt.

_images/endpunkteuebersichtansicht2.png

Wählen Sie dieses Symbol aus, wenn ihnen die “Kachelansicht” lieber ist. Hier sind die Endpunkte, wie Kacheln über-, und später nebeneinander angeordnet.

_images/endpunkteuebersichtansicht1.png

Mit diesem Symbol können Sie entscheiden, ob Sie sich Vorschaubilder Ihrer Endpunkte anzeigen lassen wollen. Diese Option haben Sie sowohl in der Balken-, als auch in der Kachelansicht.

Standarmäßig aktiviert ist die Balkenansicht mit Vorschaubildern.

Endpunktinformationen

An dieser Stelle finden Sie Erklärungen zu jeder Komponente, den verwendeten Symbolen (Schlösser, Haken, etc.) und Hilfe bei der Interpretation der Informationen, die sich Ihnen bieten. Um über die Enginsight Plattform an die Informationen zu gelangen, die Ihnen der Observer liefert, klicken Sie im Top Menü auf “Endpunkte”.


Webseite

Hier können Sie z.B. die Verfügbarkeit oder die Reaktionszeit ihrer Webseite beobachten.


HTTP-Header

Über diese Komponente können Sie die gesetzten HTTP-Header analysieren. Grob gesagt, können Sie hier sehen, in wie weit Sie Vorkehrungen zum Schutz ihrer Besucher getroffen haben. Wenn Sie mehr über HTTP-Header erfahren möchten, schauen Sie doch einmal auf unseren Blogeintrag zum Thema HTTP.

Übersicht
  • Der “HTTP-Headers Security Score” gibt an, in wie weit Sie Vorkehrungen zum Schutz Ihrer Besucher treffen. Die beste Note ist A++ und die schlechteste Note ist ein F.
  • Unter “letzter Bericht vom:” sehen Sie, wann die letzte Überprüfung der Daten erfolgt ist.
Antwort-Header

Hier können Sie sehen, was Ihr Server in den Antwort-Headern an Informationen übermittelt.

Name Beschreibung
Server Der Server-Header beinhaltet Informationen über die Software, die vom Ursprungsserver verwendet wurde. Diese Informationen
sollten aus Sicherheitsgründen immer deaktiviert werden.
Set-Cookie Der Set-Cookie HTTP-Header wird verwendet, um Cookies vom Server zum Browser zu übertragen. Wird eine HTTPS-Verbindung
verwendet, sollte der “Secure”-Flag zum Einsatz kommen.
Zusätzliche Header

Unter “Zusätzliche Header” finden Sie die Header, die Sie aktiv setzen sollten, um die Sicherheit Ihrer Webseitenbesucher zu verbessern. In der folgenden Tabelle geben wir einen Überblick darüber welche das sind. Außerdem finden Sie hier den Score für jeden Header, wenn er nicht oder falsch gesetzt wurde und eine kurze Beschreibung des Headers. Darüber hinaus finden Sie eine Empfehlung, auf welchen Wert die Header gesetzt sein sollten, um die Besucher Ihrer Website optimal zu schützen. Manchmal gibt es auch ähnlich sichere Alternativen. Diese finden Sie in Klammern unter der Empfehlung.

Name Empfehlung Score Beschreibung
Content-Security-Policy:   B Die HTTP Content-Security-Policy regelt welche Ressourcen in einer bestimmten
Art und Weise im Browser geladen bzw. ausgeführt werden können.
Expect-CT max-age=0 B Der Expect-CT (Certificate Transparency) HTTP-Header legt fest, wie die CT
Policy angewandt werden soll.
Referrer-Policy: no-referrer-when-downgrade B Die Referrer-Policy stellt sicher, dass Referrer Informationen nur unter
bestimmten Bedingungen gesendet werden dürfen.
Strict-Transport-Security: max-age=31536000;
includeSubDomains
F Die HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus für
HTTPS-Verbindungen, der sowohl vor Aushebelung der Verbindungs-
verschlüsselung als auch vor Session Hijacking schützt.
X-Content-Type-Options: nosniff A Der einzige definierte Wert “nosniff” untersagt dem Internet Explorer durch MIME-
Sniffing einen anderen als den deklarierten Inhaltstyp zu bestimmen und
anzuwenden.
X-Frame-Options: DENY
(SAMEORIGIN)
(ALLOW-FROM https://example.com/)
B Die X-Frame-Options können verwendet werden, um zu bestimmen, ob ein
aufrufender Browser die Zielseite in einem <frame>, <iframe> oder <object>
rendern also einbetten darf.
X-XSS-Protection: 1;
mode=block
B Die X-XSS-Protection kann Browsern untersagen eine Zielseite zu laden, sofern
eine Cross-Site Scripting (XSS) Attacke erkannt wird.

SSL/TLS

Über diese Komponente können Sie analysieren wie sicher ihre SSL/TLS- (also ihre verschlüsselte) Verbindung zu Ihrem Server ist.

Übersicht
  • Der “SSL/TLS Security Score” gibt an, wie sicher Ihre verschlüsselte Verbindung zu Ihrem Server ist. Die beste Note ist A++ und die schlechteste Note ist ein F.

  • “Überprüfung nach Art. 32 DSGVO” zeigt Ihnen, ob die Sicherheit der Datenverarbeitung von personenbezogenen Daten nach aktuellem Stand der Technik gewährleistet wird. Ist dies der Fall, so erscheint dahinter ein grünes Schloss. Ansonsten sehen Sie ein orangenes Ausrufezeichen.

    • _images/symbolessl.png
  • Unter “BSI (Bundesamt für Sicherheit in der Informationstechnik)” wird Ihnen angezeigt, ob die Sicherheit der Datenverarbeitung nach Maßgabe und Empfehlung des Bundesamts für Sicherheit in der Informationstechnik gewährleistet wird. Die Symbole sind dieselben wie oben.

  • Unter “letzter Bericht vom:” sehen Sie, wann die letzte Überprüfung der Daten erfolgt ist.

Unter dem Punkt DSGVO erscheint ein grünes Schloss, wenn Sie die Sicherheitsmindestanforderungen im Bereich SSL/TLS nach aktuellem Stand der Technik erfüllt haben. Aber Vorsicht, dies bedeutet nicht, dass Sie alle Sicherheitsvorgaben der DSGVO nach aktuellem Stand der Technik erfüllt haben. Unter dem Punkt BSI richten wir uns nach den BSI Empfehlungen für neue Anwendungen und Systeme. Deswegen wird hier etwas strenger bewertet als bei der DSGVO. Denn für bestehende Software und Systeme gibt es bei der Sicherheit gewisse Übergangszeiten, in denen noch ältere Sicherheitsmethoden angewendet werden dürfen. Allerdings sollten in regelmäßigen Abständen Aktualisierungen durchgeführt werden. Es ist daher durchaus sinnvoll auch unter dem Punkt BSI ein grünes Schloss anzustreben.

Zertifikat

Unter diesem Punkt finden Sie allgemeine Angaben zu Ihrem Zertifikat.

Sicherheitslücken

Hier finden Sie eine Auflistung der wichtigsten CVE-Sicherheitslücken, potentiellen Sicherheitslücken und Gefährdungen, die Ihnen im Bereich SSL/TLS begegnen könnten. Erklärungen dazu, was die CVE ist und was die CVE-Nummer bedeutet, finden Sie in den Begriffserklärungen.

CVE-Sicherheitslücken

Da unsere Systeme für unsere Scans verschiedene Datenbanken nutzen, von denen alleine die CVE Datenbank aktuell 96415 Einträge enthält, können wir keine vollständige Auflistung aller Sicherheitslücken geben. Deswegen präsentieren wir Ihnen hier eine Auswahl der häufigsten und schwerwiegendsten Sicherheitslücken:

Name CVE SSL/TLS Security Score Beschreibung
BEAST CVE-2011-3389 B+ Ein Angreifer kann unter bestimmten Vorraussetzungen bspw. die Cookies einer
verschlüsselten Verbindung ausspähen. Die Serversicherheit ist von diesem
Angriff nicht betroffen. Mehr Informationen finden Sie auf unserem Blog unter BEAST.
CRIME CVE-2012-4929 C++ CRIME steht für “Compression Ratio Info-leak Made Easy” und erlaubt es, aus
einer HTTPS-Verbindung beispielsweise Session-Cookies zu entschlüsseln.
DROWN CVE-2016-0800 C++ Diese Attacke ermöglicht es Angreifern, die verschlüsselten Verbindungen zum Server
zu kompromittieren. Die Ursache besteht in der Verwendung des SSLv2 Protokolls.
FREAK CVE-2015-0204 B Mit dieser Attacke lassen sich Browser zwingen, eine unsichere Verschlüsselung zu
verwenden. So können Angreifer mit SSL/TLS geschützten Datenverkehr entschlüsseln.
Heartbleed CVE-2014-0160 F Die Heartbleed-Sicherheitslücke ist ein schwerwiegender Fehler in älteren Versionen
der Open-Source-Bibliothek OpenSSL. Durch diesen Fehler können private Daten von
Clients und Servern über verschlüsselte TLS-Verbindungen ausgelesen werden. Mehr
Informationen zu diesem Angriff, finden Sie auf unserem Blog unter Heartbleed.
Logjam CVE-2015-4000 B Bei diesem Angriff können verschlüsselte Verbindungen durch eine Schwäche im
TLS-Verfahren auf einen unsicheren Diffie-Hellman-Schlüsselaustausch mit 512 Bit
reduziert werden.
CSS Injection CVE-2014-0224 C++ Durch diese Sicherheitslücke, können verschlüsselte Daten abgefangen und
entschlüsselt werden. Gleichzeitig können SSL Clients dazu gezwungen werden
schwache Schlüssel zu verwenden, die dem Angreifer ausgesetzt sind.
POODLE CVE-2014-3566 B Mit diesem Angriff kann der Einsatz des veralteten SSLv3 Protokolls erzwungen
werden. Verbindungen, die mit SSLv3 geschützt werden, lassen sich dechiffrieren.
Mehr Informationen zu diesem Angriff, finden Sie auf unserem Blog unter POODLE.
ROBOT CVE-2017-13099 C++ Dieser Angriff beruht darauf, dass Fehlermeldungen eines SSL-Servers Informationen
über entschlüsselte Daten preisgeben. Mehr Informationen zu diesem Angriff finden
Sie auf unserem Blog unter ROBOT.
SLOTH CVE-2015-7575 C++ Diese Attacke erzwingt die Nutzung der unsicheren MD5 Hashfunktion.
Sweet32 CVE-2016-2183 C++ Dieser Kollisionsangriff beruht auf der veralteten Triple-DES-Chiffre.
Es wird empfohlen diese zu deaktivieren. Mehr Informationen finden Sie auf
unserem Blog unter Sweet32.
Supports RC4 Ciphers CVE-2013-2566
CVE-2015-2808
C++
B
RC4 Chiffren gelten als unsicher. Es wird empfohlen diese Chiffren zu deaktivieren.
Gefährdungen & potentielle Sicherheitslücken

Enginsight prüft nicht nur auf bekannte ausnutzbare Sicherheitslücken, wir testen auch, ob es fehlerhafte Konfigurationen gibt, die sich zu Sicherheitslücken entwickeln könnten oder ob Gefährdungen anderer Art vorliegen. Auch hier können wir nicht alle beschreiben, aber einige populäre Beispiele sind:

Name CVE Score Beschreibung
Certificate Hostname Mismatch F Der Domain Name ist nicht im Zertifikat enthalten.
Certificate Not Trusted (INVALID CA) F Der Zertifizierungsstelle (CA), die das Zertifikat ausgestellt hat, wird
nicht vertraut.
Certificate Not Trusted (INVALID ISSUER) F Das Zertifikat wurde nicht von einer vertrauenswürdigen Quelle ausgestellt.
Certificate Subject Alternative Name Missing F Das Zertifikat enthält nur den Common Name. Der Support von Common Names in
Zertifikaten wird eingestellt. Es werden bald nur noch Subject Alternative Names
unterstützt.
Certificate Will Be Distrusted In Upcoming New Browsers F Google entzieht ab Oktober 2018 allen Symantec-Zertifikaten das Vertrauen.
Browser werden ab diesem Zeitpunkt anfangen die Zertifikate zu blockieren.
No Forward Secrecy A Das Bekanntwerden des Langzeitschlüssels führt dazu, dass auch vergangene
Sitzungsschlüssel berechnet werden können. Forward Secrecy ist eine Eigenschaft
kryptographischer Protokolle, die dies verhindert.
No Support for AEAD Ciphers   B++ AEAD Chiffren sind Betriebsmodi von Blockchiffren, die neben Vertraulichkeit
auch Authentizität und Integrität sicherstellen. In TLS1.3 sind nur noch AEAD
Chiffren zulässig.
No Support For Secure Renegotiation B Ohne die TLS-Erweiterung ‘Secure Renegotiation’ ist das SSL/TLS Protokoll
anfällig für eine Attacke über die Session Renegotiation.
No Support For Session Resumption (Caching) B+ Eine nicht aktivierte Session Resumption kann zu einer höheren CPU-Last führen.
In besonderen Fällen ist eine DoS-Attacke auf die CPU möglich.
No Support For Session Resumption (Tickets) A Eine nicht aktivierte Session Resumption kann zu einer höheren CPU-Last führen.
In besonderen Fällen ist eine DoS-Attacke auf die CPU möglich.
No Support For TLS_FALLBACK_SCSV A TLS_FALLBACK_SCSV verhindert das Erzwingen von SSL-3.0-Verbindungen.
Zugleich wird ein Rückfall von TLS 1.2 auf eine TLS-1.1- oder
TLS-1.0-Verbindung verhindert.
SHA1 In Certificate Chain B Die SHA1 Hashfunktion gilt als unsicher und sollte ersetzt werden.
SHA1 Signed Certificate F Die SHA1 Hashfunktion gilt als unsicher und sollte ersetzt werden.
Supports Anonymous Ciphers F Die Konfiguration des Servers unterstützt anonyme Cipher Suites ohne Schlüssel-
Authentifikation. Solche Cipher sind sehr anfällig für “Man in the Middle”-Angriffe.
Supports Client-Initiated Renegotiation B Wenn eine neue SSL Verbindung verhandelt wird, nutzt der Server meist wesentlich
mehr CPU als der Client. Dies kann eine DoS-Attacke auf die CPU ermöglichen.
Supports Common DH Params B++ Für den Schlüsselaustausch werden bekannte Diffie-Hellman Parameter genutzt.
Es wird empfohlen diese Parameter neu zu definieren.
Supports Insecure Client-Initiated Renegotiation F Es wird ‘Client-Initiated Renegotiation’ unterstützt, aber keine ‘Secure
Renegotiation’. Diese Zusammenwirkung erzeugt eine große Sicherheitslücke.
Supports MD5 Ciphers B++ MD5 gilt als unsicher, es wird empfohlen diese Hashfunktion zu deaktivieren.
Supports Non-Compliant Encryption Standards (BSI) B++ Die Verschlüsselung entspricht nicht der Maßgabe und Empfehlung des BSI.
Supports Non-Compliant Encryption Standards (DSGVO) B Die Verschlüsselung entspricht gegebenenfalls nicht den neuen
Datenschutzbestimmungen nach Art. 32 DSGVO.
Supports Null Encryption F Der NULL-Algorithmus ist ein Algorithmus, der die Daten genau so ausgibt, wie
sie eingegeben werden. Er sollte auf keinen Fall zur Verschlüsselung
verwendet werden.
Supports Only Older Protocols B Es werden nur die Protokollversionen bis TLS 1.0 unterstützt und keine Höheren.
Supports Weak Ciphers B+ Die verwendeten Chiffren entsprechen nicht dem aktuellen
Mindestsicherheitsstandard Chiffren sollte mindestens eine
Schlüssellänge von 128-bit aufweisen.
Supports Weak DH Params B++ Für den Schlüsselaustausch werden schwache Diffie-Hellman Parameter genutzt.
Die Mindestschlüsselgröße sollte 2048-bit nicht unterschreiten.
Supports Weak Elliptic Curve F Die verwendete Chiffre entspricht nicht dem aktuellen Mindestsicherheitsstandard.
Verfahren mit elliptischen Kurven sollten mindestens eine Schlüssellänge von
250-bit aufweisen.
Supports Weak Protocols C++ Die Protokolle SSL2, SSL3, sowie TLS 1.0 gelten als unsicher und sollten deaktiviert
werden.
Supports Weak RSA Key F Die verwendete Chiffre entspricht nicht dem aktuellen Mindestsicherheitsstandard.
Bei RSA sollte mindestens eine Schlüssellänge von 2000-bit verwendet werden.
Protokolle

Hier finden Sie eine Auflistung welche Versionen des SSL/TLS Protokolls von Ihrem Endpunkt unterstützt werden und welche nicht.

TLS und SSL - Was bedeutet das?

SSL steht für Secure Socket Layer und ist ein Verschlüsselungsprotokoll, um Daten im Internet sicher zu übertragen. Die letzte Version von SSL war die Version 3.0 und anschließend wurde das Protokoll unter dem Namen Transport Layer Security oder kurz TLS weiterentwickelt, beginnend mit der Version 1.0. Auf die älteren Versionen von SSL und TLS sind mittlerweile einige Angriffe bekannt, welche die Sicherheit untergraben. Deswegen wird davon abgeraten diese Versionen zu verwenden. Der folgenden Tabelle können Sie entnehmen, welche das sind:

Version (Name auf der Enginsight Plattform) Erscheinungsjahr Bemerkung
SSL 2.0 (SSLv2) 1995
_images/sslprotokoll3.png

Diese Version wird nicht mehr unterstützt und wird vom BSI nicht empfohlen.

SSL 3.0 (SSLv3) 1996
_images/sslprotokoll3.png

Diese Version wird nicht mehr unterstützt und wird vom BSI nicht empfohlen.

SSL 3.1 bzw. TLS 1.0 (TLSv1) 1999
_images/sslprotokoll2.png

Diese Version wird noch unterstützt, wird aber vom BSI nicht empfohlen.

TLS 1.1 (TLSv1.1) 2006
_images/sslprotokoll4.png

Diese Version wird noch unterstützt, wird aber vom BSI nicht mehr empfohlen.
Das heißt neue Anwendungen sollten TLS 1.2 verwenden, aber bei Bestands-
systemen kann TLS 1.1 noch verwendet werden, wenn zusätzliche Schutz-
maßnahmen ergriffen wurden.

TLS 1.2 (TLSv1.2) 2008
_images/sslprotokoll4.png

Das ist die aktuelle Version von TLS. Sie wird vom BSI empfohlen.

TLS 1.3 (TLSv1.3)  
_images/sslprotokoll4.png

Den Entwurf gibt es seit Januar 2016, der Termin für die Veröffentlichung lässt
sich derzeit aber noch nicht genau abschätzen.

Protokolle: Die Symbole erklärt

Die Symbole vor den Protokollnamen haben die folgende Bedeutung:

_images/sslprotokoll.png

Das grüne Kreuz zeigt an, dass das entsprechende Protokoll nicht zur Kommunikation mit dem Endpunkt verwendet werden kann. Hier müssen Sie im Einzelfall beurteilen, mit welchen Protokollen man Ihren Endpunkt ansprechen können soll.

_images/sslprotokoll4.png

Das grüne Schloss zeigt an, dass das entsprechende Protokoll zur Kommunikation mit dem Endpunkt verwendet werden kann und, dass das Protokoll auch sicher ist. Hier besteht kein Handlungsbedarf.

_images/sslprotokoll2.png

Das orangene Schloss zeigt an, dass das entsprechende Protokoll zur Kommunikation mit dem Endpunkt verwendet werden kann, das Protokoll aber veraltet ist und bald durch eine neuere Version ersetzt werden sollte.

_images/sslprotokoll3.png

Das rote Schloss zeigt an, dass das entsprechende Protokoll zur Kommunikation mit dem Endpunkt verwendet werden kann, das Protokoll aber unsicher ist und schnellstmöglich durch eine neuere Version ersetzt werden sollte.


Redirects

Hier können Sie Redirects analysieren. Z.B. wenn nach dem Umzug einer Website auf eine neue Domain überprüft werden soll, ob die automatische Weiterleitung noch funktioniert.


Web Threat Intelligence (WTI)

Über diese Komponente können Sie analysieren wie sicher Sie ihre Anwendungsumgebungen konfiguriert haben. Also ob z.B. SQL Injection oder Session Prediction möglich sind.

Übersicht
  • Der “Web Threat Intelligence Score” gibt an, wie sicher Sie Ihre Anwendungsumgebung konfiguriert haben. Die beste Note ist A++ und die schlechteste Note ist ein F.
  • Unter “letzter Bericht vom:” sehen Sie, wann die letzte Überprüfung der Daten erfolgt ist.
  • Die WTI orientiert sich bei der Erkennung von Sicherheitslücken an den Maßgaben der OWASP. Die OWASP ist eine offene Community mit dem Ziel, Unternehmen und Organisationen dabei zu unterstützen, sichere Anwendungen zu entwickeln. Wenn Sie mehr über die OWASP erfahren wollen, dann schauen Sie doch in unsere Begriffserklärungen.
WTI: Die Symbole erklärt

Die Symbole hinter den Einträgen haben die folgende Bedeutung:

_images/sslprotokoll4.png

Das grüne Schloss zeigt Ihnen an, dass die entsprechende Sicherheitslücke nicht auf Ihrem System vorliegt. Hier besteht also kein Handlungsbedarf.

_images/sslprotokoll2.png

Das orangene Schloss zeigt Ihnen an, dass die entsprechende Sicherheitslücke zwar auf Ihrem System vorliegt, es sich aber nicht um eine kritische Sicherheitslücke handelt. Trotzdem sollten Sie sich in naher Zukunft um das Problem kümmern.

_images/sslprotokoll3.png

Das rote Schloss zeigt Ihnen an, dass die entsprechende Sicherheitslücke auf Ihrem System vorliegt und es sich um eine kritische Sicherheitslücke handelt. Hier sollten Sie schnellstmöglich handeln!

_images/grauesfragezeichen.png

Das graue Fragezeichen zeigt Ihnen an, dass leider nicht ermittelt werden konnte, ob Ihr System für die entsprechende Sicherheitslücke anfällig ist.

Server

Hier finden Sie eine Übersicht der Sicherheitsprobleme, die auf Ihrem Server vorliegen könnten. Der Status zeigt Ihnen an, ob das jeweilige Problem auch tatsächlich vorliegt. Der Zusatz Potenzielles Angriffsszenario (PA) zeigt Ihnen an, dass es sich hierbei um eine aktive Attacke handelt, die von einem Angreifer durchgeführt werden könnte. Im Folgenden finden Sie eine Tabelle mit den Punkten, auf die wir momentan prüfen, diese Liste wird laufend aktualisiert:

Name Beschreibung
Cross-Site-Tracing (PA) Ermöglicht das Abfangen von sensiblen Benutzerinformationen. Mehr über diesen Angriff erfahren Sie auf unserem Blog
unter Cross-Site-Tracing.
Directory Listing Ermöglicht die automatische Auflistung von Dateien in einem bestimmten Verzeichnis.
HTTPS Unterstützung Ermittelt, ob der Server eine gesicherte HTTPS-Verbindung aufbauen kann und ob diese vertrauenswürdig ist.
Anwendungen

Hier finden Sie eine Übersicht der Sicherheitsprobleme, die auf Ihren Anwendungen vorliegen könnten. Der Status zeigt Ihnen an, ob das jeweilige Problem auch tatsächlich vorliegt. Der Zusatz Potenzielles Angriffsszenario (PA) zeigt Ihnen an, dass es sich hierbei um eine aktive Attacke handelt, die von einem Angreifer durchgeführt werden könnte. Im Folgenden finden Sie eine Tabelle mit den Punkten, auf die wir momentan prüfen, diese Liste wird laufend aktualisiert:

Name Beschreibung
Cross-Site-Scripting (PA) Ermöglicht das Ausführen von Schadcode. Mehr über diesen Angriff erfahren Sie auf unserem Blog unter Cross-Site-Scripting.
SQL Injection (PA) Eine SQL Injection kann über Eingabefelder einer Webseite Schadcode in Datenbankabfragen platzieren. Mehr über diesen
Angriff erfahren Sie auf unserem Blog unter SQL Injection.
Session Prediction (PA) Diese Attacke untersucht Session-Ids auf wiederkehrende Muster. Mehr über diesen Angriff erfahren Sie auf unserem Blog
unter Session Prediction.
Fuzzy Redirects (PA) Prüft die Webanwendung auf unvalidierte Weiterleitungen.
Aktiver Lebenszyklus (Supported) Prüft, ob die Anwendung vom Hersteller noch unterstützt wird oder bereits das “End of Life” erreicht hat.
Backend erreichbar Ermittelt, ob man auf die Administrationsoberfläche Ihrer Anwendung zugreifen kann.
Öffentliche API Ermittelt, ob der öffentliche Zugriff auf die API Ihrer Anwendung möglich ist.
Website

Hier finden Sie eine Übersicht der Sicherheitsprobleme, die auf Ihrer Webseite vorliegen könnten. Der Status zeigt Ihnen an, ob das jeweilige Problem auch tatsächlich vorliegt. Im Folgenden finden Sie eine Tabelle mit den Punkten, auf die wir momentan prüfen, diese Liste wird laufend aktualisiert:

Name Beschreibung
Malware Prüft die Anwendung auf potentielle Malware, Backdoors oder sonstigen Infizierungen.
Domain auf Blacklist Prüft, ob die Domain (oder IP) auf einer Blacklist gelistet ist.
Externe iFrames Prüft, ob in Ihrer Seite externe iFrames eingebunden werden.
Ermittelte Umgebung

Hier finden Sie den Namen, Typ und wenn ermittelbar auch die Version ihrer verschiedenen Systemkomponenten. Die Einordnung erfolgt in: Domain Hosting (z.B. HostEurope oder Hetzner), OS (z.B. Linux), Server (z.B. Apache oder Amazon S3), Runtime (z.B. Java oder PHP) und Application (z.B. TYPO3 oder Wordpress).

CVE-Sicherheitslücken in der ermittelten Software

Falls in dieser Kategorie spezifische CVE-Sicherheitslücken gefunden wurden, dann finden Sie an dieser Stelle eine Auflistung der Sicherheitslücken.


PortScan

Hier können Sie Ihre Ports analysieren. Grob gesagt, ob es möglich ist, über das Netzwerk sensible Informationen über den Zustand eines Computers zu erfahren.

Zertifikatsmanager

Zum Zertifikatsmanager gelangen Sie, indem Sie im Top Menü auf “Endpunkte” und dann im linken Sidebar Menü auf “Zertifikatsmanager” klicken. Hier finden Sie eine Übersicht Ihrer Zertifikate mit der Seriennummer (Serial), dem Aussteller (Issuer) des Zertifikats, den Alternative Names, eine Aufstellung in welchen Ressourcen das Zertifikat verwendet wird und wann das Zertifikat abläuft.

PDF Berichte

Berichte sind Zusammenfassungen über Endpunkte, die in einem PDF ausgegeben werden. Sie können Berichte in den jeweiligen Endpunkten erstellen. Unter Endpunkte -> Berichte werden diese gesammelt dargestellt.

Bericht erstellen

Um einen PDF Bericht für einen Endpunkt zu erstellen, gehen Sie im Top Menü auf Endpunkte und wählen Sie anschließend den entsprechenden Endpunkt aus. Gehen Sie im linken Sidebar Menü zur Übersicht. Klicken Sie nun rechts oben auf Berichte.

Klicken Sie anschließend auf Bericht jetzt erstellen. Warten Sie ein paar Sekunden, bis der PDF-Bericht erstellt wurde. Wenn Sie möchten, dass für diesen Endpunkt täglich ein Bericht erstellt wird, dann setzen Sie einfach das Häckchen bei Tägliche Berichte und klicken Sie auf speichern. Der PDF Bericht wird ab jetzt täglich zu der Uhrzeit erstellt, zu der Sie sich den ersten Bericht haben ausgeben lassen.

Sobald der PDF-Bericht angelegt wurde, können Sie ihn mit einem Klick auf Download ansehen.


Hosts - Blick von Innen (Client)

Mit Hilfe des Clients können Sie Ihre Systeme auch von innen analysieren. Im Top Menü auf der Enginsight Plattform finden Sie den Punkt “Hosts”. Hier können Sie einen neuen Host erstellen, auf dem der Client installiert wird, bzw. gelangen zu einer Übersicht Ihrer Hosts. Der Client liefert Ihnen unter anderem eine Aufstellung der Software, Prozesse und Benutzer auf Ihrem System, sowie verschiedene Metriken über die Auslastung der CPU, RAM, SWAP, etc. Als besonderes Feature werden durch den Client nun Plugins möglich. Das bedeutet Sie können eigene Skripte erstellen, die dann auf bestimmten Hosts gleichzeitig und automatisch ausgeführt werden können. Aktuell unterstützen wir die Betriebssysteme Ubuntu 16.04+, OpenSuse 13+, Debian 8+ und Windows Server 2008+ / Windows 7+. Wir arbeiten aber laufend an der Unterstützung für weitere Betriebssysteme und neuen Funktionen für den Client.

Informationen zum Client Pulsar

Mit dem Ausführen des unten stehenden Kommandos wird der Enginsight Client Pulsar auf dem Zielsystem installiert.

Der Client überträgt die Servermetriken über eine verschlüsselte Verbindung zur Enginsight Cloud. Dabei erfolgt die Verbindung ausschließlich einseitig, ausgehend vom Client. Eine direkte Kommunikation von der Cloud zum Client ist ausgeschlossen.

Wenn Sie den entsprechenden Host wieder löschen, wird sich auch der Client auf dem Zielsystem automatisch deinstallieren.


Systemanforderungen

Der Client muss mit Root-Rechten laufen.

Linux: Für die Installation ist ein Internetzugang erforderlich. Aktuell unterstützen wir die folgenden Betriebssysteme: Ubuntu 16.04+, OpenSuse13+ und Debian 8+.

Windows: Für die Installation ist ein Internetzugang erforderlich. Aktuell unterstützen wir die folgenden Betriebssysteme: Windows Server 2008+ / Windows 7+.

Installation (Einen neuen Host anlegen)

In diesem Abschnitt erfahren Sie, wie Sie unseren Client Pulsar auf Ihrem System installieren können. Auf unserem Youtube-Kanal finden Sie diese Anleitung auch als Video:

Um einen neuen Host hinzuzufügen, gehen Sie im Menü auf den Reiter “Hosts” und klicken Sie auf “Host erstellen”.

Anschließend wählen Sie bitte Ihr Betriebssystem aus.

Linux

Geben Sie bitte den curl Befehl, den Sie nun sehen, in Ihrem Terminal ein. Sie benötigen root Zugriff, um den Client zu installieren.

Sie werden nun aufgefordert unser End User License Agreement (EULA) zu akzeptieren. Dieses Dokument finden Sie unter /tmp/ngs-pulsar-eula.txt. Mit dem Download unseres Clients erklären Sie sich mit den Geschäftsbedingungen aus dem EULA einverstanden.

Zum Schluss sollten Sie eine Meldung erhalten, dass der Pulsar Agent erforderlich installiert wurde.

_images/install.png
Windows

Starten Sie die PowerShell als Administrator. Drücken Sie dazu: Windows-Taste + R und geben Sie ein: “powershell Start-Process powershell -Verb runAs”. Fügen Sie anschließend den Befehl ein, den Sie sehen.


Übersicht über Ihre Hosts

Hosts sind virtuelle oder dedizierte Server. Sie können von einem Host Informationen über Erreichbarkeit, Verfügbarkeit und Sicherheit ermitteln.

Hostinformationen

Zu jedem Host, auf dem Sie den Client installiert haben, finden Sie die Komponenten Übersicht, Metriken, Software, Prozesse, Lokale Benutzer und Jobs.

Übersicht

Wenn die Installation erfolgreich verlaufen ist, dann befinden Sie sich jetzt auf der Übersichtsseite für Ihren neu hinzugefügten Host. Hier finden Sie allgemeine Angaben zum Betriebssystem, also den Hostname, die Plattform, etc. Informationen zum RAM, SWAP und den Festplatten. Außerdem finden Sie hier Angaben zu den Netzwerkkarten.

Host Threat Intelligence (HTI)

HTI - Konfiguration
HTI - Sicherheitslücken

Metriken

Hier finden Sie die klassischen Monitoring-Kurven über CPU, RAM, SWAP, Netzwerk, Festplattenauslastung und Festplattenleistung. Für jeden Host wird automatisch die Festplattenanzahl ermittelt und anschließend für jede Festplatte ein eigenes Diagramm für die Auslastung und die Leistung erstellt. In Zukunft wird es auch möglich sein mit Hilfe des Plugin-Features hier zusätzlich eigene Daten einzubinden und überwachen zu lassen, z.B. die Antwortzeiten für bestimmte Requests.

Software

Hier finden Sie eine Inventur Ihrer Software mit dem Softwarenamen, der Version und der Quelle der Software. So eine Aufstellung kann z.B. beim Softwarelizenz-Management oder bei der Aufstellung eines Verfahrensverzeichnisses nach DSGVO weiterhelfen.

Prozesse

Hier finden Sie eine Auflistung über alle auf Ihrem System laufenden Prozesse mit der Prozess ID und dem Prozessnamen. Damit ist es nun z.B. auch möglich Alarme zu erstellen, die bestimmte Prozesse involvieren. Beispielsweise eine Warnung per Email, wenn ein bestimmter Prozess auf Ihrem Host nicht mehr verfügbar ist.

Lokale Benutzer

Hier finden Sie eine Liste aller Benutzer für den jeweiligen Host.

Jobs

Hier finden Sie einen Verlauf über alle auf Ihrem Host ausgeführten Skripte. Wenn z.B. der Enginsight Client Pulsar auf Ihrem System geupdated wurde oder wenn Sie selbst ein Skript auf einigen Hosts ausgeführt haben, finden Sie hier einen entsprechenden Eintrag. Der Eintrag enthält unter anderem auch eine Logdatei mit der Standardausgabe (stdout) und der Fehlerausgabe (stderr), falls aufgetreten.

Plugins

Hinter dem Punkt Plugins verbirgt sich ein sehr mächtiges Werkzeug. Hier können Sie eigene Skripte erstellen, die sich dann auf von Ihnen ausgewählten Hosts ausführen lassen. Z.B. können Sie dadurch eine Änderung der Firewall-Einstellungen auf allen Systemen gleichzeitig realisieren. Aktuell unterstützen wir die Laufzeitumgebungen Bash (Linux), Python 3 (Linux) und PowerShell (Windows).

Was sind Plugins?

Mit Plugins bezeichnen wir Skripte, die Sie automatisch oder auch manuell auf Ihren Systemen ausführen können. Sie können Plugins auf allen Systemen oder auch nur auf ausgewählten Systemen ausführen. Vorraussetzung ist, dass der Enginsight Client Pulsar auf diesen Systemen installiert ist. Die Skripte können Sie selber schreiben, für bestimmte Zwecke gibt es aber auch schon Vorlagen.

Plugin-Vorlagen

Auf der Enginsight Plattform finden Sie bereits einige Vorlagen für Plugins. Weitere Vorschläge und Ideen finden Sie unter https://github.com/enginsight. Wie genau Sie ein Plugin aus einer Vorlage erstellen, finden Sie weiter unten.

Plugins erstellen

Um ein neues Plugin zu erstellen, klicken Sie im Top Menü auf “Hosts”, anschließend klicken Sie im linken Side-Menü auf “Plugins” und dann auf “Plugin erstellen”.

Plugins auf einem Host ausführen

Threat Manager

Im Threat Manager erhalten Sie einen Überblick über die Bedrohungslage für Ihre IT. Alle Sicherheitslücken in Ihren Webseiten, Servern, etc. laufen hier zusammen. Mit diesen Sicherheitslücken können Sie auch dynamisch interagieren. Im Threat Manager werden Ihnen die meist gefährdetsten Endpunkte/Hosts angezeigt und die häufigsten Bedrohungen. Die Sicherheitslücken sind sogar durchsuchbar. Wenn Sie mehr zu den Einsatzmöglichkeiten für den Threat Manager erfahren wollen, dann werfen Sie einfach einen Blick auf diesen Blogeintrag.

Wo ist der Threat Manager?

Zum Threat Manager gelangen Sie direkt vom Dashboard aus.

Überblick

Standarmäßig werden Ihnen zentral die Sicherheitslücken mit der höchsten Bewertung angezeigt.

Folgende Informationen erhalten Sie für jede Sicherheitslücke:

  • Bewertung: Hier finden Sie den offiziellen CVSS v3.0 Score aus der NVD Datenbank. In die Bewertung fließt u. a. ein, wie schwer es ist die Sicherheitslücke auszunutzen und wie schlimm die Auswirkungen wären. Der Score geht von 0 bis 10. Ein hoher Score bedeutet also, dass die jeweilige Sicherheitslücke sehr leicht auszunutzen ist und gleichzeitig sehr schwerwiegende Konsequenzen hätte.
  • CVE-Nummer: Um Sicherheitslücken einheitlich beschreiben zu können, gibt es den sogenannten CVE-Standard. CVE steht für “Common Vulnerabilites and Exposures” und ist eine Datenbank für öffentlich bekannte Sicherheitslücken in Computern. Um mehr über die jeweilige Sicherheitslücke zu erfahren, kann man ganz einfach die CVE-Nummer googlen.
  • Hersteller: Hier steht der Hersteller des entsprechenden Produkts, z. B. Wordpress, PHP, Apache, Oracle etc.
  • Product: Hier steht der Name des betroffenen Produkts, z. B. dpkg, go, 7-zip, vm_virtualbox, etc.
  • Version: Das ist die Versionsnummer des betroffenen Produkts. Oft können Sicherheitslücken behoben werden, indem die Software auf die neueste Version aktualisiert wird.
  • Betroffen: Hier finden Sie die von der Sicherheitslücke betroffenen Endpunkte und Hosts verlinkt. Fahren Sie einfach mit der Maus über das jeweilige Icon, um zu dem entsprechenden Asset zu gelangen.

Häufigste Sicherheitslücken

Rechts oben finden Sie die Sicherheitslücken, die in Ihrer IT-Infrastruktur am häufigsten auftreten.

Hier erhalten Sie folgende Informationen:

  • Bewertung: Siehe oben.
  • Anzahl: Hier steht wie oft die Sicherheitslücke in Ihrer IT-Infrastruktur gefunden wurde.
  • CVE-Nummer: Siehe oben. Wenn Sie mehr über die jeweilige Sicherheitslücke wissen möchten, dann klicken Sie einfach rechts auf das Linkicon. Dann werden Sie zur NVD Datenbank weitergeleitet.