Endpunkte (Observer)

Welche Analysen Sie im Modul Endpunkte erhalten und wie diese zu interpretieren sind, erfahren Sie hier.

Übersicht

Der Observer steht für den “Blick von Außen”. Er untersucht, welche Informationen man alleine durch die Beobachtung Ihrer Endpunkte von außen gewinnen kann, ohne internen Zugang zu den Systemen zu haben.

Was ist ein Endpunkt?

Unter einem Endpunkt verstehen wir Webseiten, Domains, URLs, Hostnames, IP-Adresse, die von außen über das Netzwerk (z. B. Internet) erreichbar sind.

Einen neuen Endpunkt anlegen

Wie bei Enginsight ein Endpunkt angelegt wird, erklären wir in unserem Video: "Deine 5 ersten Schritte":

Observer

Um einen Endpunkt zu überwachen, brauchen Sie einen Observer. Als SaaS-Kunde können Sie bereits von uns zu Verfügung gestellte Observer nutzen. Wir bieten einen Observer mit Standort in Frankfurt am Main sowie in East Virginia (USA).

Observer hinzufügen

Möchten Sie als SaaS-Kunde weitere Standorte hinzufügen, bspw. um Zugriff auf Endpunkte im Intranet zu ermöglichen, können Sie dies in beliebiger Anzahl tun. Als On-Premises-Kunde müssen Sie stets einen Observer installieren, um Endpunkte zu überwachen. Dazu benötigen Sie einen linuxbetriebenen Server (Debian, Ubuntu, CentOS). Sie können selbstverständlich auch mit einer virtuellen Maschine arbeiten.

  1. Gehen Sie auf Endpunkte → Observers→ Observer hinzufügen.

  2. Führen Sie das Installationsskript mit Root-Rechten auf dem gewünschten Linux-Gerät aus.

Der Observer verbindet sich automatisch mit der Enginsight-Plattform.

Observer konfigurieren

Im Anschluss an die Installation müssen Sie Ihren Observer konfigurieren. Klicken Sie dazu einfach auf den von Ihnen installierten Observer.

  1. Vergeben Sie einen Alias, um Ihrem Observer eine eindeutige Bezeichnung zuzuordnen.

  2. Legen Sie die Region fest, die der Observer zugeordnet sein soll (bspw. London, Serverraum...)

  3. Schalten Sie die gewünschten Funktionen an.

  4. On-Premises: Bei eigener On-Premises-Installation können Sie einen Observer als dedizierten Observer einer speziellen Organisation nutzen oder den Observer für alle Organisationen freigeben. Wählen Sie Ihren Präferenzen entsprechend die Option "Dedizierter Observer".

Ordnen Sie mehrere Observer der gleichen Region zu, teilen sie sich die Überwachung der Endpunkte automatisch auf.

Endpunktinformationen

Die ermittelten Security-Monitoring-Daten werden Ihnen übersichtlich in Unterseiten dargestellt. Ein Rating (A+ bis F) der einzelnen Kategorien hilft Ihnen, direkt festzustellen, ob Handlungsbedarf besteht.

Übersicht

Hier finden Sie einen Überblick über den Endpunkt aus der Vogelperspektive. Sie erhalten erste Daten und ein Rating zu den Webseitenantwortzeiten, HTTP-Headers, SSL/TLS, Apps und PortScan.

Webseite

Hier können Sie die Verfügbarkeit und Reaktionszeiten ihrer Webseite beobachten.

Sie erhalten folgenden Wert zu jeder Region, von der aus Sie die Webseite überwachen:

Bezeichnung

Erklärung

connect

Der Zeitpunkt, an dem der Verbindungsaufbau mit dem Server abgeschlossen wurde.

dnsLookup

Der Zeitpunkt, an dem der Domain Name Lookup beendet wurde.

preTransfer

Der Zeitpunkt, an dem mit der Übertragung des tatsächlichen Dokuments begonnen wird.

total

Der Zeitpunkt, an dem der Besucher das letzte Byte des Dokuments vom Server erhalten hat bzw. die Transportverbindung geschlossen wurde.

firstContentfulPaint

Der Zeitpunkt, an dem das erste Element geladen und für den Besucher sichtbar wird.

domComplete

Der Zeitpunkt, an dem die gesamte Seite mit all ihren Unterressourcen geladen und die Verarbeitung damit abgeschlossen ist.

Weiterleitungen

Hier erhalten Sie zunächst eine Übersicht, wie der Observer beim Aufruf des Endpunktes weitergeleitet wird.

In den Einstellungen können Sie jedoch auch manuell festlegen, welche Weiterleitungen überprüft werden sollen. So stellen Sie sicher, dass beim Umbau Ihrer Webseite oder bei punktuellen Anpassungen keine Weiterleitungen unbemerkt ins Leere laufen. Um die Überprüfung einer Weiterleitung hinzuzufügen, gehen Sie folgendermaßen vor:

  1. Gehen Sie in die Einstellungen des Endpunktes und öffnen Sie die Sektion "Weiterleitungen".

  2. Klicken Sie auf "Weiterleitung hinzufügen".

  3. Geben Sie Quelle, Zieladresse sowie den jeweiligen Status Code der Weiterleitung an.

  4. Aktivieren Sie die Option HTTP/HTTPS, wenn stets sowohl HTTP als auch HTTPS überwacht werden soll.

  5. Speichern Sie die Änderung.

SSL/TLS

Erhalten Sie Einblicke in Ihre SSL/TLS-Konfigurationen und überprüfen Sie, ob die Verschlüsselung den aktuellen Sicherheitsstandards entspricht.

Zertifikat

Entnehmen Sie der Übersicht Informationen zum verwendeten Zertifikat, z.B. über die Gültigkeit, den verwendeten öffentlichen Schlüssel, welcher Domain das Zertifikat zugeordnet wurde und welche Zertifizierungsstelle es ausgestellt hat.

Security Checks

Unsere Security Checks überprüfen die SSL/TLS-Verschlüsselung auf bekannte Schwachstellen, die durch Fehlkonfigurationen oder die Verwendung veralteter Technologien entstehen. Dies sind:

Titel

Beschreibung

Unterstützt SSL/TLS Kompression

Von der Verwendung der Kompression wird abgeraten, da sie SSL/TLS angreifbar macht (insbesondere für CRIME, Compression Ratio Info-leak Made Easy).

Keine Unterstützung für Secure Renegotiation

Secure Renegotiation stellt sicher, dass keine Überlastung möglich ist, wenn ein Client ständig neue Schlüssel anfordert. Anfragen werden dann geblockt und eine DDos-Attacke verhindert.

Unterstützt schwache SSL/TLS Chiffre

SSL/TLS-Chiffren legen fest, mit welchen Verschlüsselungsalgorithmen Schlüssel getauscht werden und wie die Kommunikation abgesichert wird. Werden unsichere SSL/TLS-Chiffren angeboten, ist die hergestellte Verbindung nicht mehr sicher.

Schwacher Diffie-Hellman Parameter

Es wird eine unsichere Schlüsselaustausch-Methode verwendet.

Unterstützt anonyme Chiffren

Anonyme Chiffren sind unsicher und sollten nicht verwendet werden.

Unterstützt gefährdete Chiffren

Chiffren, die unsichere kryptographischer Verfahren beinhalten, sollten nicht angeboten werden.

Unsicheres SSL/TLS Protokoll

Es sollten nur sichere Protokolle zur Verschlüsselung angeboten werden.

Anfällig für NULL Pointer Dereference

Anfällig für DROWN

Mit Hilfe des veralteten SSLv2 lässt sich aufgezeichneter TLS-Traffic knacken.

Anfällig für FREAK

Bei einer FREAK-Attacke werden die Kommunikationspartner dazu gebracht, sich auf eine unsichere Verschlüsselungsmethode zu einigen, obwohl sichere Verfahren zu Verfügung stehen.

Unterstützt nicht das neuste Protokoll (TLSv1.3)

Das neuste und sicherste Protokoll TLSv1.3 wird nicht unterstützt.

Anfällig für Logjam Attacken

Indem eine Schwachstelle im Diffie-Hellman-Schlüsselaustausch ausgenutzt wird, kommen Angreifer an die geheimen Schlüssel.

Chiffre unterstützt MD5

MD5 gilt nicht mehr als ausreichend sicher und sollte daher nicht verwendet werden.

Unterstützt Null-Chiffren-Verschlüsselung

Eine Null-Chiffre bedeutet, es wird gar keine Verschlüsselung verwendet. Dies ist jenseits von Testzwecken niemals zu empfehlen.

Unterstützt für Poodle-Attacken anfällige Chiffren

Poodle-Attacken nutzen eine Sicherheitslücke in SSL 3.0, sodass verschlüsselte Informationen einer SSL 3.0 Verbindung offen gelegt werden können.

Unterstützt RC4 Chiffren

RC4 gilt nicht mehr als ausreichend sicher und sollte daher nicht verwendet warden.

Anfällig für SLOTH Attacke

Schwache Hashfunktionen (MD5, SHA-1) erlauben eine SLOTH (Security Losses from Obsolete and Truncated Transcript Hashes) Attacke.

Anfällig nach Maßgabe des BSI

Die SSL/TLS-Verschlüsselung entspricht nicht den Maßgaben des BSI (Bundesamt für Sicherheit in der Informationstechnik).

Keine Unterstütztung für Perfect Forward Secrecy (PFS)

Perfect Forward Secrecy stellt sicher, dass der jeweils neu ausgehandelte Sitzungsschlüssel nicht aus dem Langzeitschlüssel rekonstruiert werden kann.

Keine Unterstützung für Authenticated Encryption (AEAD) Chiffren

Anfällig für Sweet32 Attacken

Die Stream-Chiffre RC4 macht die Verbindung anfällig für Sweet32 Attacken.

Unterstützt schwache Protokolle

Schwache, veraltete Protokolle gefährden die Sicherheit der SSL/TLS-Verbindung.

Kein Zertifikatsaussteller ermittelbar

SSL/TLS-Zertifikate werden von Certification Authoritys (CA) herausgegeben. Der Herausgeber muss ermittelbar sein.

Zertifikat CRL nicht erreichbar

Zertifikatssignatur nicht entschlüsselbar

Die Signatur eines Zertifikats ermöglicht es einem Dritten die Identität des Zertifikatsbesitzers zu bestätigen. Sie sollte daher lesbar sein.

CRL Signatur nicht entschlüsselbar

Öffentlicher Schlüssel nicht dekodierbar

Der öffentliche Schlüssel (public key) dient dazu, einen sicheren Schlüsselaustausch zu ermöglichen. Er sollte daher dekodierbar sein.

Ungültige Zertifikatssignatur

Ungültige CRL (Certificate Revokation List) signature

Ungültiges Zertifikat

Ungültigen Zertifikaten wurde das Vertrauen entzogen. Sie sollten nicht mehr verwendet werden.

Ungültiges Ablaufdatum des Zertifikats

Das Ablaufdatum des verwendeten Zertifikats ist nicht korrekt.

Ungültige CRL (Certificate Revokation List)

Die verwendete Zertifikatsperrliste ist ungültig.

Ablauf der Gültigkeit der CRL (Certificate Revokation List)

Der Gültigkeitszeitraum der verwendeten Zertifikatsperrliste ist abgelaufen.

Formatfehler im notbefore Feld des Zertifikats

Das notbefore-Feld enhält eine ungültige Zeit.

Formatfehler im notafter Feld des Zertifikats

Das notafter-Feld enhält eine ungültige Zeit.

Formatfehler im Feld lastupdate von crl

Das lastupdate-Feld enhält eine ungültige Zeit.

Selbstsigniertes Zertifikat

Selbst signierte Zertifikate sind nicht in der Lage die Authentizität zu bestätigen und daher nicht zu empfehlen.

Selbstsigniertes Zertifikat in der Zertifikatskette

Selbst signierte Zertifikate sind nicht in der Lage die Authentizität zu bestätigen und daher nicht zu empfehlen

Lokales Aussteller-Zertifikat nicht verfügbar

Das erste Zertifikat konnte nicht verifiziert werden

Zertifikatskette zu lang

Zertifikat widerrufen

Das verwendete Zertifikat wurde widerrufen und sollte nicht mehr verwendet werden.

Ungültiges CA-Zertifikat

Das von der Zertifizierungsstelle (Certificate Authority) ausgegebene Zertifikat ist ungültig.

Pfadlängenbeschränkung überschritten

Nicht unterstützter Zertifikatszweck

Zertifikat ist nicht vertrauenswürdig

Das verwendete Zertifikat wird als nicht vertrauenswürdig angesehen.

Zertifikat abgelehnt

Das verwendete Zertifikat verursacht Probleme und wird daher abgelehnt.

Abweichung zwischen Zertifizierungsstelle und Aussteller

Zertifizierungsstelle und Aussteller passen nicht zusammen.

Abweichung zwischen Zertifizierungsstelle und Seriennummer des Ausstellers

Zertifizierungsstelle und Seriennummer des Ausstellers passen nicht zusammen.

Die Schlüsselverwendung berücksichtigt nicht das Signieren von Zertifikaten

Abgelaufenes Zertifikat

Wenn das Zertifikat abgelaufen ist, wird es ungültig und du kannst keine sicheren Transaktionen mehr durchführen.

Unterstützte Protokolle

Sie erhalten eine Übersicht aller unterstützten Protokolle, die mit der Best Practice abgeglichen werden. Ein Rating gibt an, wie kritisch Abweichungen von der Empfehlung sind.

Unterstützte Chiffren

Sie erhalten eine Übersicht aller unterstützten Chiffren, die mit der Best Practice abgeglichen werden. Ein Rating gibt an, wie kritisch Abweichungen von der Empfehlung sind.

SSL/TLS Zertifikate mit Alarmen überwachen

Apps

Hier finden Sie alle Informationen zur Anwendungsumgebung des Endpunktes, die sich von außen detektieren lässt. Der Observer erstellt ein Footprinting des Endpunktes und untersucht z.B. auf

  • Programmiersprachen

  • CMS

  • Web Server

  • Frameworks oder

  • Libraries.

Je mehr Informationen ein Endpunkt über die verwendeten Technologien preisgibt, desto mehr Ansatzpunkte bieten sich Hackern, gezielte Attacken auf die Anwendungen zu fahren. Im Idealfall ist ein Endpunkt so konfiguriert und programmiert, dass sich wenig über die technische Basis erfahren lässt.

Alle aufgespürten Anwendungen werden Ihnen in einer übersichtlichen Liste präsentiert. Sie erhalten eine Einschätzung, wie sicherheitskritisch es ist, die Anwendung von außen zu erkennen. Das heißt, wie viel Schaden sich durch die erfolgreiche Manipulation der Anwendung anrichten ließe.

  • LOW: Die Information ist für mögliche Angriffe weniger wertvoll. (z.B. UI Frameworks oder JavaScript Libraries)

  • MEDIUM: Die Information kann für Attacken genutzt werden. (z.B. Webserver)

  • HIGH: Die erkannten Technologien eignen sich besonders, um sie für Angriffe auszunutzen. (z.B. CMS-Systeme und Programmiersprachen)

Als Nachweis erfahren Sie, wo der Observer die Anwendung erkannt hat: in einem HTTP-Header, einem Cookie oder im Code der Webseite selbst.

Werden zur detektierten Version bekannte Sicherheitslücken (CVE) festgestellt, sind diese in der Liste angegeben. Alle Sicherheitslücken von Anwendungen sind auch nochmals unter Sicherheitlücken gesondert gelistet.

HTTP-Headers

Hier erhalten Sie eine Analyse und Bewertung der von Ihnen über HTTP-Header vorgenommen Konfiguration der HTTP-Verbindung.

Gesetzte HTTP-Header

Alle gesetzten HTTP-Header werden in einer Übersicht gelistet und bewertet:

  • OK: Die HTTP-Konfiguration entspricht den Empfehlungen.

  • Vermeidbarer HTTP-Header: Die vorgenommene Konfiguration gibt unnötigerweise viele Informationen preis und macht die HTTP-Verbindung dadurch potenziell angreifbar.

  • Unbekannter HTTP-Header: Es wurde ein unbekannter HTTP-Header erkannt, der potenziell Informationen preisgibt. Bitte überprüfen Sie die Notwendigkeit des HTTP-Headers und entfernen Sie ihn gegebenenfalls.

Test auf erforderliche HTTP-Header

Es wird überprüft, ob alle für die Sicherheit wichtigen Header gesetzt wurden. Das sind:

Name

Empfehlung

Beschreibung

Content-Security-Policy

Die HTTP Content-Security-Policy regelt welche Ressourcen in einer bestimmten Art und Weise im Browser geladen bzw. ausgeführt werden können.

Expect-CT

max-age=0

Der Expect-CT (Certificate Transparency) HTTP-Header legt fest, wie die CT Policy angewandt werden soll.

Feature-Policy

accelerometer 'none'; camera 'none'; geolocation 'none'; gyroscope 'none'; magnetometer 'none'; microphone 'none'; payment 'none'; usb 'none'

Die Feature-Policy bestimmt, welche Funktionen oder APIs eines Browsers verwendet werden dürfen.

Referrer-Policy

no-referrer-when-downgrade

Die Referrer-Policy stellt sicher, dass Referrer Informationen nur unter bestimmten Bedingungen gesendet werden dürfen.

Strict-Transport-Security

max-age=31536000;

includeSubDomains

Die HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen, der sowohl vor Aushebelung der Verbindungs-verschlüsselung als auch vor Session Hijacking schützt.

X-Content-Type-Options

nosniff

Der einzige definierte Wert “nosniff” untersagt dem Internet Explorer durch MIME-Sniffing einen anderen als den deklarierten Inhaltstyp zu bestimmen und anzuwenden.

X-Frame-Options

DENY

(SAMEORIGIN)

(ALLOW-FROM https://example.com/)

Die X-Frame-Options können verwendet werden, um zu bestimmen, ob ein aufrufender Browser die Zielseite in einem <frame>, <iframe> oder <object> rendern also einbetten darf.

X-XSS-Protection

1;

mode=block

Die X-XSS-Protection kann Browsern untersagen eine Zielseite zu laden, sofern eine Cross-Site Scripting (XSS) Attacke erkannt wird.

Sollten Header nicht korrekt gesetzt sein, wird eine Empfehlung ausgegeben.

PortScan

Hier können Sie Ihre Ports analysieren, die von außen erreichbar sind. Die Bewertung (low, medium, high) gibt Ihnen an, ob die Ports üblicherweise öffentlich erreichbar sein sollten.

Sicherheitslücken

Lässt sich zu einer detektierten Anwendung die Versionsnummer verifizieren, prüft Enginsight die entsprechende Version auf bekannte Sicherheitslücken (CVE). In der Übersicht sehen Sie alle gefundenen Sicherheitslücken aufgelistet und bewertet.

Sobald eine Sicherheitslücke (bspw. durch ein Update) geschlossen wurde, verschwindet Sie beim nächsten Scan durch den Observer automatisch aus der Übersicht.

Der Zertifikatsmanager

Zum Zertifikatsmanager gelangen Sie, indem Sie im Top Menü auf Endpunkte und dann im linken Sidebar Menü auf Zertifikatsmanager klicken. Hier finden Sie eine Übersicht Ihrer Zertifikate mit der Seriennummer (Serial), dem Aussteller (Issuer) des Zertifikats, den Alternative Names, eine Aufstellung in welchen Ressourcen das Zertifikat verwendet wird und wann das Zertifikat abläuft.

Klicken Sie auf das Bild, um es zu vergrößern

Berichte

Berichte sind Zusammenfassungen über Endpunkte, die in einem PDF ausgegeben werden. Sie können Berichte in den jeweiligen Endpunkten erstellen. Unter Endpunkte -> Berichte werden diese gesammelt dargestellt.

Um einen PDF Bericht für einen Endpunkt zu erstellen, gehen Sie im Top-Menü auf Endpunkte und wählen Sie anschließend den entsprechenden Endpunkt aus. Gehen Sie im linken Sidebar Menü zu Berichte.

Klicken Sie anschließend auf Report erstellen.

Warten Sie ein paar Sekunden, bis der PDF-Bericht erstellt wurde. Er wird auf Ihren PC heruntergeladen und in der Liste angezeigt.