Umgebungen

Hier erhalten Sie ausführliche Hinweise zu allen Funktionen und ihrer Bedienung des Moduls Umgebungen.

Der Bereich Umgebungen umfasst drei große Bereiche. Zum einen ist das die Übersicht Ihrer persönlichen Umgebungen. Hierüber haben Sie Zugriff auf alle Informationen eigens erstellter Netzwerkumgebungen. Zum anderen ist das die Asset Discovery in der es um die Erfassung aller Geräte geht, die in einem Netzwerk betrieben werden und untereinander kommunizieren. Der dritte Bereich ist die Asset Penetration. Dies sind jegliche Informationen und Ergebnisse von Penetrationstests.

Übersicht

Diese Anleitung ist für die manuelle Erstellung von Umgebungen. Mithilfe eines Watchdogs können Geräte innerhalb eines Netzsegments automatisch erkannt werden. Nutzen Sie dazu diese Anleitung.

Sie wollen einen Überblick über eine oder mehrere Netzwerkumgebungen? Dann sind Sie hier genau richtig. Erstellen Sie verschiedene Umgebungen, um Abhängigkeiten verschiedener Geräte, deren Verfügbarkeit und generelle Informationen übersichtlich darzustellen.

Umgebung erstellen

Navigieren Sie einfach über das Topmenü zum Reiter Umgebungen.

Klicken Sie auf das Bild, um es zu vergrößern

Falls Sie noch keine Umgebung erstellt haben, können Sie unter Umgebung hinzufügen Ihre erste Übersicht erstellen. Erstellen Sie weitere Umgebungen, indem Sie oben rechts auf Umgebung erstellen klicken.

Klicken Sie auf das Bild, um es zu vergrößern

Nun werden Sie aufgefordert Ihrer neuen Umgebung einen Namen und eine Beschreibung zu geben. Diese können Sie jederzeit anpassen. Klicken Sie nun auf Umgebung erstellen und schon ist Ihre erste Umgebung bereit.

Klicken Sie auf das Bild, um es zu vergrößern

Zuerst müssen Sie nun Komponenten, Endpunkte und/oder Hosts zu Ihrer Umgebung hinzufügen. Dazu können Sie alle Assets nutzen die Sie in Ihrem Enginsightaccount bereits angelegt haben. Wechseln Sie dazu im linken Menü zu entweder Endpunkte, Hosts oder Komponenten.

Klicken Sie auf das Bild, um es zu vergrößern

Klicken Sie nun z.B. auf Host hinzufügen, um diesen Ihrer Umgebung hinzuzufügen.

Klicken Sie auf das Bild, um es zu vergrößern

Hier finden Sie die Liste aller observierten Hosts beziehungsweise aller Endpunkte. Wählen Sie das gewünschte Asset aus und klicken Sie auf Hinzufügen.

Haben Sie die gewünschten Assets nicht gefunden? Erfahren Sie hier, wie sie ganz leicht neue Endpunkte oder Hosts anlegen.

Klicken Sie auf das Bild, um es zu vergrößern

Nachdem Sie die Assets und Komponenten angelegt haben, sehen Sie diese unter Designer im linken Menü. Hier können Sie Dokumentationselemente anlegen, Abhängigkeiten mittels Verbindungen hinzufügen und Informationen über die Assets erfahren.

Asset Discovery

Eine Übersicht über alle im Unternehmen vorhandenen Assets ist elementar. Sie bildet die Grundlage jeglicher Maßnahme zur Steigerung des Sicherheitsniveaus. Dafür nutzen Sie die Asset Discovery von Enginsight, welche die Softwarekomponente Watchdog durchführt.

Asset Discovery einrichten

  1. Um eine Asset Discovery durchführen zu können, benötigen Sie einen installierten Watchdog.

  2. Nach der Installation gehen Sie in die Einstellungen des installierten Watchdogs. Gehen Sie dazu auf 'Watchdogs' und klicken den entsprechenden Watchdog einfach an.

  3. Wenn Sie wollen, können Sie einen Alias vergeben.

  4. Um mit der Asset Discovery zu starten, aktivieren Sie die Option "Permanente Überwachung". Der Watchdog untersucht nun dauerhaft den Netzwerkverkehr nach neuen IP-Adressen und übermittelt in fünf Minuten Intervallen seine Zwischenergebnisse. Die ersten Ergebnisse in Inventar und Asset Map erhalten Sie daher nach nur fünf Minuten.

Welche Konfigurationen im Detail möglich sind, erfahren Sie im Abschnitt Watchdogs.

Inventar

Das Inventar sammelt in Listenform alle von der Asset Discovery aufgespürten Assets. Der Übersicht können Sie zudem weitere Details entnehmen: Subnet, Hersteller und Details zum Gerät (sofern hinterlegt), welcher Watchdog das Asset gefunden hat und wann es zuletzt gesehen wurde.

Wie lange Assets im Inventar verbleiben, konfigurieren Sie in den Einstellungen des entsprechenden Watchdogs. Dort finden Sie auch eine Option, alle Assets eines Watchdogs aus dem Inventar zu löschen ("Inventar bereinigen").

Mit der Searchbar können Sie das Inventar durchsuchen und filtern.

Klicken Sie auf die IP-Adresse, können Sie sich weitere Informationen anzeigen lassen und zu Dokumentationszwecken weitere Informationen hinterlegen, wie etwa den Standort oder Verantwortlichkeiten. Mit dem Button rechts neben der IP-Adresse können Sie in die Asset Map wechseln, sodass Sie sehen, wo sich das Asset befindet.

Direkt aus dem Inventar können Sie zudem einen Ping- und Portcheck von Assets einrichten. Erfahren Sie mehr zu den Möglichkeiten der agentlosen Überwachung unter Observations.

Asset Map

In der Asset Map erhalten Sie eine grafische Aufbereitung der Ergebnisse der Asset Discovery. Die Assets werden nach Subnetzten und/oder Hacktoren gruppiert.

Klicken Sie die Assets an, um weitere Informationen zu erhalten.

Watchdogs

Sie erhalten eine Übersicht über alle installierten Watchdogs. Der Liste können Sie die Version des Watchdogs entnehmen, den scanbaren Netzbereich, die IPS sowie den Status.

Achten Sie darauf, Ihre Watchdogs regelmäßig auf die neuste Version zu aktualisieren. Sollte ein Watchdog veraltet sein, erhalten Sie eine entsprechende Warnung in der Übersicht.

Watchdog hinzufügen

Um einen Watchdog hinzuzufügen reicht es auf den Button Watchdog hinzufügen zu drücken und den Quellcode mit Rootrechten auf einem linuxbetriebenen Server oder Computer auszuführen.

Sollten Sie über kein Linux-Gerät verfügen, können Sie auch auf einem Windows-System mit virtueller Maschine arbeiten. Achten Sie dabei darauf, eine Netzwerkbrücke einzurichten. Wir bieten außerdem eine fertig eingerichtete Appliance an, auf welcher der Watchdog bereits installiert ist und die nur noch an die entsprechende Stelle im Netzwerk gehängt werden muss

Klicken Sie auf das Bild, um es zu vergrößern

Watchdog konfigurieren

Um ihren Watchdog zu konfigurieren klicken Sie ihn einfach an.

Allgemeine Einstellungen

Vergeben Sie Ihrem Watchdog einen selbst gewählten Namen - einen Alias. So behalten Sie eine bessere Übersicht über ihre Watchdogs.

Aktivieren Sie die Permanente Überwachung, um die Asset Discovery zu starten. In der Folge untersucht der Watchdog dauerhaft den Netzwerkverkehr nach neuen IP-Adressen und übermittelt in 5 Minuten-Intervallen seine Zwischenergebnisse.

Um alle Assets zu erfassen, startet Watchdog in regelmäßigen Abständen einen aktiven Netzwerkscan. Mit einem Funkfeuer (Pings, Port-Scans, etc.) provoziert der Watchdog Netzwerkverbindungen und findet so auch IP-Adressen, die von sich aus keinen Netzwerkverkehr erzeugt haben. Legen Sie fest, wie oft ein aktiver Netzwerkscan durchgeführt werden soll. Je häufiger Sie ihn durchführen lassen, desto schneller werden alle neuen Assets gefunden. Allerdings bedeuten häufig durchgeführte aktive Scans auch eine Belastung für ihr Netzwerk. Standardmäßig legen wir ein Intervall von 60 Minuten fest.

Wie lange vom Watchdog aufgespürte Assets im Inventar verbleiben, liegt ganz bei Ihnen. Sie können die Assets dauerhaft speichern oder eine aktive Inventarbereinigung durchführen. Das heißt, Sie können eine Anzahl an Tagen festlegen, nach der die Einträge aus dem Inventar gelöscht werden, sollte ein Asset in dieser Zeit nicht mehr erreichbar gewesen sein. Wollen Sie alle Inventareinträge eines Watchdogs löschen, steht Ihnen die Option „Inventar bereinigen“ (rechts oben) zu Verfügung.

Verlinkte Hacktoren

Verlinken Sie Hacktoren, die sich mit ihrem Watchdog im gleichen Netzwerk befinden. Das ermöglicht der Enginsight-Plattform von beiden Softwarekomponenten gesammelte Informationen miteinander zu verknüpfen.

Netzwerke

Unter Netzwerke können Sie Subnetze konfigurieren, die vom Watchdog überwacht werden sollen. Diese Optionen sind für Sie relevant, sollten Sie Ihr Netzwerk segmentiert haben und über die Segmente hinweg eine Asset Discovery durchführen wollen.

Geben Sie dazu die Classless Inter-Domain Routing (CIDR) der einzelnen Subnetze ein. Vergeben Sie Namen und Beschreibung sowie eine Farbe. Die gewählte Farbe des jeweiligen Subnetzes wird in der Asset Map verwendet.

Sollte es sich um ein Virtual Local Area Networks (VLAN) handeln, geben Sie dies bitte an. Der Watchdog passt die Scan-Operationen dann entsprecht an, sodass Sie auch bei VLANs richtigen Ergebnisse erhalten.

Netzwerkadapter

Sollte das Linux-Gerät, auf dem Sie den Watchdog installiert haben über mehrere Netzwerkadapter verfügen, können Sie festlegen, welche Netzwerkadapter der Watchdog zur Überwachung nutzen soll. Nutzen Sie dazu einfach den Schieberegler und (de-)aktivieren Sie die gewünschten Netzwerkadapter.

Watchdog für agentlose Überwachung nutzen

Neben der Asset Discovery können Sie den Watchdog auch für unsere agentlose Überwachung (Ping/Port-Monitoring, SNMP) nutzen. Alle Informationen dazu finden Sie unter Observations.

Berichte

Lassen Sie sich Berichte als PDF ausgeben. Klicken sie einfach auf 'Report erstellen' und Sie erhalten eine Übersicht über alle Assets des Inventars in einer PDF.

Asset Penetration

Automatisierte Pentests sind ein wichtiger Bestandteil des Featuresets von Enginsight. Mit ihnen können Sie ihre Systeme regelmäßig einem Härtetest unterziehen. Dabei kommt die Softwarekomponente Hacktor zum Einsatz.

Funktionsumfang

Automatisierte Pentests bestehen bei Enginsight aus drei Schritten:

  1. Bruteforce-Angriff

  2. CVE-Scan

  3. Discovery

Engnisight ermittelt automatisiert, welche Tests für das jeweilige Zielsystem herangezogen werden müssen. Dabei werden nur die Services geprüft, die auch von uns implementiert wurden. Das minimiert die Anzahl der False-Positive-Meldungen.

Hier erfahren Sie im Detail, was Hacktor prüft.

Pentest durchführen

Mit Enginsight ist es Ihnen jederzeit möglich, einen automatisierten Pentest innerhalb Ihrer IT Landschaft durchführen zu lassen. Wie Sie dies tun können, wird Ihnen Schritt für Schritt im folgenden Tutorial erklärt.

1. Um einen automatisierten Pentest durchzuführen, muss zunächst die Softwarekomponente Hacktor im entsprechenden Netzsegment auf einem Linux-System installiert werden. Hierzu 'Umgebungen' → 'Hacktors' → 'Hacktor hinzufügen' (oben rechts) wählen und den Anweisungen der Plattform folgen.

2. Als zweiten Schritt müssen Sie eine Target Group definieren. Um eine Target Group anzulegen, klicken Sie unter auf den Menüpunkt Target Groups und oben rechts auf 'Target Group hinzufügen'. Vergeben Sie einen Namen und eine Beschreibung. Klicken Sie auf 'Target Group hinzufügen', um die Target Group abzuspeichern.

3. In einem dritten Schritt legen Sie mit einem Template fest, welcher Hacktor welche Target Group attackieren soll. Hierzu wählst du unter Templates oben rechts 'Template hinzufügen'. Vergib einen Namen und eine Beschreibung. Die Option 'Wiederkehrende Durchführung' erlaubt es Ihnen zukünftige Ausführungen zu planen. Über 'Erweiterte Einstellungen' können Sie die Bruteforce-Tests sowie gezielte Scans nach Sicherheitslücken zuschalten. Um Das Template hinzuzufügen, klicken Sie auf den Button 'Template hinzufügen'.

4. Von der Übersicht der angelegten Templates aus, können Sie den Penetrationstest starten. Drücken Sie einfach auf 'Scan starten'.

5. Im Audit Report können Sie die Ergebnisse des durchgeführten Pentest einsehen. Sämtliche in durchgeführten Pentests gefunden Sicherheitslücken können Sie sich auch in einem generellen War Room ('Umgebungen' → 'Asset Penetration' → 'War Room') ansehen.

Bitte beachten Sie, dass ein Pentest unter Umständen die Verfügbarkeit Ihres Systems temporär beeinträchtigen kann! Außerdem können Zuwiderhandlungen rechtliche Konsequenzen nach sich ziehen.

Audit Reports

Mit dem Audit Report erhalten Sie eine umfangreiche, standardisierte und versionierte Auswertung über Ihre durchgeführten Penetrationstests. Der Audit Report besteht aus drei Teilen. Unter Informationen wird Ihnen erstens eine Übersicht über Anwendungen und Betriebssysteme gegeben. Sie erhalten zweitens eine Übersicht über alle Ports und Services. Der War Room sammelt drittens alle gefundenen Sicherheitslücken, fehlerhaften Konfigurationen sowie möglichen Angriffspunkte von Zielsystemen und Anwendungen. Mithilfe umfangreicher Filterfunktionen können Sie sich die Ergebnisse nach Ihren eigenen Bedürfnissen sortieren.

Zu jedem durchgeführten Pentest sowie einzelnen Target erhalten Sie einen Status. Dabei unterscheiden wir zwischen:

  • Passed: Der Pentest wurde bestanden und es wurden keine sicherheitskritischen Einfallstore gefunden.

  • Warning: Es wurden Szenarien aufgedeckt, welche die Sicherheit Ihres Systems negativ beeinflussen. Sie sollten sich mit diesem Punkten auseinandersetzen, Ihr System befindet sich jedoch nicht in einem unmittelbar kritischen Zustand.

  • Failed: Der Pentest wurde nicht bestanden, Sie sollten sich unmittelbar mit den Ergebnissen auseinandersetzen und die als "critical" oder "high" klassifizierten Sicherheitslücken prüfen und ggf. beheben.

  • Offline: Das Target ist nicht erreichbar und konnte daher nicht getestet werden.

  • Filtered: Eine Firewall hat den Scan verhindert, daher konnte er nicht durchgeführt werden.

  • Timeout: Der Test wurde unterbrochen.

  • Processing: Der Pentest läuft noch und der Audit Report wird erstellt.

Für den gesamten Pentest wird immer der schlechteste Status eines Targets angenommen. Beispielsweise: drei Targets haben den Status "passed", ein Target den Status "failed", wird der gesamte Pentest als "failed" klassifiziert.

Templates

Templates sind Vorlagen für standardisierte Penetrationtests. So können Sie die Reproduzierbarkeit und Vergleichbarkeit, sich wiederholender Pentests, gewährleisten. Unter dem Punkt Templates erhalten Sie eine Übersicht aller von Ihnen angelegten Templates. Rechts oben können Sie zusätzliche Templates anlegen. Sollten Sie bisher keine Templates angelegt werden, finden Sie auf dieser Seite eine Informationskachel über die Sie ebenfalls Templates anlegen können.

Jedem neuen Template können Sie einen Namen und eine Beschreibung geben. Diese sollten das Template möglichst genau beschreiben. Zunächst bestimmen Sie, welcher Hacktor den Pentest durchführen soll. Mit der Target Group legen Sie das Ziel des Pentests fest. Die Option "Wiederkehrende Durchführung" erlaubt es Ihnen zukünftige Ausführungen zu planen. Wenn Sie möchten, können Sie weitere Angriffsmethoden, wie die erweiterte Bruteforce-Nutzung hinzuschalten bzw. deaktivieren.

Um das Template zu erzeugen, klicken Sie danach einfach auf Template hinzufügen.

Target Groups

Als Target Group bezeichnen wir einen oder mehrere Ziele, auf die ein Pentest angesetzt werden kann. Dies können konkrete IP-Adressen sein, die erkannte Asset Discovery eines Watchdogs oder Endpunkte. Nachdem Sie eine Target Group festgelegt haben, können Sie ein Template erstellen und den Penetrationstest starten.

Target Group anlegen

Um eine Target Group anzulegen, klicken Sie unter dem Menüpunkt Umgebungen \rightarrow Target Groups oben rechts Target Group hinzufügen. Wählen Sie dafür einen aussagekräftigen Namen und eine Beschreibung, welche die Ziele ausreichend beschreiben. Danach können Sie entweder manuell IP-Adressen hinzufügen, Ziele von einem Ihrer Watchdogs bestimmen oder angelegt Endpunkte auswählen. Klicken Sie dann auf Target Group hinzufügen, um ein Angriffsziel für den Hacktor zu definieren.

Hacktors

Der Hacktor ist eine Softwarekomponente, die in einem spezifischen Netzwerksegment installiert werden kann, um Penetrationstests auf den erreichbaren Assets durchzuführen..

Hacktor anlegen

Um einen Hacktor hinzuzufügen reicht es auf den Button Hacktor hinzufügen zu drücken und den Quellcode mit Rootrechten auf einem linuxbetriebenen Server oder Computer auszuführen.

Sollten Sie über kein Linux-Gerät verfügen, können Sie auch auf einem Windows-System mit virtueller Maschine arbeiten. Achten Sie dabei darauf, eine Netzwerkbrücke einzurichten. Wir bieten außerdem eine fertig eingerichtete Appliance an, auf welcher der Watchdog bereits installiert ist und die nur noch in das entsprechende Netzsegment gehängt werden muss.

Hacktor konfigurieren

Klicken Sie den gewünschten Hacktor in der Liste an, um ihn entsprechend Ihrer Anforderungen zu konfigurieren.

Frequenz wählen

Unter 'Allgemeine Einstellungen' können Sie die Frequenz festlegen, mit welcher der Penetrationstest durchgeführt wird. Richten Sie sich dabei nach den Ressourcen, die im Netzwerk vorhanden sind. Eine höhere Frequenz bedeutet kürzere Timeouts und mehr Requests. Dadurch verkürzt sich die Zeit, die der Pentest in Anspruch nimmt, deutlich. Sollte jedoch eine zu hohe Frequenz gewählt werden, welche die getesteten Systeme überlastet, können Ergebnisse verloren gehen.

Port Range festlegen

Legen Sie manuell die Port Range fest, die bei den attackierten Assets angesteuert werden soll. In der Standardeinstellungen werden die 3500 meist verwendeten Ports gescannt und getestet. Abweichend können Sie einzelne Ports als Reihe angeben oder eine Sequenz. Alternativ können Sie beide Varianten auch kombinieren oder eine andere Anzahl an häufig verwendeten Ports definieren.

Richten Sie sich dabei nach der folgenden Syntax:

SYNTAX

BEISPIEL

BESCHREIBUNG

TOP_PORTS:[number]

TOP_PORTS:3500

Steuere eine bestimmte Anzahl von häufig verwendeten Ports an.

[number],[number],[number],[number]

21,22,80,443

Gib in einer Reihe deine manuell festgelegten Ports an.

[number]-[number]

1-65535

Gib in einer Sequenz deine manuell festgelegten Ports an.

[number],[number]-[number]

21-22,80-433

Kombiniere Reihe und Sequenz.

Berichte

Hier erhalten Sie eine Übersicht aller generierten PDF-Berichte von Audit Reports.

War Room

Sämtliche in durchgeführten Pentests gefunden Sicherheitslücken können Sie sich auch in einem generellen War Room ansehen. Auch hier stehen Ihnen alle Filtermöglichkeiten zu Verfügung.