Endpunkt hinzufügen

1. Klicken Sie auf 'Endpunkt hinzufügen'.

2. Geben Sie als Ziel die zu überwachende URL oder IP-Adresse ein.

3. Vergeben Sie eine Beschreibung und Tags.

4. Bestätigen Sie, dass Sie berechtigt sind, den Endpunkt zu analysieren.

5. Definieren Sie, was mit Enginsight überwacht werden soll. Aktivieren Sie zu Beginn am Besten alle Features.

6. Wählen Sie mindestens einen Observer, der Observer die Überwachung durchführen soll. Haben Sie als On-Premises-Kunde noch keinen Observer hinzugefügt, installieren Sie einen Observer. In der SaaS-Plattform können Sie auch auf zwei bereitgestellte Observer zurückgreifen (Deutschland, USA).

7. Fügen Sie den Endpunkt hinzu.

Übersicht

Hier finden Sie einen Überblick über den Endpunkt aus der Vogelperspektive. Sie erhalten erste Daten und ein Rating zu den Webseitenantwortzeiten, HTTP-Headers, SSL/TLS, Apps und PortScan.

Webseite

Hier können Sie die Verfügbarkeit und Reaktionszeiten ihrer Webseite beobachten.

Sie erhalten folgenden Wert zu jeder Region, von der aus Sie die Webseite überwachen:

Weiterleitungen

Hier erhalten Sie zunächst eine Übersicht, wie der Observer beim Aufruf des Endpunktes weitergeleitet wird.

In den Einstellungen können Sie jedoch auch manuell festlegen, welche Weiterleitungen überprüft werden sollen. Um die Überprüfung einer Weiterleitung hinzuzufügen, gehen Sie folgendermaßen vor.

BSI

In der Technischen Richtlinie BSI TR-03116-4 gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Vorgaben und Empfehlungen zur sicheren SSL/TLS-Konfiguration. Die Richtline ist ein guter Indikator zur Bewertung der SSL/TLS-Konfiguration.

Für jeden hinzugefügten Endpunkt ermittelt Enginsight automatisch den Anteil der Anforderungen und Empfehlungen, die umgesetzt sind. Ab einem Anteil von 85% gehen wir von einer guten SSL/TLS-Konfiguration aus. Sind weniger als 70% umgesetzt, definieren wir die Konfiguration als kritisch.

DNS

Mit dem Domain Name System (DNS) konfigurieren Sie verschiedene Aspekte Ihrer Domain. DNS ist zum Beispiel notwendig, um der Domain die passende IP zuzuordnen. Für den reibungslosen Betrieb der Webseite ist eine ordnungsgemäße Konfiguration notwendig. Überwache Sie Ihre DNS-Einstellungen mit dem Monitoring Ihrer DNS-Records.

Alle DNS-Records erhalten Sie in einer übersichtlichen Liste. Darüber hinaus überprüft Enginsight spezifische, sicherheitsrelevante DNS-Records.

DNS Validierungstests

Um den Missbrauch Ihrer Domain zu verhindern und die SSL/TLS-Verbindung abzusichern, sollten Sie speziell dafür entwickelte DNS-Records einsetzen: CAA, SPF, DMARC. Der Observer überprüft daher gezielt auf diese drei Records und validiert die gesetzten Werte. Besteht der Record eine Validierung erhältst, du einen grünen Haken. Ansonsten gibt Enginsight eine Warnung aus.

CAA-Record (Certification Authority Authorization)

Mit einem CAA-Record legt der Domaininhaber fest, welche Certificate Authority Authorization ein SSL/TLS-Zertifikat ausstellen darf. Der Observer prüft auf:

• Fehlende Kontaktadresse für DNS CAA Es ist keine Kontaktadresse vergeben (iodef).

• Ungültige Kontaktadresse für DNS CAA Die Kontaktadresse (iodef) enthält für E-Mails ungültige Zeichen und/oder ein ungültiges E-Mail-Format (nicht abc@def.com)

• Unkonventionelle Zertifizierungsstelle Die verwendete Zertifizierungsstelle (issue, wildissue) befindet sich nicht auf unserer Whitelist. Diese umfasst: letsencrypt.org, globalsign.com, sectigo.com, camerfirma.com, accv.es, actalis.it, amazon.com, pki.apple.com, atos.net, buypass.com, aoc.cat, certigna.fr, www.certinomis.com, ecert.gov.hk, certsign.ro, certum.pl

SPF-Record (Sender Policy Framework)

Das SPF-Protokoll ermöglicht, IP-Adresse zur Versendung von E-Mails mit der Domain zu berechtigen. So kann Dritten untersagt werden, den Domainnamen missbräuchlich zu verwenden. Der Record ist effektiv, um Phishing-Mails mit der Domain zu verhindern. Wir validieren:

• Veraltete SPF-Version Check der verwendeten SPF-Version (v), momentan existiert lediglich SPF1.

• Mehrere SPF-Einträge vorhanden Nutze niemals mehrere SPF-Einträge. Fasse stattdessen mehrere SPF in einem einzigen Eintrag zusammen.

• SPF-Eintrag enthält Zeichen nach ALL Nach dem fakultativen ALL-Eintrag dürfen keine weiteren Einträge folgen.

• Fehlerhafte SPF Syntax Der Eintrag enthält unbekannte Einträge (bekannt sind: spf1, mx, ip4, ip6, exists, include, all, a, redirect, exp, ptr) und/oder unerlaubte Zeichen.

DMARC-Record (Domain-based Message Authentication, Reporting and Conformance)

Der DMARC-Record legt ein Vorgehen fest, was unternommen werden soll, wenn die Domain von einer nicht berechtigten IP zum Versenden einer E-Mail verwendet wird. Enginsight checkt:

• Ungültige DMARC Policy Die DMARC Policy (p) hat keinen gewöhnlichen Wert. Gewöhnliche Werte sind: none: Das Versenden der E-Mails wird nicht beeinträchtigt. Du erhältst lediglich eine Benachrichtigung. quarantine: E-Mails, welche die DMARC-Überprüfung nicht bestehen, landen beim Empfänger im Spam-Ordner. reject: E-Mail, welche die DMARC-Überprüfung nicht bestehen, sollen vom Empfänger zurückgewiesen werden.

• Ungültige DMARC Subdomain Policy Die DMARC Subdomain Policy (sp) hat keinen gewöhnlichen Wert (Werte siehe: DMARC Policy)

• Ungültige DMARC prozentuale Filterangabe Mit der optionalen prozentualen Filterangabe (pct) kann festgelegt werden, wieviel Prozent der Nachrichten einer Filterung unterzogen werden. Der Wert muss daher zwischen 1 und 100 liegen.

• Ungültige DMARC Adresse für Report-Emails Die Report-E-Mailadresse enthält ungültige Zeichen oder ein ungültiges E-Mail-Format (nicht abc@def.com)

• Ungültige DMARC Protokollversion Die Version von DMARC (v) muss DMARC1 lauten.

Alarme: Ungültiger SPF DNS-Record, Ungültiger CAA DNS-Record

Um unmittelbar Meldung über fehlerhafte DNS-Records zu erhalten, schalten Sie Alarme auf Ihre Endpunkte. Mit dem Alarm „Ungültiger CAA DNS-Record“ können Sie sich über fehlerhafte CAA DNS-Records informieren lassen. Der Alarm „Ungültiger SPF DNS-Record“ warnt bei fehlerhaftem SPF-Recorrd.\

SSL/TLS

Erhalten Sie Einblicke in Ihre SSL/TLS-Konfigurationen und überprüfen Sie, ob die Verschlüsselung den aktuellen Sicherheitsstandards entspricht.

Zertifikat

Entnehmen Sie der Übersicht Informationen zum verwendeten Zertifikat, z.B. über die Gültigkeit, den verwendeten öffentlichen Schlüssel, welcher Domain das Zertifikat zugeordnet wurde und welche Zertifizierungsstelle es ausgestellt hat.

Security Checks

Unsere Security Checks überprüfen die SSL/TLS-Verschlüsselung auf bekannte Schwachstellen, die durch Fehlkonfigurationen oder die Verwendung veralteter Technologien entstehen. Dies sind:

Unterstützte Protokolle

Sie erhalten eine Übersicht aller unterstützten Protokolle, die mit der Best Practice abgeglichen werden. Ein Rating gibt an, wie kritisch Abweichungen von der Empfehlung sind.

Unterstützte Chiffren

Sie erhalten eine Übersicht aller unterstützten Chiffren, die mit der Best Practice abgeglichen werden. Ein Rating gibt an, wie kritisch Abweichungen von der Empfehlung sind.

SSL/TLS Zertifikate mit Alarmen überwachen

Apps

Hier finden Sie alle Informationen zur Anwendungsumgebung des Endpunktes, die sich von außen detektieren lässt. Der Observer erstellt ein Footprinting des Endpunktes und untersucht z.B. auf

• Programmiersprachen,

• CMS,

• Web Server,

• Frameworks oder

• Libraries.

Je mehr Informationen ein Endpunkt über die verwendeten Technologien preisgibt, desto mehr Ansatzpunkte bieten sich Hackern, gezielte Attacken auf die Anwendungen zu fahren. Im Idealfall ist ein Endpunkt so konfiguriert und programmiert, dass sich wenig über die technische Basis erfahren lässt.

Alle aufgespürten Anwendungen werden Ihnen in einer übersichtlichen Liste präsentiert. Sie erhalten eine Einschätzung, wie sicherheitskritisch es ist, die Anwendung von außen zu erkennen. Das heißt, wie hoch der Impact einer Kompromittierung wäre. Je höher die Kategorisierung ausfällt, desto wahrscheinlicher ist ein Totalausfall oder die Übernahme des Servers zu erwarten, wenn die entsprechende Technologie für ein Hacking genutzt wird.

Besonders kritisch ist die Detektion von Technologien in Kombination mit einer Versionserkennung. Versionen ermöglichen es, für die entsprechende Technologien bekannte Sicherheitslücken (CVE) nachzuschlagen und im Anschluss gezielte Attacken zu fahren.

Vor diesem Hintergrund haben wir uns für die folgende Kategorisierung entschieden:

• HIGH: Backend-relevante Technologien, die ein hohes Risiko für schwerwiegende Attacken darstellen. z.B. CMS, Wikis, Blogs, Ecommerce, CI, Programming languages, Databases, Runtimes, Operating systems, Message boards, Web server extensions, Hosting panels, Issue trackers

• MEDIUM: Technologien mit mittlerem Risikograd. z.B. Webserver, Development, Managed CMS

• LOW: Sonstige Technologien z.B. UI Frameworks oder JavaScript Libraries

Falls keine Version erkennbar ist, reduziert sich die Kategorisierung. Backend-relevante Technologien erhalten ein Medium-Rating, als Medium kategorisierte Apps ein Low-Rating.

Als Nachweis erfahren Sie, wo der Observer die Anwendung erkannt hat: in einem HTTP-Header, einem Cookie oder im Code der Webseite selbst.

Werden zur detektierten Version bekannte Sicherheitslücken (CVE) festgestellt, sind diese in der Liste angegeben. Alle Sicherheitslücken von Anwendungen sind auch nochmals unter Sicherheitslücken gesondert gelistet.

HTTP-Headers

Hier erhalten Sie eine Analyse und Bewertung der von Ihnen über HTTP-Header vorgenommen Konfiguration der HTTP-Verbindung.

Gesetzte HTTP-Header

Alle gesetzten HTTP-Header werden in einer Übersicht gelistet und bewertet:

• OK: Die HTTP-Konfiguration entspricht den Empfehlungen.

• Vermeidbarer HTTP-Header: Die vorgenommene Konfiguration gibt unnötigerweise viele Informationen preis und macht die HTTP-Verbindung dadurch potenziell angreifbar.

• Unbekannter HTTP-Header: Es wurde ein unbekannter HTTP-Header erkannt, der potenziell Informationen preisgibt. Bitte überprüfen Sie die Notwendigkeit des HTTP-Headers und entfernen Sie ihn gegebenenfalls.

Test auf erforderliche HTTP-Header

Es wird überprüft, ob alle für die Sicherheit wichtigen Header gesetzt wurden. Das sind:

Sollten Header nicht korrekt gesetzt sein, wird eine Empfehlung ausgegeben.

PortScan

Hier können Sie Ihre Ports analysieren, die durch den Observer erreichbar sind. Die Bewertung (low, medium, high) gibt Ihnen an, ob die Ports üblicherweise öffentlich erreichbar sein sollten.

Der Observer überprüft die folgenden gewöhnlichen Ports:

Sicherheitslücken

Lässt sich zu einer detektierten Anwendung die Versionsnummer verifizieren, prüft Enginsight die entsprechende Version auf bekannte Sicherheitslücken (CVE). In der Übersicht sehen Sie alle gefundenen Sicherheitslücken aufgelistet und bewertet.

Die Bewertung der Dringlichkeit ist abhängig vom CVSS Score und ob die Sicherheitslücke validiert werden konnte. Bei nicht validierten Sicherheitslücken, die mit [Unvalidated] gekennzeichnet werden, konnte nicht überprüft werden, ob die CVE bei dem verwendeten Betriebssystem wirksam wird.

• Critical: Validierte Sicherheitslücke: CVSS Score ≥ 9.

• High: Validierte Sicherheitslücke: 7 ≤ CVSS Score < 9.

• Medium: Validierte Sicherheitslücke: 4 ≤ CVSS Score < 7, unvalidierte Sicherheitslücke: CVSS Score ≥ 4.

• Low: Validierte Sicherheitslücke: CVSS Score < 4, unvalidierte Sicherheitslücke: CVSS Score < 4.

Sobald eine Sicherheitslücke (bspw. durch ein Update) geschlossen wurde, verschwindet Sie beim nächsten Scan durch den Observer automatisch aus der Übersicht.

Einstellungen

Allgemeine Einstellungen

Definieren Sie als Ziel, welcher Endpunkt überwacht werden soll (z.B. IP-Adresse oder Domain). Vergeben Sie eine aussagekräftige Beschreibung und nutzen Sie Tags, um die Endpunkte zu gruppieren.

Welche Features sollen überwacht werden?

Wählen Sie die Parameter, die Sie überwachen möchten.

Welcher Observer soll überwachen?

Definieren Sie den bzw. die Observer, welche das Monitoring durchführen sollen. Ordnen Sie Ihre Observer stets einer Region zu. Die Regionen stehen Ihnen dann hier zur Auswahl zur Verfügung.

Verantwortlichkeiten

Vergeben Sie Verantwortlichkeiten. Der technische Verantwortliche erhält eine Benachrichtigung, wenn ein Alarm zum entsprechenden Endpunkt ausgelöst wird, wenn die Option "Verantwortliche informieren" aktiv ist. Sie können auch Verantwortlichkeiten für die gesamte Organisation festlegen.

Weiterleitungen

Standardmäßig überwacht Enginsight, wie der Observer weitergeleitet wird. Sie können jedoch auch manuell Weiterleitungen definieren, die aktiv sein sollen. So stellen Sie bspw. sicher, dass beim Umbau Ihrer Webseite oder bei punktuellen Anpassungen keine Weiterleitungen unbemerkt ins Leere laufen.

1. Klicken Sie auf "Weiterleitung hinzufügen".

2. Geben Sie Quelle, Zieladresse sowie den jeweiligen Status Code der Weiterleitung an.

3. Aktivieren Sie die Optionen HTTP/HTTPS und WWW/Non-WWW, wenn stets sowohl HTTP als auch HTTPS und WWW als auch Non-WWW überwacht werden soll.

4. Speichern Sie die Änderung.

Erweiterte Einstellungen

In den erweiterten Einstellungen Ihrer Endpunkte können Sie festlegen, wann eine Webseite als erreichbar angesehen werden soll. Standardmäßig gehen wir von einer menschlichen Erreichbarkeit aus. Das heißt, wenn der Status Code 200 zurückgegeben wird. Deaktivieren Sie die Option ‚Human Accessible‘ wird der Status Code nicht mehr berücksichtigt und lediglich die technische Erreichbarkeit geprüft.

Berichte

Berichte sind Zusammenfassungen über Endpunkte, die in einem PDF ausgegeben werden. Sie können Berichte in den jeweiligen Endpunkten erstellen. Unter Endpunkte -> Berichte werden diese gesammelt dargestellt.

Um einen PDF Bericht für einen Endpunkt zu erstellen, wählen Sie den entsprechenden Endpunkt aus. Gehen Sie im linken Sidebar Menü zu Berichte.

Klicken Sie anschließend auf Report erstellen.

Warten Sie ein paar Sekunden, bis der PDF-Bericht erstellt wurde. Er wird auf Ihren PC heruntergeladen und in der Liste angezeigt.