Discoveryscan - Wie läuft das ab?

Von Jörg Hohwieler 19. April 2024

Discoveryscan

Wie der Name schon vermuten lässt, zielt unser Discoveryscan auf das Entdecken von Netzteilnehmern sowie deren Eigenschaften ab. Denn häufig weiß die IT-Abteilung gar nicht, welche Netzteilnehmer genau vorhanden sind und was für ein System sich hinter der IP-Adresse verbirgt. Oft gibt es einige Überraschungen, wie z.B. Systeme, die eigentlich schon längst abgeschaltet sein sollten, aber auch Dienste, von denen man nichts wusste bzw. kritische Dienste und Schnittstellen, die beim Scan aus einem Clientnetzwerk heraus gar nicht erreichbar sein sollten.

Die Ergebnisse des Discoveryscans bilden eine sehr gute Grundlage für die Risikoanalyse und die Ableitung von Maßnahmen zur Verbesserung der IT-Security. Denn gute IT-Security beginnt bereits bei der Konfiguration von Diensten und Systemen und nicht erst bei Tools zur automatischen Angriffserkennung.

Der 4IoT-Discovery Scan ist ein unverzichtbares Werkzeug, um Schwachstellen aufzuspüren und verborgene Risiken zu identifizieren. Durch diesen Prozess können nicht nur aktive Geräte erfasst werden, sondern auch solche, die fälschlicherweise als abgeschaltet betrachtet wurden. Dies ermöglicht es, ggf. eine Shadow-IT transparent zu machen, potenzielle Sicherheitslücken zu erkennen und proaktiv Maßnahmen zu ergreifen, um die Integrität und Sicherheit des Netzwerks zu gewährleisten.

Christian Bestehorn, Leiter IT, karldischinger

Nachdem wir nun schon einige Discoveryscans durchgeführt haben, ist es an der Zeit, das Vorgehen und mögliche Ergebnisse mal etwas näher zu beleuchten:

  1. Wie bereitet man einen Discoveryscan vor?
  2. Wie läuft ein Discoveryscan ab?
  3. Welche Ergebnisse kann man erwarten?
  4. Wie geht es danach weiter?

Vorbereitung

Vor der Einrichtung des Discoveryscans sollte die gegenwärtige Netzwerkstruktur betrachtet werden, um folgende Fragen zu klären:

  • Gibt es nur ein Subnetz oder mehrere?
  • Wie wird geroutet? Nur über Switche oder sind die Subnetze mittels Firewalls voneinander abgeschottet?
  • Sollen Netze an unterschiedlichen Standorten gescannt werden?
  • Welche Netze sollen gescannt werden?
  • Welche Subnetzmasken werden jeweils verwendet?

Darüber hinaus ist zu klären:

  • Welche Art von Equipment wird man in den Subnetzen vermutlich vorfinden?
  • Wie viele Netzteilnehmer sind zu erwarten?
  • Gibt es Erfahrungen aus vorangegangen Scans?
  • Ansprechpartner auf beiden Seiten benennen
  • Ausnahmen (IP-Adressen und Ports) festlegen
  • Anzahl der Netzwerkexplorer für den Scan festlegen
  • Zeitfenster für den Scan festlegen
  • Servicedesk und verantwortliche Stellen informieren

Üblicherweise wird für jeden zu installierenden Explorer ein Linux- oder Windowssystem benötigt, das eine Verbindung in das passende Netz oder die passenden Netze hat. Das System wird nur für die Zeit des Scans benötigt und kann danach verworfen werden. Ggf. werden temporäre Firewallfreigaben benötigt, so dass der Explorer auch in die gewünschten Netze gelangt. Generell sind bestimme Anpassungen notwendig, wenn zwischen Explorer und Zielnetz eine Firewall steht. Diese Anpassungen stimmen wir bereits im Vorfeld gemeinsam ab, so dass einem effizienten Scan idealerweise nichts mehr im Wege steht.

Durchführung

Sobald die notwendigen Explorer installiert und verbunden sind, kann die Scankonfiguration anhand der festgelegten Netze samt Ausnahmen (IP-Adressen und Ports) erfolgen.

Sofern Sie bereits Erfahrungen mit vorangegangen Scans gemacht haben, berücksichtigen wir diese bei den Scans, z. B. in Form von Ausnahmen oder durch eine behutsamere Vorgehensweise. Falls keine Erfahrungen vorheriger Scans vorhanden sind, macht es Sinn, zunächst ein paar wenige Scans händisch zu starten, um zu sehen, ob der Scan trotz aller Vorbereitungen Probleme erzeugt. Daher bietet es sich an, den Scan am Vormittag zu starten, so dass für das Melden von Problemen noch genügend Zeit am Nachmittag vorhanden ist.

Sobald wir den automatischen Scan aktiv geschaltet haben, sichten wir in regelmäßigen Abständen die Ergebnisse und prüfen so auf etwaige Konfigurationsprobleme oder blinde Flecken.

Ergebnisse

Nach der Durchführung der Scans geht es an die Auswertung der Ergebnisse. Der Aufwand dafür hängt stark von der Anzahl der Netzteilnehmer und der Netzwerkstruktur ab.

Es geht dabei nicht nur um die reine Auswertung (Anzahl der Netzteilnehmer, Anzahl Dienste, erkannte Schwachstellen, erkannte Software, etc.). Es geht auch darum, die Ergebnisse zu interpretieren, Risiken und Gefahren aus den Daten zu ermitteln, um schlussendlich Handlungsempfehlungen abzuleiten.

Des Weiteren ist es wichtig, bei der Auswertung auch grundlegende Dienste zu prüfen:

  • Wo sind die Domain Controller? Wie viele gibt es?
  • Bieten noch weitere Systeme LDAP an?
  • Welche Systeme bieten DNS-Dienste an?
  • Ist ein WSUS vorhanden?
  • Konnte eine Virtualisierungsumgebung identifiziert werden? Von wo aus war sie erreichbar?

Ebenfalls wichtig ist es, sich eine Übersicht über die Dienste zu verschaffen. Welche Dienste werden in großem Maße angeboten? Gibt es hier Auffälligkeiten, wie z. B. Datenbankdienste im Clientnetzwerk? Werden ggfs. veraltete Protokolle (z.B. SMBv1) eingesetzt?

Wie geht es weiter?

Nach der Auswertung kommt der Maßnahmenplan. Ausgehend von unseren Empfehlungen und auf Wunsch mit unserer Unterstützung, machen wir uns an die Beseitigung der Auffälligkeiten. Es bietet sich an, nach der Umsetzung die Scans zu wiederholen, um die Wirksamkeit der Maßnahmen festzustellen.

Sofern noch keine CMDB oder irgendeine andere Art von Inventarisierung vorhanden ist, sollte dies ebenfalls in Betracht gezogen werden.

Ideal ist eine CMDB, die durch wiederkehrende Discoveryscans regelmäßig aktualisiert wird, so dass Änderungen möglichst schnell in gleicher Detailtiefe erfasst werden.