配置资产发现

资产发现配置包括三个选项:

  • 确定目标资产是否存在
  • 收集有关已发现资产的信息
  • 报告任何具有未经授权MAC地址的资产

如果在自定义扫描模板中选择不配置资产发现,则扫描将以服务发现开始。

确定目标资产是否存在

在包含大量资产(很难跟踪)的环境中,确定目标资产是否处于活动状态是很有用的。从扫描作业中过滤掉无用资产有助于减少扫描时间和资源消耗。

有三种方法可以联系资产:

  • ICMP Echo请求(也称为“ping”)
  • ARP pings(适用于本地网络)
  • TCP数据包
  • UDP数据包

潜在的缺点是,防火墙或其他保护设备可能会阻止发现连接请求,导致目标资产看起来已死,即使它们是活的。如果网络上有防火墙,它可能会阻止请求,这要么是因为它被配置为阻止任何符合特定条件的数据包访问网络,要么是因为它将任何扫描都视为潜在的攻击。在这两种情况下,应用程序都会报告资产死的扫描日志。这可能会降低扫描的整体准确性。请注意在何处部署扫描引擎以及扫描引擎如何与防火墙交互。看使您的环境“扫描友好”

使用一种以上的发现方法可以促进更准确的结果。如果应用程序不能验证资产是否使用一种方法,那么它将恢复到另一种方法。

Web audit和Internet DMZ audit模板不包括任何这些发现方法。

外围网络通常具有非常激进的防火墙规则,它呈现了资产发现的有效性。因此,对于这些类型的扫描,将应用程序“假设”是实现目标资产的实际并进行到扫描服务发现的下一阶段,更有效。这种方法花费时间,因为应用程序检查所有目标资产上的端口,无论它们是否都是现场。好处是准确性,因为它正在检查所有可能的目标。

缺省情况下,扫描引擎在设备发现过程中使用ARP和ICMP请求(也称为ping)来查找资产。这种方法有几个缺点。防火墙可能会丢弃ping信号,这要么是因为它被配置为阻止任何符合特定条件的数据包访问网络,要么是因为它认为任何扫描都是潜在的攻击。在这两种情况下,应用程序推断设备不存在,并报告为死的扫描日志。另一方面,防火墙可以被配置为发送代理ARP响应,这可能导致出现不存在的资产。

选择TCP和UDP对于设备发现,将应用程序发送多个数据包,而不是使用一个协议,该协议使用更多的网络带宽。

您可以选择TCP和/或UDP作为用于定位实时主机的其他或备用选项。通过这些协议,应用程序尝试通过打开连接验证在线的存在。防火墙通常配置为允许端口80上的流量,因为它是支持Web服务的默认HTTP端口。如果在端口80上注册了任何内容,则目标资产将发送“端口关闭”响应或无响应,或者对扫描引擎发送响应。这至少建立了资产在线,并且可能发生端口扫描。在这种情况下,应用程序报告资产是活着的在扫描日志中。

如果选择TCP或UDP进行设备发现,请确保指定80以外的端口,具体取决于目标资产上运行的服务和操作系统。您可以查看默认扫描模板上的TCP和UDP端口设置,如发现扫描和发现扫描(主动),以了解常用端口号。

TCP比UDP更可靠,以获得目标资产的响应。它也使用比UDP更多的服务。您可能希望使用UDP作为补充协议,因为目标设备也更有可能阻止更常见的TCP和ICMP数据包。

在使用TCP数据包进行设备发现时,必须记住扫描引擎认为从设备的任何响应作为其活力的证明。由于中间设备(例如防火墙,路由器等)向扫描引擎发送TCP复位响应,这可能导致不存在的目标出现在扫描结果中。如果您的环境中存在此问题,则可以选择不将TCP重置响应视为实时资产的选项。选择此选项的风险是您可能会错过已配置为仅提供重置响应的设备。

如果在站点配置中将扫描目标作为主机名列出,则应用程序尝试DNS解析。如果主机名不能解析,则考虑它尚未解决,就扫描的目的而言,相当于死的

UDP是一个可靠的资产发现协议,因为它不包含TCP的握手方法,以保证数据完整性和排序。与TCP不同,如果UDP端口没有响应通信尝试,则通常被视为打开。

微调扫描,核实实时资产

资产发现可以有效提高准确性。此外,禁用资产发现实际上会增加扫描时间。应用程序仅在验证资产处于活动状态时扫描该资产。否则,它将继续前进。例如,如果它可以首先验证50台主机在稀疏的C类网络上,那么它可以消除不必要的端口扫描。

启用ICMP并配置介入防火墙是一个好主意,以允许在应用程序和目标网络之间交换ICMP回声请求和回复数据包。

确保TCP也为资产发现启用,特别是在您的内部网络中有严格的防火墙规则的情况下。启用UDP可能是过度的,考虑到UDP端口的可靠性问题。要使用UDP端口进行判断调用,请将完整性(准确性)的值与时间的值进行权衡。

如果您未选择任何发现方法,扫描假设所有目标资产都是实时的,并且立即开始服务发现。

用于资产发现的端口

如果应用程序使用TCP或UDP方法进行资产发现,则它将请求报文发送给特定端口。如果应用程序联系端口并接收端口打开的响应,则将主机报告为“LIVE”并继续扫描它。

PCI审核模板包括额外的TCP端口,用于发现。通过PCI扫描,至关重要不要错过任何现场资产。

验证Live Assets的配置步骤

  1. 去吧扫描模板配置 - 资产发现页。
  2. 选择一个或多个显示的方法来定位实时主机。
  3. 如果选择TCP或UDP,请输入每个选择的一个或多个端口号。应用程序将将TCP或UDP数据包发送到这些端口。
  4. 根据需要配置任何其他模板设置。完成配置扫描模板后,单击节省

收集有关已发现资产的信息

在进行漏洞检查之前,可以收集已发现资产和扫描网络的部分信息。所有这些发现设置都是可选的。

查找网络上的其他资产

应用程序可以查询DNS和WINS服务器,以查找可能被扫描的其他网络资产。

Microsoft在NT 3.5的LAN管理器环境中开发了Windows Internet名称服务(WINS),用于LAN管理器环境中的名称分辨率。该应用程序可以询问此广播协议以找到Windows工作站和服务器的名称。通常不需要获胜。它最初开发为系统数据库应用程序,以支持NetBIOS名称的转换为IP地址。

如果启用发现其他网络资产选项,应用程序将发现并询问所有支持资产的DNS和WINS服务器的IP地址。它将把这些资产包括在扫描系统的列表中。

收集Whois信息

WHOIS不适用于内部RFC1918地址。

Whois是一种互联网服务,它获取有关IP地址的信息,例如拥有IP地址的实体的名称。如果Whois服务器在网络中不可用,则无需对每个发现的资产询问Whois服务器,即可提高扫描引擎的性能。

指纹TCP/IP协议栈

该应用程序通过一组称为IP指纹的方法来识别关于已发现资产的尽可能多的细节。通过扫描资产的IP堆栈,它可以识别有关资产的硬件、操作系统,也许还有系统上运行的应用程序的指标。IP指纹的设置影响性能三角的精度边。

重试设置定义应用程序将重复尝试对IP堆栈进行指纹识别的次数。默认重试值为0。IP指纹识别每项资产最多需要一分钟。如果第一次无法对IP堆栈进行指纹识别,则可能不值得再花时间进行第二次尝试。但是,您可以将其设置为重试IP指纹识别任意次数。

无论您是否确实启用IP指纹识别,应用程序都使用其他指纹方法,例如从端口扫描分析服务数据。例如,通过在目标资产上发现Internet信息服务(IIS),可以确定资产是Windows Web服务器。

确定性值的范围在0.0到1.0之间,反映了对资产进行指纹识别的确定性程度。如果某个指纹小于最小确定值,应用程序将丢弃该资产的IP指纹信息。与与资产发现相关的性能设置一样,这些设置是根据最佳实践仔细定义的,这就是为什么它们是相同的。

收集有关已发现资产信息的配置步骤:

  1. 去吧扫描模板配置 - 资产发现页。
  2. 如果需要,请选中复选框以发现网络上的其他资产,并在扫描中包含它们。
  3. 如果需要,选择收集Whois信息的选项。
  4. 如果需要,请选择指纹TCP / IP堆栈的选项。
  5. 如果启用指纹识别选项,则输入重试值,如果首次尝试失败,则重复尝试对指纹IP堆栈的次数。
  6. 如果启用了指纹选项,请输入最小确定级别。如果特定指纹低于最低确定度,则会从扫描结果中丢弃该指纹。
  7. 根据需要配置任何其他模板设置。完成配置扫描模板后,单击节省

报告未经授权的MAC地址

您可以配置扫描以将未授权的MAC地址报告为漏洞。媒体访问控制(MAC)地址是唯一地标识网络中的每个节点的硬件地址。

在IEEE 802网络中,OSI参考模型的数据链路控制(DLC)层被划分为两个子层:逻辑链路控制(LLC)层和媒体访问控制(MAC)层。MAC层直接接口网络媒体。每个不同类型的网络媒体都需要不同的MAC层。在不符合IEEE 802标准的网络上,但确实符合OSI参考模型,节点地址称为数据链路控制(DLC)地址。

在安全的环境中,可能需要确保只有某些机器可以连接到网络。此外,必须具备某些条件才能成功检测到未授权的MAC地址:

启用S​​NMP服务的经过身份验证的扫描

通过以下步骤,应用程序可以通过认证扫描方式获取MAC地址。

  1. 点击编辑您正在为其创建新扫描模板的网站控制台界面的页面。控制台显示网站配置该站点的面板。
  2. 去吧凭证页面,点击添加凭据。控制台显示一个新登录盒子。
  3. 输入控制适当网段的路由器或交换机的SNMP服务的登录信息。这将允许应用程序使用ARP请求从路由器检索MAC地址。
  4. 如果需要测试凭证。有关配置凭据的详细信息,请参阅配置扫描凭据
  5. 单击Save。新的登录信息将出现在凭证页。
  6. 点击节省选项卡以将更改保存到站点配置。

创建授权MAC地址的列表

要创建受信任的MAC地址列表,请执行以下步骤:

  1. 使用文本编辑器,创建一个列出可信任MAC地址的文件。应用程序不会将这些地址报告为违反可信MAC地址漏洞。您可以为文件指定任何有效的名称,例如macwhitelistfile.txt.
  2. 将文件保存在主机上用于安全控制台的应用程序目录中。Windows安装的默认路径为:C:程序文件\ [installation_directory] \ plugins \ java \ \ NetworkScanners \ 1 \ \ [file_name]Linux下的默认位置为:/ opt / [installation_directory] / java / 1 / NetworkScanners / 1 /(文件名)

启用扫描模板中MAC地址的报告

要启用扫描模板中未授权的MAC地址的报告,请执行以下步骤:

  1. 去吧扫描模板配置 - 资产发现页。
  2. 选择要报告未授权的MAC地址的选项。
  3. 输入列出受信任Mac地址的文件的文件名。
  • 请注意,没有必要包含整个文件路径。只需要文件名。
  1. 根据需要配置任何其他模板设置。完成配置扫描模板后,单击节省

设置好受信任MAC文件和扫描程序值后,应用程序将执行受信任MAC漏洞测试。为了做到这一点,它首先向目标资产发出直接的ARP请求,以获取其MAC地址。它还可以从控制该段的路由器或交换机中检索ARP表。然后,它使用SNMP从资产中检索MAC地址,并使用其NetBIOS名称查询资产,以检索其MAC地址。