配置资产发现
资产发现配置包括三个选项:
- 确定目标资产是否存在
- 收集有关已发现资产的信息
- 报告任何具有未经授权MAC地址的资产
如果在自定义扫描模板中选择不配置资产发现,则扫描将以服务发现开始。
确定目标资产是否存在
在包含大量资产(很难跟踪)的环境中,确定目标资产是否处于活动状态是很有用的。从扫描作业中过滤掉无用资产有助于减少扫描时间和资源消耗。
有三种方法可以联系资产:
- ICMP Echo请求(也称为“ping”)
- ARP pings(适用于本地网络)
- TCP数据包
- UDP数据包
潜在的缺点是,防火墙或其他保护设备可能会阻止发现连接请求,导致目标资产看起来已死,即使它们是活的。如果网络上有防火墙,它可能会阻止请求,这要么是因为它被配置为阻止任何符合特定条件的数据包访问网络,要么是因为它将任何扫描都视为潜在的攻击。在这两种情况下,应用程序都会报告资产死的扫描日志。这可能会降低扫描的整体准确性。请注意在何处部署扫描引擎以及扫描引擎如何与防火墙交互。看使您的环境“扫描友好”。
使用一种以上的发现方法可以促进更准确的结果。如果应用程序不能验证资产是否使用一种方法,那么它将恢复到另一种方法。
Web audit和Internet DMZ audit模板不包括任何这些发现方法。
外围网络通常具有非常激进的防火墙规则,它呈现了资产发现的有效性。因此,对于这些类型的扫描,将应用程序“假设”是实现目标资产的实际并进行到扫描服务发现的下一阶段,更有效。这种方法花费时间,因为应用程序检查所有目标资产上的端口,无论它们是否都是现场。好处是准确性,因为它正在检查所有可能的目标。
缺省情况下,扫描引擎在设备发现过程中使用ARP和ICMP请求(也称为ping)来查找资产。这种方法有几个缺点。防火墙可能会丢弃ping信号,这要么是因为它被配置为阻止任何符合特定条件的数据包访问网络,要么是因为它认为任何扫描都是潜在的攻击。在这两种情况下,应用程序推断设备不存在,并报告为死的扫描日志。另一方面,防火墙可以被配置为发送代理ARP响应,这可能导致出现不存在的资产。
选择TCP和UDP对于设备发现,将应用程序发送多个数据包,而不是使用一个协议,该协议使用更多的网络带宽。
您可以选择TCP和/或UDP作为用于定位实时主机的其他或备用选项。通过这些协议,应用程序尝试通过打开连接验证在线的存在。防火墙通常配置为允许端口80上的流量,因为它是支持Web服务的默认HTTP端口。如果在端口80上注册了任何内容,则目标资产将发送“端口关闭”响应或无响应,或者对扫描引擎发送响应。这至少建立了资产在线,并且可能发生端口扫描。在这种情况下,应用程序报告资产是活着的在扫描日志中。
如果选择TCP或UDP进行设备发现,请确保指定80以外的端口,具体取决于目标资产上运行的服务和操作系统。您可以查看默认扫描模板上的TCP和UDP端口设置,如发现扫描和发现扫描(主动),以了解常用端口号。
TCP比UDP更可靠,以获得目标资产的响应。它也使用比UDP更多的服务。您可能希望使用UDP作为补充协议,因为目标设备也更有可能阻止更常见的TCP和ICMP数据包。
在使用TCP数据包进行设备发现时,必须记住扫描引擎认为从设备的任何响应作为其活力的证明。由于中间设备(例如防火墙,路由器等)向扫描引擎发送TCP复位响应,这可能导致不存在的目标出现在扫描结果中。如果您的环境中存在此问题,则可以选择不将TCP重置响应视为实时资产的选项。选择此选项的风险是您可能会错过已配置为仅提供重置响应的设备。
如果在站点配置中将扫描目标作为主机名列出,则应用程序尝试DNS解析。如果主机名不能解析,则考虑它尚未解决,就扫描的目的而言,相当于死的。
UDP是一个可靠的资产发现协议,因为它不包含TCP的握手方法,以保证数据完整性和排序。与TCP不同,如果UDP端口没有响应通信尝试,则通常被视为打开。
微调扫描,核实实时资产
资产发现可以有效提高准确性。此外,禁用资产发现实际上会增加扫描时间。应用程序仅在验证资产处于活动状态时扫描该资产。否则,它将继续前进。例如,如果它可以首先验证50台主机在稀疏的C类网络上,那么它可以消除不必要的端口扫描。
启用ICMP并配置介入防火墙是一个好主意,以允许在应用程序和目标网络之间交换ICMP回声请求和回复数据包。
确保TCP也为资产发现启用,特别是在您的内部网络中有严格的防火墙规则的情况下。启用UDP可能是过度的,考虑到UDP端口的可靠性问题。要使用UDP端口进行判断调用,请将完整性(准确性)的值与时间的值进行权衡。
如果您未选择任何发现方法,扫描假设所有目标资产都是实时的,并且立即开始服务发现。
用于资产发现的端口
如果应用程序使用TCP或UDP方法进行资产发现,则它将请求报文发送给特定端口。如果应用程序联系端口并接收端口打开的响应,则将主机报告为“LIVE”并继续扫描它。
PCI审核模板包括额外的TCP端口,用于发现。通过PCI扫描,至关重要不要错过任何现场资产。
验证Live Assets的配置步骤
- 去吧扫描模板配置 - 资产发现页。
- 选择一个或多个显示的方法来定位实时主机。
- 如果选择TCP或UDP,请输入每个选择的一个或多个端口号。应用程序将将TCP或UDP数据包发送到这些端口。
- 根据需要配置任何其他模板设置。完成配置扫描模板后,单击节省。
收集有关已发现资产的信息
在进行漏洞检查之前,可以收集已发现资产和扫描网络的部分信息。所有这些发现设置都是可选的。
查找网络上的其他资产
应用程序可以查询DNS和WINS服务器,以查找可能被扫描的其他网络资产。
Microsoft在NT 3.5的LAN管理器环境中开发了Windows Internet名称服务(WINS),用于LAN管理器环境中的名称分辨率。该应用程序可以询问此广播协议以找到Windows工作站和服务器的名称。通常不需要获胜。它最初开发为系统数据库应用程序,以支持NetBIOS名称的转换为IP地址。
如果启用发现其他网络资产选项,应用程序将发现并询问所有支持资产的DNS和WINS服务器的IP地址。它将把这些资产包括在扫描系统的列表中。
收集Whois信息
WHOIS不适用于内部RFC1918地址。
Whois是一种互联网服务,它获取有关IP地址的信息,例如拥有IP地址的实体的名称。如果Whois服务器在网络中不可用,则无需对每个发现的资产询问Whois服务器,即可提高扫描引擎的性能。
指纹TCP/IP协议栈
该应用程序通过一组称为IP指纹的方法来识别关于已发现资产的尽可能多的细节。通过扫描资产的IP堆栈,它可以识别有关资产的硬件、操作系统,也许还有系统上运行的应用程序的指标。IP指纹的设置影响性能三角的精度边。
重试设置定义应用程序将重复尝试对IP堆栈进行指纹识别的次数。默认重试值为0。IP指纹识别每项资产最多需要一分钟。如果第一次无法对IP堆栈进行指纹识别,则可能不值得再花时间进行第二次尝试。但是,您可以将其设置为重试IP指纹识别任意次数。
无论您是否确实启用IP指纹识别,应用程序都使用其他指纹方法,例如从端口扫描分析服务数据。例如,通过在目标资产上发现Internet信息服务(IIS),可以确定资产是Windows Web服务器。
确定性值的范围在0.0到1.0之间,反映了对资产进行指纹识别的确定性程度。如果某个指纹小于最小确定值,应用程序将丢弃该资产的IP指纹信息。与与资产发现相关的性能设置一样,这些设置是根据最佳实践仔细定义的,这就是为什么它们是相同的。
收集有关已发现资产信息的配置步骤:
- 去吧扫描模板配置 - 资产发现页。
- 如果需要,请选中复选框以发现网络上的其他资产,并在扫描中包含它们。
- 如果需要,选择收集Whois信息的选项。
- 如果需要,请选择指纹TCP / IP堆栈的选项。
- 如果启用指纹识别选项,则输入重试值,如果首次尝试失败,则重复尝试对指纹IP堆栈的次数。
- 如果启用了指纹选项,请输入最小确定级别。如果特定指纹低于最低确定度,则会从扫描结果中丢弃该指纹。
- 根据需要配置任何其他模板设置。完成配置扫描模板后,单击节省。
报告未经授权的MAC地址
您可以配置扫描以将未授权的MAC地址报告为漏洞。媒体访问控制(MAC)地址是唯一地标识网络中的每个节点的硬件地址。
在IEEE 802网络中,OSI参考模型的数据链路控制(DLC)层被划分为两个子层:逻辑链路控制(LLC)层和媒体访问控制(MAC)层。MAC层直接接口网络媒体。每个不同类型的网络媒体都需要不同的MAC层。在不符合IEEE 802标准的网络上,但确实符合OSI参考模型,节点地址称为数据链路控制(DLC)地址。
在安全的环境中,可能需要确保只有某些机器可以连接到网络。此外,必须具备某些条件才能成功检测到未授权的MAC地址:
- 必须在路由器或交换机上启用SNMP,管理适当的网络段。
- 应用程序必须能够在控制适当的网络段的路由器或交换机上执行经过身份验证的SNMP服务扫描。看启用SNMP服务的经过身份验证的扫描。
- 应用程序必须有一个可信任的MAC地址列表,在扫描期间根据该列表检查所定位的资产集。看创建授权MAC地址列表。
- 扫描模板必须启用MAC地址报告。看见启用扫描模板中MAC地址的报告。
- 执行扫描的扫描引擎必须与被扫描的系统位于同一段上。
启用SNMP服务的经过身份验证的扫描
通过以下步骤,应用程序可以通过认证扫描方式获取MAC地址。
- 点击编辑您正在为其创建新扫描模板的网站家控制台界面的页面。控制台显示网站配置该站点的面板。
- 去吧凭证页面,点击添加凭据。控制台显示一个新登录盒子。
- 输入控制适当网段的路由器或交换机的SNMP服务的登录信息。这将允许应用程序使用ARP请求从路由器检索MAC地址。
- 如果需要测试凭证。有关配置凭据的详细信息,请参阅配置扫描凭据。
- 单击Save。新的登录信息将出现在凭证页。
- 点击节省选项卡以将更改保存到站点配置。
创建授权MAC地址的列表
要创建受信任的MAC地址列表,请执行以下步骤:
- 使用文本编辑器,创建一个列出可信任MAC地址的文件。应用程序不会将这些地址报告为违反可信MAC地址漏洞。您可以为文件指定任何有效的名称,例如
macwhitelistfile.txt.。 - 将文件保存在主机上用于安全控制台的应用程序目录中。Windows安装的默认路径为:
C:程序文件\ [installation_directory] \ plugins \ java \ \ NetworkScanners \ 1 \ \ [file_name]Linux下的默认位置为:/ opt / [installation_directory] / java / 1 / NetworkScanners / 1 /(文件名)
启用扫描模板中MAC地址的报告
要启用扫描模板中未授权的MAC地址的报告,请执行以下步骤:
- 去吧扫描模板配置 - 资产发现页。
- 选择要报告未授权的MAC地址的选项。
- 输入列出受信任Mac地址的文件的文件名。
- 请注意,没有必要包含整个文件路径。只需要文件名。
- 根据需要配置任何其他模板设置。完成配置扫描模板后,单击节省。
设置好受信任MAC文件和扫描程序值后,应用程序将执行受信任MAC漏洞测试。为了做到这一点,它首先向目标资产发出直接的ARP请求,以获取其MAC地址。它还可以从控制该段的路由器或交换机中检索ARP表。然后,它使用SNMP从资产中检索MAC地址,并使用其NetBIOS名称查询资产,以检索其MAC地址。