分布式扫描引擎

分布式扫描引擎与安全控制台分开,并在战略性上配置并定位,以便尽可能高效地提供扫描环境。如果您打算维护安全控制台的生产部署,则分布式扫描引擎是绝对的必要性。

本文将指导您完成分布式扫描引擎的部署和配置过程。

概览部署流程

部署分布式扫描引擎包括以下步骤:

  • 在单独的主机上安装新的扫描引擎
  • 根据您的沟通方法将扫描引擎与安全控制台配对
  • 在安全控制台中刷新扫描引擎以验证配对是否成功

沟通的方法

扫描引擎和安全控制台必须能够相互通信,以便启动扫描和集成扫描数据。分布式扫描引擎可以通过两种方式与安全控制台通信:

  • 控制台到引擎-这是标准的沟通方式。在这种情况下,安全控制台通过启动端口40814上的TCP连接来指示扫描引擎执行任务。
  • Engine-to-Console- 又称“反向”通信方法,发动机到控制台配对依赖于发动机启动时启动与安全控制台的连接。

提示

您可以阅读更多关于这些配置扫描引擎通信方法帮助页面。

需求

要确保分布式扫描引擎的设置成功,请确保完成以下初步步骤:

  • 验证您的目标扫描引擎主机是否符合系统要求
  • 如果您的网络上存在防火墙,请确保根据您选择的通信方法为安全控制台和扫描引擎主机列出必要的端口白名单。端口白名单要求请参考下表。

来源

目的地

港口

协议

控制台到引擎

安慰

扫描引擎

40814

传输控制协议

Engine-to-Console

引擎

安慰

40815

传输控制协议

此表中显示的端口是安全控制台和扫描引擎使用的默认端口。如果在“部署过程”中修改这些默认端口,请确保防火墙规则与您的端口修改匹配。

下载并安装扫描引擎

在验证满足硬件和网络需求之后,就可以下载并在目标主机上安装Scan Engine了。

提醒

不要在已经有安全控制台的主机上安装分布式扫描引擎!

“分布式”扫描引擎之所以如此命名,是因为它们使用的硬件完全是为其使用而保留的。所有安全控制台安装都已包含本地扫描引擎。

注意-虚拟机上的分布式扫描引擎

在虚拟机上部署分布式扫描引擎时,请根据系统需求为虚拟机预留足够的内存。

使用共享内存配置虚拟机可能会导致扫描引擎在扫描期间内存不足。

下载扫描引擎安装程序

曝光产品安装程序还负责安装分布式扫描引擎。参观下载页面,根据预期主机的操作系统下载Linux或Windows安装程序。

安装扫描引擎

提示

以下过程适用于Linux命令行和Windows安装向导。

启动产品安装程序以开始。遵循初始提示,直到到达组件选择和通信方向步骤。

选择组件

通过必要的确认后,系统会提示您选择要安装的组件。

选择仅扫描引擎. 这会告诉安装程序您打算部署分布式扫描引擎。

选择通信方向

选择组件后,系统会提示您选择通信方向。

我应该使用哪种通信方法?

最终决定扫描引擎如何与安全控制台通信取决于网络的配置和拓扑结构。生产部署通常有两种扫描引擎类型,以适应扫描条件,如资产位置和防火墙的存在。

看到扫描引擎通信方法帮助页面提供最佳实践和用例信息。

如果选择“引擎到控制台”方法,您将有机会在扫描引擎安装期间与安全控制台配置反向对。虽然如果您愿意,您可以跳过此配对步骤,但Rapid7建议您以来利用此配对机会安装后反向配对过程涉及更复杂的步骤。

在安装扫描引擎时配置反向对:

  1. 在安装向导的提示下,输入安全控制台的IP地址。
  2. 为安装程序提供安全控制台共享秘密。
    • 您可以在安全控制台中通过导航到管理标签>“扫描选项”一节>管理在“引擎”旁边>“生成扫描引擎共享秘密”部分>生成

提示

多个扫描引擎可以为每个反向配对过程使用相同的控制台生成的共享机密。但是,共享机密仅在60分钟内有效。如果共享密钥过期,则必须生成新密钥以完成任何进一步的反向配对过程。

  1. 测试您的连接,以确保安全控制台和扫描引擎能够正确通信。
  2. 继续安装扫描引擎的其余部分。
  3. 扫描引擎完成安装后,直接进入刷新新的扫描引擎本指南第节。

如果您选择了控制台到引擎方法,在扫描引擎安装完成后,您需要使用安全控制台配置标准对。此时继续安装其余部分。扫描引擎完成安装后,转至将扫描引擎与安全控制台配对本指南第节。

将扫描引擎与安全控制台配对

在继续安装后配对过程之前,请确保新的扫描引擎正在运行并可访问。您还必须具有对扫描引擎主机的管理员级访问权限,才能完成这些配对过程。

所有新的扫描引擎必须与安全控制台配对才能用于扫描。这些发动机配对程序因您要实施的通信方法而异。

你可以参考以下配对程序中的一种来选择沟通方法:

标准对(Console-to-Engine)

为了配置控制台到引擎的配对,必须让安全控制台知道可以使用新的扫描引擎,并且必须提供如何访问它的说明。因此,所有标准配对过程的第一步是将新的扫描引擎添加到安全控制台。

可以在站点配置中添加新的扫描引擎或通过管理页面。

在“站点配置”中添加引擎

要在站点配置中添加扫描引擎,请执行以下操作:

  1. 在新的或现有的站点配置中,单击引擎标签。
    • 您可以通过展开创建下拉菜单,或通过单击“网站”表格中的编辑图标来访问现有网站首页页面。
  2. 点击添加扫描引擎subtab。
  3. 命名您的扫描引擎。
  4. 在“地址”字段中输入扫描引擎的IP地址。
  5. 如果需要调整默认端口号,请修改“port”字段的值。
  6. 假设您的站点具有所需的最少信息集,请单击保存完成后。

通过管理添加引擎

要通过添加扫描引擎,请执行以下操作:管理选项卡:

  1. 浏览到并单击管理左侧导航菜单中的选项卡。
  2. 在“扫描选项”部分中,单击创造旁边的“引擎”。
  3. 一般的选项卡,命名扫描引擎。
  4. 在“地址”字段中输入扫描引擎的IP地址。
  5. 点击保存完成后。

正确添加扫描引擎生成consoles.xml.扫描引擎主机上的文件。您将在下一步中修改此文件。

修改consoles.xml

consoles.xml.在上一步中的扫描引擎主机上生成的文件包含添加扫描引擎的安全控制台的条目。您必须启用控制台以完成配对。

修改consoles.xml.文件适用于Linux或Windows主机:

  1. 浏览到consoles.xml.扫描引擎目录中的文件。默认情况下,此文件位于以下位置,根据扫描引擎主机的操作系统:
    • Linux.-/opt/rapid7/nexpose/nse/conf/consoles.xml.
    • 窗户-文件\ Rapid7 \ NeXpose \了无\ conf \ consoles.xml
  2. 开放consoles.xml.使用您选择的文本编辑器。导航到<控制台>元素。添加扫描引擎的安全控制台显示为<控制台>元素具有多个属性。
    • 通过检查安全控制台,可以识别正确的安全控制台最后地址属性匹配要与之配对的安全控制台的IP地址。
  3. 的值启用属性从0.1
  4. 保存并关闭consoles.xml.文件
  5. 重新启动扫描引擎主机,以便您的更改可能会生效。

配对程序完成!

前往验证步骤以完成扫描引擎部署。

扭转对(Engine-to-Console)

如果您在扫描引擎安装期间利用了反向配对配置机会,那么您已经完成了此步骤!直接前往刷新新的扫描引擎部分以验证您的扫描引擎已准备好使用。

但是,如果您使用Engine-to-Console若未完成反向配对步骤,则必须使用单独的程序完成配对。看到安装后Engine-to-Console配对有关如何执行此操作的说明,请参阅第页。

刷新新的扫描引擎

完成扫描引擎的标准或反向对后,必须刷新其状态,以验证安全控制台是否可以与其正确通信。

要在安全控制台中刷新新的扫描引擎,请执行以下操作:

  1. 浏览到并单击管理左侧导航菜单中的选项卡。
  2. 在“扫描选项”部分中,单击管理旁边的“引擎”。
  3. 在“扫描引擎”部分,单击刷新显示引擎.这确保您的扫描引擎表是最新的。
  4. 找到与安全控制台配对的分布式扫描引擎。点击“刷新”列中的图标,完成验证过程。

如果您已经正确地配置并对扫描引擎进行了配对,它现在会显示最新的版本和通信状态信息。“通信状态”列本身用箭头表示当前的通信方法,用颜色表示连接状态。指向“Engine”的箭头表示标准配对,而指向“Console”的箭头表示反向配对。此外,箭头图标可以有以下颜色代码:

  • 绿色-扫描引擎处于激活状态
  • 橙色- 扫描引擎状态未知
    • “未知”状态表示即使没有记录错误,安全控制台和扫描引擎也无法通信。这通常是乒乓球之间发生重大流逝的结果。刷新扫描引擎状态以再次尝试通信。
  • 红色的-有三种可能与这个颜色代码相关:
    • 待授权- 此状态表示扫描引擎上尚未启用安全控制台。必须在扫描引擎上启用控制台在配对过程中
    • 不相容—此状态表示安全控制台和扫描引擎版本不一致。控制台和引擎必须在同一个版本上,以便正常通信。
    • 下来—该状态表示扫描引擎处于离线状态。

祝贺

您现在应该已经成功部署了分布式扫描引擎。