web-dev-qa-db-ja.com

ネットワーク上のネットワーク脆弱性スキャナーの配置

ネットワーク脆弱性スキャンプロセスを実装/実装しており、Qualysguardの使用を選択しました。

Qualysは、明らかにネットワークに接続する内部ネットワークスキャン用のScanner Applianceを提供しています。私たちの内部ネットワークは複数のサブネットにセグメント化されており、それぞれが他のサブネットからファイアウォールで保護されています。 IT管​​理に使用されるネットワークセグメントがあります(SnortやSplunkなど)。このネットワークセグメントにScanner Applianceを配置することは理にかなっているようです。明らかな問題は、scannerアプライアンスがネットワーク上でスキャンするすべてのデバイスを完全に可視化する必要があることです。それが役立つ場合は、ファイアウォールポートを開くのが嫌です。私は誰かが各サブネットにScanner Applianceがあるべきだと言うのを知っていますが、それは私たちにとって現実的ではありません。

Scanner Applianceのネットワークの場所はいくつか考えられます。

  • 管理ネットワーク内
  • ネットワークの最も保護されたセグメント(保護されていないデバイスにスキャンアウト)
  • ネットワークの最も保護されていないセグメント(より保護されたデバイスにスキャンイン)
  • 完全に別のサブネット

だから私の質問は、アプライアンスがすべてのデバイスへのフル(すべてのポートが開いている)アクセスを必要としていることを考えると、スキャナーアプライアンスをネットワーク上のどこに配置し、その理由は何ですか?

firewallsvulnerability-scanners
6
hmallett

私はQualysGuardを使用していませんが、ベンダーにとらわれないアプローチを使用して、以下を検討します。

ファイアウォール経由の間接接続:

これは、何らかの理由(接続が不十分、物理的にアクセスできないなど)でサブネットに接続できない場合に適したオプションです。

一部のタイプのアクティブスキャンは論理ネットワークの場所に依存し、構成によってはファイアウォール/ IPS(ブロードキャストや一部のポイズニングなど)を介して機能しない可能性があります。これは通常、ファイアウォール/ IPSはその保護層を提供しますが、評価が完全でない可能性があります。

ファイアウォールおよびネットワーク機器を介した負荷/処理の増加。脆弱性スキャントラフィックはネットワーク機器にストレスを与え、リンクをフラッディングする可能性があります。これが問題になる場合は、スキャンインターフェイスをターゲットに論理的に近い場所に配置すると効果的です。

サブネットへの直接接続:

一般的にスキャナーをインストールするための最良のパフォーマンスの方法ですが、ネットワークにアクセスできるスイッチポートに接続できない場合、またはVLANスキャンしたい場合)。

ターゲットに直接接続しているスキャナーを直接接続すると、スイッチ、ファイアウォール、またはIPSデバイスの背後に隠されている脆弱性を検出できる場合があります。

スキャナーはセキュアゾーンをブリッジします。スキャナーにも脆弱性が存在する可能性がありますが、最近はそれほど脆弱ではありませんが、すべてのスキャナーインターフェイスは複数のネットワークへのブリッジになる可能性があります。これは明らかにあなたの実装と製品に依存し、いくつかは他よりも優れています。スキャナーは通常、トラフィックをルーティングしませんが、スキャナーまたはスキャナーのOSに脆弱性が存在する場合はルーティングする可能性があります。

結論:

リストした他のオプションはすべて有効であり、ファイアウォールを介した間接接続で使用できます。理想的には、リクエストを処理する側からプラットフォームまたはアプリケーションをスキャンする必要があります。構成によっては、管理ネットワークではそれができない場合があります。

Scanner Applianceをネットワークのどこに配置し、その理由を教えてください。

スキャナーを、最も多くのホストをスキャンする最も安全なサブネット(内部ネットワーク)の直接接続されたポートに接続します。次に、ファイアウォールを介して安全性の最も低いサブネットにアクセスできる別のサブネットに他のインターフェイスをいくつか配置します。

これにより、ブリッジングが制限され、ほとんどのホストまたはすべてのホストを最小限のパフォーマンスヒットでスキャンできます。

お役に立てれば。

3
Bernie White

スキャナーからのトラフィックを許可するためにファイアウォールにルールを追加しないことで問題が解決できるかどうかはわかりません。スキャナーのIPのためだけに、それらをグローバルに開く必要はありません。

ステートフルインスペクションを使用している場合は、ファイアウォールの状態テーブルがいっぱいにならず、トラフィックの問題が発生しないように、スキャナーをファイアウォールの信頼できない側に置く必要があります。

QualysGuardスキャナーはVLANタグ付けをサポートしているため、設定によってはファイアウォールを回避できる場合があります。

2
schroeder

エンタープライズネットワーク環境でScanner Applianceを配置する場所を決定するために、ネットワークグループと協力することを強くお勧めします。考慮すべき点:Scanner Applianceを可能な限りターゲットマシンの近くに配置し、ネットワークインフラストラクチャ内の帯域幅が制限されたセグメントまたは弱点を監視および特定するようにしてください。レイヤー3デバイス(ルーター、ファイアウォール、ロードバランサーなど)をスキャンすると、パフォーマンスが低下する可能性があるため、VLANタグ付け機能(VLANトランキング)を使用してレイヤー3デバイスを回避し、潜在的な問題を回避することを検討してください。パフォーマンスの問題。

静的IPは、VLANによってスキャンされる各Qualysスキャナー用に予約されています。スキャナーは、予約済みの静的IPを使用してVLANをスキャンします。

だから、あなたが言ったように、事実上、それはVLANの中にあるので、L3ルーティングは必要ありません。

例:スキャナーはスキャンしますVLAN A-192.168.1.0/24&VLAN B- 192.168.2.0/24 A static IP、と言います192.168.1.2&各VLANの192.168.2.2はスキャナー用に予約されています。スキャン中はVLAN A、IP 192.168.1.2を使用するため、内部に効果的にVLAN A.同様にVLAN Bの場合

2
Biplab Roy