web-dev-qa-db-ja.com

データセンター内の脆弱性スキャナーを配置する場所

現在、私のオフィスでは、脆弱性スキャナー(分散スキャナー-Rapid7 Nexpose、スキャンエンジンを使用)をデータセンター内に配置するのに最適な場所についての議論があります。

2つのオプションが表示されます。

  • 仮想アプライアンスをセキュリティで保護されたVLANに配置し、アプライアンスからすべてのIPアドレスまでDCでip anyを開きます。これにより、すべてのUDPおよびTCPスキャンした。
  • 仮想アプライアンスに、データセンターの各VLANの仮想インターフェイスを提供します。

ファイアウォールが脆弱性スキャナーを混乱させることがあることがわかっているので、ファイアウォールを通過する必要がないため、2番目のオプションが好きです。ただし、最初のオプションが機能しない理由はありますか?私たちのネットワークチームはそれに傾倒しており、それが受け入れられることを確認したいと思います。

編集:このスキャンは内部で行われ、データセンターの本番システムのみを対象としています。

2
appsecguy

私はオプション#1に投票し、これを実際に体験しました。

これらのコメントと回答の一部に、多くの誤った情報や悪いアドバイスが見られます。

スキャナーは:

  • アセットへの管理者レベルのアクセス権があります。
  • すべてのポート/プロトコルのアセットにアクセスできます。
  • iPS/IDSセンサーおよびその他のセキュリティデバイスのホワイトリストに登録されている。

脆弱性スキャナーの主な目的はsourceで脆弱性を見つけることであり、攻撃者がそれを見つけて悪用する前に修正することができます。

スキャナーの管理者レベルのアセットへのアクセスを許可せず、IPSが干渉することを許可している場合、あなたは自分自身に害を及ぼすことになります。

1
k1DBLITZ

問題は、脆弱性スキャナーの観点からネットワーク上でどの「ビュー」を望むかです。

ファイアウォールのセキュリティを脆弱性評価に含める場合は、スキャナーをインターネットにアクセスせずに、ファイアウォールのセキュリティ境界の「WAN」側に配置する必要があります。したがって、インターネット上の脆弱性を公開するようにファイアウォールを誤って設定した場合、脆弱性スキャナーは警告を表示します。したがって、すべてのサーバーとファイアウォールは、脆弱性スキャナーをインターネットからのものと見なします。脆弱性スキャナーのインターネットアクセスを(両方の方向で)ブロックすることは重要です。脆弱性スキャナーがハッキングされ、ネットワークに属していないホストで脆弱性スキャンを実行するために引き継がれることはありません。

別のビューは、たとえば、すべてが非常に安全にセットアップされていて、方程式からファイアウォールを完全に削除できるという評価が必要な場合、脆弱性スキャナーをLAN側の内側に配置します。

脆弱性スキャナーの3番目の使用法は、たとえば、ワイヤレスアクセスポイントでブリッジをブリッジすることです。これにより、ハッカーがワイヤレスクライアントに接続した時点でのネットワークのビューを取得できます。

だからあなたの質問に正しい答えはありません。表示する内容に応じて、脆弱性スキャナーにファイアウォールを通過させるか(例外なし)、または脆弱性スキャナーにフルアクセスを許可する必要があります。

脆弱性スキャナーは測定ツールであり、セキュリティを測定する場所に配置します。外気温を知りたい場合は、ターモメーターを外につけます。内側の温度を知りたい場合は、内側に温度計を置きます。ここで、壁の分離は「ファイアウォール」である可能性があります。

脆弱性スキャナーについても同じです。簡単に言えば、セキュリティを測定したい場所に論理的に正確に配置します。

1

仮想アプライアンスをセキュリティで保護されたVLANに配置し、アプライアンスからすべてのIPアドレスまでDCでip anyを開きます。これにより、すべてのUDPおよびTCPスキャンした。

仮想アプライアンスに、データセンターの各VLANの仮想インターフェイスを提供します。

多分私は何かが欠けています。どちらの提案でも、これを何らかの形式の内部IPスペース(企業の外部ではある程度見えない)に配置する必要があります。あなたのコメントに基づいて(両方ともvlanにあることに言及)、あなたの最善の策は、それを単にANY VLANは問題ではありません。仮想インターフェイスは、単にトランクできることを考えると無駄になります)ですスキャナーが他のすべてのVLANに接続されているポート。

今、セバスチャンはあなたが言ったのと同じように私が答えた方法でこれに答えました:「それを私の内部ネットワークの外に置きなさい」(私の通常のIP空間の外に)私はそれをあなたのインフラストラクチャーの内側に置くと述べたでしょう。そして、これには明確な理由があります。

内部配置-認定スキャンを使用すると、費用対効果が最も大きくなり、脆弱性の最も効果的なビューが得られます。境界の外側に配置しないでください。手始めに、ほとんどのハッカーは、Nessus、Nexposeでインフラストラクチャをスキャンするつもりはありません。メタスプロイト、コアインパクト、キャンバスなどとも言います。最もハッカーが経験豊富なハッカーを意味します。これらのスキャン、エクスプロイトの試みはノイズが多く、時間がかかりすぎ、大多数がファイアウォールなどによってブロックされます。つまり、実際に脆弱なものについては限られた見方しかできません。有能な攻撃者は、クライアント側の攻撃(pdfファイル、USBキー、Word文書、ドロッパー(マルウェア))を使用することがよくあります。

内部評価により、ハッカーがファイアウォールを通過できた場合の脆弱性の概要がわかります(ほとんどありません)。この種の評価を行う際のアプローチ/思考プロセスは次のとおりです。vulnスキャンを実行します。出力=攻撃者がターゲットにできるもの。これは、ほとんどの企業が、出力IPに対してQualysを実行するPCI/DSSの大失敗などでテストしているものよりも現実的です。

次の評価は、認定済みの評価になります。これらのスキャンについては、どのようなツールでも調整できるように調整します。「わかりました。ユーザーJohn Smithがいます。このユーザーは、見たり、知ったり、触れたりする必要のないものに、あまりアクセスする必要はありません...彼ができること(または誰か誰が自分の資格情報を盗んだか)?彼はローカルに、特定のマシンなどにエスカレートできますか?.

私は、「あなたのドア(ファイアウォール)を通り過ぎた...なにが?」という前提の下で赤いチームの侵入テスターを実行することの大ファンです。これにより、何をロックし、分離し、緩和し、修正制御を発行するかについて、より良いIMMEDIATEガイダンスが得られます。

1
munkeyoto