web-dev-qa-db-ja.com

ネットワークスキャナーでの資格情報の使用

ネットワークデバイスをスキャンするために、TenableのNessusスキャナーとeEyeのRetinaの両方をテストしています。より深く、より正確な結果を得るために資格情報を提供しようとしていますが、資格情報を提供するかどうかにかかわらず、結果に違いはないようです。ドキュメントを読みましたが、資格情報オプションのすべての論理設定を試したようです。デバイス上のさまざまなアカウントとアカウントの種類(SSH資格情報とWebアプリケーション資格情報の両方)のユーザー名とパスワード、およびそれぞれのドメイン名(該当する場合)を一緒に送信しました。

どちらか(または両方)のスキャナーで、これらの資格情報が提供されている場所(ある場合)と、それらのいずれかが正常に認証されているかどうかを確認するための適切なテストはありますか?

2
grossmae

一部のWindowsシステムをスキャンしている場合は、セキュリティイベントログをチェックして、スキャナーからの認証の試行が有効かどうかを確認できます。スキャナーからの接続試行が認証された場合、スキャナーは資格情報によって提供されたアクセス権を持っていました。スキャナーが「より深くスキャン」するように適切に構成されているかどうかは別の問題です。

2
David Yu

自動化されたシステムで認証の問題をデバッグしようとすると、確かに注意が必要です。認証はスキャナーが試みるfirstのことではありませんが、スキャンプロセスのかなり早い段階です。システムが行うことは、いくつかの最も一般的なポートを調べるポートスキャンを開始することです。リモート認証ポートが開いている場合は、認証を試み、資格情報のチェックを実行します。 WindowsではこれはTCPポート445、Linux/UnixではTCPポート22です。

この種の認証ではうまくいかないことがたくさんあるので、これらは私が試みるステップです:

  1. 認証していますが、リモートチェックを実行できませんか?派手なフィルタリングシステムを使用して、PluginID 21745を探します。これは、スキャナーが認証に失敗したかどうかをテストする一種のメタプラグインです。このプラグインがレポートに含まれている場合、認証は失敗しました。これは、認証に失敗したという最初の仮定を証明するための、素晴らしく高速な方法です。
  2. スキャンポリシーにローカルチェックが含まれていますか? Webインターフェースから、使用しているポリシーを開き、「プラグイン」タブを選択して、「プラグインタイプ->等しい->ローカル」というフィルターを追加します。
  3. スキャンレポートをチェックして、ポート22が開いているとリストされていることを確認します。そうでない場合は、ホストのファイアウォール設定を確認する必要があり、場合によっては/etc/ssh/sshd_configを確認する必要があります。
  4. ユーザー自身がリモートホストにログインできるかどうかを確認してください。 Nessusスキャナーからssh [email protected]を試して、実際に認証できるかどうかを確認してください。それでもユーザー名とパスワードが機能しない場合は、システム管理者が関与してリモートホスト上のユーザーを修正する必要があります。
  5. リモートホストは、パスワードではなくキーベースの認証を期待していますか?その場合は、公開鍵がリモートホストのauthorized_keyファイルに正しく配置されていることを確認してください。公開鍵必須はエントリごとに1行であり(コピー/貼り付けから新しい行が導入されることに注意してください)、アクセス許可は.sshフォルダに対して適切に厳密であることを忘れないでください。
  6. スキャンプロファイルを見てください。このプロファイルを別のスキャナーからコピーした場合、または既存のプロファイルのコピーとして作成した場合は、保存されたパスワードが付属していない可能性があります。それらを再度インポートします。
  7. これがすべて失敗した場合は、サポートに連絡してみます。 ProfessionalFeedの料金を支払っているので(そしてFAQそれ以外の場合はライセンスに違反している)の仮定に基づいて)、アクティベーションキーを取得したのと同じ場所でチケットを提出できます。

そうは言っても、私がever認証されたLinux/Unixチェックにパスワード認証を使用しようとしたとは言えません。システムは、公開鍵と秘密鍵のペアを非常に簡単に想定している可能性があります。

2
Scott Pack