资产发现配置包括三个选项:
如果您不选择在自定义扫描模版中配置资产发现,则扫描将以服务发现开始。
判定目标资产是否实时在含有大量资产的环境中十分有用,因为这些资产很难追踪。从扫描任务中过滤出失效资产可帮助减少扫描时间和资源消耗。
接触资产有三种方法:
潜在的负面影响是防火墙或其他保护设备可能阻止发现连接请求,造成目标资产即使在实时的情况下也貌似失效资产。 如果网络中有防火墙,则防火墙会阻止请求,或是因为防火墙的配置目的是阻止符合某些标准的任何数据包访问网络,或是因为防火墙把任何扫描均认作潜在攻击。不论在哪种情况下,本应用程序都会在扫描日志中将资产报告为失效。这会降低您的扫描的整体精确性。留心您部署扫描引擎的位置以及扫描引擎与防火墙交互的方式。参看打造“扫描友好型”环境。
使用多种发现方法会促进更精确的结果。如果本应用程序无法通过一种方法验证资产是否实时,那么它会转用其他方法。
注意: 网络审计和 Internet DMZ 审计模版不包括任何这些发现方法。
外围网络通常装有攻击性强的防火墙,这会钝化资产发现的有效性。所以对于这些类型的资产,效率更高的方法是使本应用程序“假设”一个目标资产是实时的,然后进行到扫描的下一个阶段,即服务发现。这种方法非常耗时,因为本应用程序会检查所有目标资产的端口,不论是否为实时资产。而好处就是精确性,因为此方法可检查所有可能的目标。
扫描引擎默认使用 ICMP 协议,此协议包括一种叫做 ECHO REQUEST(回显请求)、亦称之为 ping 的消息类型,从而在设备发现中寻找出一项资产。防火墙可能丢弃 ping,或是因为防火墙的配置目的是阻止符合某些标准的任何数据包访问网络,或是因为防火墙把任何扫描均认作潜在攻击。不论在哪种情况下,本应用程序均推断设备不存在,并在扫描日志中将其报告为失效。
注意: 同时为设备发现选择 TCP 和 UDP 会造成本应用程序发送比使用一个协议更多的数据包,这样会占用更多的网络带宽。
您可以选择 TCP 和/或 UDP 作为定位实时主机的额外或替代选项。通过这些协议,本应用程序尝试打开连接,在线验证资产是否存在。防火墙经常被配置为允许端口 80 通信,因为它是默认 HTTP 端口,支持网络服务。如果在端口 80 什么都没注册,那么目标资产将向扫描引擎发送“端口关闭”响应,或无响应。这样至少证明了资产在线且端口扫描可以发生。在这种情况下,本应用程序会在扫描日志中将资产报告为实时。
如果您选择 TCP 或 UDP 用于设备发现,请确保根据服务和在目标资产中运行的操作系统指定除 80 外的其他端口。您可以在默认扫描模版,如发现扫描和发现扫描(主动性)中查看 TCP 和 UDP,以了解常用的端口数量。
在获取来自目标资产的响应方面,TCP 比 UDP 更可靠。同时 TCP 也比 UDP 被更多的服务使用。您可能也希望将 UDP 作为补充协议,因为目标设备也更可能阻止更常用的 TCP 和 ICMP 数据包。
如果一个扫描目标在站点配置中被列为主机名,则本应用程序将尝试 DNS 解析。如果主机名没有解析,则它将被认为未解析,而在扫描方面来讲,即等同于失效。
由于 UDP 不包括 TCP 用于保证数据完整和顺序的握手方法,所以 UDP 不是资产发现很可靠的协议。与 TCP 不同,如果 UDP 端口不响应通讯尝试,则通常它被认为是开放的。
资产发现可以有效地促进精确度。同时,禁用资产发现可能实际上增加扫描时间。本应用程序只有在验证资产是实时后才会对其扫描。否则程序会继续前进。例如,如果应用程序第一次验证 50 个主机在稀疏 C 类网络中是实时的,则它可以消除不必要的端口扫描。
启用 ICMP 和配置干预防火墙以准许在本应用程序和目标网络之间交换 ICMP 回显请求和应答数据包是很好的想法。
确保 TCP 亦被启用用于资产发现,特别是如果您的互联网网络内有非常严格的防火墙规则。考虑到 UDP 端口的可靠性问题,启用 UDP 可能是多余的做法。若要对 UDP 端口做出判断,则对比时间的值衡量彻底性(精确性)的值。
如果您不选择任何发现方法,则扫描将假设所有目标资产是实时的并立即开始服务发现。
如果本应用程序使用 TCP 或 UDP 方法进行资产发现,则它会向具体端口发送请求数据包。如果本应用程序接触了一个端口并接收到端口是开放的响应,则它将报告主机为“实时”并继续扫描。
PCI 审计模版包括额外用于发现的 TCP 端口。对 PCI 扫描来说,不错过任何实时资产是十分重要的。
在执行漏洞检查前,您可以收集关于已发现资产和被扫描网络的某些信息。所有这些发现设置都是可选项。
本应用程序可以询问 DNS 和 WINS 服务器以找到其他可能被扫描的网络资产。
微软开发了 Windows Internet 名称服务 (WINS),用于在 NT 3.5 LAN 管理器环境中的名称转换。本应用程序可以询问此广播协议以定位 Windows 工作站和服务器的名称。WINS 通常不是必须选项。WINS 最初被设计为一种系统数据库应用程序,用以支持 NETBIOS 名称转换为 IP 地址。
如果您启用发现其他网络资产的选项,则本应用程序将发现和询问 DNS 和 WINS 服务器,获取所有受支持资产的 IP 地址。应用程序将把资产加入已扫描系统列表。
注意: Whois 不与内部 RFC1918 地址配合工作。
Whois 是一种 Internet 服务,可获取关于 IP 地址的信息,如拥有此地址实体的名称。如果 Whois 服务器在网络中不可用,则您可以通过不要求询问每一个已发现资产的 Whois 服务器,从而提高扫描引擎的性能。
本应用程序通过一套叫做 IP 指纹识别的方法,会尽可能多地识别出关于已发现资产的细节。通过扫描一项资产的 IP 堆栈,本应用程序会识别出关于资产硬件的指标,如操作系统,或许还有在系统运行的各应用程序。对 IP 指纹识别的设置可影响性能三角中的精确性。
重试设置定义了本应用程序将重复多少次尝试以指纹识别 IP 堆栈。默认的重试值为 0。每项资产的指纹识别最多花费一分钟。如果第一次无法指纹识别出 IP 堆栈,那么进行第二次尝试也就是浪费时间。但您仍可以设置任何次数的重试 IP 指纹识别。
不论您是否真得启用 IP 指纹识别,本应用程序都将使用其他指纹识别方法,如分析端口扫描服务数据。例如,通过发现目标资产的互联网信息服务 (IIS),应用程序可以判断资产是否为 Windows 网络服务器。
范围在 0.0 至 1.0 之间的确定值反映了资产被指纹识别后的确定性程度。如果某指纹识别低于最小确定值,则本应用程序会丢弃此资产的 IP 指纹识别信息。与资产发现相关的性能设置一样,这些设置亦均以最佳实践而仔细定义,所以它们是完全一样的。
收集关于已发现资产的信息的配置步骤:
您可以配置扫描来报告未经授权的 MAC 地址为漏洞。媒体访问控制 (MAC) 地址是一种硬件地址,可特别识别网络中的每一个节点。
在 IEEE 802 网络中,OSI 参考模型的数据链路控制 (DLC) 层被分为两个子层:逻辑链路控制 (LLC) 层和媒体访问控制 (MAC) 层。MAC 层直接与网络媒体接合。每一种不同类型的网络媒体需要一个不同的 MAC 层。在网络中,不符合 IEEE 802 标准但却符合 OSI 参考模型的节点地址被称作数据链路控制 (DLC) 地址。
在安全环境中,可能有必要保证只有某些机器才能连接到网络。同时,必须具备某些条件才能成功探测出未经授权的 MAC 地址:
若要使本应用程序执行验证扫描以获取 MAC 地址,则执行以下步骤:
控制台将显示此站点的站点配置面板。
控制台将显示新登录方框。
关于配置凭证的详细信息,请参看 配置扫描凭证。
新登录信息将出现在凭证页面。
若要创建一份受信任的 MAC 地址列表可执行以下步骤:
Windows 安装的默认路径为:
C:Program Files\[installation_directory]\plugins\java\1\NetworkScanners\1\[file_name]
Linux 安装的默认路径为:
/opt/[installation_directory]/java/1/NetworkScanners/1/[filename]
若要启用报告扫描模版中的未经授权 MAC 地址,可执行以下步骤:
在受信任 MAC 文件准备就绪并已设置好扫描仪值后,本应用程序将执行受信任 MAC 漏洞测试。为实现此目的,应用程序必须首先向目标资产提出直接 ARP 请求以获得自己的 MAC 地址。应用程序还将从控制区段的路由器或交换机中检索 ARP 表。然后,程序会使用 SNMP 从资产中检索 MAC 地址并使用其 NetBIOS 名称询问资产以检索其 MAC 地址。