本ページでは、スキャンの実行およびスキャン・エンジンの管理について説明します。
Nexposeがスキャン中に大量の電子メールを送付してきます。これは何故おこるのですか?どうすれば止められますか?
ウェブスパイダーはSQLインジェクションテストといった多数のテストを実行しており、これにはウェブアプリケーション・フォームの恒常的送信が含まれます。Nexposeがフォームを送信すると、それ以後はターゲットサーバーまたはデータベース上で起こっている内容についての情報を得られなくなります。このフィードバックなしで、Nexposeはテストプロセスを続行します。過剰な送信を制限する/不適切な文字(特殊文字または記号など)を含む送信を除去するメカニズムを持たないターゲットアプリケーションは、単に送信をポストし続けます。ポスティング方法が電子メールである場合、これらのテストが短期間の大量電子メール送付をトリガする可能性があります。
ポスティング数が過剰になるとサービスの否認が生じる可能性があります。この問題の影響を受けやすいページを回避するよう、ウェブスパイダーを設定することが可能です。これらのページをrobots.txtファイル内で指定して、またはスキャンテンプレートを修正して、特定のパスを除外します。ウェブスパイダーを設定するをご参照ください。
短期間に約100回のフォーム送信をユーザーに許可すると、中身およびそれ自体が脆弱性となることにも注意してください。
また、フォームデータを除外し送信を制限する制御を設定するよう、ウェブ管理者に連絡してください。
発見スキャンは、2つの連続したフェーズ、すなわちデバイス発見とサービス発見において起こります。
デバイス(またはアセット)発見
この初期フェーズ中に、Nexpose は接続リクエストをターゲットアセット宛てに送信して、それらがalive でありスキャンに利用可能であることを確認します。Nexpose はこれらのアセットにコンタクトするために、以下の 3 つの方法のいずれかを使用します:
サービス発見
Nexposeはまた、異なる方法を使用してTCPサービス発見を実行します。SYNフラグ、またはSYN+RST、またはSYN+FIN、またはSYN+ECE付きのパケットを送信可能です。SYN応答を受信した場合、ポートはオープンです。RST応答を受信した場合、Nexposeはポートがクローズドであると見なします。
Nexposeが発見スキャンフェーズでどの方法を使用するかを、設定可能です。アセットの発見を設定するおよびサービス発見を設定するをご参照ください。
Nexposeを適正に機能させるためのネットワークおよびポートの要件を教えてください。
Nexposeセキュリティ・コンソールはネットワークを通じて交信し、4つの主要アクティビティを実行します:
| アクティビティ | 交信のタイプ |
|---|---|
| Nexposeスキャン・エンジン上のスキャン・アクティビティを管理し、それらからスキャンデータを引き出す | アウトバウンド;スキャン・エンジンは40814を傾聴 |
| 脆弱性のチェックおよび機能のアップデートをupdates.rapid7.comのサーバーからダウンロード | アウトバウンド;サーバーはポート80を傾聴 |
| PGP暗号化診断情報をsupport.rapid7.comのサーバーにアップロード | アウトバウンド;サーバーはポート443を傾聴 |
| ウェブ・インターフェース・アクセスをNexposeユーザーに提供 | インバウンド;コンソールはportポート3780を通じてのHTTPSリクエストを受け入れ |
Nexposeスキャン・エンジンはTCP、UDP、およびICMPを使用してターゲットアセットにコンタクトし、スキャンを実行します。スキャン・エンジンは、Nexposeセキュリティ・コンソールとのアウトバウンド交信を開始しません。
スキャン・エンジンとそのターゲットアセットとの間に、ファイアウォールまたは類似のデバイスがないことが理想的です。以下のトピックをご参照ください。
スキャンには、セキュリティポリシーにおけるある程度の柔軟性が必要である場合があります。さらなる情報については、管理者ガイドをご参照ください。サポートページから本書をダウンロード可能です。
Nexposeのスキャン精度向上のためWindowsファイアウォールにどのような変更を行うべきですか?
ドメイン参加環境では、2つのグループポリシー設定を有効化しなければなりません:
スタンドアロン型環境では、遠隔レジストリを開始して、Nexposeが遠隔スキャン対象を正確にフィンガープリントできるようにしなければなりません。
また、2つの標準プロファイル設定を有効化しなければなりません:
Windows Vistaには追加のステップが必要です:
これらのステップの実行方法の詳細な指示については、適切なMicrosoftの文書を参照してください。
Linux topコマンドを実行すると、スキャン完了後でもNexposeがすべての利用可能なメモリを使用中と表示されるのは何故ですか?
Nexposeを実行するホストは、スキャン用およびあらゆるNexposeシステム機能のために、Java仮想マシン(JVM)に割り当てられている、すべてのメモリを使用します。 これは、RAMを使用してスキャンパフォーマンスを最適化するときに覚えておくべき重要事項です。割り当てられたメモリは、Nexposeが再起動しない限りリリースされません。topコマンドは、Nexpose内のメモリ使用量をモニタリングする確実な方法ではありません。
1つの脆弱性のみをチェックするスキャンテンプレートは、どのようにしたら作成できますか?*
スキャンテンプレートを作成・修正しているときに、設定ウィザードの脆弱性ページに移動して、Nexposeにチェックさせる脆弱性を有効化します。特定の脆弱性のチェックを有効化している場合、その他のすべてのチェックが無効になります。
スキャン中の「システムにより一時停止されました」および「メモリが足りないためスキャンを完了できません」のメッセージは何を意味しますか?*
Nexposeは、セキュリティ・コンソール・ホストサーバー上のメモリが危機的に少なくなると、スキャンを一時停止しレポート作成を停止します。これによりサーバー障害の可能性を削減します。しかし、スキャンやレポート作業が完了する前に、セキュリティ・コンソールにより停止される場合があります。これらのメッセージを目にした場合は、ホストシステムのメモリが少なくなっています。
この理由によりスキャンが一時停止される可能性を低減するには、同時スキャン実行数を減らし、スキャンテンプレートにより割り当てられるスキャンスレッドを少なくしてみてください。
これらの変更を行ってもスキャンが完了されない場合、Rapid7技術サポートまでお問い合わせください。
プリンタの脆弱性のチェック中に、スキャンが停滞するまたはプリンタのクラッシュが発生するのは何故ですか?*
プリンタは、スキャンをフリーズさせるまたはその他の望ましくない結果をスキャン中に生じさせる可能性がある、HTTPサービスを有していることが知られています。この問題は、2つのステップで軽減可能です:
現在のスキャンジョブの漸増スキャンデータを見ることができないのは何故ですか?
デフォルトでは、Nexposeはローカル・スキャン・エンジンからの漸増結果のみを検索します。これはNexposeセキュリティ・コンソールと同じホスト上で実行されており、スキャン完了後に遠隔エンジンからのフルセットのスキャン結果を表示します。
スキャン結果にすべてのデバイスが「ALIVE」、または「DEAD」と表示されるのは何故ですか?
セキュリティを重視する環境では、SYN floodプロテクションを提供するファイアウォールが装備されていることが珍しくありません。これにより、Nexposeのようなデバイスが実行する正確なポートスキャンおよびホスト発見が妨げられます。この問題を軽減する1つの方法は、スキャンテンプレート内でのポートスキャンの速度を落として、SYN floodプロテクションがトリガされるのを回避することです。短所は、スキャンの時間が長くなることです。これが動作すると、スキャンは予測よりかなり遅くなります。より良いソリューションは、ファイアウォールでNexposeを「ホワイトリスト」化する設定を行うことです。これにより、Nexposeが通常速度で確実にスキャンを行えるようになります。
注意: 本トピックには、Nexposeのエンタープライズ版でのみ利用可能な機能が含まれています。