스캔 자격 증명 구성
이 주제의 내용:
관련 주제:
자격 증명을 통해 스캔하는 경우 네트워크와 자산에 대한 정보를 수집할 수 있습니다. 자산에 대한 보다 광범위한 취약점 또는 보안 정책 위반을 조사할 수 있습니다. 또한, 인증된 스캔을 통해 소프트웨어 애플리케이션 및 패키지를 검사하고 패치를 확인할 수 있습니다. 자격 증명을 통해 사이트를 스캔하면, 해당 사이트의 대상 자산이 스캔 엔진을 권한 있는 사용자로 인증합니다.
이 섹션의 주제에서는 사이트의 자격 증명 설정 및 테스트, 여러 사이트에서 사용할 수 있는 공유 스캔 자격 증명에 대해 설명합니다. SSH 공용 키 및 LM/NTML 해시와 같은 특정 인증 옵션에서는 추가 단계가 필요하며 관련 주제에서 이를 설명합니다. 권한 상승을 통한 인증 확장과 같이 자격 증명을 최대로 활용하는 모범 사례도 배울 수 있습니다.
공유 자격 증명 vs. 사이트별 자격 증명
사용자의 역할 또는 권한에 따라 애플리케이션에 생성할 수 있는 2가지 유형의 스캔 자격 증명:
- 공유 자격 증명은 여러 사이트에서 사용할 수 있습니다.
- 사이트별 자격 증명은 자격증명이 생성된 사이트에서만 사용할 수 있습니다.
사용자의 역할 또는 권한에 따라 각 자격 증명을 통해 사용자가 수행할 수 있는 작업의 범위:
| 자격 증명 유형 |
생성 방법 |
글로벌 관리자 또는 사용자가 사이트 관리 권한을 통해 수행할 수 있는 작업 |
사이트 소유자가 수행할 수 있는 작업 |
| 공유 |
사이트 관리 권한이 있는 글로벌 관리자 또는 사용자가 관리자 > 공용 계정 페이지에서 생성합니다. |
자격 증명을 생성, 편집, 삭제. 사이트에 할당, 자산으로 제한합니다. 사이트에서 자격 증명 사용을 설정 또는 해제합니다. |
사이트 소유자가 액세스할 수 있는 사이트에서 자격 증명 사용을 설정 또는 해제합니다. |
| 사이트별 |
글로벌 관리자 또는 사용자가 특정한 사이트에서 자격 증명을 구성합니다. |
사이트 소유자가 액세스할 수 있는 특정한 사이트: 해당 사이트에서 자격 증명을 생성, 편집, 삭제, 사용 설정 또는 해제합니다. |
사이트 소유자가 액세스할 수 있는 특정한 사이트: 해당 사이트에서 자격 증명을 생성, 편집, 삭제, 사용 설정 또는 해제합니다. |
자격 증명 및 전문가 시스템
이 애플리케이션은 여러 작업을 연결하여 스캔 시 최상의 결과를 얻기 위해 스캔 기술의 핵심 영역에서 전문 시스템을 사용합니다. 예를 들어, 이 애플리케이션이 자산에 로컬 액세스하기 위해 기본 구성을 사용할 수 있는 경우 이러한 액세스를 통해 추가적인 작업을 트리거할 것입니다. 이러한 접근 방식의 이점이 요약되어 있는 Nexpose 전문 시스템 문서를 http://information.rapid7.com/using-an-expert-system-for-deeper-vulnerability-scanning.html?LS=2744168&CS=web에서 확인할 수 있습니다. 전문 시스템의 효과는 사용자가 제공한 자격 증명으로부터 직접 예상되는 결과 이외의 스캔 결과를 확인할 수 있다는 것입니다. 예를 들어, 일부 스캔 대상을 지정된 자격 증명을 통해 액세스할 수는 없지만 기본 암호로 액세스할 수 있는 경우에도 해당 검사의 결과를 확인할 수 있습니다. 이러한 동작은 해커의 방식과 유사하며 이를 통해 Nexpose는 다른 스캐너가 찾을 수 없는 취약점을 찾을 수 있습니다.