이 페이지는 스캔 실행 및 스캔 엔진 관리에 대해 다룹니다.
Nexpose가 스캔 시 수백 개의 이메일을 발송합니다. 그 이유는 무엇이며 이를 중지하려면 어떻게 해야 합니까?
웹 스파이더는 SQL 인젝션 테스트와 같은 여러 테스트를 수행하면서 웹 애플리케이션 양식을 계속 제출합니다. Nexpose는 특정한 양식을 제출하면 대상 서버 또는 데이터베이스 상태에 대한 정보를 더 이상 수집할 수 없습니다. 응답이 없으면 Nexpose는 테스트 프로세스를 계속 진행합니다. 대상 애플리케이션에 과도한 수의 제출을 제한하거나 특수한 문자 또는 기호와 같은 부적합한 문자로 된 제출을 스크러빙하는 매커니즘이 없으면 이러한 제출이 계속해서 발송됩니다. 발송 방법이 이메일이면 이러한 테스트는 짧은 시간에 대량의 이메일을 생성합니다.
과도한 발송 횟수는 서비스 거부의 원인이 될 수 있습니다. 이러한 문제가 발생할 수 있는 페이지를 방지하기 위해 웹 스파이더를 구성할 수 있습니다. 이러한 페이지를 robots.txt 파일에 명시하거나 특정한 경로를 제외하도록 스캔 템플릿을 변경하십시오. 웹 스파이더링 구성을 참조하십시오.
또한 짧은 시간에 사용자가 양식을 약 100회 제출할 수 있도록 허용하는 것 자체가 취약점이 될 수 있습니다.
형식 데이터 스크러빙 및 제출 제한 관리를 설정하려면 웹 관리자에게 문의하십시오.
Nexpose가 검색 스캔을 수행하는 방식은 무엇입니까?
검색 스캔이 실행되는 두 개의 순차적 단계로는 디바이스 검색과 서비스 검색이 있습니다.
디바이스 또는 자산 검색
이 단계에서, Nexpose는 자산이 활성 자산이며 스캔이 가능한지 확인하기 위해 대상 자산에 연결 요청을 전송합니다. Nexpose가 자산에 연결 요청을 보내는 3가지 방법:
서비스 검색
Nexpose는 또한 다양한 TCP 서비스 검색 방법을 사용합니다. SYN 플래그, 또는 SYN+RST 또는 SYN+FIN 또는 SYN+ECE를 통해 패킷을 전송합니다. SYN 응답이 수신되면 포트가 개방됩니다. RST 응답이 수신되면 Nexpose는 포트가 닫힌 것으로 인식합니다.
Nexpose가 검색 스캔 단계에 사용하는 방법을 구성할 수 있습니다. 자산 검색 구성 및 서비스 검색 구성을 참조하십시오.
Nexpose가 정상적으로 작동하기 위한 네트워크 및 포트 요건은 무엇입니까?
Nexpose 보안 콘솔이 네트워크 통신을 통해 수행하는 4가지 주요 작업:
| 작업 | 통신 유형 |
|---|---|
| Nexpose 스캔 엔진에서 스캔 작업을 관리하고 스캔 데이터 수집 | 아웃바운드, 스캔 엔진이 40814에서 수신 실행 |
| updates.rapid7.com 서버에서 취약점 검사 및 기능 업데이트 다운로드 | 아웃바운드, 서버가 포트 80에서 수신 실행 |
| support.rapid7.com 서버로 PGP암호화 진단 정보 업로드 | 아웃바운드, 서버가 포트 443에서 수신 실행 |
| Nexpose 사용자에게 웹 인터페이스 액세스 제공 | 인바운드, 콘솔이 포트 3780에서 HTTPS 요청 수락 |
Nexpose 스캔 엔진은 TCP, UDP 및 ICMP를 통해 대상 자산에 접속하여 스캔을 수행합니다. 스캔 엔진은 Nexpose 보안 콘솔과 아웃바운드 통신을 개시하지 않습니다.
스캔 엔진과 대상 자산 간에 방화벽 또는 유사한 디바이스가 없는 것이 좋습니다. 다음 주제를 참조하십시오.
스캔을 위해서는 보다 유연한 보안 정책이 필요합니다. 자세한 내용은 관리자 가이드를 참조하십시오. 이 문서는 지원 페이지에서 다운로드할 수 있습니다.
Nexpose가 스캔을 정확하게 수행하기 위해서 Windows 방화벽에 필요한 변경 사항은 무엇입니까?
도메인에 연결된 환경에 필요한 두 가지 그룹 정책 설정:
독립 실행형 환경에서는 Nexpose가 원격 스캔 대상을 정확하게 핑거 프린팅할 수 있도록 원격 레지스트리를 실행해야 합니다.
2가지 필수적인 표준 프로필 설정:
Windows Vista에 추가로 필요한 단계:
이러한 단계를 수행하기 위한 상세한 지침은 해당 Microsoft 문서를 참조하십시오.
Linux top 명령을 실행할 때 Nexpose가 스캔이 완료된 후에도 모든 가용 메모리를 사용하는 것처럼 보이는 이유는 무엇입니까?
Nexpose가 실행되는 호스트가 스캔 및 모든 Nexpose 시스템 기능을 위해 JVM(Java Virtual Machine)에 할당된 모든 메모리를 사용합니다. 스캔 성능 최적화를 위해 RAM을 사용할 때 이 점을 염두에 두어야 합니다. 할당된 메모리는 Nexpose가 재시작되지 않으면 해제되지 않습니다. top 명령은 Nexpose의 메모리 사용을 모니터링하는 확실한 방법이 아닙니다.
1개의 취약점만 검사하는 스캔 템플릿은 어떻게 생성합니까?*
스캔 템플릿을 생성 또는 변경하려면 구성 마법사의 취약점 페이지에서 Nexpose(으)로 검사하려는 취약점을 설정합니다. 특정한 취약점 검사를 설정하면 다른 모든 검사가 해제됩니다.
스캔 중 "시스템에 의해 중지" 및 "스캔 완료를 위한 메모리가 충분하지 않음" 메시지가 나타나는 이유는 무엇입니까?*
보안 콘솔 호스트 서버의 메모리가 매우 부족할 때 Nexpose는 스캔을 일시 중지하고 보고서 생성을 중단합니다. 이는 서버 장애가 발생할 가능성을 줄입니다. 하지만 이런 경우 보안 콘솔의 스캔 또는 보고 작업이 완료되기 전에 중단될 수 있습니다. 이 메시지가 나타나는 것은 호스트 시스템의 메모리 용량이 부족하기 때문입니다.
스캔이 이러한 이유로 중지되는 것을 방지하려면 동시 스캔의 수를 줄이거나 스캔 템플릿에 의해 할당된 스캔 스레드 수를 줄이십시오.
이러한 변경을 적용한 후에도 스캔을 완료할 수 없는 경우 Rapid7 기술 지원에 문의하십시오.
프린터에서 취약점 검사 시 스캔이 중지되거나 프린터 충돌이 발생하는 이유는 무엇입니까?*
프린터에서는 스캔을 중지시키거나 예상치 못한 결과를 발생시킬 수 있는 HTTP 서비스가 있습니다. 이 문제를 방지하는 두 가지 단계:
현재 스캔 작업의 증분 스캔 데이터를 확인할 수 없는 이유는 무엇입니까?
Nexpose는 기본적으로 Nexpose 보안 콘솔과 동일한 호스트에서 실행되는 로컬 스캔 엔진에서만 증분 데이터를 검색하며 스캔이 완료된 후 원격 엔진의 전체 스캔 결과를 표시합니다. Nexpose가
스캔 결과에서 모든 디바이스가 "활성" 또는 "비활성"으로 나타나는 이유는 무엇입니까?
보안이 중요한 환경에서 SYN 플러딩 보호를 제공하는 방화벽이 Nexpose와(과) 같은 디바이스의 정확한 포트 스캔 및 호스트 검색을 방해하는 경우가 종종 있습니다. 이 문제를 방지하는 한 가지 방법은 스캔 템플릿의 포트 스캔 속도를 줄이고 SYN 플러딩 보호 트리거를 방지하는 것입니다. 이때 스캔에 더욱 많은 시간이 걸릴 수 있습니다. 이 방법이 적용되면 스캔 속도가 예상보다 훨씬 느려집니다. 더 좋은 방법은 방화벽이 Nexpose를 "화이트리스트"에 추가하도록 구성하는 것입니다. 이렇게 하면 Nexpose가 스캔을 정상적인 속도로 안정적으로 실행할 수 있습니다.
注意: 이 주제는 Nexpose 엔터프라이즈 버전에서만 제공되는 기능에 대해 다룹니다.