|
|
検出スキャンを実行すると、インターネット(ペリミターデバイス)またはイントラネット(内部デバイス)から見た場合のネットワークデバイスのインベントリを示すマップが作成されます。検出スキャンを定期的に実行すると、常に変化を続けるネットワークを追跡することができます。ファイアウォールルールまたは DNS 設定が変更されることにより、侵入者が必要以上の情報を入手する危険があります。マップは、ネットワーク上に悪意を持って設置された可能性のある仮想ホストなど、不正なデバイスやサービスを検出するための手段でもあります。
ネットワークペリミターをマップする場合ネットワークペリミターをマップする場合
マップには、インターネットから“ 見る ”ことができるデバイスが含まれています。ネットワーク要素を外側からの視点で見ることができます。ネットワーク検出の範囲には、ドメインの DNS(ドメインネームサーバ)をとおしてドメインで見つかったデバイスに加えて、それらのデバイスとインターネットの間のデバイスが含まれます。
内部ネットワークをマップする場合内部ネットワークをマップする場合
Scanner Appliance を使用して、内部ネットワーク上に見えるデバイスのマップを作成します。アプライアンスは、ネットワーク環境内にインストールされ、インターネットから“ 見る ”ことができるすべてのデバイスを検出してマップします。ネットワーク検出の範囲には、ネットワーク内の内部 DNS をとおしてドメインで見つかったデバイスに加えて、それらのデバイスと Scanner Appliance の間のデバイスが含まれます。
デバイスとして、ルータ、管理可能なスイッチとハブ、オペレーティングシステム、ファイアウォール、Web サーバ、FTP サーバ、LDAP サーバ、ロードバランシングサーバが識別されます。
検出された各ホストについて、ホストで実行されているサービスのリストが表示されます。リストに示された各サービスについて、そのサービスを識別するために使われた検出方法、およびそのサービスが実行されていたポート(可能な場合)が表示されます。これらの詳細を表示するには、マップ結果にある任意のホストの横にある黒色の矢印をクリックするだけです。
次の検出方法があります。
「ICMP」 -マッピングサービスが、ホストから ICMP パケットを受信しました。
「TCP Port」 -マッピングサービスが、開いている TCP ポート <番号> を検出しました。
「UDP Port」 -マッピングサービスが、開いている UDP ポート <番号> を検出しました。
「DNS」 -マッピングサービスが、ドメイン内の名前をこのホストの IP アドレスに解決しました。
「Reverse DNS」 -マッピングサービスが、このホストの IP アドレスをドメイン内の名前に解決しました。
「DNS Zone Transfer」 -ゾーン転送によって検出されました。
「TCP RST」 -マッピングサービスが、このホストから TCP リセットパケットを受信しました。
「Traceroute」 -マッピングサービスが、traceroute によってこのホストを検出しました。
「Other Protocol or ICMP」 -マッピングサービスが、TCP、UDP、ICMP 以外のプロトコルの IP パケットをこのホストから受信しました。
「Other TCP Ports」 -マッピングサービスが、調査されたポートの一覧に送信元ポートがない TCP パケットを受信しました。
各マップの完了時に E メールで通知を受け取るように設定することが可能です。E メールにより、結果のサマリと保存されたレポートへの安全なリンクが通知されます。ユーザ名の下にある「User Profile」を選択して「Options」項に移動し、「Map Notification」を選択します。この他にも使用できる E メール通知があります。
「Target Domains」の「Domains/Netblocks」フィールドに、ドメインおよびネットブロックが定義されたドメインを入力します。入力する登録ドメイン名は、マッピングで使用できるように、アカウントに存在している必要があります(「Assets」->「Domains」)。
ネットブロックがドメイン設定の一部として(ドメインリストで)既に指定されている場合は、マップを開始するときにドメイン名のみを指定します。ネットブロックは自動的に使用されます。ただし、ネットブロック全部をマップする必要がない場合は、ネットブロックの一部を入力することができます。
ドメインとネットブロックを入力する他の方法を参照ドメインとネットブロックを入力する他の方法を参照
次の形式を使用してドメインとネットブロックを入力します。
入力 |
例 |
単一のドメイン |
mydomain.com |
複数のドメイン |
mydomain.com,corp1.com |
ネットブロックのあるドメイン |
mydomain.com:[167.216.205.1-167.216.205.20] |
複数のネットブロックのあるドメイン |
mydomain.com:[167.216.205.1-167.216.205.20, 167.216.205.40-167.216.205.59] |
1 つの IP を含むネットブロックのあるドメイン |
mydomain.com:[167.216.205.1] |
1 つのドメインを入力して 1 つのマップが作成される例表示1 つのドメインを入力して 1 つのマップが作成される例表示
1 つのドメイン名を入力すると、そのドメインについて 1 つのマップが作成されます。
ドメイン/ネットブロック |
作成されたマップ(1) |
corp1.us.com |
対象: corp1.us.com |
2 つのドメインを入力して 2 つのマップが作成される例表示2 つのドメインを入力して 2 つのマップが作成される例表示
2 つのドメイン名を入力すると、2 つのマップが作成されます。3 つのドメインを入力すると、3 つのマップが作成されます。以下同様に続きます。
ドメイン/ネットブロック |
作成されたマップ(2) |
corp1.us.com,corp2.us.com |
対象: corp1.us.com 対象: corp2.us.com |
「Target Domains」の「Domains/Netblocks」フィールドに、IP および IP の範囲を入力します。入力する IP は、アカウントの「None」ドメインの一部である必要があります。
IP アドレスおよび範囲のマッピングに関する重要事項:
1)「None」ドメインの定義 - ドメインアセットリスト(「Assets」->「Domains」)を開き、「None」ドメインがアカウントに既に定義されているかどうかを確認します。「Domains/Netblocks」フィールドに IP アドレス/範囲を手動で入力する場合、その IP アドレスは「None」ドメインの設定に含まれている必要があります。アセットグループから IP をマップした場合は、その IP を「None」ドメイン設定の一部にする必要はありません。詳細
2)マップオプションの確認 - ドメインなしで IP アドレスおよび範囲をマップする場合、タスクに適用するオプションプロファイルで、マップオプション「Perform live host sweep」が有効になっていることを確認します。
IP のみを入力して 1 つのマップが作成される例表示IP のみを入力して 1 つのマップが作成される例表示
IP/範囲を入力すると、特殊な「None」ドメインを使用して 1 つのマップが作成されます。マップ対象には「None」ドメインと、手動で入力された IP を反映するネットブロックが表示されます。
ドメイン/ネットブロック |
作成されたマップ(1) |
64.41.134.59-64.41.134.61,10.10.10.1,10.10.10.9 |
対象: none:[64.41.134.59-64.41.134.61,10.10.10.1,10.10.10.9] |
IP とドメインを入力して複数のマップが作成される例表示IP とドメインを入力して複数のマップが作成される例表示
IP とドメインを入力すると、複数のマップが作成されます。IP に対して 1 つのマップが作成され、ドメインごとに 1 つのマップが作成されます。
ドメイン/ネットブロック |
作成されたマップ(3) |
10.10.10.1,10.10.10.9,64.41.134.59-64.41.134.61, |
対象: none:[10.10.10.1,10.10.10.9,64.41.134.59-64.41.134.61] 対象: mydomain.com 対象: qualys-test.com |
「Target Domains」の「Asset Groups」フィールドに 1 つまたは複数のアセットグループを入力します。次に「Domains」チェックボックスや「IPs」チェックボックスを選択することで、対象になるアセット(ドメインや IP)をアセットグループで特定します。
「Domains」を選択した場合、アセットグループ内の各ドメインに対し個別のマップが作成されます。
「IPs」を選択した場合、すべてのグループの IP アドレスを含む各アセットグループに対し単一のマップが作成されます。マップレポートは、“ none:[netblock] ”として各グループに対する対象のドメインを一覧表示します。このネットブロックには、アセットグループからの IP アドレスが含まれます。アセットグループから IP をマップした場合、その IP を「None」ドメイン設定の一部にする必要はありません。
アセットグループの例:
“ New York ”グループには、次のアセットが含まれているとします。
ドメイン: corp1.newyork.com および corp2.newyork.com
IP: 64.41.134.59-64.41.134.61
“ London ”グループには、次のアセットが含まれているとします。
ドメイン: corp3.london.com および corp4.london.com
IP: 10.10.10.1-10.10.10.100,10.10.10.115
これらのアセットグループからドメインをマップする場合これらのアセットグループからドメインをマップする場合
アセットグループに New York と London を入力し、「Domains」チェックボックスのみをオンにすると、4 つのマップが作成されます(ドメインごとに 1 つ)。
アセットグループ |
作成されたマップ(4) |
New York、London アセットグループのアセット: [X] Domains [ ] IPs |
対象: corp1.newyork.com 対象: corp2.newyork.com 対象: corp3.london.com 対象: corp4.london.com |
注記: 各対象アセットグループのドメインごとに別個のマップレポートが自動的に作成されます。複数のアセットグループに同じドメイン名が含まれている場合は、重複するマップレポートが生成されます。例えば、対象アセットグループの New York と London に同じドメイン“ mydomain.com ”が含まれている場合、“ mydomain.com ”のマップレポートが 2 つ生成されます。
これらのアセットグループから IP をマップする場合これらのアセットグループから IP をマップする場合
アセットグループに New York と London を入力し、「IPs」チェックボックスのみをオンにすると、2 つのマップが作成されます(各グループに 1 つずつ)。
アセットグループ |
作成されたマップ(2) |
New York、London アセットグループのアセット: [ ] Domains [X] IPs |
対象: none:[64.41.134.59-64.41.134.61] 対象: none:[10.10.10.1-10.10.10.100,10.10.10.115] |
これらのアセットグループからドメインと IP をマップする場合これらのアセットグループからドメインと IP をマップする場合
アセットグループに New York と London を入力し、「Domains」チェックボックスと「IPs」チェックボックスの両方をオンにすると、6 つのマップが作成されます。
アセットグループ |
作成されたマップ(6) |
New York、London アセットグループのアセット: [X] Domains [X] IPs |
対象: corp1.newyork.com 対象: corp2.newyork.com 対象: corp3.london.com 対象: corp4.london.com 対象: none:[64.41.134.59-64.41.134.61] 対象: none:[10.10.10.1-10.10.10.100,10.10.10.115] |
CSV 形式でレポートをダウンロードできます。「Scans」->「Setup」->「Excluded Hosts」を選択すると、どのユーザが開始するかに関係なく、すべてのマップとスキャンから除外される IP のリストを作成できます。除外されるホストは、マップ対象の一部として指定された場合であってもスキャンされません。
除外したホストがマップ結果に表示される理由除外したホストがマップ結果に表示される理由
これは、ホストが DNS 方式によって検出されるときに、このサーバがマップ対象にあるホストの DNS 名の解決に使用されていると発生することがあります。
スキャンオプションプロファイルでマップ設定を変更することにより、マップをカスタマイズできます。「Scans」->「Option Profiles」を選択して、使用可能なオプションプロファイルを表示するか、またはカスタムプロファイルを作成します。特定のニーズに対応するために、ホスト検出でスキャンするポート、スキャン中に検出されたホストの基本情報を収集するためにスキャンするポート、パフォーマンス設定など、いくつかの設定を調整できます。
ネットワーク検出オプションは、オプションプロファイルで設定できます。
「Host Discovery」オプション「Host Discovery」オプション
ネットワーク検出(マッピング)中、最初にどのホストが稼動中であるのかが識別されます。ICMP、TCP、および UDP プローブを使用して、対象ドメインのネットブロックにあるすべてのホストに ping を送信します。TCP および UDP のプローブは、DNS、TELNET、SMTP、HTTP、SNMP などの一般的なサービスのデフォルトポートに送信されます。これらのプローブによりホストから少なくとも 1 つの応答がトリガされた場合、ホストは稼動中と見なされ、レポートが生成されます。これらのポートおよびサービスは設定で変更可能です。
「Perform Live Host Sweep」オプション「Perform Live Host Sweep」オプション
DNS 検出方法(DNS、Reverse DNS、DNS Zone Transfer)を使用してデバイスの検出のみを実行するために、稼動中のホストスイープを無効にすることもできます。アクティブなプローブは送信されません。ドメイン設定の一部ではない IP のマップを行う場合は、「Perform Live Host Sweep」がオンになっていることを確認します。
「Disable DNS traffic」オプション「Disable DNS traffic」オプション
このオプションは、例えば none:[10.10.10.2-10.10.10.100] のように、対象のドメイン名に複数のネットブロックが含まれている場合にのみ有効です。ネットブロックにある IP アドレスに対してのみネットワーク検出が実行されます。DNS の正引きまたは逆引き検索、DNS ゾーン転送、または DNS の推測/総当たりは実行されず、また DNS 情報はマップ結果には含まれません。
このオプションは、Scanner Appliance でアセットグループをマップするために使用されます。ドメイン/IP を検出する各アセットグループで定義されているデフォルトのスキャナを使用するには、スキャナオプションで「Default」を選択します。複数の対象がある場合は、複数のマップ(対象ごとに 1 つずつ)が作成されます。対象に対する検出スキャンは、一度に 1 つずつ順に実行され、それぞれのマップは、1 つの Scanner Appliance を使用して作成されます
例えば、グループ ABC には Domain1 が含まれており、デフォルトスキャナは SA_ABC であるとします。Group XYZ には Domain2 と Domain3 が含まれており、デフォルトスキャナは SA_XYZ であるとします。マップリクエストに両方のグループが含まれ、Scanner Appliance オプションで「Default」が使用されている場合、次の 3 つのマップが得られます(各ドメインに 1 つずつ)。
- Domain1 は SA_ABC を使用してマップされます。
- Domain2 は SA_XYZ を使用してマップされます。
- Domain3 は SA_XYZ を使用してマップされます。
スキャナはスキャン対象のホストに到達できる必要があります。「Help」->「About」を表示して、許可リストに追加する必要のある外部スキャナの IP アドレスを表示します。内部スキャンで Scanner Appliance が接続できる必要がある URL のリストも表示されます。
スキャントラフィックがファイアウォールを経由して内側から外側へルーティングされる場合、つまり Scanner Appliance が保護されているネットワーク領域内にあり、ファイアウォールの反対側にある対象をスキャンする場合、問題が生じることがあります。詳細
Scanner Appliance オプションが表示されるのは、アカウントに Scanner Appliance がある場合に限られます。Scanner Appliance がない場合であっても、当社の外部スキャナを使用してネットワークペリミターをマップすることは可能です。
サポートまたはテクニカルアカウントマネージャに、1)物理 Scanner Appliance を出荷してもらうか、2)サブスクリプションの「Virtual Scanner」オプションを有効にしてもらうことで、Virtual Scanner イメージをダウンロードしてスキャナの設定を簡単な手順で行うことができます。