「Additional」タブでは、ホスト検出時にスキャンするポート、スキャン時に送信される TCP パケットの特定タイプを無視する機能など、スキャンとマップの両方に影響を及ぼす追加の設定を行うことができます。
下記の項に移動します。
重要 - これらの設定は、特別な場合にのみカスタマイズしてください。例えば、「Standard」ポートリストに含まれないポートを追加するには、ファイアウォール/IDS をトリガするプローブを削除するか、ICMP ping に応答する稼動ホストのみを検出します。
ホストの検出中に送信されるプローブとスキャンされるポートを選択します。サービスが ICMP を使用して、すべての対象ホストの TCP プローブと UDP プローブの応答確認を行い、応答パケットを分析して、どのホストが“ 稼動中 ”かを判断します。
デフォルト設定を変更すると、稼動中のすべてのホストが検出されなくなり、検出されなかったホストで脆弱性をスキャンできなくなる可能性があります。
ホスト検出中、TCP SYN パケットに加え、ポート21、22、23、25、53、80、110、111、135、139、443、445、5631 にも送信されます。デフォルトでは、以下の送信も行われます。
- TCP ACK パケットに加えて、ソースポート 80 と宛先ポート 2869
- TCP ACK パケットに加えてソースポート 25 と宛先ポート 12531
- TCP SYN+ACK パケットに加えて、ソースポート 80 と宛先ポート 41641
これらのパケット送信を行いたくない場合は、オプションプロファイルの「Additional」タブの「Packet Options」にある「Do not send TCP ACK or SYN-ACK packets during host discovery」チェックボックスを選択します。「Packet Options」を参照してください。
お使いの IDS がトリガされる場合ファイアウォールと IDS で遮断するポートと保護する IP アドレスを指定します。
スキャンにより、お使いの IDS がトリガされた場合は、ファイアウォールで保護されていると思われるため、このネットワークでの脆弱性の検索を続行できなくなります。そのため、どの IP が保護されており、どのポートがブロックされているかを把握する必要があります。
次のオプションも考慮してください。
1)スキャンを行わないホストを「Scans」->「Setup」->「Excluded Hosts」にあるグローバル除外ホストリストに追加します。
2)スキャナの IP アドレスをお使いのファイアウォール/IDS の設定の許可リストまたは例外リストに追加します。クラウドの外部スキャナの IP アドレスの現在のリストは、「About」ページ(「Help」->「About」)で表示することができます。例外リストの設定方法については、お使いのファイアウォール/IDF のマニュアルを参照してください。
3)Watchguard を使用している場合は、スキャナの IP アドレスを「Blocked Sites Exception」リストに追加します。このリストは、WatchGuard Firebox Vclass シリーズでは System Configuration で設定され、WatchGuard Firebox System シリーズでは Policy Manager で設定されます。注記: 「WatchGuard default blocked ports」オプションは、WatchGuard Firebox System シリーズでのみ適用可能です。スキャナの IP アドレスを WatchGuard の例外リストに追加した場合は、このオプションを設定する必要はありません。
次のオプションを有効化して、特定のパケットを無視します。
このオプションが有効な場合、ファイアウォールにより生成された TCP RESET パケットを識別して、これを無視することが試みられます。ただし、RESET パケットがファイアウォールにより生成されたものかどうかを常に判別できるとは限らないため、可能な限りの判断に留まるという点に注意してください。ファイアウォールにより生成された RESET パケットの一部は稼動中のホストで生成されたものとして誤って識別されることがあり、この場合パケットは無視されません。
スキャンまたはマップの対象範囲がクラス B より広い場合、RESET パケットがファイアウォールで生成されたものかどうかの識別は試みされず、すべての RESET パケットが無視されます。これは、スキャン時間またはマップ時間が非常に長くなるためです。
このオプションを有効にすると、ファイアウォールで生成された RESET パケットも、稼動中のホストで生成された RESET パケットも含めて、すべての TCP RESET パケットが無視されます。このオプションにより、1 つ以上の選択したポートが開いているホストを検出できます。また「Ignore Firewall-Generated TCP RST Packets」が選択されているときに、ファイアウォールで生成された RESET パケットがあるものの、これが識別されずに無視された結果、多くのファントムホストが稼動中のホストとしてレポートされる場合にもこのオプションを使用できます。
このオプションの典型的な使用例:
使用例 1: 選択した TCP ポートが 1 つ以上開いているホストを検出し、他の稼動中のホストを無視する場合。これはやや限定的な使用状況です。例えば、マップ結果で TCP ポート 1433 または TCP ポート 1434 が開いているホストのみを検出し、その他の稼動中のホストは表示しない場合です。
この使用例での解決策として、次を実行する必要があります。
1)このオプションを有効化して、すべての TCP RESET パケットを無視します。
2)ホスト検出で ICMP および UDP を無効化し、ホスト検出で TCP ポートを選択済みのポートに制限します(「Additional」タブで)。
3)DNS 経由で検出されたホストのうち DNS 経由のみで検出されたホストを無視するようオプションを選択します(プロファイルの「Map」タブの「Exclude Hosts Only Discovered via DNS」を選択)。
使用例 2: ファイアウォールで生成された TCP RESET パケットがあり、(ファイアウォールで生成された RESET パケットを無視するオプションを選択した後にもかかわらず)これが正常に識別されなかった場合。この場合、マップ結果には多くの反応のないホストが表示されます。
この使用例での解決策として、次を実行する必要があります。
1)このオプションを有効化して、すべての TCP RESET パケットを無視します。
2)すべての稼動中のホストを検出するために、他のホスト検出方法(ICMP、TCP、UDP(TCP/UDP ホスト検出ポートのデフォルトリストを使用))を有効にする必要があります。
ファイアウォールなどのフィルタリングデバイスの中には、ホストの IP アドレスを使用して TCP SYN-ACK パケットを送信することで、稼動していないホストであっても「稼動中」であるかのように表示してしまうものもあります。このオプションが有効になると、TCP SYN-ACK パケットがフィルタリングデバイスによって生成されたかどうかが判断され、これらのデバイスから送信されたと思われるすべての SYN-ACK パケットは無視されます。
ファイアウォールの中には、out-of-state の TCP パケットが受信されるとイベントをログするよう設定されているものもあります。out-of-state TCP パケットは非 SYN パケットであり、既存の TCP セッションには属しません。お使いのファイアウォールがこのように設定されており、イベントをログしたくない場合は、このオプションを有効にし、マップおよびスキャンタスクのホスト検出時に、サービスが out-of-state ACK および SYN-ACK パケットを送信しないようにします。
このオプションを有効にし、またプロファイルの「Scan」項にある「Perform 3-way handshake」オプションも有効にした場合は、「Perform 3-way handshake」オプションが優先され、このオプションは無視されます。