Qualys スキャナでは、IEEE 802.1q VLAN タグ付けプロトコルがサポートされています。適切に設定されたトランクポートに接続すると、VLAN スキャニングにより、スキャナがフレームを対象の VLAN ID にタグ付けし、スイッチングファブリックにネットワーク上のスキャントラフィックを移動させることができ、スキャナが VLAN に参加できるようになります。VLAN に参加することで、スキャナは同じ VLAN 内のデバイスを「ネイバー」として直接スキャンできます。これにより、ファイアウォール、ロードバランサ、IDS/IPS などのレイヤ 3 デバイスへの依存性が排除されます。
- レイヤ 3 デバイスの転送に伴う遅延を低減することで、全体的なスキャンのパフォーマンスが向上する可能性があります
- レイヤ 3 デバイスがパケットヘッダを変更したり、RFC に準拠していないデータグラムの処理を変更したりすることが多いため、OS とサービスのフィンガープリンティングが向上します
- レイヤ 3 デバイス、特にハーフオープン接続状態テーブルの計算リソースおよび他のリソースが削減されます
- レイヤ 3 デバイスから未使用の NAT および VIP アドレス宛てのデータグラムへの不適切な応答による「ゴーストホスト」問題が軽減されます
VLAN タグ付けを使用しても、同じインタフェース上で非 VLAN タグ付きスキャントラフィックを同時に使用することはできません。 また、スキャナにデュアル NIC 構成を使用する必要もありません。
- サブスクリプションで VLAN スキャンが有効になっている必要があります。この機能を有効にするには、サポートまたはテクニカルアカウントマネージャまでお問い合わせください。
- スキャナをトランクポートに接続する必要があります。
- トランクポートは、必要な VLAN をインタフェースで許可するように設定する必要があります。
- パブリック/プライベートのクラウドプロバイダディストリビューションとオフライン Scanner Appliance では VLAN トランクはサポートされません。
- 物理スキャナの場合、シリアル番号が 29000 を超えるデバイスでは最大 4094 の IPv4 VLAN と最大 3270 の IPv6 VLAN がサポートされ、シリアル番号が 29000 未満のデバイスでは最大 99 の VLAN がサポートされます。
- Virtual Scanner(パブリック/プライベートのクラウドプロバイダとオフラインスキャナイメージを除く)の場合、最大 4094 の IPv4 VLAN と最大 3270 の IPv6 VLAN がサポートされます。
現在サポートされている仮想プラットフォームとクラウドプラットフォームの詳細については、「Qualys Virtual Scanner Appliance: Platform Qualification Matrix」を参照してください。
スキャナが参加するように設定されている各 VLAN には、次の情報が必要です。
アプライアンスに対して、単一の“ ネイティブ ”VLAN を定義します。これは、アプライアンスが VLAN タグ付けされたネットワークセグメントを経由して Qualys のデータセンタに到達する必要がある場合にのみ必要になります。この場合、静的 IP アドレスと DHCPv4 IP アドレスの両方がサポートされます。
Qualys UI では VLAN のスキャントラフィックのみを定義します。スキャナが参加するように設定されている各 VLAN には、次の情報が必要です。
IP アドレス - IP アドレスは、アプライアンスごとに一意である必要があります。つまり、同じ IP アドレスを、同じアプライアンスの別の VLAN 設定に定義することはできません。IPv4 の場合は、静的な IPv4 アドレスのみがサポートされています。アカウントで IPv6 が許可されように設定されている場合は、静的な IPv6 アドレス、または SLAAC(RA)から取得された IPv6 アドレスを指定できます。UI で定義された VLAN については、DHCPv4 および DHCPv6 はサポートされません。
ネットマスク - サブネットを定義する有効なネットマスク。例: 255.255.255.0
ID – VLAN ID。0 ~ 4094 の数字を指定することができます(4094 も含む)。この VLAN ID はアプライアンスごとに一意である必要があります。つまり、同じ VLAN ID を、同じアプライアンスに対する別の VLAN 設定に定義することはできません。
名前 - VLAN リストで VLAN 設定を識別するための VLAN 名。
アプライアンスのコンソールから単一の(“ ネイティブ ”)VLAN を設定することが可能です。 これは、LCD パネル(物理アプライアンスの場合)または仮想アプライアンスコンソールを使用して設定できます。
以下のことに注意してください。
この VLAN をユーザインタフェースを使用して表示または編集することはできません。
同じタグ付けの VLAN がユーザインタフェースで定義されている場合、この VLAN が優先されます。
これらの手順は、スキャナアプライアンスが既に展開、接続され、使用できることを検証済みであることを前提としています。
1)スイッチのトランクポートを設定して、必要な VLAN を許可します。
2)Qualys にマネージャとしてログインし、「Scans」->「Appliances」に移動してアプライアンスを選択し、「Quick Actions」メニューから「Edit」を選択します。
3)左側の「VLANs」タブを選択します。
4)「New」(または既存の VLAN 情報を変更するには「Edit」)をクリックします。以下に示すように、新しい VLAN の IP アドレス、サブネットマスク、ID、および名前を入力します。必要な VLAN 情報をすべて入力したら、「Save」をクリックします。
設定が完了すると、スキャナは設定された VLAN アドレスとネットマスクに一致するトラフィックに 802.1q VLAN タグを自動的に使用します。 これにより、スイッチングファブリックはレイヤ 2 を使用してトラフィックを移動させることができ、スキャナはネイバーとしてそれらのサブネット内の対象をスキャンできます。 設定された VLAN と一致しない IP のトラフィックは、通常の操作ごとにデフォルトのネットワークインタフェースとデフォルトゲートウェイを介して送信されます。
IPv6 のスキャン機能がアカウントで有効になっている必要があります。この機能を有効にするには、サポートまたはテクニカルアカウントマネージャにお問い合わせください。
IPv6 設定を追加するには、スキャナで IPv6 を有効にする必要があります。「LAN Settings」タブで、「Enable IPv6 for this scanner」を選択します。
「VLANs」タブには、アプライアンス用に設定された IPv4 および IPv6 設定が表示されます。
VLAN を作成または編集する場合は、「Enable IPv4」オプションをクリックして IPv4 の詳細を追加し、「Enable IPv6」オプションをクリックして IPv6 の詳細を追加します。IPv4 のみ、IPv6 のみ、またはその両方を有効にすることができます。
IPv6 を有効にする場合は、IPv6 アドレスの設定を定義する方法ついて、「Static」または「Automatically」を選択する必要があります。「Static」を選択した場合は、静的な IPv6 アドレスを入力します。「Automatically」を選択した場合は、ルータ広告(RA)を介してステートレスアドレス自動設定(SLAAC)から IPv6 アドレスが取得されます。DHCPv6 はサポートされていません。
