Network Vulnerability Scanner posizionamento sulla rete

Naviga le tue risposte
6

Abbiamo implementato / stiamo implementando un processo di scansione della vulnerabilità della rete, e abbiamo scelto di utilizzare Qualysguard.

Qualys fornisce un dispositivo scanner per la scansione della rete interna, che ovviamente si connette alla rete. La nostra rete interna è segmentata in più sottoreti, ciascuna protetta dagli altri. Abbiamo un segmento di rete che viene utilizzato per la gestione IT (come Snort e Splunk). Sembrerebbe avere senso avere l'appliance scanner in questo segmento di rete. Il problema ovvio è che l'appliance dello scanner ha bisogno di una visibilità completa su tutti i dispositivi che scansionerà sulla rete, e sono spiacente di aprire le porte del firewall se può essere aiutato. So che qualcuno dirà che dovrebbe esserci un'apposita appliance per scanner in ogni sottorete, ma non è pratico per noi.

Posso pensare a diverse possibili posizioni di rete per l'appliance dello scanner:

  • Nella rete di gestione
  • Nel segmento più protetto della rete (scansione verso dispositivi meno protetti)
  • Nel segmento protetto della rete protetto (scansione verso dispositivi più protetti)
  • In una sottorete completamente separata

Quindi la mia domanda è che dato che l'appliance ha bisogno di un accesso completo (tutte le porte aperte) a tutti i dispositivi, dove metterebbe l'appliance dello scanner sulla rete e perché?

    
posta hmallett 20.12.2011 - 12:44
fonte

3 risposte

3

Non ho usato QualysGuard, tuttavia, usando un approccio indipendente dal fornitore, prenderei in considerazione quanto segue.

Connessione indiretta tramite firewall:

Questa può essere una buona opzione se non riesci a connetterti alla sottorete per qualche motivo (non abbastanza connessioni, fisicamente non accessibili, ecc ...).

Alcuni tipi di scansioni attive dipendono dal percorso logico della rete e potrebbero non funzionare con un firewall / IPS (tali trasmissioni e alcuni avvelenamenti) a seconda della configurazione. Questo normalmente non è un problema perché il firewall / IPS fornisce quel livello di protezione, ma una valutazione potrebbe non essere completa.

Maggiore carico / elaborazione tramite firewall e apparecchiature di rete. Il traffico di scansione delle vulnerabilità può mettere a dura prova le apparecchiature di rete e potrebbe causare l'inondazione dei collegamenti. Se questo è un problema, individuare l'interfaccia di scansione in modo logico vicino al target è un vantaggio.

Connessione diretta alla subnet:

Generalmente il modo migliore per installare uno scanner, ma può essere un problema se non si riesce a connettersi a una porta dello switch con accesso alla rete o alla VLAN che si desidera scansionare.

Il collegamento diretto di uno scanner con una connettività diretta al target potrebbe consentire di rilevare le vulnerabilità mascherate dietro switch, firewall o dispositivi IPS.

Gli scanner collegano le zone protette. Uno scanner può avere anche delle vulnerabilità, meno in questi giorni ma ogni interfaccia dello scanner è potenzialmente un ponte verso più reti. Questo ovviamente dipende dall'implementazione e dal prodotto, alcuni sono migliori di altri. Gli scanner normalmente non indirizzano il traffico, ma potrebbero esserci delle vulnerabilità nello scanner o nel sistema operativo dello scanner.

Conclusione:

Le altre opzioni che hai elencato sono tutte valide e potrebbero essere usate con una connessione indiretta attraverso un firewall. Idealmente, è necessario eseguire la scansione delle piattaforme o delle applicazioni dal lato su cui verranno servite le richieste. Ciò potrebbe non essere possibile su una rete di gestione, a seconda della configurazione.

Where would you put the scanner appliance on your network and why?

Collegherei lo scanner con le porte collegate direttamente sulle sottoreti più sicure (rete interna) che probabilmente avranno più host da scansionare. E poi metti alcune altre interfacce in una sottorete separata con accesso attraverso i firewall alle sottoreti meno sicure.

Questo limita il bridging e ti consente di scansionare la maggior parte / tutti i tuoi host con un impatto minimo sulle prestazioni.

Spero che questo aiuti.

    
risposta data 21.01.2012 - 11:56
fonte
2

Non sono sicuro che sarai in grado di cavartela senza aggiungere regole ai tuoi firewall per consentire il traffico dallo scanner. Non è necessario aprirli a livello globale, solo per l'IP dello scanner.

Se si utilizza l'ispezione stateful, gli scanner dovrebbero essere comunque sul lato non protetto del firewall in modo che le tabelle di stato dei firewall non si riempiano e causino problemi di traffico.

Lo scanner QualysGuard supporta la codifica VLAN, quindi potresti essere in grado di aggirare i firewall, a seconda della configurazione.

    
risposta data 23.12.2011 - 00:51
fonte
2

Si consiglia vivamente di lavorare con il proprio gruppo di rete per determinare dove posizionare Scanner Appliance in un ambiente di rete aziendale. Alcune cose a considerare: posizionare gli apparecchi scanner il più vicino possibile alle macchine target e assicurarsi per monitorare e identificare eventuali segmenti ristretti di larghezza di banda o punti deboli nel infrastruttura di rete. Scansione attraverso dispositivi di livello 3 (come router, firewall e bilanciamento del carico) potrebbe comportare prestazioni degradate, pertanto è possibile prendere in considerazione l'utilizzo del nostro Funzione di codifica VLAN (trunking VLAN) per aggirare i dispositivi del livello 3 per evitare potenziali problemi di prestazioni.

Un IP statico è riservato allo scanner Qualys in ciascuna delle VLAN da sottoporre a scansione. Lo scanner utilizza l'IP statico riservato durante la scansione della VLAN.

Quindi, come hai detto, sarà effettivamente all'interno della VLAN e quindi il routing L3 non è richiesto.

Esempio: Scanner eseguirà la scansione della VLAN A - 192.168.1.0/24 & VLAN B- 192.168.2.0/24 Un IP statico, diciamo 192.168.1.2 & 192.168.2.2 in ciascuna delle VLAN è riservato per lo scanner. Durante la scansione della VLAN A, userà l'IP 192.168.1.2 in modo efficace seduto all'interno della VLAN A. Allo stesso modo per VLAN B

    
risposta data 09.05.2016 - 09:59
fonte

Leggi altre domande sui tag

Porte hardware pericolose? Chi vende set di dati sulla reputazione IP?