Dove posizionare uno scanner di vulnerabilità all'interno di un data center

La domanda è quale "vista" vuoi sulla rete dal punto di vista dello scanner della vulnerabilità.

Se si desidera includere la sicurezza del firewall nella valutazione della vulnerabilità, è necessario posizionare lo scanner senza accesso a Internet, ma sul lato "WAN" del limite di sicurezza nel firewall. Pertanto, lo scanner delle vulnerabilità avviserà l'utente se si configura erroneamente il firewall in modo da esporre una vulnerabilità su Internet. Pertanto, tutti i tuoi server e firewall considereranno semplicemente lo scanner di vulnerabilità come qualcosa proveniente da Internet. È assolutamente necessario bloccare l'accesso a Internet per lo scanner delle vulnerabilità (in entrambe le direzioni), in modo da evitare che lo scanner delle vulnerabilità venga violato e sottoposto a vulnerabilità per eseguire scansioni su host che non appartengono alla rete.

Un'altra vista è ad esempio se si desidera semplicemente una valutazione che tutto sia configurato in modo così sicuro da poter rimuovere completamente il firewall dall'equazione, quindi inserire lo scanner di vulnerabilità all'interno, sul lato LAN.

Un terzo utilizzo di uno scanner di vulnerabilità consiste, ad esempio, nel collegarlo a un punto di accesso wireless, in modo da ottenere una vista della rete a mano a mano che l'hacker si connette a un client wireless.

Quindi non esiste una risposta corretta alla tua domanda. A seconda di cosa vuoi vedere, dovresti lasciare che lo scanner delle vulnerabilità attraversi il firewall (senza eccezioni) o lo scanner di vulnerabilità dovrebbe avere pieno accesso.

Uno scanner di vulnerabilità è uno strumento di misurazione e tu lo metti, ovviamente, dove vuoi misurare la sicurezza. Se voglio sapere la temperatura esterna, ho messo il termometro all'esterno. Se voglio sapere la temperatura interna, inserisco il termometro all'interno. Qui l'isolamento nel muro potrebbe essere il "firewall".

Lo stesso vale per lo scanner delle vulnerabilità. Per dirla in breve - Inseriscilo logicamente nella tua rete esattamente dove vuoi misurare la sicurezza.

Place the virtual appliance in a secured VLAN, open ip any from the appliance to all IP addresses in the DC so we can ensure all UDP and TCP can be scanned.

Give the virtual appliance a virtual interface for each VLAN in the data center

Forse mi manca qualcosa. Entrambi i tuoi suggerimenti lo hai inserito in una qualche forma di IP Space interno (non visibile in qualche misura al di fuori della tua azienda). In base al tuo commento (entrambi menzionano di essere su un vlan), la tua migliore scommessa, è semplicemente gettarla in QUALSIASI VLAN, non importa, le interfacce virtuali sarebbero uno spreco considerando che potresti semplicemente connettere la porta su cui lo scanner è acceso VLAN.

Ora Sebastian ha risposto a questo in modo che avrei risposto in modo simile se tu avessi detto: "Posizionalo fuori dalla mia rete interna" (al di fuori del mio normale spazio IP) Avrei dichiarato di inserirlo all'interno della tua infrastruttura . E c'è una chiara ragione per questo.

Posizionamento interno: con la scansione delle credenziali è possibile ottenere il massimo dal punto di vista del rischio e una visione più efficace di ciò che è vulnerabile. NON metterlo fuori dal perimetro. Per cominciare, la maggior parte degli hacker non scansionerà la tua infrastruttura con Nessus, Nexpose, nemmeno Metasploit, Core Impact, Canvas, ecc. I MIGLIORI HACKER indicano quello ben sperimentato. Queste scansioni, i tentativi di exploit sono rumorosi, richiedono troppo tempo e la stragrande maggioranza sarà bloccata da firewall, ecc. Ciò significa che anche voi avrete una visione limitata di ciò che è effettivamente vulnerabile. Gli aggressori competenti spesso utilizzano un attacco lato client (file pdf, chiave USB, documento word, dropper (malware))

Le valutazioni interne offrono una visione concisa di ciò che sarebbe vulnerabile se un hacker riuscisse a superare il firewall (altamente improbabile). Il processo di approccio / pensiero quando si effettua questo tipo di valutazione è il seguente: Esegui la tua scansione vuln: output = ciò che un utente malintenzionato può scegliere come target. Questo è più realistico di quello che la maggior parte delle aziende sta testando con il fiasco PCI / DSS di far girare Qualys contro un IP di uscita.

La prossima valutazione sarebbe una valutazione CREDENTIALED. Per queste scansioni, sintonizzo qualsiasi strumento per dirmi: "va bene ho un utente John Smith, che non dovrebbe avere molto accesso a cose che non ha bisogno di vedere / sapere / toccare ... Cosa potrebbe fare (o qualcuno chi ha rubato le sue credenziali)? Potrebbe avere un'escalation a livello locale, su una particolare macchina e così via.

Sono un grande fan del tester di penetrazione della squadra rossa con la premessa che "Sono passato oltre la tua porta (firewall) ... E adesso?" Questo ti darà una guida IMMEDIATA su cosa bloccare, isolare, mitigare, emettere controlli correttivi per.

Io voto per l'opzione n. 1 e ho esperienza di prima mano con questo.

Sto vedendo molte informazioni errate e / o cattivi consigli in alcuni di questi commenti e risposte.

Lo scanner dovrebbe:

• ha accesso a livello di amministratore alle risorse.
• avere accesso alle risorse su tutte le porte / protocolli.
• essere autorizzati su sensori IPS / IDS e altri dispositivi di sicurezza.

Lo scopo principale di uno scanner di vulnerabilità è trovare la vulnerabilità presso source in modo da poterlo correggere prima che un utente malintenzionato possa trovarlo e sfruttarlo.

Se non stai concedendo al livello di amministratore dello scanner l'accesso alle tue risorse e stai permettendo a un IPS di interferire, stai facendo un cattivo servizio a te stesso.