Rileva e analizza porte aperte

0

Sto cercando di capire due domande -

  1. Eseguo scansioni Qualys / Nessus su base periodica nel nostro ambiente Azure / AWS e riscontro sempre problemi durante il rilevamento delle porte aperte. Una scansione di base di nmap potrebbe rilevare la porta aperta, tuttavia una scansione Qualys / Nessus non sembra Rilevare. Come posso essere sicuro di ottenere i migliori risultati quando eseguo le scansioni ogni volta utilizzando questi scanner? Se devo eseguire NMAP su IP pubblici nel nostro ambiente AZURE, quale sarebbe la procedura migliore per eseguire queste scansioni?

  2. Come posso eseguire scansioni su ambiente Cloud come Azure / AWS per rilevare su porte aperte su base continua?

posta Vaibhav 05.04.2018 - 03:15
fonte

1 risposta

1

Risponderò a Nessus e AWS.

Nessus ha diverse opzioni per l'esecuzione di scansioni di porte (ad esempio netstat (WMI), scansione SYN, scansione TCP e scansione UDP). Alcune scansioni hanno requisiti specifici. Ad esempio:

  • La scansione TCP richiede che Nessus sia installato su Linux (altrimenti questa scansione ricade su una scansione SYN)
  • netstat (WMI) richiede che la destinazione sia Windows
  • Netstat 'scanner' richiede le credenziali di destinazione e la destinazione ha netstat disponibile

Supponendo che tu soddisfi questi requisiti per una corretta scansione, allora credo che tu abbia un problema di rete e consiglierei alcuni test di basso livello di un esempio specifico. Ad esempio, se stai eseguendo una scansione TCP e, utilizzando nmap, vedi la porta 22 aperta sulla tua destinazione, quindi prova a telnet su quella porta sulla destinazione dal tuo host Nessus per verificare che sia accessibile.

La best practice consiste nell'eseguire scansioni di porte su entrambe le reti interne ed esterne per identificare ciò che è aperto sia internamente che esternamente. L'esecuzione delle scansioni su indirizzi interni all'interno del VPC deve essere eseguita all'interno della rete interna. Per proteggersi da un utente malintenzionato che ha accesso alle risorse all'interno del VPC, eseguire la scansione dall'interno del VPC. Per proteggersi da un utente malintenzionato posizionato all'interno della rete aziendale interna (ad es. Con una connessione diretta ad AWS), eseguire la scansione dall'interno della rete aziendale (supponendo che si trovi al di fuori del VPC). Difendere in profondità detterebbe l'esecuzione di ciascuno di questi approcci e garantire risultati soddisfacenti alle vostre aspettative.

Una tecnica che ho usato per eseguire scansioni periodiche: configurare una funzione AWS Lambda da eseguire periodicamente ed eseguire la scansione. Ci vorranno alcuni script, ma è facile da configurare e avrai flessibilità su dove inviare i risultati.

    
risposta data 05.04.2018 - 04:35
fonte