Facebook Google Plus Twitter LinkedIn YouTube RSS メニュー 検索 出典 - ブログ 出典 - ウェビナー出典 - レポート出典 - イベントicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する
  • Twitter
  • Facebook
  • LinkedIn

Nessus のファイヤーウォール越しスキャン効果を高める 4 つの方法

 Nessus のファイヤーウォール越しスキャン効果を高める 4 つの方法

ファイヤーウォール越しのスキャン結果の改善には、適切な構成と設定が効果的です。

Nessus のスキャン効果は、ビジーなシステム、レガシーシステム、ネットワークの輻輳、リスニングサービスを多数抱えたホスト、などさまざまな要素によって阻害されます。その中でもファイヤーウォール (とその他のフィルタリングデバイス) は、スピードの遅い、不正確なスキャン結果をもたらす最大の要因と言えます。しかし、ネットワークを基盤としたファイヤーウォールは、どの企業にとってもその周囲の保護と内部ネットワークの隔離に必要不可欠であり、また、ホスト基盤のファイヤーウォールは、Linux と Windowsのシステムで一般的に使われています。

ファイヤーウォールの向こう側にあるネットワーク上にスキャナーを配置して問題を避けることもできますが、状況によっては不可能であり、スキャナーの移動が必要なときには余計な負荷が生じます。ホスト基盤のファイヤーウォールにも通用しません。たとえ、スキャナーの IP アドレスをファイヤーウォール内で有効にしたとしても、コネクションのトラッキングや処理状態を把握した検査がスキャンを妨害し、性能が悪化するでしょう。

典型的な現代の環境では、そのような設定は必要がないと思われます。しかし、旧式の機器やインフラが残存する環境も多いので、欠点をを補うために調整が必要な場合があります。または、監査のために環境内の全ポートに対するスキャンを実行しなければならない場合、どのような影響があるかを事前に把握しておくことが重要です。Nessus を使ったネットワーク内外の脆弱性スキャンではどのようにファイヤーウォールに対応できるか、さまざまな戦略について、以下に詳細をご説明します。

ネットワークスキャンのチューニング

最初のアプローチは、ホスト当たりの同時進行チェック数を設定することです。Nessus の「Advanced」Policy Settings から設定します。

パフォーマンスメニュのオプション -  Nessus の Advanced Policy Settings

スキャンポリシーによって異なりますが、デフォルトの設定値は 4 または 5 です。 通常、この値が妥当ですが、帯域幅が狭い接続の場合や、古いシステムの場合、またはネットワーク用のスタックの安定性が十分でない場合は、設定を2、または 1 にまで下げることが効果的であると考えられます。注意 : 本文で説明している設定変更について一般的に言えることですが、並行チェック数を下げるとスキャン回数が上昇します。時には非常に多くなることがあります。

最近のホスト型ファイヤーウォールはステートフルなので、接続があるたびに接続を記録します。Nessus の同時接続数があるときに急上昇した場合、ファイヤーウォールはその負荷に耐えられず、接続を切断し、その結果、解放されたポートや脆弱性のスキャンが実行できない、またはターゲットが他と接続できないという問題が生じます。Nessus の同時チェック数を 1 または 2 に制限すると、ホストあたりの同時接続数を削減できるばかりでなく、ターゲットがスキャナーのクエリに応答するのに使うリソースも節約できます。

ホストあたり または スキャンあたりの同時 TCPセッションの最大数など、その他の設定は、ホスト別に生成されるセッションの合計数をコントロールするのに役立ちます。セッションの合計数にはサービス検知と脆弱性チェックの両方がカウントされます。このような設定は、極度に細かい粒度が必要な場合、特に古いインフラ環境で有効です。注意 : ここに説明している設定は、デフォルトの SYN ポートスキャナーの TCP セッション数を直接変更するものではありません。

ポートスキャナーのチューニング

ポートスキャナーの場合、スキャナーがファイヤーウォールに遭遇したときに感度を上昇させることもできます。次のようにスキャンポリシーの「Discovery - Port Scanning」の設定から行います。

Nessus スキャンポリシー - Network Port Scanners

使用中のポートスキャナーポリシーを再確認することもお勧めします。 デフォルトは、大多数の状況に問題なく対応できる SYN スキャナーですが、ファイヤーウォール越しのスキャンの場合、ファイヤーウォールの状態遷移表で接続の状態が「解放されたまま」になることがあります。そうすると、TCP スキャナーが接続を閉じようとして 3 ウェイハンドシェイクを試行するので、ターゲットとネットワーク全体の負荷が増えます。しかし、ネットワークのファイヤーウォールがアップグレードできない、または状態遷移表の容量を増やすように再構成できない、またはタイムアウト値を削減できない場合などには役に立つ手段です。

フルポートスキャンがネットワークファイヤウォールに与える影響

ユーザーによっては、ネットワーク監査のためにすべてのポートをスキャンする必要があるでしょう。 その場合、スキャンのトラフィックがネットワークのファイヤーウォールを通るのであれば、用意周到に計画して、セッションとインフラ内のリソースの使用状況を監視してください。

例えば、30 台のホストを同時に評価する場合、生成される可能性のあるハーフオープンのセッション数は 56,535 x 30 (または、各ホストで可能な最大 TCP ポート数の 30 倍) で、この場合、196 万セッションになります。更に、インターフェースの出入りを方向別に維持するネットワークファイヤーウォールもありますが、その場合、状態遷移表には 390 万セッションの容量が必要になります。

このような場合の緩和策として、Tenableではタイムアウト値を極力低く設定してハーフオープンセッションを切断させる、または同時スキャン対象のホスト数を減らす、などを推奨しています。それでも対応できない場合は、スキャナーが送信する SYN パケット数をコントロールすることができます。Nessus スキャナーの Advanced Settings にある nessus_syn_scanner.global_throughput.max の設定値を変更して行います。スキャナーの配置に関する詳細については、Tenable の担当者にお問合せください。

認証スキャンの設定

Nessus の認証スキャンは、ファイヤーウォールで保護されているネットワークのスキャンで発生する大多数の問題は避けることができます。なぜなら、外部から何千ものポートに接続を試行して解放されているポートを探すのではなく、ローカルでポートを列挙しているからです。Nessus のローカルのポートスキャナーはデフォルトで有効になっており、ターゲットへの認証が失敗しない限り継続して実行されます。

Nessus 設定 - ローカルポートの列挙機能

ローカルの機能を使うと、解放されている TCP と UDP ポートがすべてすばやく列挙できるので、より正確なスキャン結果が得られます。Linux と Windows を比較した認証チェックの設定方法の詳細については Nessus の製品マニュアルのページをご覧ください。

まとめ

Nessus は非認証ネットワークスキャンにも、認証評価にも、優れた機能を提供します。ファイヤーウォール越しのスキャンは、比較的に長時間かかるかもしれません。しかし、設定を調整すれば、より安全でより正確な結果が得られます。そして、その精度を更に向上させるには、認証情報を持たせたスキャンの活用が、負荷の低減とファイヤーウォール越しの評価に最適です。

最後に、弊社の企業向けソリューションに適切な解決策があるか、ご覧になってみてはいかがでしょうか。Tenable.io と Tenable.sc には Nessus のエージェントが組み込まれており、スキャンしにくいエンドポイントも可視化します。同様に、ネットワーク内の管理されている資産と管理されていない資産の両方を Nessus Network Monitor が継続的に可視化して表示します。Tenable.ot は、オペレーショナルテクノロジー環境で広範囲にわたる可視性を提供します。

関連記事

最新のエクスプロイトに対して脆弱ですか?

下にメールアドレスをご記入ください。最新の情報が確認できる Cyber Exposure アラートがインボックスに送信されます。

無料でお試し 今すぐ購入
Tenable.io を 30 日間無料でお試しください

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 今すぐサインアップしてください。

Tenable.io を購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入
無料でお試し 今すぐ購入

Nessus Professionalを無料で試す

7日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスのご購入で、お得にご利用いただけます。 電話、コミュニティ、チャットによる 24 時間年中無休の拡張サポートオプションもご用意しています。 製品の詳細を見る

無料でお試し 今すぐ購入

Tenable.io Web Application Scanningを試す

30 日間無料

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のWebアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なWebアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDNs

3,578ドル

今すぐ購入する

試用リクエスト送信 お問合せはこちらから

Tenable.io Container Securityを試す

30 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOps プラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポート

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

試用リクエスト送信 お問合せはこちらから

Tenable Lumin を試用する

30 日間無料

Tenable Lumin を使用して、Cyber Exposure を可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable Lumin を購入する

Tenableの担当者にお問い合わせいただき、組織全体に対するインサイトを得て、サイバーリスクを管理する上で Lumin がいかに役立つかについて、Tenable の営業担当者までお問い合わせください。