Nmap スキャン インスタンスの作成
ライセンス:FireSIGHT
脆弱性についてネットワークをスキャンするのに使用する Nmap モジュールごとに別々のスキャン インスタンスをセットアップできます。防御センター上のローカル Nmap モジュールか、リモートでスキャンを実行するために使用するデバイスに対してスキャン インスタンスをセットアップできます。各スキャンの結果は常に防御センターに保存されます。リモート デバイスからスキャンを実行する場合でも、この場所でスキャンを設定できます。ミッション クリティカルなホストへの不慮のスキャンや悪意のあるスキャンを防ぐには、インスタンスのブラックリストを作成し、そのインスタンスで決してスキャンしてはならないホストを指示できます。
既存のスキャン インスタンスと同じ名前のスキャン インスタンスを追加できないことに注意してください。
スキャン インスタンスを作成する方法:
アクセス:Admin/Discovery Admin
ステップ 1 [Policies] > [Actions] > [Scanners] を選択します。
[Scanners] ページが表示されます。
ステップ 2 [Add Nmap Instance] をクリックします。
[Instance Detail] ページが表示されます。
ステップ 3 [Instance Name] フィールドに、1 文字から 63 文字の英数字の名前を入力します。アンダースコア(_)とハイフン(-)以外の特殊文字およびスペースは使用できません。
ステップ 4 [Description] フィールドに 0 文字から 255 文字の英数字の説明を指定します。スペースや特殊文字を使用できます。
ステップ 5 オプションで、[Black Listed Scan hosts] フィールドで、このスキャン インスタンスがスキャン しない ホストまたはネットワークを指定します。
• IPv6 ホストの場合、厳密な IP アドレス( 2001:DB8::fedd:eeff
など)
• IPv4 ホストの場合、厳密な IP アドレス( 192.168.1.101
など)または CIDR 表記を使用した IP アドレス ブロック(たとえば、 192.168.1.0/24
は、両端を含めて 192.168.1.1
から 192.168.1.254
の間の 254 個のホストをスキャンします)
• 感嘆符(!)を使用してアドレス値の否定はできないことに注意してください。
ブラックリストに含まれるネットワーク内のホストをスキャン対象として特定すると、スキャンは実行されません。
ステップ 6 オプションで、防御センターの代わりにリモート デバイスからスキャンを実行するには、そのデバイスの IP アドレスか名前を指定します。この情報は、防御センター Web インターフェイス内のそのデバイスに関する [Information] ページの [Remote Device Name] フィールドに表示されます。
ステップ 7 [Create] をクリックします。
スキャン インスタンスが作成されます。
Nmap スキャン ターゲットの作成
ライセンス:FireSIGHT
特定のホストとポートを識別するスキャン ターゲットを作成して保存できます。その後、オンデマンド スキャンを実行するかスキャンをスケジュールする際に、保存済みのスキャン ターゲットの 1 つを使用できます。
IPv4 アドレスのターゲットをスキャンする場合、1 つの IP アドレス、IP アドレスのリスト、CIDR 表記、または Nmap スキャンのオクテットを使用して、スキャンするホストを選択できます。ハイフンを使用して、アドレスの範囲を指定することもできます。カンマかスペースを使用して、リスト内のアドレスや範囲を区切ります。
IPv6 アドレスのスキャンの場合、1 つの IP アドレスを使用します。範囲指定は入力できません。
Nmap で提供されるサーバやオペレーティング システムのデータは、もう 1 度 Nmap スキャンを実行するまで静的な状態のままであることに注意してください。Nmap を使用したホストのスキャンを計画している場合は、Nmap で提供されるオペレーティング システムやサーバのデータを最新に保つため、定期的なスキャンのスケジュールをセットアップすることもできます。詳細については、「Nmap スキャンの自動化」を参照してください。ホストがネットワーク マップから削除されると、そのホストに関する Nmap スキャン結果は破棄されることにも注意してください。
スキャン ターゲットを作成する方法:
アクセス:Admin/Discovery Admin
ステップ 1 [Policies] > [Actions] > [Scanners] を選択します。
[Scanners] ページが表示されます。
ステップ 2 ツールバーで、[Targets] をクリックします。
[Scan Target List] ページが表示されます。
ステップ 3 [Create Scan Target] をクリックします。
[Scan Target] ページが表示されます。
ステップ 4 [Name] フィールドに、このスキャン ターゲットに使用する名前を入力します。
ステップ 5 [IP Range] テキスト ボックスで、次のシンタックスを使用して、スキャンする 1 つ以上のホストを指定します。
• IPv6 ホストの場合、厳密な IP アドレス( 2001:DB8::fedd:eeff
など)
• IPv4 ホストの場合、厳密な IP アドレス( 192.168.1.101
など)または IP アドレスのカンマ区切りリスト
• IPv4 ホストの場合、CIDR 表記を使用した IP アドレス ブロック(たとえば、 192.168.1.0/24
は、両端を含めて 192.168.1.1 から 192.168.1.254 の間の 254 個のホストをスキャンします)
FireSIGHT システムでの CIDR 表記の使用法の詳細については、「IP アドレスの表記法」を参照してください。
• IPv4 ホストの場合、オクテットの範囲アドレッシングを使用した IP アドレス範囲(たとえば、 192.168.0-255.1-254
は、 192.168.x.x
の範囲内の末尾が .0 と .255 以外のすべてのアドレスをスキャンします)
• IPv4 ホストの場合、ハイフンを使用した IP アドレス範囲(たとえば、 192.168.1.1
- 192.168.1.5
は、両端を含めて 192.168.1.1 から 192.168.1.5 の間の 6 つのホストをスキャンします)
• IPv4 ホストの場合、カンマかスペースで区切ったアドレスまたは範囲のリスト(たとえば、 192.168.1.0/24, 194.168.1.0/24
は、両端を含めて 192.168.1.1 から 192.168.1.254 の間の 254 個のホストと、両端を含めて 194.168.1.1 から 194.168.1.254 の間の 254 個のホストをスキャンします)
注 [IP Range] テキスト ボックスには最大 255 文字まで入力できます。また、スキャン ターゲット内の IP アドレスか範囲のリストでカンマを使用した場合、ターゲットを保存する際にカンマはスペースに変換されるので注意してください。
ステップ 6 [Ports] フィールドで、スキャンするポートを指定します。
1 から 65535 までの値を使用して、次のいずれかを入力できます。
• 1 つのポート番号
• カンマで区切ったポートのリスト
• ハイフンで区切ったポート番号の範囲
• ハイフンで区切ったポート番号の複数の範囲をカンマで区切ったもの
ステップ 7 [Save] をクリックします。
スキャン ターゲットが作成されます。
Nmap 修復の作成
ライセンス:FireSIGHT
Nmap 修復を作成して、Nmap スキャンの設定を定義できます。Nmap 修復は、相関ポリシー内で応答として使用したり、オン デマンドで実行したり、特定の時間に実行するようにスケジュールしたりできます。Nmap スキャンの結果をネットワーク マップ内に表示するには、スキャン対象のホストがネットワーク マップ内にすでに存在していなければなりません。
Nmap 修復の具体的な設定について詳しくは、「Nmap 修復の概要」を参照してください。
Nmap で提供されるサーバやオペレーティング システムのデータは、もう 1 度 Nmap スキャンを実行するまで静的な状態のままであることに注意してください。Nmap を使用してホスト内でオペレーティング システムやサーバのデータをスキャンすることを計画している場合は、定期的なスキャンのスケジュールをセットアップして、Nmap によって提供されるオペレーティング システムやサーバのデータを最新に保つこともできます。詳細については、「Nmap スキャンの自動化」を参照してください。ホストがネットワーク マップから削除されると、そのホストに関する Nmap スキャン結果は破棄されることにも注意してください。
Nmap の機能に関する一般情報については、http://insecure.org にある Nmap のマニュアルを参照してください。
Nmap 修復を作成する方法:
アクセス:Admin/Discovery Admin
ステップ 1 [Policies] > [Actions] > [Scanners] を選択します。
[Scanners] ページが表示されます。
ステップ 2 修復を追加するスキャン インスタンスの隣の [Add Remediation] をクリックします。
[Edit Remediation] ページが表示されます。
ステップ 3 [Remediation Name] フィールドに、1 文字から 63 文字の英数字を使用して修復の名前を入力します。アンダースコア(_)とハイフン(-)以外の特殊文字およびスペースは使用できません。
ステップ 4 [Description] フィールドに、0 文字から 255 文字の英数字を使用して修復の説明を入力します。スペースや特殊文字を使用できます。
ステップ 5 侵入イベント、接続イベント、またはユーザ イベントに対してトリガーする相関ルールへの応答としてこの修復を使用する計画の場合は、[Scan Which Address(es) From Event?] オプションを設定します。
• イベントの送信元 IP アドレスと宛先 IP アドレスによって表されるホストをスキャンするには、[Scan Source and Destination Addresses] を選択します。
• イベントの送信元 IP アドレスによって表されるホストをスキャンするには、[Scan Source Address Only] を選択します。
• イベントの宛先 IP アドレスによって表されるホストをスキャンするには、[Scan Destination Address Only] を選択します。
ディスカバリ イベントまたはホスト入力イベントに対してトリガーする相関ルールへの応答としてこの修復を使用する計画の場合は、デフォルトでそのイベントに関連するホストの IP アドレスが修復によってスキャンされます。このオプションを設定する必要はありません。
注 トラフィック プロファイルの変更に対してトリガーする相関ルールへの応答として Nmap 修復を割り当てないでください。
ステップ 6 以下のように [Scan Type] オプションを設定します。
• TCP 接続を開始して完了していない状態で、 admin
アカウントが raw パケット アクセス権を持つホストや IPv6 が実行されていないホスト上でステルス モードですばやくスキャンするには、[TCP Syn Scan] を選択します。
• システム コール connect()
(防御センター上の admin
アカウントが raw パケット アクセス権を持っていないホストや IPv6 が実行されているホスト上で使用できる)を使用してスキャンするには、[TCP Connect Scan] を選択します。
• ACK パケット送信して、ポートがフィルタ処理されているかどうか検査するには、[TCP ACK Scan] を選択します。
• ACK パケットを送信して、ポートがフィルタ処理されているかどうか検査し、ポートが開いているか閉じているかも判別するには、[TCP Window Scan] を選択します。
• FIN/ACK プローブを使用して BSD 派生システムを識別するには、[TCP Maimon Scan] を選択します。
ステップ 7 オプションで、TCP ポートに加えて UDP ポートをスキャンするには、[Scan for UDP ports] オプションで [On] を選択します。
ヒント UDP ポートスキャンは TCP ポートスキャンよりも時間がかかります。スキャン時間を短縮するには、このオプションを無効のままにします。
ステップ 8 相関ポリシー違反への応答としてこの修復を使用する計画の場合は、[Use Port From Event] を以下のように設定します。
• 相関イベント内のポートをスキャンし、ステップ 11 で指定するポートをスキャンしない場合は、[On] を選択します。
相関イベント内のポートをスキャンする場合は、ステップ 5 で指定した IP アドレス上のポートが修復によりスキャンされることに注意してください。これらのポートも修復の動的スキャンのターゲットに追加されます。
• ステップ 11 で指定するポートのみスキャンするには、[Off] を選択します。
ステップ 9 相関ポリシー違反への応答としてこの修復を使用する計画で、イベントを検出した検出エンジンを実行しているアプライアンスを使用してスキャンを実行するには、[Scan from reporting detection engine] オプションを以下のように設定します。
• レポート検出エンジンを実行しているアプライアンスからスキャンするには、[On] を選択します。
• 修復内で設定されているアプライアンスからスキャンするには、[Off] を選択します。
ステップ 10 [Fast Port Scan] オプションを以下のように設定します。
• スキャン元デバイス上の /var/sf/nmap/share/nmap/nmap-services
ディレクトリ内の nmap-services
ファイルにリストされているポートのみスキャンし、その他のポート設定を無視するには、[On] を選択します。
• すべての TCP ポートをスキャンするには、[Off] を選択します。
ステップ 11 [Port Ranges and Scan Order] フィールドで、Nmap のシンタックスを使用して、デフォルトでスキャンするポートを、スキャンする順序で入力します。
1 から 65535 までの値を指定します。ポートを区切るには、カンマかスペースを使用します。ハイフンを使用してポートの範囲を指示することもできます。TCP ポートと UDP ポートの両方ともスキャンする場合は、スキャン対象の TCP ポートのリストの先頭に T を挿入し、UDP ポートのリストの先頭に U を挿入します。たとえば、UDP トラフィックのポート 53 と 111 をスキャンしてから、TCP トラフィックのポート 21 から 25 までスキャンするには、 U:53,111,T:21-25
と入力します。
ステップ 8 で説明されているように、相関ポリシー違反への応答として修復が起動する場合には、[Use Port From Event] オプションによりこの設定が上書きされることに注意してください。
ステップ 12 オープン ポートでサーバ ベンダーとバージョン情報を調査するには、[Probe open ports for vendor and version information] を以下のように設定します。
• ホスト上のオープン ポートでサーバ情報をスキャンして、サーバ ベンダーとバージョンを識別するには、[On] を選択します。
• ホストに関するシスコのサーバ情報を使い続ける場合は、[Off] を選択します。
ステップ 13 オープン ポートの調査を選択する場合は、[Service Version Intensity] ドロップダウン リストから数値を選択して、使用するプローブの数を設定します。
• 選択する数値が大きいほど使用するプローブの数が増えるので、スキャンは長時間になり精度が上がります。
• 選択する数値が小さいほど、使用するプローブの数が減るので、スキャンは高速になり精度が下がります。
ステップ 14 オペレーティング システム情報をスキャンするには、[Detect Operating System] を以下のように設定します。
• ホストに対してオペレーティング システムを識別する情報をスキャンするには、[On] を選択します。
• ホストに関するシスコのオペレーティング システム情報を使い続ける場合は、[Off] を選択します。
ステップ 15 ホスト ディスカバリが行われるかどうか、およびポートのスキャンが使用可能なホストのみに対して実行されるかどうかを決めるには、[Treat All Hosts As Online] を以下のように設定します。
• ホスト ディスカバリ プロセスを省略し、ターゲット範囲内のすべてのホスト上でのポート スキャンを実行するには、[On] を選択します。
• [Host Discovery Method] と [Host Discovery Port List] の設定を使用してホスト ディスカバリを実行し、使用不能なホスト上でのポート スキャンを省略するには、[Off] を選択します。
ステップ 16 Nmap でホストの可用性をテストする場合に使用する方式を以下のように選択します。
• SYN フラグが設定された空の TCP パケットを送信し、使用可能なホスト上のクローズ ポート上の RST 応答かオープン ポート上の SYN/ACK 応答を引き起こすには、[TCP SYN] を選択します。
このオプションはデフォルトでポート 80 をスキャンすることと、TCP SYN スキャンはステートフル ファイアウォール ルールが指定されたファイアウォールでブロックされる可能性が低いことに注意してください。
• ACK フラグが設定された空の TCP パケットを送信し、使用可能なホスト上の RST 応答を引き起こすには、[TCP ACK] を選択します。
このオプションはデフォルトでポート 80 をスキャンすることと、TCP ACK スキャンはステートレス ファイアウォール ルールが指定されたファイアウォールでブロックされる可能性が低いことに注意してください。
• UDP パケットを送信し、使用可能なホスト上のクローズ ポートからのポート到達不能応答を引き起こすには、[UDP] を選択します。このオプションは、デフォルトでポート 40125 をスキャンします。
ステップ 17 ホスト ディスカバリ時にポートのカスタム リストをスキャンする場合は、選択したホスト ディスカバリ方式に該当するポートのリストを、[Host Discovery Port List] フィールドにカンマで区切って入力します
ステップ 18 ホスト ディスカバリを行い、サーバ、オペレーティング システム、脆弱性 のディスカバリを行う Nmap スクリプトのデフォルト セットを使用するかどうかを制御するには、[Default NSE Scripts] オプションを以下のように設定します。
• Nmap スクリプトのデフォルト セットを実行するには、[On] を選択します。
• Nmap スクリプトのデフォルト セットを省略するには、[Off] を選択します。
デフォルト スクリプトのリストについては、http://nmap.org/nsedoc/categories/default.html を参照してください。
ステップ 19 スキャン プロセスのタイミングを設定するには、タイミングのテンプレート番号を選択します。選択する数値が大きいほどスキャンは高速で幅が狭くなり、小さいほどスキャンは低速で包括的になります。
ステップ 20 [Save] をクリックし、[Done] をクリックします。
修復が作成されます。