Hemos implementado / estamos implementando un proceso de escaneo de vulnerabilidades de red, y hemos elegido utilizar Qualysguard.
Qualys suministra un dispositivo de escáner para el escaneo de la red interna, que obviamente se conecta a la red. Nuestra red interna está segmentada en múltiples subredes, cada una con cortafuegos desde las otras. Tenemos un segmento de red que se utiliza para la gestión de TI (como Snort y Splunk). Parece tener sentido tener el dispositivo de escáner en este segmento de red. El problema obvio es que el dispositivo del escáner necesita una visibilidad completa de todos los dispositivos que escaneará en la red, y detesto abrir puertos de firewall si se puede ayudar. Sé que alguien dirá que debería haber un dispositivo de escáner en cada subred, pero eso no es práctico para nosotros.
Puedo pensar en varias ubicaciones de red posibles para el dispositivo del escáner:
- En la red de gestión
- En el segmento más protegido de la red (escaneando a dispositivos menos protegidos)
- En el segmento más protegido de la red (escaneando a más dispositivos protegidos)
- En una subred completamente separada
Entonces, mi pregunta es que dado que el dispositivo necesita acceso completo (todos los puertos abiertos) a todos los dispositivos, ¿dónde colocaría el dispositivo del escáner en su red y por qué?