Ubicación del Escáner de Vulnerabilidad de la Red en la red

6

Hemos implementado / estamos implementando un proceso de escaneo de vulnerabilidades de red, y hemos elegido utilizar Qualysguard.

Qualys suministra un dispositivo de escáner para el escaneo de la red interna, que obviamente se conecta a la red. Nuestra red interna está segmentada en múltiples subredes, cada una con cortafuegos desde las otras. Tenemos un segmento de red que se utiliza para la gestión de TI (como Snort y Splunk). Parece tener sentido tener el dispositivo de escáner en este segmento de red. El problema obvio es que el dispositivo del escáner necesita una visibilidad completa de todos los dispositivos que escaneará en la red, y detesto abrir puertos de firewall si se puede ayudar. Sé que alguien dirá que debería haber un dispositivo de escáner en cada subred, pero eso no es práctico para nosotros.

Puedo pensar en varias ubicaciones de red posibles para el dispositivo del escáner:

  • En la red de gestión
  • En el segmento más protegido de la red (escaneando a dispositivos menos protegidos)
  • En el segmento más protegido de la red (escaneando a más dispositivos protegidos)
  • En una subred completamente separada

Entonces, mi pregunta es que dado que el dispositivo necesita acceso completo (todos los puertos abiertos) a todos los dispositivos, ¿dónde colocaría el dispositivo del escáner en su red y por qué?

    
pregunta hmallett 20.12.2011 - 12:44
fuente

3 respuestas

3

No he usado QualysGuard, sin embargo, utilizando un enfoque independiente del proveedor, consideraría lo siguiente.

Conexión indirecta a través de firewall:

Esta puede ser una buena opción si no puede conectarse a la subred por algún motivo (no hay suficientes conexiones, no se puede acceder físicamente, etc.)

Algunos tipos de exploraciones activas dependen de la ubicación lógica de la red y es posible que no funcionen a través de un firewall / IPS (como las transmisiones y algunos envenenamientos) según su configuración. Normalmente, esto no es un problema porque el firewall / IPS proporciona esa capa de protección, pero es posible que una evaluación no esté completa.

Mayor carga / procesamiento a través de firewall y equipos de red. El tráfico de exploración de vulnerabilidades puede dañar el equipo de la red y puede inundar los enlaces. Si esto es una preocupación, entonces ubicar la interfaz de escaneo lógicamente cerca del objetivo es una ventaja.

Conexión directa a la subred:

En general, es la mejor forma de rendimiento para instalar un escáner, pero puede ser un problema si no puede conectarse a un puerto de conmutador con acceso a la red o VLAN que desea escanear.

Conectar directamente un escáner en el que tiene conectividad directa con su objetivo puede permitirle detectar vulnerabilidades que se ocultan detrás de dispositivos de conmutador, firewall o IPS.

Escáneres puentes zonas seguras. Un escáner también puede tener vulnerabilidades, menos en estos días, pero cada interfaz de escáner es potencialmente un puente a varias redes. Esto obviamente depende de su implementación y producto, algunos son mejores que otros. Los escáneres normalmente no direccionan el tráfico, pero si existiera una vulnerabilidad en el escáner o en el sistema operativo del escáner.

Conclusion:

Las otras opciones que ha enumerado son todas válidas y podrían usarse con una conexión indirecta a través de un firewall. Lo ideal es que escanee las plataformas o aplicaciones desde el lado en el que atenderán las solicitudes. Es posible que eso no sea posible en una red de administración, dependiendo de su configuración.

  

¿Dónde colocaría el dispositivo del escáner en su red y por qué?

Conectaría el escáner con puertos conectados directamente en las subredes más seguras (Red interna), que probablemente tendrían más hosts para escanear. Y luego coloque algunas otras interfaces en una subred separada con acceso a través de firewalls a sus subredes menos seguras.

Esto limita el puenteo y le permite escanear la mayoría / todos sus hosts con un impacto de rendimiento mínimo.

Espero que esto ayude.

    
respondido por el Bernie White 21.01.2012 - 11:56
fuente
2

No estoy seguro de que pueda evitar que no se agreguen reglas a sus firewalls para permitir el tráfico desde el escáner. No tendrá que abrirlos globalmente, solo para la IP del escáner.

Si está utilizando una inspección de estado, los escáneres deberían estar en el lado no confiable del firewall de modo que las tablas de estado de los firewalls no se llenen y causen problemas de tráfico.

El escáner QualysGuard admite el etiquetado de VLAN, por lo que es posible que pueda evitar los firewalls, dependiendo de su configuración.

    
respondido por el schroeder 23.12.2011 - 00:51
fuente
2

Se recomienda encarecidamente que trabaje con su grupo de red para determinar dónde Coloque los dispositivos de escáner en un entorno de red empresarial. Algunas cosas para considere: coloque los dispositivos de escáner lo más cerca posible de las máquinas de destino, y asegúrese de para monitorear e identificar cualquier ancho de banda restringido segmentos o puntos débiles en el infraestructura de red. Escanear a través de dispositivos de capa 3 (como enrutadores, firewalls y balanceadores de carga) podrían resultar en un rendimiento degradado, por lo que puede considerar usar nuestros Función de etiquetado VLAN (enlace troncal VLAN) para eludir los dispositivos de capa 3 para evitar posibles problemas de rendimiento.

Se reserva una IP estática para que el escáner Qualys en cada una de las VLAN sea escaneado por él. El escáner utiliza la IP estática reservada mientras escanea la VLAN.

Entonces, como usted dijo, efectivamente estará dentro de la VLAN y, por lo tanto, no se requiere enrutamiento L3.

Ejemplo: el escáner escaneará la VLAN A - 192.168.1.0/24 & VLAN B- 192.168.2.0/24 Una IP estática, digamos 192.168.1.2 y amp; 192.168.2.2 en cada una de las VLAN está reservada para el escáner. Mientras escanea la VLAN A, utilizará la IP 192.168.1.2, por lo que se sentará efectivamente dentro de la VLAN A. Del mismo modo para VLAN B

    
respondido por el Biplab Roy 09.05.2016 - 09:59
fuente

Lea otras preguntas en las etiquetas