Назад | Перейти на главную страницу

Использование учетных данных с сетевыми сканерами

Я тестирую как сканер Nessus от Tenable, так и Retina от eEye для сканирования сетевых устройств. Я пытаюсь предоставить учетные данные, чтобы получить более глубокие и точные результаты, однако, похоже, нет никакой разницы в результатах, предоставлю ли я учетные данные или нет. Я прочитал документацию и, похоже, перепробовал все логические настройки в параметрах учетных данных. Я отправил вместе с именами пользователей и паролями для многих различных учетных записей и типов учетных записей (как учетные данные SSH, так и учетные данные веб-приложения) на устройствах, а также их соответствующие доменные имена (если применимо).

Возможно, есть хороший тест для одного (или обоих) сканеров, чтобы определить, где эти учетные данные предоставляются (если вообще), и успешно ли проходит аутентификация какой-либо из них?

Попытка отладить проблемы аутентификации в автоматизированных системах, безусловно, может быть сложной задачей. Хотя аутентификация не является первый то, что пытается сделать сканер, довольно рано в процессе сканирования. Система запускает сканирование портов, просматривая несколько наиболее распространенных портов, и, если порты удаленной аутентификации открыты, она пытается аутентифицироваться и запускать проверки с учетными данными. В Windows это будет TCP-порт 445, а в Linux / Unix TCP-порт 22.

Есть много вещей, которые могут пойти не так с такой аутентификацией, поэтому я бы попробовал следующие шаги:

  1. Вы выполняете аутентификацию, но не можете запустить удаленную проверку? Используйте причудливую систему фильтрации и найдите PluginID 21745. Это своего рода мета-плагин, который проверяет, не удалось ли сканеру аутентифицироваться. Если этот плагин есть в вашем отчете, значит аутентификация не удалась. Это хороший и быстрый способ подтвердить наше первоначальное предположение о том, что нам не удалось пройти аутентификацию.
  2. Включает ли ваша политика сканирования какие-либо местные проверки? В веб-интерфейсе откройте политику, которую вы используете, выберите вкладку «Плагины» и добавьте фильтр «Тип плагина -> равно -> локальный».
  3. Проверьте отчет о сканировании, чтобы убедиться, что порт 22 указан как открытый. Если нет, то вам нужно будет проверить настройки брандмауэра хоста и, возможно, /etc/ssh/sshd_config.
  4. Проверьте, может ли сам пользователь войти на удаленный хост. Со сканера Nessus попробуйте ssh nessususer@remotehost.tld и посмотрите, сможете ли вы пройти аутентификацию. Если ваше имя пользователя и пароль по-прежнему не работают, тогда системному администратору необходимо вмешаться, чтобы исправить пользователя на удаленном хосте.
  5. Ожидает ли удаленный хост аутентификации на основе ключа вместо пароля? Если это так, убедитесь, что открытый ключ правильно вставлен в authorized_key файл на удаленном хосте. Помните, открытый ключ должен быть одной строкой для каждой записи (будьте осторожны, вводя новые строки при копировании / вставке) и чтобы разрешения были строго строгими в отношении .ssh папка.
  6. Посмотрите на свой профиль сканирования. Если вы скопировали этот профиль с другого сканера или создали его как копию существующего профиля, то сохраненные пароли, вероятно, не пришли с ним. Импортируйте их снова.
  7. Если все это не помогло, я бы попытался обратиться в службу поддержки. Поскольку вы платите за ProfessionalFeed (и, исходя из предположений в FAQ, в противном случае вы нарушаете свою лицензию), вы можете подать заявку в том же месте, где получили ключ активации.

Все, что было сказано, я не могу сказать, что я Когда-либо пытался использовать аутентификацию по паролю для проверок учетных данных Linux / Unix. Система может очень легко использовать пары открытого / закрытого ключей.

Если вы сканируете некоторые системы Windows, вы можете проверить журнал событий безопасности, чтобы узнать, были ли попытки аутентификации со сканера действительными или нет. Если попытки подключения от сканеров были аутентифицированы, тогда у сканеров был доступ, предоставленный учетными данными, теперь еще одна проблема - правильно ли настроены сканеры для «сканирования глубже».