Nexpose安裝中文使用教程網站創建方案
本節討論站點滿足常見需求的“recipes”。通過選擇適當的模板、資產和配置選項,您可以自定義站點以適應特定的目標。
默認設置
默認掃描模板是不帶Web Spider的完全審核。
此掃描模板為您提供對大多數非Web資產的徹底漏洞檢查。它的運行速度比使用Web Spider的掃描模板快。
要徹底檢查漏洞,應指定憑據。
在建立漏洞掃描實踐時,您可以使用其他掃描模板創建其他站點,并根據網絡配置的需要將掃描引擎從默認值更改。
找出您擁有的內容:發現掃描
摘要:檢查漏洞的第一步是確保您正在檢查組織中的所有資產。您可以通過執行發現掃描來找到有關組織中資產的基本信息。該應用程序包括用于發現掃描的內置掃描模板。
如果存在您不知道可以利用的資產,攻擊者可以使用該資產繞過虛擬專用網(VPN)和公司防火墻,并從本地網絡內發起攻擊。如果您不熟悉該角色,則可能尚未了解負責保護的每個資產。無論如何,都會頻繁添加新資產。您可以進行發現掃描,以查找和了解有關這些資產的更多信息,從而為開發正在進行的掃描程序做準備。
發現掃描可能會根據組織的網絡配置而有所不同。我們建議您在盡可能廣泛的IP地址上進行發現掃描,以防組織中的項目超出了典型范圍。因此,對于初始發現掃描,我們建議您首先檢查整個私有IPv4地址空間(10.0.0.0/8、172.16.0.0/12和192.168.0.0/16)以及所有由或擁有的公共IP地址。組織。這樣做將幫助您找到盡可能多的主機。對于確實利用所有專用地址空間的組織,也對于那些網絡較小的組織,我們肯定會建議這樣做,以確保他們能找到所有可能的東西。
掃描這么多資產可能需要一些時間。要估計掃描需要多長時間,請參閱管理員指南中的“ 規劃容量需求”部分。此外,發現掃描可以通過系統管理或防病毒程序觸發警報;您可能需要在掃描之前建議用戶。
要在Nexpose中進行初始發現掃描:
- 創建一個新的靜態站點(請參閱向站點添加資產),包括以下設置:
- 指定包含的資產時,請使用無類域間路由(CIDR)表示法指定范圍。參見http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing。該符號使您可以用簡潔的語法指定一大堆計算機。如上所述,此時的最佳實踐是掃描組織控制的所有IP地址以及每個私有IP地址范圍。
- 選擇發現掃描掃描模板。
- 不指定憑據。確定網絡上計算機的存在不需要它們。
- 在此站點上運行掃描。
- 與您對網絡的了解相比,檢查掃描結果。查找并解決任何異常情況。例如:
- 端口錯誤地顯示為活動:如果發現掃描將每個端口顯示為活動,則此結果可能未顯示實際的網絡配置,但受到諸如安全設備之類的其他東西的影響(例如,入侵)檢測軟件,入侵防護軟件或負載平衡器)。確定導致意外結果的原因并進行更改,以便獲得準確的掃描信息。例如,如果防火墻導致結果不準確,則將Nexpose列入白名單。
- 端口錯誤地顯示為非活動:您可能會發現網絡中無法掃描的區域。例如,可能有一個您知道的地址,該地址在發現掃描中找不到。檢查遺漏是由于防火墻還是邏輯路由問題引起的。如果是這樣,請在屏障的另一側配置其他掃描引擎,然后掃描這些資產。
全面了解您的環境
簡介:除了對您的網絡進行徹底掃描之外,我們建議您使用網絡外部的掃描引擎來檢查可以找到的內容。準備好掃描引擎后,可以將其添加到“ 站點配置”中。
如果您有外部IP地址,則可以檢查某人可以從外部訪問什么。您可以在網絡范圍之外設置掃描引擎,然后查看其內容。如果要獲取防火墻的“外部”視圖,請從組織外部的引擎執行掃描,該引擎與其他外部計算機一樣。您可能要考慮使用Rapid7托管引擎。
我們建議以下配置:
- 不要將憑據用于這些外部掃描。
- 不要將源IP地址列入白名單。
- 您可能需要使引擎免于某些主動/自適應入侵防御技術(例如,Web應用程序防火墻,未知單播和Muticast洪水控制,入侵防御系統,動態防火墻黑名單)。
- 使用“ Web蜘蛛全面審核”掃描模板或類似的自定義模板。
- 掃描組織分配的整個公共地址空間的全部內容,而不只是掃描您認為已運行或可訪問的系統。
- 至少每月進行一次掃描,或者在給定變更控制和掃描持續時間的情況下,盡可能進行頻繁掃描。
- 如上所述,請始終將外部掃描與內部經過身份驗證的掃描結合使用,因為防火墻規則會屏蔽對某些漏洞,服務和主機的訪問。
我們建議以下優先級進行補救:
- 漏洞的最危險類型之一是可能使未經身份驗證的外部用戶登錄,例如暴露的Telnet端口。修復此類漏洞成為當務之急。
- 否則,開始通過減少攻擊面來解決結果:
- 取消或阻止對不需要公開的主機的訪問。
- 使用防火墻規則來限制對盡可能多的服務和主機的訪問。
- 根據CVSSv2或CVSSv3得分和流行度來解決其余的面向外部的漏洞。
零日漏洞
對于新宣布的高風險漏洞,您可能只想掃描該特定漏洞,以便盡快找出受影響的資產。
您可以創建僅檢查特定漏洞的自定義掃描模板,并使用此特殊模板掃描您的站點。您可以使用“常見漏洞和披露標識符”(CVE-ID)僅專注于對該漏洞的檢查。
要掃描特定漏洞:
- 通常,最佳實踐是通過復制現有模板來創建新的掃描模板。最佳復制方法取決于漏洞的性質,但是通常使用Web Spider進行完全審核或不使用Web Spider進行完全審核是不錯的起點。
- 確保選擇了“ 漏洞”選項,并且在相關的情況下確保選擇了“ Web Spidering”選項。清除“ 策略”選項,以使模板集中于此漏洞的特定檢查。
- 編輯掃描模板的名稱和描述,以便以后可以識別模板是為此目的而定制的。
- 轉到“ 漏洞檢查”頁面。首先,您將禁用所有檢查,檢查類別和檢查類型,以便您可以專注于專門掃描與該問題相關的項目。
- 展開“ 按類別”部分,然后單擊“ 刪除類別”。
- 選中第一行的復選框(“ 漏洞類別”),它將自動選擇所有類別的復選框。然后點擊保存。請注意,現在已啟用0個類別。
- 展開“ 按個人檢查”部分,然后單擊“ 添加檢查”。
- 在搜索條件框中輸入或粘貼相關的CVE-ID,然后點擊搜索。選中第一行的復選框(漏洞檢查),它將自動選擇所有類型的復選框。然后點擊保存。
- 對與該問題關聯的所有其他CVE-ID重復步驟7。
- 保存掃描模板。
- 創建或編輯網站以包括:
- 新的自定義掃描模板
- 經過身份驗證的漏洞檢查的憑據
- 開始掃描。
多個地點的資產
如果您在多個位置擁有資產,則需要考慮以下幾個因素:
- 您可以應用標簽來指示資產的位置。然后,您可以基于這些標記創建報告,以便可以按位置評估資產的風險。
- 創建站點并將其與掃描引擎關聯的一種最佳做法是,充分利用您的網絡配置。例如,如果您在休斯頓和新加坡擁有資產,則最好將掃描引擎放在兩個位置并為每個位置創建一個站點,而不是嘗試僅在其中一個位置使用掃描引擎來掃描所有資產。
大量資產
要掃描大量資產,您可能需要利用掃描引擎池。一個掃描引擎池可以幫助實現負載平衡,并在一個掃描引擎發生故障時用作備份。要了解有關配置掃描引擎池的更多信息,請參閱“ 掃描引擎池”頁面。
亞馬遜網絡服務
要掃描Amazon Web Services(AWS)虛擬資產,您需要在AWS環境中執行一些準備工作,并創建特定于此類資產的發現連接。
虛擬機
要掃描VMWare虛擬資產,您將需要在目標VMWare環境中執行一些準備步驟,然后創建特定于此類資產的發現連接。
內部PCI合規性掃描
如果您的系統處理,存儲或傳輸信用卡持有人數據,則您可能正在使用Nexpose遵守支付卡行業(PCI)安全標準理事會數據安全標準(DSS)。PCI內部審核掃描模板旨在幫助您按照DSS的要求進行內部評估。
以下是與Nexpose一起使用以幫助您進行內部PCI掃描的建議過程的概述。(有關如何使用應用程序中任何功能的更多信息,請參閱“幫助”或“用戶指南”。)
- 如PCI DSS 3.0第6.1節所述,您需要創建一個過程來識別安全漏洞。為此,請使用以下配置在Nexpose中創建一個或多個站點:
- 在“ 站點配置”的“ 信息和安全性”選項卡的“ 組織”部分中,根據PCI特定報告的要求輸入組織信息。
- 包括掃描PCI合規性所需的資產。(通常,這些主機將構成您的持卡人數據環境或“ CDE”)。
- 使用PCI內部審核掃描模板。
- 指定掃描憑據。(這些憑據應具有讀取目標系統的注冊表,文件和程序包管理方面的特權)。
- 如PCI數據安全標準要求11.2.1和11.2.3所述,您需要創建和檢查報告以驗證是否已掃描并修復了漏洞。您還應該保留這些報告的副本,以證明您符合PCI DSS。
- 緩解漏洞。漏洞描述包含補救步驟。
- 重新掃描以確認您的緩解措施已成功解決了發現問題
- 如果使用補償控件,則可能有必要使用異常處理來消除相關的發現。(即使自動化工具可以有效減輕相關風險,也可能無法檢測到您的補償控制。)
- 繼續掃描并緩解。您將需要每季度進行一次內部掃描,直到您糾正了PCI DSS 6.1和11.2.1節中定義的所有高風險漏洞。您還需要按照11.2.3節中的規定進行重大更改后進行掃描。第6.2節概述了可接受的補救措施時間表。
策略基準
該應用程序包括可用于策略基準測試的內置掃描模板。這些包括CIS,DISA和USGCB。這些模板中的每一個都包含用于不同平臺的策略捆綁。僅評估適用的那些。在這三個平臺中,CIS包含對最廣泛平臺的支持。
所有策略掃描模板都需要一個用戶名和密碼對,用于訪問資產(例如臺式機和服務器)。通常,此帳戶將具有管理員或root用戶的特權。
CIS掃描模板包括特定于數據庫的策略檢查,并且需要用戶名和密碼才能訪問數據庫。
推薦文章: