DMZの外部脆弱性スキャン

Question

現在、組織内に内部および外部の脆弱性スキャナーがセットアップされています。今朝、外部スキャナーは、パブリックIPスペースで直接ではなく、新しい外部DDoS保護サービスを通過していました。（DDoSプロバイダー以外はファイアウォールで保護します。）直接IPを対象とし、外部の脆弱性スキャナーIPをファイアウォールで除外するので、これは奇妙だと思いました。

次に、外部スキャナーには例外がなく、ビジターと同じセキュリティ対策が適用されることを知らされました。私の脳は、外部スキャナーはコアアプリケーションではなく、セキュリティ対策を監視する必要があると述べています。内部スキャナーは、内部からDMZ=をスキャンします。

外部脆弱性スキャナーを展開するための通常のアプローチは何ですか。訪問者のようにスキャンする必要がありますか、それともセキュリティコントロールがないかのようにスキャンする必要がありますか？（DMZターゲットをスキャンする内部スキャナーがあることを考慮してください。）

GreatSeaSpider · Answer

事情によると思います。

上記で説明したことに対する私の懸念は、パブリックIPスペースに直接アクセスしていない場合（DDoS保護サービスから送信されないものをドロップするように設定されているファイアウォールに依存している場合）、脆弱性やミスがないと信頼していることです。 -構成はファイアウォール内に存在します。

あなたが説明する設定は、訪問者がたどる経路を通じて攻撃が行われることを想定していますが、これは決して確実ではありません。あらゆる手段で攻撃が発生すると想定したい。

外部脆弱性スキャンがDDoS保護サービスをテストするように設計されている場合は問題ありませんが、パブリックIP範囲もスキャンすることを確認します。また、サードパーティサービスに対して脆弱性スキャンを実行することの賢明さについても質問します。ただし、サポートされているTLS Cipersuitesなどを確認するために、これには多少のメリットがあるかもしれません。

質問に直接答えるため;外部の脆弱性スキャンで外部の攻撃対象領域のallをヒットさせたい。あなたが言ったことから、私にはいくつかの外部の攻撃面が欠けているようです。

itscooper · Answer

私の回答の根拠は、部分的には脆弱性スキャンの目的に大きく依存するため、苦痛な叔母の形式で説明します。私の答えは一番下にあります。

定義：

IPS /アンチDDOS-この質問の目的上、これはサードパーティのサービスであり、パブリックから基盤となるシステム（CloudFlareやIncapsulaなど）へのリクエストをプロキシするものと想定しています。ただし、これらの概念の多くは、IPS独自の境界ネットワークで実行していた場合に適用されます。IPS =侵入防止システム。
基礎となるシステム-これらは、実際に所有および制御するシステムであり、境界ネットワーク上にあると想定されています。

自分のIPSまたは抗DDOSサービスが脆弱性スキャンの防止にどの程度効果的かを評価したい

なんと奇妙な要求！？この状況では、IPS /アンチDDOSサービスを通じて脆弱性スキャンを実行することを検討する必要があります。このような演習の結果から、攻撃者が同じスキャンを実行した場合に何が表示されるかがおおよそわかります。

基になるシステムでの脆弱性の悪用を防ぐのに、私のIPSまたは抗DDOSサービスがどれほど効果的であるかを評価したい

その性質上、脆弱性スキャンがこれを支援することはほとんどありません。脆弱性スキャンは効率を上げるために妥当な速度で動作する必要があり（通常、脆弱性のALOTを徹底的にチェックする必要があります）、IPS /アンチDDOSサービスは、このようなネットワークパターン（つまり自動化）を阻止するように設計されています。彼らは多くを見つけられないかもしれませんが、それは人間によって悪用される可能性がある脆弱性がないことを意味しません。

侵入テスト担当者に既知の脆弱性を悪用するように依頼することを検討してください。基盤となるシステムに存在することがわかっている脆弱性のベンチマークがあることは理にかなっています。

基盤となるシステムに存在する可能性のある脆弱性を検出したい

まず、これは非常に良いアイデアです。なぜなら、これらは実際に所有および制御するシステムであり、セキュリティに関してある程度の責任があるからです。

機能している反DDOSやIPS=を介した脆弱性スキャンは、これが最終目標である場合は悪い考えです。人間がいる場所でスキャナーがブロックされる可能性は十分あります。攻撃者は成功する可能性があります。

ただし、脆弱性スキャンは問題を検出する非常に効率的な方法であるため、破棄しないでください。 IPS/anti-DDOSサービスでスキャナーのIPアドレスをホワイトリストに登録すると、中断することなくスキャンできるはずです。または、ファイアウォールを介してこのIPへの直接アクセスを許可することもできます（ただし、ユーザーがアンチDDOSシステムを通じて見ることができるものを模倣する必要があります。これらのルールをスケジュールされたスキャン時間にのみアクティブにすることを検討してください。

内部からのスキャンも有効です。理想的には、複数層での保証が必要です。理想的には、境界ファイアウォールなど、スキャンに干渉しないネットワークデバイスを介してスキャンすることです。これは、外部IPアドレスを使用しないと不可能かもしれません。その場合、外部スキャンと何の違いもありません。

検出された問題の一部は、アンチDDOS/IPSサービスによって軽減された可能性があることを覚えておいてください。この場合、を参照してください。効果的なmy IPSまたはanti-DDOSサービスは、基盤となるシステムの脆弱性の悪用を防ぐことですセクション）。

ペネトレーションテスターは、IPS /アンチDDOSを通じてテストするためのより広い範囲を与えるかもしれませんが、それでも彼らが脆弱性を特定するための最も効率的な方法ではないかもしれません。

ファイアウォールがアンチDDOSサービス以外のすべてを本当にブロックしていることを確認したい

スキャナーに特別なファイアウォールの例外がない場合、基盤となるシステムに対して外部ポートスキャンを実行します。脆弱性スキャンは通常、ポートスキャンから始まるため、十分です。

あなたがするインターネットに直接接続されている追加のサービスを識別し、それらを単にフィルターで除外できない場合（つまり、それらが必要な場合）、そのはずではない理由はありません。それらを脆弱性スキャンにもかけます。

参考文献

SecureState /スキャンベンダーは不正行為をしていますか？
PCI ASVスキャン手順の要件1
Trustwave/WAFは許可された脆弱性スキャントラフィックをどのように処理する必要がありますか？（同様の概念、およびIPSが参照されています）

TL; DR

脆弱性スキャンは必ずしも実際の攻撃をテストするのに適しているとは限りませんが、管理者にとっては非常に役立ちます。 IPSおよび反DDOSサービスは結果に干渉し、脆弱性が依然として人間によって悪用される可能性のある検出を防止します。

優先度の観点から、あなたが持っているリソースに応じて、ここに私が焦点を当てます（順番に）：

基盤となるネットワークの脆弱性スキャン。脆弱性スキャナーにアンチDDOSサービスと同じアクセスを許可するか、アンチDDOSサービスのホワイトリストを許可します。
IPS/anti-DDOSサービスが優先度の間に発見された脆弱性を軽減することでどれほど効果的かを判断します。1。ペネトレーションテスターを使用することをお勧めします。

侵入テストは実際にはこの質問の範囲外ですが、脆弱性スキャンは実際の攻撃をシミュレートするための良い方法ではないことがわかったため、保証を得るための追加の方法として言及する必要があると思います。アンチDDOSを介してスキャンを実行することで実現しようとしているリアリズムの一部を提供できます。

Steve Sether · Answer

2つのアプローチの間にはトレードオフがあります。リソースがある場合は、両方のアプローチを選択してください。機能が限られている場合でも、私の最初の選択肢は、依然としてアンチDDOSプロバイダーを介してスキャンすることです。

アンチDDOSプロバイダーを介したスキャン：

セキュリティスキャナーは本質的にテストであり、テスト環境は正確にするために現実の世界にできるだけ類似している必要があります。

現実の環境は複雑であり、予告なく変更されます。あなたがあなたが説明していることをするなら、あなたは特別なルールが常に適用されるだろうと仮定しているでしょう。 IPが変更されるとどうなりますか？オフサイトサイトを設置するとどうなりますか？人々はこれらの変更を入れて、それがシステムの残りの部分に影響を与える可能性のあるすべての異なる方法や、ハードコーディングされたルールがどこかにあるかを自動的に考えるだけではありません。

ビジターが通常のルールを通過するということは、外部スキャナーが他の人とまったく同じように物事を認識することを意味します。 DDOSプロバイダーのネットワークに奇妙な脆弱性がある場合、スキャンはそれをピックアップします。

外部スキャナーに特別なルールを設定すると、トラフィックが別の方法でルーティングされたり、例外を設定したためにその他の異常が発生したりする可能性があります。あなたが考えていなかった何かが現れるまで、それはすべて本質的に同等に聞こえます。

IPを直接スキャンすると、アンチDDOSプロバイダーによって隠されていることが明らかになります。

実際の運用では、物事が起こります。私たちは皆、1日おきに運用が行われていると思っていますが、異常な状況では、状況が大幅に変化し、予期しない状況に陥ることがあります。

プロバイダーがダウンしたり、プロバイダーがユーザーに通知せずにルールを変更した場合など。問題が発生している疑いがあるため、アンチDDOSプロバイダーを突然削除する必要がある場合があります。次に、環境が異なるため、テストが突然無効になり、知らなかったものに対して脆弱であることに突然気付く場合があります。今何？

理想的には、両方のスキャンでまったく同じものが明らかになるはずです。もしそうなら、素晴らしい。そうでない場合は、さらに調査して理由を見つける必要がある場合があります。 1つのアプローチを選択する必要がある場合は、はるかに多くのシナリオをカバーし、「実世界」をよりよくシミュレートするため、最初のアプローチをお勧めします。