Erkennung ohne Anmeldeinformationen mit Nmap

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 5 Minuten Lesedauer

    • Wenn die Instanz aufgrund eines Authentifizierungsfehlers ein Konfigurationselement (CI) nicht identifiziert, kann Discovery oder Service Mapping ausgewählte Nmap-Befehle (Network Mapper) mit einem MID Server ausführen, um ohne Anmeldeinformationen einige Basisinformationen über das CI zu sammeln.

    Ein MID Server-Administrator kann Nmap auf einzelnen MID Servern installieren, die auf einem Windows-Host ausgeführt werden. Diese MID Server können dann einige Basisinformationen über CIs in Ihrem Netzwerk erkennen, wenn die normale Authentifizierung fehlschlägt.
    Wichtig:
    Selbst gehostete Kunden, deren Netzwerksicherheit keine Downloads von install.service-now.com zulässt, muss Nmap manuell auf ihrem System installieren und konfigurieren. Beziehen Sie sich auf Installieren von Nmap auf einem selbst gehosteten System für Anweisungen.

    Durch eine anmeldedatenlose Erkennung können Host- und Anwendungs-CIs erstellt und geändert werden, wenn Anmeldeinformationen fehlen oder falsch konfiguriert sind. Wenn eine auf Anmeldeinformationen basierende Erkennung erfolgreich durchgeführt wird, nachdem Nmap ein CI erstellt hat, gleicht das System die Informationen ab, die für die einzelnen Erkennungstypen gesammelt wurden.

    Von Nmap erkennbare Elemente

    Die während einer anmeldedatenlosen Erkennung ausgeführten Nmap-Befehle bieten folgende Möglichkeiten:
    • Führen Sie eine umgekehrte DNS-Namensauflösung durch, um den Host anhand der IPv4-Adresse zu identifizieren.
    • Geben Sie die MAC-Adresse des Hosts zurück, wenn sich dieser im selben Subnetz befindet wie der Host, der den Nmap-Befehl ausführt.
    • Erkennen Sie auf einem Zielhost installierte Anwendungen.
    • Erkennen Sie das Betriebssystem eines Zielhosts und die BS-Version.
    Hinweis:

    Die anmeldedatenlose Erkennung klassifiziert Router und Switches als Hardware. Dadurch werden keine CIs speziell für sie erstellt oder aktualisiert.

    Die Erkennung ohne Anmeldeinformationen sollte nur in bekannten Subnetzen verwendet werden, in denen Anmeldeinformationen nicht praktikabel sind, und sollte nicht langfristig verwendet werden.

    Nmap-Discovery-Scans ohne Anmeldeinformationen auf Cloud-Computing-Plattformen

    Es stellt in vielen Fällen einen Verstoß gegen die Nutzungsbedingungen dar, Nmap-Scans zu oder von einer beliebigen Ressource innerhalb eines Cloud-Computing-Services wie Amazon Web Service, Microsoft Azure, IBM Cloud oder Google Cloud Platform auszuführen. Die Amazon Web Service(AWS)-Umgebung beispielsweise ist streng reguliert und erfordert die Erlaubnis von AWS über das Formular AWS-Schwachstellen-/Penetrationstestanforderung. Nicht autorisierte Tests mit AWS-Services oder AWS-eigenen Ressourcen sind nicht zulässig. Aus diesem Grund ist eine Erkennung ohne Anmeldeinformationen in einer Cloud-Computing-Serviceumgebung nicht angezeigt. Wenn ein Verstoß gegen die entsprechenden Richtlinien vorliegt, kann dies zur Beendigung des Services führen. Bitte wenden Sie sich an Ihren Platform Service Provider, um Informationen über Einschränkungen oder Berechtigungsanforderungen für die Ausführung von Nmap zu erhalten.

    Mit Nmap installierte Komponenten

    Das Plugin „Discovery - IP Based“ [com.snc.discovery.ip_based], das die Nmap-Funktionalität bereitstellt, wird automatisch aktiviert, wenn entweder Discovery oder Service-Mapping aktiv ist. Das Plugin „Discovery - IP Based“ stellt die folgenden Nmap-Komponenten bereit:
    Komponente Beschreibung
    Systemeigenschaft Die Eigenschaft mid.discovery.credentialless.enable aktiviert oder deaktiviert Nmap für alle MID Server, auf denen Nmap installiert ist und die mit der Instanz verbunden sind. Diese Eigenschaft wird mit dem Plugin „Discovery“ installiert und ist standardmäßig aktiviert. Sie kann von einem Systemadministrator konfiguriert werden.
    MID Server-Eigenschaften Die folgenden Eigenschaften aus der Tabelle „MID Server-Eigenschaft“ [ecc_agent_property] sollten nicht konfiguriert werden:
    • mid.nmap.version: Version von Nmap, die auf MID Servern in Ihrer Umgebung installiert ist. Dieses Feld wird im Formular „MID Server“ [ecc_agent] angezeigt, nachdem Nmap installiert wurde.
    • nmap.safe.scripts: Definiert die Liste der Nmap-Skripts, die als sicher für die Verwendung während der Ausführung der Nmap-Phase zur Anwendungsversionserkennung (Befehlsoption -sV) klassifiziert sind
    • nmap.npcap.version: Die Version von Npcap, die mit Nmap installiert wird. Das Nmap-Installationsprogramm kann nur Upgrades von vorhandenen Npcap-Installationen durchführen, auf die es stößt.
    Felder
    • Discovery-Port ohne Anmeldeinformationen [cl_port]: Optionales Feld in der Anwendungstabelle [cmdb_ci_appl], in dem die Nummer eines Ports angezeigt wird, der durch die anmeldedatenlose Erkennung gescannt wurde. Anhand dieser Portnummer wird bestimmt, ob die CMDB das CI für eine von Nmap zurückgegebene Anwendung enthält oder ob ein neues CI erstellt werden muss.
    • Discovery-Quelle [discovery_source]: Optionales Feld in der Tabelle „Konfigurationselement“ [cmdb_ci], dem die Option CredentiallessDiscovery hinzugefügt wird. Diese Option zeigt an, dass die anmeldedatenlose Erkennung zum Erstellen eines CI verwendet wurde.
    Nmap-Fähigkeit für MID Server Die Nmap MID Server-Fähigkeiten werden dem MID Server hinzugefügt, wenn Nmap installiert wird, und automatisch entfernt, wenn Nmap deinstalliert wird. Nur MID Server mit dieser Fähigkeit können anmeldedatenlose Erkennungen ausführen. Ein Systemadministrator kann diese Fähigkeit nicht manuell hinzufügen oder entfernen. Selbst gehostete Kunden mit der Wartungsrolle können die Nmap-Fähigkeit ändern oder löschen, sollten dies jedoch unterlassen.

    Service Mapping überprüft nicht das Vorhandensein der Nmap -Fähigkeit und wählt den MID Server nur basierend auf der IP-Adresse aus. Um sicherzustellen, dass von Service Mapping kein MID Server ohne Nmap -Fähigkeit ausgewählt wird, installieren Sie Nmap auf allen MID Servern, die den IP-Adressbereichen zugewiesen sind, für die Discovery ohne Anmeldeinformationen verfügbar sein soll. Wenn Service Mapping einen MID Server für die Erkennung ohne Anmeldeinformationen auswählt, der keine Nmap-Fähigkeiten hat, wird diese Fehlermeldung in der Zuordnung am Standort des erkannten CI angezeigt: Nmap ist nicht auf dem MID Server installiert. Stellen Sie sicher, dass alle MIDs, die für die Verarbeitung der ausgewählten IP-Adresse konfiguriert sind, über eine Nmap-Fähigkeit verfügen. Nmap-Stammverzeichnispfad ist nicht vorhanden:<path>

    Hinweis:
    Die MID Server-Fähigkeit ALLE schließt die Nmap-Fähigkeit nicht ein.
    Npcap Npcap ist die Paketerfassungsbibliothek von Nmap für Windows. Mit Npcap kann Nmap schnell Port-Scans durchführen und die Familie des Betriebssystems identifizieren, das auf dem Ziel ausgeführt wird. Pro MID Server-Host wird nur eine Kopie von Npcap installiert.

    Da Npcap von anderen Anwendungen verwendet werden kann, wird Npcap bei der Deinstallation von Nmap nicht automatisch deinstalliert. Sie müssen Npcap manuell deinstallieren, nachdem Sie sich davon überzeugt haben, dass keine weiteren Abhängigkeiten vorhanden sind.
    Muster
    • Credentialless Discovery Network Device: Scannt eine Host-IP-Adresse mit einem Nmap-Befehl, um den Host zu identifizieren. Dieses Muster startet das Skript Credentialless Discovery Network Device – PreLaunch, um die Liste der zu untersuchenden Ports aus der IP-Service-Tabelle [cmdb_ip_service] abzurufen. Ändern Sie dieses Skript nicht.
    • Credentialless Discovery Application: Scannt einen Port an einer IP-Adresse mithilfe eines Nmap-Befehls, um den Anwendungsservice zu identifizieren, der diesen Port aktiv abhört. Service Mapping startet dieses Muster, wenn alle auf Anmeldeinformationen basierten Portklassifizierungsschritte fehlschlagen. Discovery erstellt ein CI in der Anwendungstabelle [cmdb_ci_appl], wenn der Port geöffnet ist und den Service anhand des Namens und des Produkts identifizieren kann. Wenn der Service auf keinen der Scan-Versuche reagiert, konsultiert Nmap die Registrierung von Nmap-Services und ermittelt, welcher Service wahrscheinlich auf diesem Port ausgeführt wird. Wenn Nmap erraten muss, welche Anwendung auf einem gescannten Port ausgeführt wird, erstellt das Muster „Credentialless Discovery Application“ kein Anwendungs-CI und aktualisiert auch kein vorhandenes CI.
    MID Server-Skripteinbindungen
    • SetCredentialLessDeviceClassName: Bestimmt, welches Host-CI nach erfolgreicher Ausführung des Nmap-Befehls erstellt oder aktualisiert wird. Ändern Sie dieses Skript nicht.
    • CredentialLessApplicationClassNameMapper: Ordnet das Serviceprodukt, den Servicenamen und zusätzliche Serviceinformationen, die von Nmap für den gescannten Port bereitgestellt werden, einer unterstützten Anwendungstabelle in der Instanz zu. Systemadministratoren können dieses Skript ändern.
    • SetCredentialLessApplicationClassName: Stellt sicher, dass das Skript CredentialLessApplicationClassNameMapper nur einmal aufgerufen wird. Ändern Sie dieses Skript nicht.
    System-Skripteinbindung Die Skripteinbindung CredentiallessDiscoveryAjax wird für die Instanz ausgeführt und erledigt die Installation und Deinstallation von Nmap auf Windows MID Servern, die über UI-Aktionen im Formular ausgeführt werden. Ändern Sie dieses Skript nicht.