Nmap을 이용한 자격 증명 없는 디스커버리

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기7분

    • 인증 실패로 인해 인스턴스가 CI(구성 항목) 식별을 실패할 경우, 검색 또는 서비스 매핑은 MID 서버에서 선택된 네트워크 매퍼(Nmap) 명령을 실행하여 자격 증명 없이 CI에 대한 일부 기본 정보를 수집할 수 있습니다.

    MID 서버 관리자는 Windows 호스트가 실행되는 개별 MID 서버에서 Nmap 설치를 수행할 수 있습니다. 그런 후 이러한 MID Server는 일반 인증이 실패할 때 네트워크에서 CI에 대한 일부 기본 정보를 검색할 수 있습니다.
    중요사항:
    Install.service-now.com의 다운로드를 허용하지 않는 네트워크 보안의 자체 호스팅 고객은 시스템에 Nmap을 수동으로 설치하고 구성해야 합니다. 지침을 확인하려면 자체 호스팅 시스템에 Nmap 설치를 참조하십시오.

    자격 증명 없는 디스커버리는 자격 증명이 누락되었거나 잘못 구성되었을 때 호스트 및 애플리케이션 CI를 만들거나 수정할 수 있습니다. Nmap가 CI를 만든 후 자격 증명 기반 검색이 성공적으로 수행되면 시스템이 각 검색 유형으로부터 수집된 정보를 조정합니다.

    Nmap이 검색할 수 있는 항목

    자격 증명 없는 디스커버리 중 수행되는 Nmap 명령은 다음을 수행할 수 있습니다.
    • 역방향 DNS 이름 확인을 수행하여 IPv4 주소로부터 호스트를 식별합니다.
    • 호스트가 Nmap 명령을 실행하는 호스트와 동일한 서브넷에 있는 경우 호스트의 MAC 주소를 반환합니다.
    • 대상 호스트에 설치된 애플리케이션을 감지합니다.
    • 대상 호스트의 운영 체제와 OS 버전을 감지합니다.
    주:

    자격 증명 없는 디스커버리는 라우터 및 스위치를 하드웨어로 분류합니다. 이를 위해 특별히 CI를 만들거나 업데이트하지는 않습니다.

    자격 증명 없는 디스커버리는 자격 증명이 실행 가능하지 않으며 장기적으로 사용해서는 안 되는 알려진 서브넷에서만 사용해야 합니다.

    클라우드 컴퓨팅 플랫폼에서 Nmap 자격 증명 없는 디스커버리 검색

    일반적으로 Amazon Web Services, Microsoft Azure, IBM Cloud 또는 Google Cloud Platform과 같은 클라우드 컴퓨팅 서비스 내의 자원에서 Nmap 스캔을 실행하는 서비스 약관에 동의해야 합니다. 예를 들어, Amazon Web Services(AWS) 환경은 긴밀하게 규제 되어 있으며, AWS 취약점/침투 테스트 요청 양식을 통한 AWS의 사용 권한이 필요합니다. AWS 서비스나 AWS 소유 자원에 대한 무단 테스트는 금지됩니다. 이러한 이유로 클라우드 컴퓨팅 서비스 환경 내에서 자격 증명을 검색하지 않는 것은 적절하지 않으며 정책 위반이 발생하면 서비스에서 이를 원하는 대로 찾을 수 있습니다. Nmap 실행에 대한 제한 사항이나 권한 요구 사항에 대한 자세한 내용은 플랫폼 서비스 제공자에게 문의하십시오.

    Nmap으로 설치되는 구성요소

    Nmap 기능을 제공하는 검색 - IP Based [com.snc.discovery.ip_based] 플러그인은 검색 또는 서비스 매핑이 활성 상태일 때 자동으로 활성화됩니다. 이러한 Nmap 구성요소는 검색 - IP Based 플러그인에서 제공됩니다.
    구성요소 설명
    시스템 속성 mid.discovery.credentialless.enable 속성은 Nmap이 설치되었고 인스턴스에 연결된 모든 MID Server에 대해 Nmap을 사용 또는 사용 안 함으로 설정합니다. 이 속성은 검색 플러그인으로 설치되며 기본적으로 사용하도록 설정됩니다. 이 속성은 시스템 관리자가 구성할 수 있습니다.
    MID 서버 속성 MID 서버 속성 [ecc_agent_property] 테이블의 이러한 속성은 구성되도록 의도되지 않았습니다.
    • mid.nmap.version: 사용자 환경에서 MID Server에 설치된 Nmap 버전입니다. 이 필드는 Nmap이 설치된 후 MID 서버 [ecc_agent] 양식에 표시됩니다.
    • nmap.safe.scripts: Nmap의 애플리케이션 버전 탐지 단계를 실행하는 동안(-sV 명령 옵션) 사용해도 안전한 것으로 분류된 Nmap 스크립트 목록을 정의합니다.
    • nmap.npcap.version: Nmap과 함께 설치되는 Npcap 버전입니다. Nmap 설치 프로그램은 발견된 기존 Npcap 설치에 대해서만 업그레이드를 수행합니다.
    필드
    • 자격 증명 없는 디스커버리 포트 [cl_port]: 자격 증명 없는 디스커버리에서 스캔되는 포트 번호를 표시하는 애플리케이션 [cmdb_ci_appl] 테이블의 선택적 필드입니다. 이 포트 번호는 Nmap으로 반환된 애플리케이션에 CMDB의 일치 CI가 있는지 또는 새 CI를 만들어야 하는지 여부를 결정하기 위해 사용됩니다.
    • 검색 소스 [discovery_source]: CredentiallessDiscovery 옵션이 추가되는 구성 항목 [cmdb_ci] 테이블의 선택적 필드입니다. 이 옵션은 CI를 만들기 위해 자격 증명 없는 디스커버리가 사용되었음을 보여줍니다.
    Nmap MID 서버 기능 Nmap MID 서버 기능은 Nmap이 설치될 때 MID 서버에 추가되고 Nmap이 제거될 때 자동으로 제거됩니다. 이 기능이 있는 MID Server만 자격 증명 없는 디스커버리를 수행할 수 있습니다. 시스템 관리자는 이 기능을 수동으로 추가하거나 제거할 수 없습니다. 기본 역할이 있는 자체 호스트된 고객은 Nmap 기능을 수정하거나 삭제할 수 있지만 그렇게 하지 않아야 합니다.

    서비스 매핑은 Nmap 역량의 존재 여부를 확인하지 않으며 IP 주소만을 바탕으로 MID 서버를 선택합니다. 서비스 매핑이 Nmap 역량 없이 MID 서버를 선택하지 않게 하려면 자격 증명 없는 디스커버리를 사용하고자 하는 IP 주소 범위에 할당된 모든 MID 서버에 Nmap을 설치합니다. 서비스 매핑이 Nmap 역량을 갖지 않는 자격 증명 없는 디스커버리에 대한 MID 서버를 선택할 경우, CI가 검색된 장소에서 맵에 다음과 같은 오류 메시지가 표시됩니다. MID 서버에 Nmap이 설치되어 있지 않습니다. 선택한 IP 주소를 처리하도록 구성된 모든 MID가 Nmap 역량을 가지고 있는지 검증합니다. Nmap 루트 디렉터리 경로가 없습니다. <path>

    주:
    모든 MID 서버 기능은 Nmap 기능을 포함하지 않습니다.
    Npcap Npcap은 Nmap의 Windows용 패킷 캡처 라이브러리입니다. Npcap을 사용하면 Nmap이 포트 스캔을 빠르게 수행하고 대상에서 실행되는 운영 체제의 제품군을 식별할 수 있습니다. MID 서버 호스트별로 Npcap 사본 하나만 설치됩니다.

    다른 애플리케이션에서 Npcap을 사용할 수도 있기 때문에 Nmap을 제거해도 Npcap이 자동으로 제거되지는 않습니다. 다른 종속성이 없는 것을 확인한 후에 Npcap을 수동으로 제거해야 합니다.
    패턴
    • 자격 증명 없는 검색 네트워크 장치: Nmap 명령을 사용해서 호스트 IP 주소를 스캔하여 호스트를 식별합니다. 이 패턴은 자격 증명 없는 검색 네트워크 장치 – PreLaunch 스크립트를 시작하여 IP 서비스 [cmdb_ip_service] 테이블에서 탐색할 포트 목록을 검색합니다. 이 스크립트는 수정하지 마십시오.
    • 자격 증명 없는 검색 애플리케이션: Nmap 명령을 사용하여 IP 주소에서 포트를 스캔하여 해당 포트로 수신 대기 중인 애플리케이션 서비스를 식별합니다. 서비스 매핑은 모든 자격 증명 기반 포트 분류 단계가 실패할 때 이 패턴을 시작합니다. 검색은 포트가 열려 있고 이름 및 제품으로 서비스를 식별할 수 있는 경우 애플리케이션 [cmdb_ci_appl] 테이블에 CI를 만듭니다. 서비스가 스캔 시도에 응답하지 않으면 Nmap이 해당 nmap-services 레지스트리를 참조하여 해당 포트에서 실행 중일 가능성이 가장 높은 서비스를 추측합니다. Nmap이 스캔된 포트에서 실행 중인 애플리케이션을 추측해야 할 경우, 자격 증명 없는 검색 애플리케이션 패턴이 애플리케이션 CI를 만들거나 기존 CI를 업데이트하지 않습니다.
    MID 서버 스크립트 포함
    • SetCredentialLessDeviceClassName: Nmap 명령 실행이 성공한 후 만들거나 업데이트할 호스트 CI를 결정합니다. 이 스크립트는 수정하지 마십시오.
    • CredentialLessApplicationClassNameMapper: 스캔한 포트에 대해 Nmap이 제공한 서비스 제품, 서비스 이름 및 추가 서비스 정보를 인스턴스에 있는 지원되는 애플리케이션 테이블에 매핑합니다. 시스템 관리자는 이 스크립트를 수정할 수 있습니다.
    • SetCredentialLessApplicationClassName: CredentialLessApplicationClassNameMapper 스크립트가 한 번만 호출되는지 확인합니다. 이 스크립트는 수정하지 마십시오.
    시스템 스크립트 포함 CredentiallessDiscoveryAjax 스크립트 포함은 인스턴스에서 실행되며, 양식의 UI 작업으로부터 실행되는 Windows MID Server에서의 Nmap 설치 및 제거를 처리합니다. 이 스크립트는 수정하지 마십시오.