Détection sans informations d'identification avec Nmap

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 6 minutes de lecture

    • Si l'instance ne parvient pas à identifier un élément de configuration (CI) en raison d'un échec d'authentification, Discovery ou Service Mapping peut exécuter les commandes Nmap (Network Mapper) sélectionnées avec un MID Server pour collecter des informations de base sur le CI sans utiliser d'informations d'identification.

    Un administrateur de Serveur MID peut installer Nmap sur des serveurs MID individuels s’exécutant sur un hôte Windows. Ces MID Servers peuvent ensuite détecter certaines informations de base des CI dans votre réseau en cas d'échec de l'authentification standard.
    Important :
    Les clients auto-hébergés dont la sécurité réseau n'autorise pas les téléchargements à partir de install.service-now.com doivent installer et configurer Nmap manuellement sur leur système. Reportez-vous à la section Installer Nmap sur un système auto-hébergé pour obtenir des instructions.

    La détection sans informations d'identification peut créer ou modifier des CI d'hôte et d'application lorsque les informations d'identification sont manquantes ou incorrectement configurées. Si une détection basée sur les informations d'identification aboutit après que Nmap crée un CI, le système réconcilie les informations recueillies auprès de chaque type de détection.

    Éléments que Nmap peut détecter

    Les commandes Nmap exécutées pendant la détection sans informations d'identification peuvent :
    • effectuer une résolution de noms DNS inversée pour identifier l'hôte à partir de l'adresse IPv4 ;
    • renvoyer l'adresse MAC de l'hôte si cet hôte se trouve sur le même sous-réseau que l'hôte exécutant la commande Nmap ;
    • détecter les applications installées sur un hôte cible ;
    • détecter le système d'exploitation d'un hôte cible et la version du système d'exploitation.
    Remarque :

    La détection sans informations d'identification identifie les routeurs et les commutateurs comme composants matériels. Elle ne crée ni ne met à jour les CI spécifiquement pour eux.

    La détection sans informations d'identification ne doit être utilisée que sur les sous-réseaux connus, où les informations d'identification ne sont pas viables et ne doivent pas être utilisées à long terme.

    Analyses Discovery sans informations d'identification Nmap sur les plateformes de cloud computing

    L'exécution d'analyses Nmap vers ou depuis n'importe quelle ressource d'un service de cloud computing tel qu'Amazon Web Service, Microsoft Azure, IBM Cloud ou Google Cloud Platform va souvent à l'encontre des conditions de service. Par exemple, l'environnement Amazon Web Service (AWS) est fortement réglementé et nécessite l'autorisation d'AWS par l'intermédiaire du formulaire AWS Vulnerability/Penetration Testing Request. Les tests non autorisés sur les services AWS ou les ressources appartenant à AWS sont interdits. C'est pourquoi la détection sans informations d'identification au sein d'un environnement de service de cloud computing n'est pas appropriée et, en cas d'une violation de politique, cela peut entraîner une désactivation du service. Veuillez contacter votre fournisseur de service de plateforme pour obtenir des informations sur les limites ou les exigences d'autorisation pour l'exécution de Nmap.

    Composants installés avec Nmap

    Le module d'extension Discovery - Basé sur IP [com.snc.discovery.ip_based] qui fournit la fonctionnalité Nmap est activé automatiquement lorsque l'application Découverte ou Mappage des services est active. Les composants Nmap suivants sont fournis par le module d'extension Discovery - Basé sur IP :
    Composant Description
    Propriété système La propriété mid.discovery.credentialless.enable active ou désactive Nmap pour tous les MID Servers sur lesquels Nmap est installé et qui sont connectés à l'instance. Cette propriété est installée avec le module d'extension Discovery et est activée par défaut. Elle peut être configurée par un administrateur système.
    Propriétés du MID Server Ces propriétés, issues de la table Propriétés du MID Server [ecc_agent_property], ne sont pas destinées à être configurées :
    • mid.nmap.version : version de Nmap installée sur les MID Servers de votre environnement. Ce champ est visible sur le formulaire MID Server [ecc_agent] après l'installation de Nmap.
    • nmap.safe.scripts : définit la liste des scripts Nmap classés comme sûrs en vue de les utiliser lors de l'exécution de la phase de détection de la version d'application de Nmap (option de commande -sV).
    • nmap.npcap.version : version de Npcap installée avec Nmap. Le programme d'installation Nmap peut uniquement mettre à niveau les installations Npcap existantes qu'il rencontre.
    Champs
    • Port de détection sans informations d'identification [cl_port] : champ facultatif sur la table Application [cmdb_ci_appl] qui affiche le numéro d'un port analysé par la détection sans informations d'identification. Ce numéro de port sert à déterminer si une application renvoyée par Nmap possède un CI correspondant dans la CMDB, ou si un nouveau CI doit être créé.
    • Source de détection [discovery_source] : champ facultatif dans la table Élément de configuration [cmdb_ci], à laquelle l'option CredentiallessDiscovery est ajoutée. Cette option indique que la détection sans informations d'identification a été utilisée pour créer un CI.
    Fonctionnalité du MID Server Nmap Les options du serveur MIDNmap sont ajoutées au serveur MID lorsque Nmap est installé et supprimées automatiquement lorsque Nmap est désinstallé. Seuls les MID Servers disposant de cette option peuvent procéder à une détection sans informations d'identification. Un administrateur système ne peut pas ajouter ou supprimer cette option manuellement. Bien que les clients auto-hébergés disposant du rôle de maintenance puissent modifier ou supprimer l'option Nmap, ils doivent s'en abstenir.

    Service Mapping ne vérifie pas la présence de l’aptitude Nmap et sélectionne le serveur MID en fonction de l’adresse IP uniquement. Pour vous assurer que Mappage des services ne sélectionne pas un serveur MID sans l’aptitude Nmap , installez Nmap sur tous les serveurs MID affectés aux plages d’adresses IP pour lesquelles vous souhaitez que la découverte sans informations d’identification soit disponible. Si Mappage des services sélectionne un serveur MID pour la détection sans informations d’identification qui n’a pas d’options Nmap, ce message d’erreur s’affiche sur la carte, à l’emplacement du CI détecté : Nmap n’est pas installé sur Serveur MID. Verify all MIDs configured to handle selected IP Address have Nmap Capability. Le chemin d’accès du répertoire racine Nmap n’existe pas : <chemin>

    Remarque :
    la fonctionnalité TOUT du MID Server n'inclut pas l'option Nmap.
    Npcap Npcap est la bibliothèque de capture de paquets de Nmap pour Windows. Npcap permet à Nmap d'effectuer des analyses de ports rapidement et d'identifier la famille du système d'exploitation exécuté sur la cible. Une seule copie de Npcap est installée par hôte MID Server.

    Étant donné que Npcap peut être utilisé par d'autres applications, la désinstallation de Nmap ne désinstalle pas automatiquement Npcap. Vous devez désinstaller Npcap manuellement, après avoir vérifié qu'aucune autre dépendance n'existe.
    Modèles
    • Périphérique réseau de détection sans informations d'identification : analyse une adresse IP hôte à l'aide d'une commande Nmap pour identifier l'hôte. Ce modèle lance le script Périphérique réseau de détection sans informations d'identification – Prélancement pour récupérer la liste des ports à explorer à partir de la table Service IP [cmdb_ip_service]. Ne modifiez pas ce script.
    • Application de détection sans informations d'identification : analyse un port sur une adresse IP à l'aide d'une commande Nmap pour identifier le service d'application qui écoute activement sur ce port. Service Mapping lance ce modèle lorsque toutes les étapes de classification des ports basées sur les informations d'identification échouent. Discovery crée un CI dans la table Application [cmdb_ci_appl] si le port est ouvert, et s'il peut identifier le service par nom et par produit. Si le service ne répond à aucune des tentatives d'analyse, Nmap consulte son registre nmap-services et devine le service qui s'exécute probablement sur ce port. Si Nmap doit deviner quelle application s'exécute sur un port analysé, le modèle d'application de détection sans informations d'identification ne crée pas de CI d'application ou ne met pas à jour un CI existant.
    Script Includes du MID Server
    • SetCredentialLessDeviceClassName : détermine le CI hôte à créer ou à mettre à jour après l'exécution réussie de la commande Nmap. Ne modifiez pas ce script.
    • CredentialLessApplicationClassNameMapper : mappe le produit de service, le nom du service et les informations de service supplémentaires fournies par Nmap pour le port analysé sur une table d'application prise en charge dans l'instance. Les administrateurs système peuvent modifier ce script.
    • SetCredentialLessApplicationClassName : garantit que le script CredentialLessApplicationClassNameMapper n'est invoqué qu'une seule fois. Ne modifiez pas ce script.
    Script Include du système Le script Include CredentiallessDiscoveryAjax s'exécute sur l'instance et gère l'installation et la désinstallation de Nmap sur les MID Servers Windows exécutés à partir d'actions d'interface utilisateur sur le formulaire. Ne modifiez pas ce script.