예를 들어 Linux는 특정 IP 주소만 SSH를 통해 연결할 수 있도록 서버를 구성할 수 있습니다. 마찬가지로 특정 IP 주소만 SNMP를 쿼리할 수 있도록 네트워크 라우터가 구성되어 있을 수 있습니다. 이러한 경우에 액세스를 허용하려면 다음 방법 중 하나를 사용하십시오.

• 원하는 MID Server가 명령을 실행하거나 쿼리를 실행할 수 있도록 해당 컴퓨터나 장치의 구성을 업데이트합니다. 예를 들어 네트워크 라우터는 네트워크 관리 시스템 에서만 SNMP를 쿼리할 수 있도록 구성할 수 있습니다. 이 경우에는 다른 네트워크 관리 시스템처럼 MID 서버를 추가합니다.
• 이러한 제한 사항을 사용하여 컴퓨터 또는 네트워크 장치에 이미 액세스할 수 있는 컴퓨터에 MID 서버를 설치합니다. 예를 들어 DMZ 외부에서 통신이 엄격하게 제한되는 DMZ 내에서 디스커버리를 사용하려면 DMZ에 이미 있는 컴퓨터에 MID 서버를 설치합니다.

다음 호스트 구성을 사용하여 중간자 유리한 지점에서 공격자의 영향을 제한합니다.

• 무결성에 대한 잠재적인 공격을 제한하기 위해 클라이언트에서 MID 서버 SMB 서명이 필수로 구성되어 있는지 확인합니다.

• 환경 내의 모든 SMB 서버에 SMB 서명이 필요한지 확인합니다.

• 호스트 시스템이 NetNTLM과 같은 레거시 인증 프로토콜을 지원해야 하는 경우 강력한 암호를 사용하여 오프라인 사전 공격을 제한합니다.

• 각 관련 호스트에 대해 고유한 계정을 사용하여 손상된 자격 증명이 최종 시스템에 미치는 영향을 제한합니다.

MID Server는 포트 443에서 인스턴스와 안전하게 통신하며 인바운드 연결이 필요하지 않습니다. 경우에 따라 MID 서버가 인스턴스에 등록하지 못하면 방화벽을 통한 이 통신을 허용해야 할 수도 있습니다. 애플리케이션 또는 네트워크 보안 제한이 연결 실패의 원인인지 확인하려면 MID 서버 애플리케이션을 호스팅하는 서버에서 포트 443의 인스턴스에 텔넷을 시도합니다. 이 연결이 실패하면 웹 프록시 (443은 https 연결이므로) 또는 해당 호스트의 외부 TCP 연결을 차단하는 방화벽 규칙 일 수 있습니다. config.xml 파일에 추가할 프록시 정보는 네트워크 보안 담당자에게 문의하거나 다음 구문 중 하나를 사용하여 액세스를 허용하도록 방화벽을 구성하도록 요청합니다.

• <소스 IP>에서 <임의>로
• <소스 IP>에서 <ServiceNow> 설정된 모든
• <소스 IP>에서 <instance_name.service-now.com> 443으로

이러한 방법은 네트워크에서 다양한 장치를 검색하는 데 사용되며 특히 및 오케스트레이션 제품과 함께 디스커버리 MID Server를 사용하기 위한 것입니다.

• SSH: UNIX 유사 컴퓨터 디스커버리 및 Orchestration의 경우 SSH 프로토콜, 버전 2를 사용하여 대상 컴퓨터에 액세스합니다. SSH는 네트워크로 연결된 두 장치 간의 보안 채널을 사용하여 데이터를 교환할 수 있는 네트워크 프로토콜입니다. SSH는 암호화된 데이터 스트림 내의 포트 22에서 통신하며, 사용 가능한 두 가지 인증 방법(사용자 이름 및 암호 조합과 사용자 이름 및 공유 개인 키)을 사용하여 대상에 액세스하려면 로그인이 필요합니다. SSH 인증 정보를 지정하고 자격 증명 모듈에 입력합니다. 여러 자격 증명을 입력하면 플랫폼이 성공적으로 연결되거나 결국 모두 거부될 때까지 차례로 시도합니다. 애플리케이션 관계를 제공하려면 제한된 수의 SUDO 명령을 실행할 수 있어야 합니다. 이러한 요구 사항에 대한 자세한 내용은 / Orchestration에 대한 디스커버리Linux 루트 권한이 필요한 명령에서 UNIX찾을 수 있습니다.
• WMI: 머신의 Windows 경우 디스커버리Windows WMI(Management Instrumentation) 인터페이스를 사용하여 장치를 쿼리합니다. WMI에 대한 보안 제한으로 인해 WMI 쿼리를 실행하는 MID 서버 애플리케이션은 로컬(대상) 관리자 권한이 있는 도메인 사용자로 실행되어야 합니다. 포트 135에서 활동을 탐지하면 디스커버리 WMI 쿼리를 시작합니다. 디바이스의 응답 Windows 은 컴퓨터의 WMI Windows 에 대해 구성된 DCOM(Distributed Component Object Model) 포트를 통해 전송됩니다. 모든 포트가 될 수 있습니다. WMI 요구 사항의 고유한 특성으로 인해 MID 서버 애플리케이션 호스트 컴퓨터가 모든 포트의 대상에 액세스할 수 있는지 확인합니다.
• Windows PowerShell: PowerShell 은 .NET Framework를 기반으로 Windows 하며 컴퓨터 및 응용 프로그램 관리를 Windows 제어하고 자동화하도록 설계되었습니다. 오케스트레이션은 PowerShell을 사용하여 컴퓨터에서 워크플로우 활동을 Windows 실행합니다. 이러한 활동을 실행하는 모든 MID 서버에 PowerShell을 설치해야 합니다. PowerShell을 사용하는 MID Server는 지원되는 Windows 운영 체제에 설치해야 합니다. ServiceNow 는 PowerShell 3.0에서 5.1까지 지원합니다. PowerShell에 대한 오케스트레이션 활동에는 자격 증명 유형이Windows필요합니다.
• SNMP - 네트워크: 네트워크 장치의 경우 디스커버리 SNMP 스캔을 사용하여 장치별 MIB 및 OID를 가져옵니다. SNMP는 대부분의 라우터, 스위치, 프린터, 로드 밸런서 및 기타 다양한 네트워크 지원 장치에서 사용되는 공통 프로토콜입니다. SNMP를 통해 장치를 스캔할 때 인증에 커뮤니티 문자열 (암호)을 사용합니다. 많은 장치에는 대상을 쿼리할 때 기본적으로 사용하는 기본 커뮤니티디스커버리 공개 문자열이 있습니다. 성공적인 쿼리가 반환될 때까지 공용과 함께 연속적으로 시도되는 SNMP 자격 증명 양식에 추가 커뮤니티 문자열을 정의합니다. 자격 증명 외에도 플랫폼에는 MID 서버에서 대상으로 포트 161에서 SNMP 요청을 할 수 있는 기능이 필요합니다. 이러한 쿼리를 수행할 수 있는 IP 주소를 제어하는 ACL(접근 제어 목록)이 있는 경우 MID 서버의 IP 주소가 ACL에 있는지 확인합니다. 디스커버리 SNMP 버전 1, 2c 및 3을 지원합니다.
• WBEM: WBEM(Web-Based Enterprise Management)은 각 CIM 구현을 검색하고 액세스하기 위한 프로토콜을 포함하여 CIM(Common Information Model)의 특정 구현을 정의합니다. WBEM에는 5989 또는 5988의 두 포트 중 하나가 필요하며 HTTP 전송 프로토콜을 사용합니다. WBEM은 SSL 암호화를 지원하고 CIM 사용자 이름/암호 자격 증명을 사용합니다. 디스커버리 WBEM 포트 프로브를 시작하여 대상 포트의 활동을 감지하고 수집된 데이터를 CIM 서버를 탐색하는 분류 프로브에 추가합니다.