Discovery sem credencial com Nmap

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 6 min. de leitura

    • Se a instância não conseguir identificar um item de configuração (IC) devido a uma falha de autenticação, a Descoberta ou o Mapeamento de serviços poderá executar comandos selecionados do Mapeador de rede (Nmap) com um MID Server para coletar algumas informações básicas sobre o IC sem usar credenciais.

    Um administrador do MID Server pode instalar o Nmap em MID Servers individuais em execução em um host do Windows. Esses MID Servers podem descobrir algumas informações básicas sobre ICs em sua rede quando a autenticação normal falha.
    Importante:
    Clientes auto-hospedados cuja segurança de rede não permite downloads de install.service-now.com devem usar um processo manual específico para instalar e configurar o Nmap. Consulte Instalação de Nmap em um sistema auto-hospedado para obter instruções.

    A Descoberta sem credenciais pode criar ou modificar ICs de host e aplicação quando as credenciais estão ausentes ou configuradas incorretamente. Se uma Descoberta baseada em credenciais for realizada com sucesso depois que o Nmap criar um IC, o sistema reconciliará as informações coletadas de cada tipo de descoberta.

    O que o Nmap pode descobrir

    Os comandos Nmap executados durante a Descoberta sem credenciais podem:
    • Execute a resolução de nome DNS reversa para identificar o host do endereço IPv4.
    • Retorna o endereço MAC do host se esse host estiver na mesma sub-rede que o host que executa o comando Nmap.
    • Detectar aplicações instaladas em um host de destino.
    • Detecte o sistema operacional de um host de destino e a versão do sistema operacional.
    Nota:

    A Descoberta sem credenciais classifica roteadores e comutadores como hardware. Ele não cria ou atualiza ICs especificamente para eles.

    A Descoberta sem credenciais só deve ser usada em sub-redes conhecidas em que as credenciais não são viáveis e não devem ser usadas a longo prazo.

    Verificações da Descoberta sem credenciais do Nmap em plataformas de computação em nuvem

    Frequentemente, é contra os termos de serviço executar verificações de Nmap de ou para qualquer recurso em um serviço de computação em nuvem, como Amazon Web Service, Microsoft Azure, IBM Cloud ou Google Cloud Platform. Por exemplo, o ambiente do Amazon Web Service (AWS) é estritamente regulamentado e requer a permissão da AWS por meio do formulário de solicitação de teste de Vulnerabilidade/Invasão da AWS. Testes não autorizados em serviços da AWS ou recursos de propriedade da AWS são proibidos. Por esse motivo, a Descoberta sem credenciais em um ambiente de serviço de computação em nuvem não é apropriado e, se ocorrer uma violação de sua política, poderá resultar na expulsão do serviço. Entre em contato com o provedor de serviços da plataforma para obter informações sobre limitações ou requisitos de permissão para executar o Nmap.

    Componentes instalados com Nmap

    O plug-in Descoberta - baseado em IP [com.snc.discovery.ip_based] que fornece a funcionalidade Nmap é ativado automaticamente quando Descoberta ou Mapeamento de serviços está ativo. Esses componentes Nmap são fornecidos pelo plug-in Descoberta - baseado em IP:
    Componente Descrição
    Propriedade do sistema A propriedade mid.discovery.credentialless.enable habilita ou desabilita o Nmap para todos os MID Servers nos quais o Nmap está instalado e que estão conectados à instância. Esta propriedade é instalada com o plug-in Descoberta e está habilitada por padrão. É configurável por um administrador do sistema.
    Propriedades do MID Server Essas propriedades, da tabela Propriedade do MID Server [ecc_agent_property], não devem ser configuradas:
    • mid.nmap.version: versão do Nmap instalada nos MID Servers em seu ambiente. Este campo fica visível no formulário do MID Server [ecc_agent] após a instalação do Nmap.
    • nmap.safe.scripts: define a lista de scripts Nmap classificados como seguros para uso durante a execução da fase de detecção de versão da aplicação do Nmap (opção de comando -sV).
    • nmap.npcap.version: a versão do Npcap instalada com o Nmap. O instalador do Nmap só pode executar upgrades de instalações Npcap existentes que encontrar.
    Campos
    • Porta de descoberta sem credenciais [cl_port]: campo opcional na tabela Aplicação [cmdb_ci_appl] que exibe o número de uma porta verificada pela Descoberta sem credenciais. Este número de porta é usado para determinar se uma aplicação retornada pelo Nmap tem um IC correspondente no CMDB ou se um novo IC deve ser criado.
    • Origem da descoberta [discovery_source]: campo opcional na tabela Item de configuração [cmdb_ci] à qual a opção CredentiallessDiscovery é adicionada. Esta opção mostra que a Descoberta sem credenciais foi usada para criar um IC.
    Recurso Nmap do MID Server Os recursos do Nmap MID Server são adicionados ao MID Server quando o Nmap é instalado e removidos automaticamente quando o Nmap é desinstalado. Somente MID Servers com esta capacidade podem executar a Descoberta sem credenciais. Um administrador do sistema não pode adicionar ou remover esta capacidade manualmente. Clientes auto-hospedados que têm a função de manutenção podem modificar ou excluir a capacidade Nmap, mas não devem fazer isso.

    O Mapeamento de serviços não verifica a presença do recurso Nmap e seleciona o MID Server com base somente no endereço IP. Para garantir que o Mapeamento de serviços não selecione um MID Server sem o recurso Nmap, instale o Nmap em todos os MID Servers atribuídos aos intervalos de endereços IP para os quais você deseja que a Descoberta sem credenciais esteja disponível. Se o Mapeamento de serviços selecionar um MID Server para a Descoberta sem credenciais que não tenha recursos de Nmap, esta mensagem de erro será exibida no mapa, no local do IC que está sendo descoberto: Nmap não está instalado no MID Server. Verifique se todos os MIDs configurados para lidar com o endereço IP selecionado têm o Recurso de Nmap. O caminho do diretório raiz Nmap não existe: <path>

    Nota:
    A capacidade ALL do MID Server não inclui a capacidade Nmap.
    Npcap Npcap é a biblioteca de captura de pacotes do Nmap para Windows. O Npcap permite que o Nmap execute verificações de porta rapidamente e identifique a família do sistema operacional em execução no destino. Somente uma cópia do Npcap é instalada por host do MID Server.

    Como o Npcap pode ser usado por outras aplicações, a desinstalação do Nmap não desinstala automaticamente o Npcap. É necessário desinstalar o Npcap manualmente, depois de determinar que não existem outras dependências.
    Padrões
    • Dispositivo de rede de descoberta sem credenciais: verifica um endereço IP de host usando um comando Nmap para identificar o host. Este padrão inicia o script Credentialless Discovery Network Device – PreLaunch para recuperar a lista de portas a serem exploradas da tabela Serviço IP [cmdb_ip_service]. Não modifique este script.
    • Aplicação de descoberta sem credenciais: verifica uma porta em um endereço IP usando um comando Nmap para identificar o serviço de aplicações que está ouvindo ativamente nessa porta. O Mapeamento de serviços inicia este padrão quando todas as etapas de classificação de porta com base em credenciais falham. A Descoberta criará um IC na tabela Aplicação [cmdb_ci_appl] se a porta estiver aberta e puder identificar o serviço por nome e produto. Se o serviço não responder a nenhuma das tentativas de verificação, o Nmap consultará seu registro nmap-services e adivinhará qual serviço provavelmente está sendo executado nessa porta. Se o Nmap tiver que adivinhar qual aplicação está sendo executada em uma porta verificada, o padrão de Aplicação de descoberta sem credenciais não criará um IC de aplicação ou atualizará um IC existente.
    Inclusões de script do MID Server
    • SetCredentialLessDeviceClassName: determina qual IC do host será criado ou atualizado após a execução bem-sucedida do comando Nmap. Não modifique este script.
    • CredentialLessApplicationClassNameMapper: mapeia o produto de serviço, o nome do serviço e as informações extras de serviço fornecidas pelo Nmap para a porta verificada para uma tabela de aplicações compatível na instância. Os administradores do sistema podem modificar este script.
    • SetCredentialLessApplicationClassName: garante que o script CredentialLessApplicationClassNameMapper seja invocado apenas uma vez. Não modifique este script.
    Inclusão de script do sistema A inclusão de script CredentiallessDiscoveryAjax é executada na instância e lida com a instalação e a desinstalação do Nmap nos MID Servers do Windows, executados a partir de ações de IU no formulário. Não modifique este script.