ネットワーク脆弱性スキャンのベストプラクティス
search cancel

ネットワーク脆弱性スキャンのベストプラクティス

book

Article ID: 232056

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

この文書では、Symantec Endpoint Protection (SEP) クライアントがスキャナコンピュータおよび/またはスキャン対象コンピュータにインストールされている場合に、ネットワーク脆弱性スキャンを実行する際の課題について説明します。

Cause

脆弱性スキャナは、コンピュータやアプリケーションの脆弱性をテストします。ターゲットコンピュータを調査して、開いているネットワークポートを見つけ、ネットワークトラフィックを送信して、どのアプリケーションとサービスがそれらのポートでリッスンしているかを判断します。また、アプリケーションやサービスのバージョンや設定情報を確認し、既知の脆弱性を悪用したシミュレーションを送信します。アプリケーションやサービスが脆弱なバージョンや構成を実行している証拠を示したり、シミュレーション攻撃に対して脆弱であるかのように応答した場合、スキャナはフィードバックを提供し、通常はこれを示すレポートの形式で提供します。

SEP クライアントは脆弱性からコンピュータを保護するため、いくつかの保護技術を使用して、既知の脅威や脆弱性の悪用に関連すると思われるネットワークトラフィックや、疑わしいと思われるアプリケーションの動作を検出します。SEP クライアントは、このような動作を検出してブロックするため、脆弱性スキャナの誤検出や、危険なコンピュータやアプリケーションを示すように見えるユーザーや管理者への通知が発生します。

脆弱性スキャナのコンピュータに SEP がインストールされている場合、トラフィックが悪意のあるものと判断されると、侵入防止システム (IPS) コンポーネントがターゲットコンピュータへのアウトバウンドネットワーク接続をブロックします。ターゲットコンピュータ上の IPS コンポーネントは、悪意があると思われる脆弱性スキャナコンピュータとの間のネットワークトラフィックを同様にブロックします。ネットワーク・トラフィックが IPS 検出のトリガーとならない場合、明らかな悪意あるプロセス・アクティビティに基づく行動ベースの保護 (SONAR) 検出がトリガーされることがあります。

Resolution

これらの方法を検討し、どの方法が自分の環境で最も効果的であるかを確認してください。

除外ホストの例外

スキャナとターゲット・コンピュータの IPS ポリシーに除外ホストを追加するのは、最もシンプルな方法で、管理上のオーバーヘッドをほとんどかけずに実現できます。可能であれば、通常の運用時には除外ホストリストを削除してください。

この方法では、SEP クライアントがネットワークトラフィックをブロックすることができないため、SEP クライアントの Auto-Protect のネットワークスキャンがサーバーメッセージブロック (SMB) ベースの通信をブロックし、SONAR エンジンではスキャンによって引き起こされる疑わしいプロセスアクティビティをブロックすることが可能です。また、IPS が除外ホストリストに含まれるコンピュータとの間で行われる正当な攻撃をブロックすることもできなくなります。このため本文書で紹介する他の方法が実行不可能な場合にのみ推奨されます。

除外ホストの例外を使用するには

  1. 除外ホストリストにターゲットコンピュータの IP アドレスを含む、脆弱性スキャナ用の IPS ポリシーを作成します。
  2. 除外ホストリストに脆弱性スキャナーの IP アドレスを含む、脆弱性スキャン対象コンピュータ用の IPS ポリシーを作成します。

除外ホストの設定の詳細については 除外するコンピュータのリストの作成 を参照してください。

場所ベースのポリシー方式

脆弱性スキャナーをブロックする可能性のある保護技術を無効にする一連のポリシーを持つ "場所" を Symantec Endpoint Protection Manager (SEPM) 内に作成することで、ターゲットコンピュータを分離することができます。

  1. 次のルールを持つファイアウォール検疫ポリシーを作成します。
    • 脆弱性スキャナの IP アドレスに一致するリモートホストからのすべてのトラフィックを許可する。
    • その他のトラフィックをすべてブロックする
  2. IPS を無効にした侵入防止検疫ポリシーを作成します。
  3. Auto-Protect と SONAR を無効にしたウイルスとスパイウェアの対策の検疫ポリシーを作成します。

脆弱性スキャン時に上記ポリシーを適用する場所に対象マシンを移動します。スキャン終了後、クライアントを元の場所に戻します。

ネットワークセグメントの分離方式

この方法は VLAN (Virtual Lan) 機能をサポートするサードパーティのネットワーク機器に依存します。隔離された VLAN を作成し、スキャナコンピュータを当該 VLAN に移動させます。必要に応じて、ターゲットコンピュータを同じ VLAN に移動し、スキャン中はファイアウォール、侵入防止、Auto-Protect、SONAR の各コンポーネントを無効化します。スキャン完了後、ターゲットコンピュータのすべての保護技術を再度有効にして、隔離された VLAN から移動させます。

Additional Information

[英語版] Best Practices for network vulnerability scans with Endpoint Protection clients