Internet Scanner 7.0 Technical Overview Service Pack 2 Update

Loading....

Loading....

Loading....

Loading....

Loading....

全文

(1)

Internet Scanner® 7.0

Technical Overview

Service Pack 2 Update

(2)

概要

概要

概要

概要

この文書では、Internet Scanner® 7.0 の設計と動作の概要を説明します。7.0 バージョンでは、パフォーマンス、 精度、安定性、可用性の向上のために大きな変更がなされました。このような変更によって得られる利点につい ても同様に、この文書で扱っていきます。 ここで取り上げる主な新機能は、次のとおりです。 アーキテクチャ o Scanner Sensor o 通信 TCP/IP スタック フィンガープリンティング データベース SiteProtector との統合 Service Pack 2 での構造上の変更

アーキテクチャ

アーキテクチャ

アーキテクチャ

アーキテクチャ

Internet Scanner 7.0 における最大の違いの 1 つは、アーキテクチャです。新しい通信アーキテクチャでは、 RealSecure® Network Sensor や RealSecure® Server Sensor と同様に、クライアント/サーバーのパラダ イムが使用されています。スキャナー自体の設計も同様に変更されており、これまでのバージョンで使用されていた モノリシック アーキテクチャよりも拡張性の高いモジュラー設計が採用されています。次の図は、7.0 スキャナーの概 要を示したものです。 図中のコンポーネントについては、次のセクションで定義します。 issDaemon ISCSvr Scan_db Plugin Builtin FlexCheck Discovery Console CPE Policy Migration XPU Installation EngineMgr 60156 60155 SP_Database Event Collector Sensor Controller 2998 RealSecure SiteProtector 2.0 Internet Scanner 7.0 ISS_Win NT 2998

(3)

Scanner Sensor

Scanner Sensor には、次のサービスがあります。 issDaemon

Internet Scanner Controller

issDaemon

ISS Daemon は、ネイティブ コンソール、SiteProtector™ Console、またはコマンドライン インターフェースに対 する一般的な通信インターフェースを提供します。このコンポーネントを通じて送信されるコマンド アンド コントロー ル機能は、次のとおりです。 センサーの再起動 スキャンの開始 スキャンの停止 X-Press Update のインストール

Windows Service Control Manager に追加されたサービスは、issDaemon という名前です。このサービスに よって起動されるプロセスは、次のとおりです。 issDaemon.exe issCSF.exe issDaemon.exe は、起動されると TCP ポート 2998 でコマンド アンド コントロールの接続を待機します。 issCSF.exe のプロセスは、TCP ポート 60155 で RSSP に対するイベント チャネルの作成を待機し、ポート 60166 で Scanner Console に対するイベント チャネルの作成を待機します。これらの開かれたポートの目的に ついては、後続のセクションで説明します。これらサービスのポート番号は、変更可能です。

issDaemon サービスが Internet Scanner Controller サービスの起動と停止を行う点に注意することも重要で す。これについては、次のセクションで説明します。これらのサービスは、それぞれ別個に起動や停止を行うことがで きます。

Internet Scanner Controller

追加されたもう一方のサービスは、Internet Scanner Controller です。Internet Scanner Controller

(ISC)、つまり ISCSrv.exe は、さまざまなスキャン業務を行うサブプロセスを指揮する役割を担っています。また、 タスクのスケジューリングだけでなく、各サブプロセスの間を行き来する要求と応答の管理も行います。このようなサ ブプロセス (別名 MicroEngine) は、次のとおりです。 Built-in エンジン Plug-in エンジン Discovery エンジン FlexCheck エンジン

Built-in

エンジン

エンジン

エンジン

エンジン

Built-in エンジンは、ビルトイン脆弱点チェックをロードし、チェックの実行を管理します。これらは、Internet Scanner の Plug-In/Built-in アーキテクチャが実装される前に作成されたチェックです。この 2 種類のチェックの 主な違いは、ビルトイン チェックではエクスプロイト内に埋め込まれたリソースがあるために、一部エクスプロイトの間 に依存関係がある点です。

(4)

Plug-in

エンジン

エンジン

エンジン

エンジン

Plug-in エンジンは、プラグイン脆弱点チェックをロードし、チェックの実行を管理します。プラグインは、対象ホスト に対して脆弱点チェックを実行する自立的なモジュールです。ビルトイン チェックと異なり、プラグイン チェックは互い に依存関係にありません。

Discovery

エンジン

エンジン

エンジン

エンジン

Discovery モジュールは、ホストから識別情報を収集する役割を担っています。このモジュールには、次のサブコン ポーネントが含まれます。 Fingerprinter ICMP pinger TCP pinger TCP port scanner UDP port scanner DNS 参照ユーティリティ NetBIOS ユーティリティ

Operating System Identification (OSID) Windows Service Pack

フィンガープリンティング コンポーネントは、Internet Scanner 7.0 で初めて導入されました。このコンポーネントは、 フィンガープリント識別に使用される特殊な形式の TCP パケットを送信する役割を担っています。TCP/IP スタッ ク フィンガープリンティングについては、後述のセクションで説明します。

Internet Scanner 7.0 は、スタック フィンガープリンティング以外にもバナー グラビングや NetBIOS クエリなどのそ の他方法に基づいて、対象ホストのオペレーティング システムを高い信頼性で判別します。Windows Service Pack コンポーネントは、Microsoft オペレーティング システムの Service Pack とビルドの情報を特定します。 Discovery エンジンは、先に挙げたサブコンポーネントのすべてまたは一部 (ポリシーによって異なる) を使用して、 対象ホストの識別に役立つ情報を収集します。エンジンのプロセスは、続いて応答を待機し、受信したデータをホ スト ナレッジ ベース (Host Knowledge Base: HKB) へ追加します。HKB はホストに関する情報をキャッシュし て、スキャン中のパフォーマンスを向上させます。ホスト情報は、スキャンごとに新しく入手されます。前回スキャンの キャッシュ済み情報は、再利用されません。

Internet Scanner 7.0 には、TCP SYN (ハーフオープン) スキャンを実行する機能も備わっています。デフォルト では、指定された各ポートで完全な TCP 接続が試みられます。TCP SYN スキャンはそれよりも速度が速くなり ますが、信頼性は劣ります。

FlexCheck

エンジン

ンジン

ンジン

ンジン

FlexCheck エンジンは、FlexChecks™ のロードと実行を行います。FlexChecks は、ホストにて特定の脆弱 点の特定を試みる外部プログラムです。

MicroEngine の一環であるその他サブコンポーネントは、次のとおりです。

Exploit Manager

チェックは、エクスプロイト オブジェクトとして Exploit Manager 内に表示されます。Exploit Manager は、一群 のエクスプロイト オブジェクトを保持し、これらオブジェクトに対する参照を取り出すためにインターフェースを公開し ます。

(5)

Resource Manager

Resource Manager は、一連のネットワーク スキャニング リソース、リソースの常駐する namespace 範囲、リ ソースの起動ライフタイムを保持します。リソースは、TCP 接続、FTP クライアント、パスワード リスト、RPC 接続、 エクスプロイトによって使用されるその他リソースのいずれかです。Internet Scanner では Resource Manager を使用して、オブジェクトの実装に関係なくすべての種類のオブジェクトに対して同様にアクセスできるようにしてい ます。

通信

通信

通信

通信

次の表では、Internet Scanner の通信についてまとめてあります。これらのポート値は、次に示すファイル内で値 を変更することで変更可能です。

Internet Scanner Communications

クライアント クライアント クライアント クライアント TCP ポーポーポーポー ト ト ト ト 機能 機能機能 機能 ポートが指定されているファイルポートが指定されているファイルポートが指定されているファイルポートが指定されているファイル SiteProtector、ネ イティブ コンソール、 または CLI 2998 コマンド アンド コントロール \Program Files\ISS\issDaemon\issDaemon.policy [\config\]; daemonport =L 2998; SiteProtector Event Collector 60155 イベントおよびステー タス データ \Program Files\ISS\issSensors\<スキャナー名 >\common.policy [\Response\DISPLAY\Default\]; EngineListenPort =L 60155; ネイティブの Internet Scanner Console 60156 Event channel \Program Files\ISS\issSensors\<スキャナー名 >\common.policy [\Response\DISPLAYNP\Default\]; EngineListenPort =L 60156;

暗号化

暗号化

暗号化

暗号化

暗号化機能では、Microsoft Cryptographic API を使用します。これによって、システムで利用可能な最強の 暗号化 (40 ビット~ 128 ビットの対称暗号方式、1024 ビットまたは 1536 ビットの公開キー暗号方式) を使用 することができます。別の暗号化プロバイダを使用することもできますが、その場合は Internet Scanner のインス トール前にプロバイダをインストールする必要があります。通信はパブリック/プライベート キー交換アルゴリズムによっ て認証され、メッセージごとに添付されチェックされた暗号化チェックサムによって検証されます。

TCP/IP

スタック

スタック

スタック

スタック

フィンガープリンティング

フィンガープリンティング

フィンガープリンティング

フィンガープリンティング

TCP/IP スタック フィンガープリンティングは、OS 識別の精度を向上させるために 7.0 で実装されました。これはア クティブなフィンガープリンティング テクニックであり、特別に作成された TCP パケットが対象ホストに送信されます。 対象ホストから返された応答は、データベース内の応答と比較されます。 次に示すのは、ホストのオペレーティング システムを識別する場合に Internet Scanner が使用する基本プロセス です。まず、スキャナーは、開いているポートと閉じているポートを最低でも 1 つずつ特定しようとします。次に、フィ ンガープリント コンポーネントが 9 つの「テスト」を連続して送信します。これらのテストは、対象ホストから応答を引 き出す特殊な形式の TCP パケットです。応答は Nmap フィンガープリント データベース内の項目と比較され、

(6)

NMAP フィンガープリント

フィンガープリント

フィンガープリント

フィンガープリント

データベース

データベース

データベース

データベース

ISS は、Internet Scanner 7.0 での NMAP のフィンガープリント データベースの使用許可を受けています。この データベースは、利用可能であるもののうち最も包括的なフィンガープリント データベースです。現時点では、デー タベース ファイルの完全性がデジタル署名で保護されているため、データベースにフィンガープリントを追加すること はできません。 注記: このファイルの完全性は固定チェックサムによって保護されていますが、Service Pack 2 にはユーザーによ るカスタマイズが可能なデータベースを利用する機能が追加されています。詳細については、「Service Pack 2 での構造上の変更」セクションを参照してください。

データベース

データベース

データベース

データベース

これまでのバージョンの Internet Scanner で使用されていた Microsoft Access データベース バックエンドは、 Microsoft Desktop Engine (MSDE) に置き換えられました。この変更による主な利点は、次のとおりです。

安定性の向上 より強固なバックエンド 拡張性の向上

6.2.1 と同様に、Internet Scanner 7.0 は ODBC 接続を通じてデータベースと通信します。リモート データベー スは現在のところサポートされていません。したがって、Internet Scanner がサポート対象のプラットフォーム (Windows 2000 Professional または XP) にインストールされているのであれば、MSDE を使用する必要があ ります。

データベース スキーマなどの詳細情報については、「Internet Scanner 7.0 User Guide」を参照してください。

http://documents.iss.net/literature/InternetScanner/IS_UG_7.0.pdf または http://documents.iss.net/literature/InternetScanner/IS_UG_7.0.pdf

SiteProtector 2.0

との統合

との統合

との統合

との統合

Internet Scanner 7.0 ではクライアント/サーバー アーキテクチャが使用されているため、初めから SiteProtector 2.0 に対応しています。つまり、スキャナーが脆弱点データやホスト情報を SiteProtector へ送り返すときに、 Databridge は不要となりました。さらに、SiteProtector によって管理される Internet Scanner Sensor は、 「ヘッドレス」方式で (コンソールなしで) インストール可能です。この構成では、スキャナーは SiteProtector Console によって管理され、スキャナーが収集するデータは SiteProtector Event Collector へ送信されます。

スキャンが開始されると、コンソールから Scanner Sensor Controller へ要求が送信され、作業が

MicroEngine に委託されます。スキャン データは、データがデータベースに収容されたことを Event Collect が確 認するまで、ローカル イベント キューに一時的に保存されます。

監査スキャン

監査スキャン

監査スキャン

監査スキャン

Internet Scanner 7.0 は、SiteProtector によって管理されると同時に、監査に使用することができます。これは、 SiteProtector とネイティブ コンソールとではイベント チャネルが別であるためです。スキャンがスタンドアロンの

(7)

Collector によって集められ、SiteProtector データベースへ自動的に解析されます。ローカル イベント キューのデ フォルト サイズは、15 メガバイトです。この値は、\Program Files\ISS\issSensors\<sensor

name>\common.policy ファイル内の次の行を変更することで拡大または縮小することができます。

SensorEventQueueSite =L 1500000;

デフォルトでは、キューが最大サイズに達すると、イベントがそれ以上記録されなくなります。このような場合は、キュ ー ファイルを削除するか、ADF Queue Maintenance ユーティリティを使用してファイルをクリアするか、または Event Collector がセンサーへ接続できるようにして、容量を空ける必要があります。

Service Pack 2 での構造上の変更

での構造上の変更

での構造上の変更

での構造上の変更

データベース

データベース

データベース

データベース

Service Pack 2 でのセンサーのみのインストールでは、ローカル データベースの必要性がなくなりました。センサー のみのインストールの場合、すべてのイベント データは、SiteProtector によって受信されるまで SensorEventQueue.adf 内で待ち行列に入ります。

ユーザーによる拡張が可能な

ユーザーによる拡張が可能な

ユーザーによる拡張が可能な

ユーザーによる拡張が可能な

OS フィンガープリント

フィンガープリント

フィンガープリント

フィンガープリント

データベース

データベース

データベース

データベース

カスタム フィンガープリント エントリを、ユーザーが変更可能なファイルに追加し、Internet Scanner のシステム識 別機能と共に使用できるようになりました。エントリの追加方法については、 issSensors\scanner_1\discovery\user-os-fingerprints ファイルを参照してください。フィンガープリント形式 の多くに関する詳細情報については、Nmap の Web サイト (www.insecure.org/nmap) を参照してください。

Internet Security Systems (ISS) についてについてについてについて:

ISS は、米国ジョージア州アトランタを本社として 1994 年に設立されました。企業がオンラインビジネスへと移行 するのに伴ない、ネットワークやサーバ、デスクトップ PC に対するネットワークセキュリティの脅威の数も増大して、 その攻撃も巧妙さを増しています。ISS は常に変化しつづけるさまざまな脅威から、お客様のネットワークを守るた めのソフトウェアやサービスを提供している、セキュリティソリューションのパイオニアかつ世界的なリーダーです。米国 ジョージア州アトランタの本社のほか、アメリカ、日本、アジア、オーストラリア、ヨーロッパおよび中東にオフィスを設 けています。

Copyright © 1994-2003, Internet Security Systems, Inc. All rights reserved worldwide.

Internet Security SystemsInternet Security Systems のロゴ、SiteProtector、および FlexCheck Internet Security Systems, Inc. の商標およびサービスマーク、RealSecure および Internet Scanner は同社の登録商標です。 言及されているその他の商標および商標名は、示されているとおりの各所有者の商標および名称です。この文書で言及され ている商標はすべて、各所有者の資産であり、権利侵害の意図なしに編集上の理由で使用されているものです。明細事項 および内容は予告なしに変更されることがあります。

Updating...

関連した話題 :