Discovery sem credencial com Nmap

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 6 min. de leitura

    • Se a instância não conseguir identificar um item de configuração (IC) devido a uma falha de autenticação, o Discovery ou o Service Mapping poderá executar comandos selecionados do Mapeador de rede (Nmap) com um MID Server para coletar algumas informações básicas sobre o IC sem usar credenciais.

    Um administrador do MID Server pode instalar o Nmap em MID Servers individuais em execução em um host do Windows. Esses MID Servers podem descobrir algumas informações básicas sobre ICs em sua rede quando a autenticação normal falha.
    Importante:
    Clientes auto-hospedados cuja segurança de rede não permite downloads de install.service-now.com devem usar um processo manual específico para instalar e configurar o Nmap. Consulte Instalação de Nmap em um sistema auto-hospedado para obter instruções.

    O Discovery sem credencial pode criar ou modificar ICs de host e de aplicação quando as credenciais estão ausentes ou configuradas incorretamente. Se um Discovery baseado em credencial for realizado com sucesso depois que o Nmap criar um IC, o sistema reconciliará as informações coletadas de cada tipo de descoberta.

    O que o Nmap pode descobrir

    Os comandos Nmap executados durante o Discovery sem credencial podem:
    • Execute a resolução de nome DNS reversa para identificar o host do endereço IPv4.
    • Retorna o endereço MAC do host se esse host estiver na mesma sub-rede que o host que executa o comando Nmap.
    • Detecta aplicações instaladas em um host de destino.
    • Detecta o sistema operacional de um host de destino e a versão do sistema operacional.
    Nota:

    O Discovery sem credencial classifica roteadores e comutadores como hardware. Ele não cria ou atualiza ICs especificamente para eles.

    O Discovery sem credencial deve ser usado somente em sub-redes conhecidas em que as credenciais não são viáveis e não devem ser usadas em longo prazo.

    Verificações da Descoberta sem credenciais do Nmap em plataformas de computação em nuvem

    Frequentemente, é contra os termos de serviço executar verificações de Nmap de ou para qualquer recurso em um serviço de computação em nuvem, como Amazon Web Service, Microsoft Azure, IBM Cloud ou Google Cloud Platform. Por exemplo, o ambiente do Amazon Web Service (AWS) é estritamente regulamentado e requer a permissão da AWS por meio do formulário de solicitação de teste de Vulnerabilidade/Invasão da AWS. Testes não autorizados em serviços da AWS ou recursos de propriedade da AWS são proibidos. Por esse motivo, a Descoberta sem credenciais em um ambiente de serviço de computação em nuvem não é apropriado e, se ocorrer uma violação de sua política, poderá resultar na expulsão do serviço. Entre em contato com o provedor de serviços da plataforma para obter informações sobre limitações ou requisitos de permissão para executar o Nmap.

    Componentes instalados com Nmap

    O plug-in Discovery - IP Based [com.snc.discovery.ip_based] que fornece a funcionalidade Nmap é ativado automaticamente quando Descoberta ou Mapeamento de serviços está ativo. Esses componentes Nmap são fornecidos pelo plug-in Discovery - IP Based:
    Componente Descrição
    Propriedade do sistema A propriedade mid.discovery.credentialless.enable habilita ou desabilita o Nmap para todos os MID Servers nos quais o Nmap está instalado e que estão conectados à instância. Esta propriedade é instalada com o plug-in Discovery e está habilitada por padrão. É configurável por um administrador do sistema.
    Propriedades do MID Server Essas propriedades, da tabela Propriedade do MID Server [ecc_agent_property], não devem ser configuradas:
    • mid.nmap.version: versão do Nmap instalada nos MID Servers em seu ambiente. Este campo fica visível no formulário do MID Server [ecc_agent] depois que o Nmap é instalado.
    • nmap.safe.scripts: define a lista de scripts Nmap que são classificados como seguros para uso durante a execução da fase de detecção de versão da aplicação do Nmap (opção do comando -sV).
    • nmap.npcap.version: a versão do Npcap instalada com o Nmap. O instalador do Nmap só pode executar atualizações de instalações Npcap existentes que encontrar.
    Campos
    • Porta do Discovery sem credencial [cl_port]: campo opcional na tabela Aplicação [cmdb_ci_appl] que exibe o número de uma porta verificada pelo Discovery sem credencial. Este número de porta é usado para determinar se uma aplicação retornada pelo Nmap tem um IC correspondente no CMDB ou se um novo IC deve ser criado.
    • Origem da descoberta [discovery_source]: campo opcional na tabela Item de configuração [cmdb_ci] à qual a opção CredentiallessDiscovery é adicionada. Esta opção mostra que o Discovery sem credencial foi usado para criar um IC.
    Capacidade do Nmap MID Server Os recursos do Nmap MID Server são adicionados ao MID Server quando o Nmap é instalado e removidos automaticamente quando o Nmap é desinstalado. Somente MID Servers com esse recurso podem executar o Discovery sem credencial. Um administrador do sistema não pode adicionar ou remover esta capacidade manualmente. Clientes auto-hospedados que têm a função maint podem modificar ou excluir o recurso Nmap, mas não devem fazê-lo.

    O Mapeamento de serviços não verifica a presença do recurso Nmap e seleciona o MID Server com base somente no endereço IP. Para garantir que o Mapeamento de serviços não selecione um MID Server sem o recurso Nmap, instale o Nmap em todos os MID Servers atribuídos aos intervalos de endereços IP para os quais você deseja que a Descoberta sem credenciais esteja disponível. Se o Mapeamento de serviços selecionar um MID Server para a Descoberta sem credenciais que não tenha recursos de Nmap, esta mensagem de erro será exibida no mapa, no local do IC que está sendo descoberto: Nmap não está instalado no MID Server. Verifique se todos os MIDs configurados para lidar com o endereço IP selecionado têm o Recurso de Nmap. O caminho do diretório raiz Nmap não existe: <path>

    Nota:
    O recurso ALL MID Server não inclui o recurso Nmap.
    Npcap Npcap é a biblioteca de captura de pacotes do Nmap para Windows. O Npcap permite que o Nmap execute verificações de porta rapidamente e identifique a família do sistema operacional em execução no destino. Somente uma cópia do Npcap é instalada por host do MID Server.

    Como o Npcap pode ser usado por outras aplicações, a desinstalação do Nmap não desinstala automaticamente o Npcap. É necessário desinstalar o Npcap manualmente, depois de determinar que não existem outras dependências.
    Padrões
    • Dispositivo de rede de descoberta sem credencial: verifica um endereço IP de host usando um comando Nmap para identificar o host. Este padrão inicia o script Credentialless Discovery Network Device - PreLaunch para recuperar a lista de portas a serem exploradas da tabela Serviço IP [cmdb_ip_service]. Não modifique este script.
    • Aplicação Discovery sem credencial: verifica uma porta em um endereço IP usando um comando Nmap para identificar o serviço de aplicações que está ouvindo ativamente nessa porta. O Service Mapping inicia este padrão quando todas as etapas de classificação de porta baseada em credencial falham. O Discovery cria um IC na tabela Aplicação [cmdb_ci_appl] se a porta estiver aberta e puder identificar o serviço por nome e produto. Se o serviço não responder a nenhuma das tentativas de verificação, o Nmap consultará seu registro nmap-services e adivinhará qual serviço provavelmente está sendo executado nessa porta. Se o Nmap tiver que adivinhar qual aplicação está sendo executada em uma porta escaneada, o padrão Aplicação de descoberta sem credencial não criará um IC de aplicação ou atualizará um IC existente.
    Inclusões de script do MID Server
    • SetCredentialLessDeviceClassName: determina qual IC do host criar ou atualizar após a execução bem-sucedida do comando Nmap. Não modifique este script.
    • CredentialLessApplicationClassNameMapper: mapeia o produto do serviço, o nome do serviço e as informações de serviço extra fornecidas pelo Nmap para a porta verificada para uma tabela de aplicações compatível na instância. Os administradores do sistema podem modificar este script.
    • SetCredentialLessApplicationClassName: garante que o script CredentialLessApplicationClassNameMapper seja invocado apenas uma vez. Não modifique este script.
    Inclusão de script do sistema A inclusão de script CredentiallessDiscoveryAjax é executada na instância e lida com a instalação e a desinstalação do Nmap nos MID Servers do Windows, executados a partir de ações de IU no formulário. Não modifique este script.