Par exemple, un Linux serveur peut être configuré pour autoriser uniquement certaines adresses IP à s’y connecter via SSH. De même, un routeur réseau peut être configuré pour autoriser uniquement une certaine adresse IP à interroger SNMP dessus. Pour autoriser l’accès dans de tels cas, utilisez l’une des méthodes suivantes :

• Mettez à jour la configuration de ces ordinateurs ou équipements pour permettre au serveur MID souhaité d’exécuter des commandes ou de les interroger. Par exemple, un routeur de réseau peut être configuré pour permettre uniquement aux systèmes de gestion de réseau d’interroger SNMP sur lui. Dans ce cas, ajoutez le serveur MID comme s’il s’agissait d’un autre système de gestion de réseau.
• Installez un serveur MID sur un ordinateur qui a déjà accès aux ordinateurs ou aux équipements réseau soumis à de telles restrictions. Par exemple, pour une utilisation Découverte dans une zone DMZ (où les communications depuis l’extérieur de la zone DMZ seront sévèrement restreintes), installez un serveur MID sur un ordinateur qui se trouve déjà dans la zone DMZ.

Utilisez la configuration d’hôte suivante pour limiter l’impact d’un attaquant avec un point d’observation de l’homme du milieu :

• Assurez-vous que la signature SMB est configurée pour être requise sur le client Serveur MID afin de limiter les attaques potentielles sur l’intégrité.

• Assurez-vous que la signature SMB est requise par tous les serveurs SMB au sein de l’environnement.

• Utilisez des mots de passe forts pour limiter les attaques par dictionnaire hors ligne si l’ordinateur hôte doit prendre en charge les protocoles d’authentification hérités tels que NetNTLM.

• Utilisez un compte unique pour chaque hôte pertinent afin de limiter l’impact des informations d’identification compromises sur les systèmes finaux.

Le serveur MID communique en toute sécurité via le port 443 avec l’instance et ne requiert aucune connexion entrante. Dans certains cas, il peut être nécessaire d’autoriser cette communication à travers le pare-feu si le serveur MID ne parvient pas à s’enregistrer sur l’instance. Pour déterminer si l’application ou une restriction de sécurité réseau est à blâmer pour l’échec de la connexion, tentez d’utiliser un réseau Telnet pour communiquer avec l’instance sur le port 443 à partir du serveur qui héberge l’application Serveur MID. Si cette connexion échoue, le problème peut provenir d’un proxy web (puisque 443 est une connexion https) ou d’une règle de pare-feu empêchant les connexions TCP externes à partir de cet hôte. Contactez le personnel de sécurité réseau pour obtenir les informations de proxy à ajouter au fichier config.xml ou demandez que le pare-feu soit configuré pour autoriser l’accès à l’aide de l’une des syntaxes suivantes :

• <adresse IP source> à <n’importe lequel>
• <adresse IP source> à < ServiceNow > tout établissement
• <adresse IP source> à <instance_name.service-now.com> 443

Ces méthodes sont utilisées pour détecter divers appareils sur un réseau et sont spécifiquement destinées à l’utilisation des serveurs MID avec les Découverte produits and Orchestration .

• SSH : pour les machines de type UNIX et Orchestration, Découverte utilisez le protocole SSH, version 2 pour accéder aux machines cibles. SSH est un protocole réseau qui permet d’échanger des données à l’aide d’un canal sécurisé entre deux appareils en réseau. SSH communique sur le port 22 au sein d’un flux de données chiffré et nécessite une connexion pour accéder aux cibles à l’aide des deux méthodes d’authentification disponibles : une combinaison de nom d’utilisateur et de mot de passe et un nom d’utilisateur et une clé privée partagée. Spécifiez les informations d’authentification SSH et saisissez dans le module Informations d’identification . Si plusieurs informations d’identification sont saisies, la plateforme les essaie l’une après l’autre jusqu’à ce qu’une connexion réussie soit établie ou que toutes soient finalement refusées. Pour fournir des relations d’application, un nombre limité de commandes SUDO doit être disponible pour être exécuté. Des détails supplémentaires sur ces exigences se trouvent dans UNIX/ Linux commandes nécessitant des privilèges root pour Découverte et Orchestration.
• WMI : pour Windows les machines, Découverte utilise l’interface Windows WMI (Management Instrumentation) pour interroger les appareils. En raison des restrictions de sécurité de WMI, l’application Serveur MID exécutant les requêtes WMI doit s’exécuter en tant qu’utilisateur de domaine avec des privilèges d’administrateur local (cible). Lorsqu’il Découverte détecte une activité sur le port 135, il lance une requête WMI. La réponse de l’appareil Windows est envoyée via un port DCOM (Distributed Component Object Model) configuré pour WMI sur Windows les machines. Il peut s’agir de n’importe quel port. Assurez-vous que l’ordinateur hôte de l’application Serveur MID a accès aux cibles sur tous les ports en raison de la nature unique des exigences WMI.
• Windows PowerShell : PowerShell , qui repose sur le Windows .NET Framework, est conçu pour contrôler et automatiser l’administration des machines et des Windows applications. Orchestration utilise PowerShell pour exécuter des activités de workflow sur Windows les ordinateurs. PowerShell doit être installé sur tout serveur MID qui exécute ces activités. Les serveurs MID utilisant PowerShell doivent être installés sur un système d’exploitation pris en charge Windows . ServiceNow prend en charge PowerShell 3.0 à 5.1. Les activités d’Orchestration pour PowerShell nécessitent un type d’informations d’identification Windows.
• SNMP - Réseau : pour les appareils réseau, Découverte utilise une analyse SNMP pour obtenir des MIB et des OID spécifiques à l’appareil. SNMP est un protocole commun utilisé sur la plupart des routeurs, commutateurs, imprimantes, équilibreurs de charge et divers autres périphériques réseau. Utilisez une chaîne de communauté (mot de passe) pour l’authentification lors de l’analyse d’un appareil via SNMP. De nombreux appareils ont une chaîne de communauté publique par défaut qui Découverte l’utilise par défaut lors de l’interrogation d’une cible. Définissez des chaînes de communauté supplémentaires dans le formulaire Informations d’identification SNMP , qui sont essayées successivement, avec le public, jusqu’à ce qu’une requête aboutisse. Outre les informations d’identification, la plateforme nécessite également la possibilité d’effectuer des demandes SNMP sur le port 161 à partir du serveur MID vers la cible. Si des listes de contrôle d’accès (ACL) sont en place pour contrôler les adresses IP qui peuvent effectuer ces requêtes, assurez-vous que l’adresse IP du serveur MID se trouve dans l’ACL. Découverte prend en charge les versions SNMP 1, 2c et 3.
• WBEM : La gestion d’entreprise basée sur le Web (WBEM) définit une implémentation particulière du modèle d’information commun (CIM), y compris les protocoles de détection et d’accès à chaque implémentation CIM. WBEM nécessite l’un des deux ports, 5989 ou 5988 et utilise le protocole de transport HTTP. WBEM prend en charge le cryptage SSL et utilise les informations d’identification du nom d’utilisateur/mot de passe CIM. Découverte lance une sonde de port WBEM pour détecter l’activité sur les ports cibles et ajouter les données recueillies à une sonde de classification qui explore les serveurs CIM.