Stack Scan-Sensor

Der Stack-Scan-Sensor ermöglicht eine Erkennung ohne Berechtigungsnachweise (weniger intrusive Erkennung) der installierten Betriebssysteme und offenen Ports in einem Computersystem.

Neben Nmapkann der Erkennungssensor Tivoli ® Remote Execution and Access (RXA) für die Windows-Erkennung verwenden. Er erkennt auch die MAC-Adresse der Schnittstelle L2Interface.

Sensorname in der grafischen Benutzerschnittstelle und in den Protokollen

StackScanSensor

Voraussetzungen

Von diesem Sensor wird die folgende Software benötigt:

  • Das Tool 'Nmap'. Details finden Sie unter Nmap .
  • WinPcap-Tool für Windows-Betriebssysteme Auch wenn dieses Tool auf der TADDM-DVD vorhanden ist, müssen Sie es manuell installieren, da es bei der TADDM-Installation nicht automatisch installiert wird.
  • Sudo-Tool für andere Betriebssysteme als Windows.
    Für TADDM unter AIX : Damit der TADDM-Benutzer das nmap-Tool über sudo verwenden kann, müssen Sie sudo Version 1.6.7p5installieren und konfigurieren. da TADDM Probleme mit der neuesten sudo-Version (1.6.9p15) hat.

Sicherheitsprobleme

Wenn Sie den sudo-Zugriff für den TADDM-Benutzer konfigurieren möchten, müssen Sie eine nopasswd-Option in der Datei /etc/sudoers für den TADDM-Benutzer festlegen.

Einschränkungen

Firewalls zwischen Zielbereichen und dem TADDM-Server oder fernen Ankern können die Zuverlässigkeit und das Leistungsverhalten von Stack-Scan stark beeinträchtigen. In dieser Situation müssen Sie ferne Anker hinter der Firewall nutzen, um die Leistung zu verbessern. Die Betriebssystemversion wird möglicherweise nicht ordnungsgemäß erkannt. Dies hängt davon ab, was der Stack-Scan-Sensor von Nmap empfängt. Beispiel: Windows Server 2008 ist als Windows Vista, AIX® 6.x als AIX 5.x, Linux® for System z® als 'Anderes Computersystem' klassifiziert. Die Erkennung von Computersystemen, auf denen das Betriebssystem Tru64 UNIX ausgeführt wird, wird von Nmapnicht unterstützt. Überprüfen Sie die von Nmap gelieferte Betriebssystemversion mit folgendem Befehl:
nmap -T Normal -O -sS -sU  -oX - IPaddress

Anwendungsserver und Services, die mithilfe einer Erkennung ohne Berechtigungsnachweise (Ebene 1) erkannt werden, werden nur mit den Anwendungsservern und Services abgeglichen, die bei einer Erkennung der Ebene 2 oder der Ebene 3 erkannt werden, wenn die TCP-Bindungsports identisch sind. Alle Anwendungsserver und Services, die mithilfe einer Erkennung der Ebene 1 erkannt werden, bleiben nach einer Erkennung der Ebene 2 oder der Ebene 3 bestehen. Anwendungen und Services, deren Bindungsports identisch sind, werden jedoch zusammengeführt.

Erstellte Modellobjekte

Der Sensor erstellt folgende Modellobjekte:

  • net.IpAddress
  • net.IpInterface
  • net.L2Interface
  • sys.aix.Aix
  • sys.aix.AixUnitaryComputerSystem
  • sys.ComputerSystem
  • sys.hpux.HpUx
  • sys.hpux.HpUxUnitaryComputerSystem
  • sys.i5OS.I5OperatingSystem
  • sys.linux.Linux
  • sys.linux.LinuxUnitaryComputerSystem
  • sys.OperatingSystem
  • sys.sun.Solaris
  • sys.sun.SunSPARCUnitaryComputerSystem
  • sys.tru64.Tru64
  • sys.windows.WindowsComputerSystem
  • sys.windows.WindowsOperatingSystem
  • sys.zOS.ZOS
  • sys.zOS.ZSeriesComputerSystem