Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Future vuls 技術仕様概要と導入要件

7,024 views

Published on

本書はFutureVulsのご利用者様に向けて、FutureVulsにおける脆弱性検知方法の概要、スキャナ プログラムの設定パラメータの詳細、導入に必要な要件を纏めた資料となります。
対象読者として、FutureVulsの導入を実際に行う技術担当者様を想定しています。
FutureVulsのポータルサイトの基本操作手順は「FutureVulsご利用ガイド(https://help.vuls.biz/)」を ご参照下さい。

Published in: Software
  • Be the first to comment

Future vuls 技術仕様概要と導入要件

  1. 1. Copyright ©2018-2019 by Future Corporation フューチャー株式会社 FutureVuls 技術仕様概要と導入要件 最終更新日:2019.1.18
  2. 2. Confidential はじめに FutureVulsの構成要素 技術仕様概要 FutureVulsでスキャンを行う上での要素 ①スキャン方法 ②スキャン対象 ③スキャン経路 ④スキャンレベル スキャナプログラムの導入 スキャン実行タイミング サーバの一意識別 RestAPIによる操作 導入要件 OSバージョン要件 OS設定要件<依存パッケージ> OS設定要件<sudo設定> 通信要件 FutureVulsが使用するIPアドレス Copyright ©2018-2019 by Future Corporation - 2 - 目次
  3. 3. Confidential 本書はFutureVulsのご利用者様に向けて、FutureVulsにおける脆弱性検知方法の概要、スキャナ プログラムの設定パラメータの詳細、導入に必要な要件を纏めた資料となります。 対象読者として、FutureVulsの導入を実際に行う技術担当者様を想定しています。 FutureVulsのポータルサイトの基本操作手順は「FutureVulsご利用ガイド(https://help.vuls.biz/)」を ご参照下さい。 本書の内容は、予告なく変更することがありますので、あらかじめご了承ください。 Copyright ©2018-2019 by Future Corporation - 3 - はじめに FutureVuls ご利用ガイド FutureVuls 技術仕様概要と導入要件 FutureVuls サービス仕様書 FutureVuls サービス利用約款 本書
  4. 4. Confidential Copyright ©2018-2019 by Future Corporation - 4 - FutureVulsの構成要素 本書では、FutureVulsを構成する要素について 以下のように呼称します。 スキャナプログラム 弊社よりご提供しお客様システムのサーバにインストールいただく バイナリファイル FutureVulsバックエンド または バックエンド スキャナプログラムがスキャン結果を送信するアップロード先、及び 脆弱性の有無を判定する処理等を行うバックエンドシステム FutureVulsポータル または ポータル 脆弱性検知結果の確認を行うWebサイト FutureVulsポータル FutureVulsバックエンド スキャナプログラム サーバ ブラウザ ・スキャン結果のアップロード先 ・脆弱性の有無を判定 ・構成情報の収集 ・データのアップロード ・脆弱性検知結果の表示 FutureVulsの構成要素 閲覧
  5. 5. Confidential 技術仕様概要 Copyright ©2018-2019 by Future Corporation - 5 -
  6. 6. Confidential ④スキャンレベル③スキャン経路①スキャン方法 ②スキャン対象 【技術仕様概要】 FutureVulsでスキャンを行う上での要素 次ページ以降にて、①~④の各要素の詳細をご確認頂き、自システムの要件に適合するものを 選択ください。 スキャナプログラムによるパッ ケージ情報の自動収集 ローカル スキャンモード リモート スキャンモード CPEスキャン FutureVulsポータル よりCPE名を手動登録 OS管理パッケージ OS管理外 ソフトウェア ネットワーク機器 Fast モード Fast-root モード FutureVulsでは、スキャン対象やスキャン環境に合わせた幾つかの仕組み・設定モードを用意しています。 下記①~④のとおり、4つの要素に分けられます。 - 6 - Online モード Offline モード Copyright ©2018-2019 by Future Corporation
  7. 7. Confidential FutureVulsでは 「スキャナプログラムを使う方法」 と 「CPE名を使う方法」 の2つのスキャン方法があります。 まずは、それぞれが行っている処理について説明します。 Copyright ©2018-2019 by Future Corporation - 7 - 【技術仕様概要】 ①スキャン方法(1) (1)スキャナプログラムによる パッケージ情報の自動収集 ■Linuxの場合 インストールされているパッケージ(rpm、deb)の一覧を取得 ・サーバホスト名 ・サーバIPアドレス ・OSバージョン ・パッケージ名 ・インストール済みパッケージの現在のバージョン ・インストール済みパッケージの(リポジトリ上の)最新バージョン ・稼働中プロセス情報(pid、プロセス名) 等 ■Windowsの場合 WindowsUpdateで未適用なパッチ一覧を取得 ・サーバホスト名 ・サーバIPアドレス ・OSバージョン ・KBID 等 スキャナプログラムが 収集する情報 スキャナプログラム サーバサーバの構成情報を自動収 集&結果をアップロード FutureVulsバックエンド スキャナプログラムをサーバにインストールし、実行することで必要な情報を 自動収集し、FutureVulsバックエンドへ結果をアップロードします。スキャ ナプログラムが自動収集するのはサーバ情報とインストール済みパッケー ジ情報、稼働中プロセス情報のみです。 STEP1 サーバ構成情報取得 サーバ スキャナプログラムがアップ ロードした結果を保存
  8. 8. Confidential Copyright ©2018-2019 by Future Corporation - 8 - FutureVulsバックエンドでは、各ディストリビュータが公開してるOVAL※1データを 取り込みデータベース化しています。OVALデータにはそれぞれのOSにおける過去 全ての脆弱性ID(CveID)と関連するパッケージ名、及びそれを修正したパッ ケージのバージョンが情報として含まれています。 ※1 OVAL(Open Vulnerability and Assessment Language) コンピュータのセキュリティ設定状況を検査するための仕様 ※2 NVD(National Vulnerability Database) NIST(アメリカ国立標準技術研究所)が管理している脆弱性情報データベース ※3 JVN(Japan Vulnerability Notes) JPCERT/CCと情報処理推進機構(IPA)が共同で管理している脆弱性情報データベース ※4 exploitDB 情報セキュリティトレーニング会社Offensive Securityにより管理されている非営利プロジェクト STEP2 脆弱性の検知 STEP3 追加情報の付与 FutureVulsバックエンドでは公開脆弱性データベース (NVD※2、JVN※3)の情報に加えて、exploitDB※4 より攻撃実証コードの有無に関する情報を収集してお り、FutureVulsポータル上ではCveIDをキーにして、こ れらの情報を併せて表示します。 【技術仕様概要】 ①スキャン方法(2) Debian Ubuntu Amazon Linux RedHat アップロード された構成情報 OVAL 及び CVE Database 脆弱性IDとそれが修正 されたパッケージ名とバー ジョンの一覧 サーバにインストール されているパッケージ 名とバージョン> サーバ実機にインストールされているパッケージ バージョンを元に脆弱性を含んだバージョンを 使用していないかを検知 脆弱性に対応したパッチ が提供がされていない パッケージ名の一覧 検知は収集したデータベースとサーバ実機のパッケージ のバージョンを比較することで、脆弱性を含んだバー ジョンを使用しているかいないかを判定することで、脆 弱性の有無を検知しています。 NVD JVN RedHat Microsoft exploitDB ・・・・ アップロードされた構成情 報を元に脆弱性の有無を 検知 検知結果として保存 検知結果 FutureVulsポータルFutureVulsバックエンド CveIDに紐づいた追加情 報を付与して表示 ブラウザ またOVALに加えて各ディストリビュータが提供する 「CVE Database」の情報を使用することにより、”脆 弱性があるものとして認識されており調査は行われて いるが、修正パッチがまだ用意されていない脆弱性” も検知可能になっています。 マッチング インストールされたバージョンが 低い場合、脆弱性ありと判断 閲覧 Microsoft
  9. 9. Confidential Copyright ©2018-2019 by Future Corporation - 9 - 【技術仕様概要】 ①スキャン方法(3) (2)FutureVulsポータル よりCPE名を手動登録 ※1 CPE(Common Platform Enumeration) 製品を識別するための共通のプラットフォーム名の一覧 ※2 CPE名 ハードウェア、オペレーティングシステム、アプリケーションなどのプラットフォームを識別するため名称 FutureVuls ポータルFutureVulsバックエンド FutureVulsではスキャナプログラムで収集できるOS管理パッケージ以外の脆 弱性検知のためCPE※1 を使用した方法も用意しています。 CPEによる検知のためには、まずFutureVulsのポータルサイト上でCPE名※2 を手動で登録します。 FutureVulsバックエンドではNVDの情報を取り込み、CveIDとそれに関連し たCPE名が対になったデータベースを構築しており、ユーザが登録したCPE名 とNVDのデータとマッチングを行い該当するCveIDを抽出します。 CveID抽出以降の動作はスキャナプログラムを使用した場合と同様です。 検知結果として保存 ブラウザ NVD ①ポータル上で CPE名を登録 CPE名を 保存 ②登録されたCPE名 で公開脆弱性情報 (NVD)とマッチング NVD JVN RedHat exploitDB ③CveIDに紐づいた追加 情報を付与して表示 CPE名は体系化されており、多くのベンダーのプロダクトが登録されています。ア プリケーションだけでなくネットワーク機器、サーバのファームウェア等も含まれ ます。過去に脆弱性が発見されCPEとして登録されているものは、CPE Search(https://nvd.nist.gov/products/cpe/search)からも検索可能です。 FutureVuls上では、 CPE名をスキャナプログラムをインストールしたサーバに 紐づけアプリケーションミドルウェア(ex. Apache Struts、Weblogic)のチェッ クをしたり、ネットワーク機器の場合は「仮想ホスト」をポータル上で作成し、そ こにネットワーク機器のファームウェアのCPE名を設定することが出来ます。 <CPE名の基本構成 ※version2.2の場合> cpe:/{種別}:{ベンダ名}:{製品名}:{バージョン}:{アップデート}:{エディション}:{言語} ex) Apache Strutsの場合 cpe:/a:apache:struts:2.0.0
  10. 10. Confidential FutureVulsで検知出来ないもの  自身で作成した“業務アプリケーション”の脆弱性 ※FutureVulsによる検知方法は公開されている脆弱性情報を元に脆弱 性のあるバージョンを使用しているかどうかをチェックするものです。 所謂、ペネトレーションテストのような攻撃を模倣してチェックするもので はありません。  公開脆弱性データベースに登録のない脆弱性 ※NVD、JVN、各ディストリビュータが公開している情報を元にバージョン チェックを行うため、それらに情報が掲載されていない(未知のものを含 む)ものは検知できません。 【技術仕様概要】 ②スキャン対象 FutureVulsでは、以下のものを対象に脆弱性検知が可能です。 インストールまたは使用されているバージョンを元に脆弱性を含んだバージョンを使用していないかを検知します。 ①OS管理パッケージ  rpmパッケージ (YumコマンドでOS標準リポジトリからインストールされたもの)  debパッケージ (AptコマンドでOS標準リポジトリからインストールされたもの) ※各ディストリビュータが用意した標準リポジトリ“以外“から インストールされたものは自動収集できません。(例. EPEL、REMI) それらは下記「OS管理外ソフトウェア」として扱われます。 ②OS管理外ソフトウェア  Yum、Apt“以外”からインストールしたもの (独自インストーラ、手動でファイルを配置 したもの等)  Apache Struts  Oracle Database  Oracle Weblogic ・・・  自身でビルドしたもの  自身でRPM化したもの  自身で作成した業務アプリケーションに 使われているライブラリ ・・・ Ⅰ WindowsUpdateにて管理されているもの  Windowsセキュリティアップデート  Microsoft製品でWindowsUpdateにて アップデート管理されるもの(Office等) ・・・ Linux Windows - 10 - Ⅱ WindowsUpdateにて管理されないもの  Microsoft製品以外のソフトウェア  手動でファイルを配置したもの  ファームウェアとしてバージョン管理されているもの  Brocade FabricOS  Cisco IOS  F5 BIG-IP  Juniper JUNOS ・・・ ネットワーク機器 ス キ ャ ナ プ ロ グ ラ ム が 自 動 で 収 集 ポ ー タ ル 上 で CPE 名 の 手 動 登 録 が 必 要 FutureVulsで判断していないもの  設定による脆弱性の顕在化、無効化 ※FutureVulsでは設定情報は収集しておりません。そのため設定による脆 弱性顕在化、無効化の可能性については判断していません。 Copyright ©2018-2019 by Future Corporation
  11. 11. Confidential 【技術仕様概要】 ③スキャン経路 スキャナプログラムをご導入に当たりシステム構成に合わせて、以下2つのスキャン経路モードを用意してい ます。  ローカルスキャンモード  リモートスキャンモード 次ページ以降をご確認頂き、自システムの要件に適合するモードを選択ください。 OS管理パッケージ OS管理外ソフトウェア /ネットワーク機器 スキャナプログラム ローカルスキャンモード ○(自動) × 必要 リモートスキャンモード ○(自動) (Windowsは×) × 必要 (参考) CPEスキャン △(手動登録) ○ 不要 - 11 -Copyright ©2018-2019 by Future Corporation
  12. 12. Confidential 【技術仕様概要】 ③スキャン経路 ローカルスキャンモード  ローカルスキャンモードでは各サーバにスキャナプログラムをインストールします。  各サーバからFutureVulsに対してスキャン結果データの直接アップロードを行います。  Windowsではローカルスキャンモードのみ対応します。 スキャン対象環境 スキャナ プログラム スキャナ プログラム Linux Windows ④スキャン結果 アップロードサイト 貴社 ご担当者様 スキャン実行 スキャン実行 ⑤OSディストリビューター パッケージリポジトリサーバ ⑥Microsoft Windows Update 提供サイト 通信 発信元 通信 発信先 ①ポータルサイト ②DNS ③インストーラ・スキャナプログ ラム ダウンロードサイト - 12 -Copyright ©2018-2019 by Future Corporation
  13. 13. Confidential  リモートスキャンモードではスキャナプログラムを導入した一台のサーバから同じネットワーク内の各サーバにSSH接続しスキャンを行います。 スキャン結果データのアップロードはスキャナプログラムを導入したサーバが纏めて行います。  スキャン対象サーバへログインするのに鍵認証が必要です(パスワード認証には対応しておりません)  リモートのサーバに接続し、パッケージ構成情報及び最新パッケージバージョンの取得を行います。 スキャン対象環境 スキャナ プログラム Linux 貴社 ご担当者様 スキャン実行 ⑤OSディストリビューター パッケージリポジトリサーバ 通信 発信元 通信 発信先 スキャン実行 ③インストーラ・スキャナプログ ラム ダウンロードサイト ④スキャン結果 アップロードサイト ①ポータルサイト ⑦SSH接続 プロキシサーバ or NATサーバ or 内部用ミラーリポジトリサーバ等 ②DNS スキャン実行 - 13 - 【技術仕様概要】 ③スキャン経路 リモートスキャンモード(※Linuxのみ) Copyright ©2018-2019 by Future Corporation
  14. 14. Confidential 各スキャン経路モードの比較は以下のとおりです。 Copyright ©2018-2019 by Future Corporation - 14 - 概要 メリット デメリット 注意事項 ローカルスキャンモード (推奨) 各サーバにスキャナプログラムを配置し 実行する。スキャン結果データのアップ ロードも各サーバからFutureVulsクラウ ドサービスに送信する。 ・インストーラ(ワンライナーコマンド)を実行す るだけで必要な設定が完了する。 ・SSH鍵を管理する必要が無く、セキュリティ 的に優位 ・オートスケール環境ではマスタイメージにス キャナを事前に入れておくことで、 FutureVuls上でもサーバの自動追加が行 える。 ・各サーバでインストーラを実行する必要がある ・スキャナプログラムのアップデート時は全サーバ で作業が必要になる。 ・アウトバンド通信の制限をしている場合、各 サーバごとの通信解放を行わなければならない。 リモートスキャンモード 一台のみにスキャナプログラムを配置し、 それ以外のサーバはスキャナプログラムを 配置したサーバからSSH接続し、スキャ ンを行う。 スキャン結果のアップロードはスキャナプ ログラムを配置したサーバが纏めて送信 する。 ・スキャナプログラムは一台だけに配置すれ ば良いので、アップデート時は作業が楽。 ・アウトバンド通信を制限している場合、ス キャナプログラムを導入したサーバ1台から のみフィルタ設定を解放すれば良い。 ・スキャン対象サーバ全台に対して FutureVulsが動作する前提パッケージのイン ストールと、sudo権限付与の手動設定が必 要。 ・SSH鍵を適切に管理する必要があり、セキュ リティ的に不利。 ・オートスケール環境では新しくホストが追加さ れた場合、コンフィグファイルに対象を追加し、 フィンガープリントの保存を行う必要がある。 ・Windowsはリモートス キャンモードに対応しており ません。 ・セキュリティへの配慮から、 パスワード認証には対応し ておりません。 【技術仕様概要】 ③スキャン経路 スキャン経路モードの比較 通常はローカルスキャンモードを、環境に応じてリモートスキャンモードを使用することを推奨します。
  15. 15. Confidential Copyright ©2018-2019 by Future Corporation - 15 - FutureVulsでは、以下2点の状況がある場合において導入の障壁となる場合があります。 スキャン対象サーバがインターネットにアクセス出来ない場合 (1台はスキャン結果のアップロードのために必ずFutureVulsバックエンドへアクセスできるサーバを用意頂く必要があります。 ここではリモートスキャンモードで、SSH接続先のサーバがインターネットへアクセス出来ない場合を想定します) Root権限(sudoer)の使用が出来ない場合 ※実際にスキャナプログラムがroot権限にて実行するコマンドは、本書の「導入要件=>OS設定要件」に記載しています。 該当する機能を使用しないようスキャンレベルを変更することで導入が可能になる場合があります。 各スキャンレベルによる違いは以下のとおりです。 Fastモード (root権限の使用が出来ない場合に使用) Fast-Rootモード (標準設定) Offlineモード (システム外へのアクセス経路が 無いサーバに対して使用) △ 一部収集できなくなる情報あり ・インストールパッケージの最新バージョン ・脆弱性の影響のある稼働プロセス情報 (RedHat系のみ、Debian系は元々収集していません) -(対応していません) Onlineモード (標準設定) △ 一部収集できなくなる情報あり ・脆弱性の影響のある稼働プロセス情報 (RedHat系のみ、Debian系は元々収集していません) 〇 推奨 【技術仕様概要】 ④スキャンレベル(※Linuxのみ) 通常は、「Fast-Root + Online」モードをご利用下さい。
  16. 16. Confidential Copyright ©2018-2019 by Future Corporation - 16 - 【技術仕様概要】 スキャナプログラムの導入 スキャナプログラムは以下のようなワンライナーコマンドを実行するだけで簡単に導入できます。 /opt/vuls-saas /var/log/vuls/ vuls スキャナプログラム本体です。各OSに応じたバイナリファイルがダウンロードされます。 vuls-saas.sh スキャン実行用スクリプトです。cronには本ファイルが登録されます。 config.toml コンフィグファイルです。インストーラが動的に生成します。スキャン結果のアップロード 時に必要なグループID、トークン情報が記載されます。 scan.log スキャン実行時に作成されます。直近一回分の実行ログが保存されます。 report.log スキャン結果アップロード時に作成されます。直近一回分の実行ログが保存されます。 results/ (フォルダ) スキャン結果がJSON形式のテキストファイルとして保存されます。 Linux Windows • 実行ファイルの配置 • コンフィグファイルの作成 • 実行ユーザ・グループの作成&ホームフォルダの作成 • ユーザ:vuls-saas • グループ:vuls-saas • ホームフォルダ:/home/vuls-saas • 定期実行(cron)の登録 ※1 • スキャンに必要なOSパッケージのインストール ※2 • スキャンに必要な権限(sudoer)の設定を追加 ※3 • 実行ファイルの配置 • コンフィグファイルの作成 • 定期実行(タスクスケジューラ)の登録 ※1 ■ Linux # curl -s http://installer.vuls.biz/vuls-installer.sh | VULS_SAAS_GROUPID=<GroupID>” VULS_SAAS_TOKEN=“<TokenKey>" VULS_SCAN_MODE=“<ScanMode>" bash -s inst ■ Windows # bitsadmin.exe /TRANSFER get http://installer.vuls.biz/vuls-installer.bat "%cd%¥vuls-installer.bat" & set VULS_SAAS_GROUPID=<GroupID>& set VULS_SAAS_TOKEN=<TokenKey>& vuls-installer.bat inst インストーラが実施する内容は以下のとおりです。 詳細は以下のページを参照ください ※1 「技術仕様概要=>スキャン実行タイミング」 ※2 「導入要件=>OS設定要件<依存パッケージ>」 ※3 「導入要件=>OS設定要件<sudoer設定>」 インストール用ワンライナー例 インストーラにより以下のとおりファイルが配置されます。 vuls.exe スキャナプログラム本体です。各OSに応じたバイナリファイルがダウンロードされます。 config.toml コンフィグファイルです。インストーラが動的に生成します。 saas- credential.json コンフィグファイルです。インストーラが動的に生成します。スキャン結果のアップロード 時に必要なグループID、トークン情報が記載されます。 vuls- windows.log スキャン実行時に作成されます。直近一回分の実行ログが保存されます。 results/ (フォルダ) スキャン結果がJSON形式のテキストファイルとして保存されます。 C:¥Program files¥vuls-saas スキャン対象ホスト名 のファイル ホスト別のスキャン実行ログが保存されます。 Linux Windows
  17. 17. Confidential Copyright ©2018-2019 by Future Corporation - 17 - 【技術仕様概要】 スキャン実行タイミング スキャナプログラムはインストール時に下記の通り設定されます。 Linux • /etc/cron.d/vuls-saasを作成 • 実行ユーザ:vuls-saas • 初回実行をインストール完了の5分後に設定 • 以降は24時間毎に実行 Windows • Windowsタスクスケジューラに「vuls-saas-scan」タスクを作成 • 実行ユーザ:SYSTEM • 初回実行を翌日のインストール完了時刻と同時刻に設定 • 以降は24時間毎に実行 サーバにCPE名を紐づけて設定した場合 • サーバ実機にインストールされたスキャナプログラムがス キャン結果をFutureVulsバックエンドにアップロードした 際にCPE名に関する脆弱性も一緒にスキャン(マッチン グ処理)が実行されます。 仮想ホストにCPE名を紐づけて設定した場合 • 毎日AM7時(JST)に定期実行されます。 • CPE名設定後のテストのため、ポータル画面上から任 意のタイミングで実行することも可能です。 CPEスキャンは以下2つのタイミングで実行されます。
  18. 18. Confidential Copyright ©2018-2019 by Future Corporation - 18 - 【技術仕様概要】 サーバの一意識別 FutureVulsバックエンド側でサーバを一意に認識するために、スキャナプログラムは初回スキャン時のみ UUID(Universally Unique Identifier)を生成し、コンフィグファイルに保存します。 アップロードする際はスキャン結果にUUIDを埋め込んで送信し、バックエンド側はUUIDを元に管理を行います。 FutureVulsポータルサイト上にサーバとして登録されるのは、バックエンドに初回スキャン結果をアップロードし たときになります。 一度サーバとして登録された後は実機のサーバ名、IPアドレスを変更しても、FutureVulsポータルサイト上で は同一のサーバとして扱われます。 リモートスキャンモードで複数台のスキャンを行う際も、各ホスト毎にUUIDは設定されます。 スキャナ プログラム コンフィグファイル (config.toml) ①UUIDを保存 (初回のみ) ②UUIDを埋め 込んで送信 スキャン結果ファイルFutureVulsバックエンド ③UUIDを元に 保存・管理 サーバ <例> [default] [servers] [servers.ip-10-14-9-10] user = "vuls-saas" host = "localhost" port = "local" scanMode = ["fast-root"] [servers.ip-10-14-9-10.uuids] ip-10-14-9-10 = “xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
  19. 19. Confidential Copyright ©2018-2019 by Future Corporation - 19 - 【技術仕様概要】 RestAPIによる操作 FutureVulsではRestAPIを用いて、以下のような各種操作が行えます。 項目 概要 CVE ・検知した脆弱性情報(CVE)の取得 パッケージ・CPE ・登録済みパッケージ、CPEの取得 ・CPEの追加、削除 ロール ・登録済みロール情報の取得 ・ロールの更新、削除 サーバ ・登録済みサーバ情報の取得 ・サーバ情報の更新、削除 タスク ・タスク情報の取得 ・タスクの更新、不可視設定 ・タスクへのコメント追加 RestAPIの詳細仕様については、以下のマニュアルをご参照ください。 https://doc.vuls.biz/
  20. 20. Confidential 導入要件 Copyright ©2018-2019 by Future Corporation - 20 -
  21. 21. Confidential 【導入要件】 OSバージョン要件 - 21 - スキャナプログラムによる脆弱性スキャンが可能なOSは以下のとおりです。 スキャナプログラムは以下の環境において動作させるものとします。 Red Hat Enterprise Linux 6 (32bit/64bit ) Red Hat Enterprise Linux 7 (64bit ) CentOS 6 (32bit/64bit ) CentOS 7 (64bit ) Amazon Linux 最新AMI (64bit ) Debian 8 (32bit/64bit ) Debian 9 (32bit/64bit ) Ubuntu 14.04 LTS (32bit/64bit ) Ubuntu 16.04 LTS (32bit/64bit ) Ubuntu 18.04 LTS (64bit ) Windows Server 2008 (32bit/64bit ) Windows Server 2008R2 (32bit/64bit ) Windows Server 2012 (64bit ) Windows Server 2012R2 (64bit ) Windows Server 2016 (64bit ) Windows Server 7 (32bit/64bit ) Windows Server 8 (32bit/64bit ) Windows Server 8.1 (32bit/64bit ) Windows Server 10 (32bit/64bit ) Linux系OSについては、各ディストリビュータが提供する公式リポジトリからインストールされたパッケージ(rpm、deb)のみがスキャナプログラムによる自動 検知の対象です。 Copyright ©2018-2019 by Future Corporation
  22. 22. Confidential 【導入要件】 OS設定要件 <依存パッケージ>(※Linuxのみ) - 22 - スキャナプログラムはサーバの構成情報を取集する際に幾つかのコマンドを実行しますが、その中には OS標準ではインストールされないコマンドもあるため、パッケージの追加インストールが必要です。 インストーラを使用した場合、 OSに応じて下記の表に記載したパッケージを自動的にインストールします。 リモートスキャンモードを使用する場合、SSH接続先の各サーバに手動でパッケージをインストールする必要があります。 ディストリビューション インストールが必要なパッケージ RHEL 6, 7 yum-utils yum-plugin-ps yum-plugin-changelog CentOS 6, 7 yum-utils yum-plugin-ps yum-plugin-changelog Amazon Linux yum-utils yum-plugin-ps yum-plugin-changelog Debian 8, 9 aptitude debian-goodies reboot-notifier Ubuntu 14, 16, 18 debian-goodies インストールが必要なパッケージ Copyright ©2018-2019 by Future Corporation
  23. 23. Confidential 【導入要件】 OS設定要件 <sudo設定>(※Linuxのみ) - 23 - 「技術仕様概要=>スキャンレベル」にて「Fast-root」(標準設定)を設定している場合、 スキャナプログラムがいくつかのコマンドを実行する際にroot権限を必要とします。 そのためsudo設定を追加する必要があります。 インストーラを使用した場合、自動的に「/etc/sudoers.d/vuls-saas」を作成し、OSに応じて下記のとおり設定を追加します。 リモートスキャンモードを使用する場合、SSH接続先の各サーバに手動でsudoer設定を行う必要があります。 ディストリビューション Fast(Offline) Fast(Online) Fast-root(Offline) Fast-root(Online) RHEL 6, 7 設定不要です 設定不要です 対応していません vuls ALL=(ALL) NOPASSWD: /usr/bin/stat, /usr/bin/needs-restarting, /usr/bin/which, /usr/bin/yum repolist --color=never, /usr/bin/yum updateinfo list updates --security --color=never, /usr/bin/yum updateinfo updates --security --color=never, /usr/bin/repoquery CentOS 6, 7 設定不要です 設定不要です 対応していません vuls ALL=(ALL) NOPASSWD: /usr/bin/yum -q ps all --color=never, /usr/bin/stat, /usr/bin/needs-restarting, /usr/bin/which Amazon Linux 設定不要です 設定不要です 対応していません vuls ALL=(ALL) NOPASSWD: /usr/bin/yum -q ps all --color=never, /usr/bin/stat, /usr/bin/needs-restarting, /usr/bin/which Debian 8, 9 設定不要です 設定不要です 対応していません vuls ALL=(ALL) NOPASSWD: /usr/bin/apt-get update, /usr/bin/stat *, /usr/sbin/checkrestart Ubuntu 14, 16, 18 設定不要です 設定不要です 対応していません vuls ALL=(ALL) NOPASSWD: /usr/bin/apt-get update, /usr/bin/stat *, /usr/sbin/checkrestart ※下記の内容について実際の設定は改行の無い1行の文字列ですが、 本書では見易さのために改行を入れています。Sudo設定 Copyright ©2018-2019 by Future Corporation
  24. 24. Confidential 【導入要件】 通信要件 目的 プロトコル ポート 通信発信元 通信の向き 宛先 ① ポータルサイト閲覧 HTTPS 443 任意の端末 Outgoing ・ https://console.vuls.biz/ ・ https://api.vuls.biz/ ・ https://cognito-idp.ap-northeast-1.amazonaws.com/ ② DNSクエリー (インストーラ実行時、 スキャナプログラム実行時に利用) DNS 53 スキャナ導入サーバ スキャン対象サーバ Outgoing ・ご利用システム内の外部アドレス正引き用DNSサーバ ③ インストーラ・ スキャナプログラムダウンロード HTTP 80 スキャナ導入サーバ Outgoing ・ http://installer.vuls.biz/ ※スキャナ導入時、アップデート時のみ必要 ④ スキャン結果アップロード HTTPS 443 スキャナ導入サーバ Outgoing ・ https://auth.vuls.biz/ ・ https://s3-ap-northeast-1.amazonaws.com/ ⑤ OSディストリビューション リポジトリデータダウンロード HTTP(S) 80 or 443 スキャン対象サーバ Outgoing ・各OSディストリビュータが用意するパッケージリポジトリサーバ ⑥ Windows Update HTTPS 443 スキャン対象サーバ Outgoing ・Microsoft Windows Update 提供サイト *参考情報 Windows Update / Microsoft Update の接続先 URL について https://blogs.technet.microsoft.com/jpwsus/2017/02/27 /wu-mu-list/ ⑦ SSH接続 SSH 22 スキャン対象サーバ Outgoing ・ スキャン対象サーバ(リモートスキャンモード時のみ) ※鍵認証(ノンパスワード) ⑧ RestAPI操作 HTTPS 443 任意の端末 Outgoing ・ https://rest.vuls.biz/ ※API操作を行う場合のみ必要 サービスご利用時は“ご利用の環境”から当サービスに対して以下の通信が発生しますので、 必要な通信が行えるよう設定頂く必要があります。 ※<宛先>に記載された弊社サービスのFQDNは固定しておりますが、FQDNに紐づいた実IPアドレスは不定期に変更される場合があります。 詳細は次ページをご確認ください。 - 24 - 下記の①~⑦は、page11~12の通信フロー図と一致します。併せて参照ください。 Copyright ©2018-2019 by Future Corporation
  25. 25. Confidential 【導入要件】 FutureVulsが使用するIPアドレス 目的 プロトコル ポート 通信発信元 FQDN サービス リージョン ① ポータルサイト閲覧 HTTPS 443 任意の端末 console.vuls.biz CloudFront GLOBAL api.vuls.biz CloudFront GLOBAL cognito-idp.ap-northeast-1.amazonaws.com Cognito ap-northeast-1 ③ インストーラ・ スキャナプログラム ダウンロード HTTP 80 スキャナ 導入サーバ installer.vuls.biz S3 ap-northeast-1 ④ スキャン結果 アップロード HTTPS 443 スキャナ 導入サーバ auth.vuls.biz EC2 ap-northeast-1 s3-ap-northeast-1.amazonaws.com S3 ap-northeast-1 ⑧ RestAPI操作 HTTPS 443 任意の端末 rest.vuls.biz CloudFront GLOBAL - 25 -Copyright ©2018-2019 by Future Corporation 導入環境にて「外向きの通信」を制限している場合、基本的には前頁「通信要件」に記載されたFQDNにてフィルタ 解除を行うことを推奨します。ただし環境(機材)によってFQDNが使えず、IPアドレスによる設定方法しかない場合は、 以下の内容を参考にしてください。 FutureVulsはAmazon Web Services(AWS)上にて構築しております。 AWSが割り当てるIPアドレスの範囲は以下のサイトにて公開されており、「Download」の項にて一覧ファイルを取得す ることが出来ます。 • https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html FutureVulsにて利用しているAWS各サービスは下記の表の通りです。 AWSが公開している一覧ファイルより該当サービス及びリージョンで使われているアドレスをご確認いただき、通信可能と なるよう設定ください。尚、公開されている一覧の内容は不定期に更新されますので随時ご確認ください。

×