Introducción

A partir de Open-AudIT 2.3.2, hemos introducido algunas opciones fáciles de usar y extremadamente potentes para descubrir dispositivos. Estas opciones se centran en dirigir a Nmap sobre cómo descubrir dispositivos.

Hemos agrupado estas opciones en Opciones de exploración del descubrimiento. Enviamos siete grupos diferentes de opciones (elementos) por defecto que cubren los casos de uso comunes.

Esto beneficia a los clientes comunitarios, profesionales y empresariales.

Resumen

Disponibilidad de funciones

La disponibilidad de las funciones depende del tipo de licencia según la tabla siguiente.

Disponibilidad de funciones - 700

Tipos de exploración de descubrimiento

Las opciones de Discovery Scan que enviamos se detallan en la siguiente tabla. Al igual que en el caso anterior, los usuarios de Enterprise pueden crear más de estas opciones o editar las enviadas.

Tipos de exploración de descubrimiento - 700
Consulte la wiki para conocer más a fondo Opciones de exploración del descubrimiento

Ejemplo de mejora de la exploración

Tenemos un cliente que está ejecutando el descubrimiento en un /22. El tiempo de escaneo para completar cuando se utilizan las opciones originales (hard set), antes de 2.3.2 era de 29 horas. Usando la opción UltraFast de 2.3.2, ese escaneo ahora toma menos de 10 minutos. Decir que están impresionados sería un eufemismo. Ahora les queda un conjunto más pequeño de dispositivos desconocidos con los que pueden realizar una auditoría más detallada. Y recuerde, si el dispositivo auditado es un ordenador, tendrá una lista de puertos abiertos derivada de Netstat, de todos modos - posiblemente ahorrando otro ciclo de auditoría.

Casos de uso

Gestión de duplicados de series

Recientemente tuvimos que escanear una subred compuesta por dispositivos de red virtuales de Cisco. Todos estos dispositivos tenían números de serie idénticos. Utilizando las reglas de coincidencia por descubrimiento (disponibles para los usuarios de la empresa) pudimos ajustar el conjunto de reglas sólo para este descubrimiento, sin afectar a otros descubrimientos que dependen de la coincidencia de un número de serie. Esta capacidad resolvió un problema de larga data de trabajar alrededor de una configuración menos que ideal en una red. Un número de serie, por definición, debe ser único.

Puertos filtrados

Las redes responden de forma diferente según su configuración. Algunos enrutadores y/o cortafuegos pueden responder "en nombre" de las IP del otro lado de sus interfaces al servidor de Open-AudIT. Es bastante común ver que Nmap informe de una sonda para SNMP (puerto UDP 161) que responda como abierta|filtrada para dispositivos que existen y no existen. Esto es engañoso ya que no hay ningún dispositivo en esa IP, sin embargo termina con una entrada de dispositivo en la base de datos. El 99,9% de las veces, no es Open-AudIT, ni siquiera Nmap, sino la red la que está causando este problema. Ahora que tenemos las opciones para tratar los puertos abiertos|filtrados como abiertos o cerrados, podemos eliminar mucha de esta confusión. Los usuarios de empresa tienen incluso la opción de cambiar esto por descubrimiento (más que usar el elemento Medio (Clásico), como arriba).

Opciones de Discovery Enterprise

La captura de pantalla de abajo es la página de descubrimiento de Open-AudIT donde se establece toda la configuración de la auditoría. He añadido amplias notas en la página que explican todas las opciones haciendo que la herramienta sea fácil de usar para el personal menos técnico.

Haga clic para ampliar.

Consulta la wiki para obtener una explicación más detallada sobre los Descubrimientos

Mejoras en la pantalla

Además de las mejoras funcionales de la detección, también hemos revisado la página de detalles de la detección. Tenemos secciones de Resumen, Detalles, Dispositivos, Registros y Direcciones IP. La sección de Dispositivos, en particular, es ahora mucho más útil. Hemos añadido un nuevo tipo de Sin clasificar a la lista, y lo utilizamos cuando tenemos algo más que una IP y/o un nombre para el dispositivo. Por ejemplo, podemos saber su IP, su nombre y el hecho de que tiene el puerto 135 abierto. Esto al menos es una buena indicación de que el dispositivo es probablemente una máquina Windows. Así que sabemos "algo". Más que sólo "hay algo en esta IP". Este es ahora un dispositivo no clasificado. Seguimos dando soporte a los dispositivos Desconocidos como siempre - para aquellos dispositivos de los que no sabemos nada. Un ejemplo de esta pantalla está abajo. También proporcionamos un enlace rápido a la creación de credenciales cuando un servicio (SSH, WMI, SNMP) ha sido identificado, pero no hemos podido autenticarnos en él.

Creemos que estas mejoras en la visualización le ayudarán a eliminar cualquier dispositivo desconocido o no clasificado que se encuentre en su red.

Haga clic para ampliar.

Resumen

Esta nueva funcionalidad convierte a Open-AudIT en una solución de detección potente y fácil de usar, a la vez que proporciona una gran flexibilidad para los usuarios avanzados.

Espero que disfruten de las nuevas funciones tanto como lo hacemos nuestros clientes de prueba y yo.

Mark Unwin.