Il fatto che un firewall blocchi un tentativo di scansione delle porte dall’esterno rappresenta già un test della postura di sicurezza dell’azienda scansionata. Pertanto, in un primo momento è normale, anzi, in qualche modo desiderabile, che il firewall del cliente blocchi l’indirizzo IP da cui proviene la scansione.
Come passo successivo, si può decidere di creare una regola di bypass della sicurezza del firewall per consentire a ConnectSecure Vulnerability Management di verificare le vulnerabilità dal lato pubblico della rete, whitelistando l’indirizzo IP di origine delle scansioni.
Esiste, quindi, una lista di indirizzi IP da whitelistare, che varia in base alla zona geografica e al POD di riferimento.
Dove trovare il nostro POD di riferimento?
Accedendo al portale https://portal.myconnectsecure.com, in alto a destra, troverete la sezione “Info“:
Accedendo a questa sezione, verranno fornite le informazioni relative a:
- Tenant Name
- Base URL
- POD
Subito sotto, troverete la sezione IP Whitelisting, nella quale, cliccando sul tasto “View“, saranno mostrate tutte le informazioni necessarie per eseguire correttamente il whitelisting relativo alla funzione di External Scan.
Di seguito un esempio non vincolante di quanto viene indicato al momento della stesura di questa KB:
Whitelisting delle scansioni interne
Per garantire il corretto funzionamento di Connect Secure v4 ed evitare che venga bloccato da antivirus, EDR, firewall o altre soluzioni di sicurezza, è necessario escludere alcuni eseguibili e processi e verificare che le porte siano correttamente aperte.
Eseguibili da Escludere
Ecco un elenco degli eseguibili principali da whitelistare nei vari sistemi di sicurezza:
| Lightweight Agents | |||
| Windows | MAC | Linux | ARM |
| connectsecurepatch.exe | cyberutilities_darwin | cyberutilities_linux | cyberutilities_arm |
| cybercnsagentmonitor.exe | main.ps1 | main.ps1 | main.ps1 |
| cyberutilities.exe | nmap | nmap | osqueryi_arm |
| main.ps1 | osqueryi_darwin | osqueryi_linux | scripts.zip |
| osqueryi.exe | scripts.zip | scripts.zip | |
| scripts.zip | |||
| vcruntime140.dll | |||
| WindowsSpeculationControlFinder.zip | |||
| Probe Agents | |
| Windows | MAC / Linux / ARM |
| connectsecurepatch.exe | connectsecurepatch.exe |
| cybercnsagentmonitor.exe | cyberutilities_darwin |
| cyberutilities.exe | cyberutilities_linux |
| cyberutilities_linux | firewall_configs.zip |
| firewall_configs.zip | main.ps1 |
| main.ps1 | osqueryi.exe |
| nmap.zip | osqueryi_arm |
| osqueryi.exe | osqueryi_darwin |
| osqueryi_arm | osqueryi_linux |
| osqueryi_darwin | scripts.zip |
| osqueryi_linux | WindowsSpeculationControlFinder.zip |
| scripts.zip | |
| vcruntime140.dll | |
| WindowsSpeculationControlFinder.zip |
Inoltre, gli agenti ConnectSecure V4 richiedono che le porte 4222 e 443 siano aperte dalla macchina dell’agente al rispettivo Regione/POD in base alla posizione del tuo hosting.
Per maggiori dettagli sulle dipendenze di un agent Lightweight, consulta la KB ufficiale:
Agent Dependency – CyberCNS