デプロイメントに関する考慮事項

Tenable Nessus をデプロイする際は、ルーティング、フィルター、ファイヤーウォールポリシーなどのネットワーク環境を考慮する必要があります。これらの要因は、脆弱性スキャンの精度に大きな影響を与える可能性があります。

ネットワークアドレス変換 (NAT) の制限

Tenable は、内部ネットワークをスキャンする場合を除き、NAT デバイスの背後に Tenable Nessus をデプロイすることを推奨しません。

脆弱性スキャンが NAT デバイスまたはアプリケーションプロキシを通過する場合

データの歪み - チェックにより誤検出または検出漏れが生じる可能性があります。
列挙の失敗 — ホスト列挙とオペレーティングシステムの識別は、多くの場合、悪影響を受けます。

ファイヤーウォールとネットワークデバイス

ステートフル検査を実行するネットワークデバイス (ファイヤーウォール、ロードバランサー、侵入検出/防止システム (IDPS)) は、Tenable Nessus がそれらを経由してスキャンを実行する際に悪影響を及ぼすことがあります。

ホストベースのファイヤーウォール — 個人用またはデスクトップのファイヤーウォールは、リモート脆弱性スキャンの効果を著しく制限する可能性があります。設定によっては、Tenable Nessus スキャンの調査がファイヤーウォールによって阻止、歪曲、隠蔽する可能性があります。
軽減策 - Tenable Nessus は影響を抑えるための調整オプションを提供していますが、これらのデバイスで問題を回避する最善の方法は、認証スキャンを実行することです。

ポート設定

Tenable Nessus ユーザーインターフェースでは、ポート 8834 が使用されます。まだこのポートを開いていない場合は、ファイヤーウォールベンダーのドキュメントにある設定手順を参照してください。

接続を許可する

サードパーティのファイヤーウォール (ZoneAlarm や Windows ファイヤーウォールなど) を使用しているホスト上に Tenable Nessus サーバーがある場合は、Tenable Nessus を使用するクライアントの IP アドレスからの接続を許可するようにファイヤーウォールを設定する必要があります。

FirewallD

Tenable Nessus を FirewallD と連携するように設定できます。firewalld を使用するシステムにインストールする場合は、次のコマンドを使用して必要なポートを開きます。

>> firewall-cmd --permanent --add-service=nessus

>> firewall-cmd --reload

エージェント管理のパフォーマンス

Tenable Nessus Manager をエージェント管理用に設定している場合、Tenable では、そのインスタンスをローカルスキャナーとして使用することをお勧めしていません。

Tenable Nessus スキャンゾーンに Tenable Nessus サーバー自体を含めないでください。
ネットワークベースのスキャンを Tenable Nessus サーバーから直接実行しないでください。

このような設定は、エージェントスキャンのパフォーマンスに悪影響を与える可能性があります。

IPv6 のサポート

Tenable Nessus では、IPv6 ベースのリソースのスキャンがサポートされます。これらのスキャンを実行するには、次のようにします。

インターフェース — Tenable Nessus がインストールされているホストで、少なくとも 1 つの IPv6 インターフェースを設定する必要があります。
ネットワーク — Tenable Nessus は IPv6 対応ネットワーク上に存在している必要があります。IPv4 経由で IPv6 リソースをスキャンすることはできませんが、IPv4 経由の認証スキャンで IPv6 インターフェースを列挙できます。

注意: スキャンを開始する時には、IPv6 の完全表記と省略表記の両方がサポートされます。

制限

グローバルユニキャスト — IP を個別にリスト形式で入力する場合を除いて、Tenable Nessus は IPv6 グローバルユニキャスト IP アドレス範囲のスキャンをサポートしません。
範囲 — Tenable Nessus では、ハイフンでつなげられた範囲または CIDR アドレスとして表現された範囲はサポートされません。
リンクローカル — Tenable Nessus では、link6 ディレクティブを使用して、リンクローカル範囲をスキャンターゲットとして指定したり、ローカルリンク (例: eth0) で使用したりすることがサポートされています。

ウイルス対策ソフトウェア

スキャン中に多数の TCP 接続が生成されるため、一部のウイルス対策ソフトウェアパッケージでは、Tenable Nessus がワームまたはマルウェアの形態に分類される場合があります。また、ウイルス対策ソフトウェアにより、スキャン処理時間が長くなる可能性があります。

Alerts (アラート) — ウイルス対策ソフトウェアが警告を出す場合は、[Allow] (許可) を選択して、Tenable Nessus にスキャンを続行させます。
Allowlisting (許可リスト) — ウイルス対策で例外を設定できる場合は、以下のプロセスを許可リストに追加します。
- nessusd.exe
- nessus-service.exe
- nessuscli.exe
詳細については、ファイルとプロセスの許可リストを参照してください。

ブラウザセキュリティ警告

デフォルトでは、Tenable Nessus は自己署名 SSL 証明書を使用して、ポート 8834 の HTTPS 経由でユーザーインターフェースを管理します。インターフェース (例: https://[サーバー IP]:8834) にアクセスすると、「接続が信頼できない」、「プライバシーが危険にさらされている」といったセキュリティ警告がブラウザに表示される場合があります。

これは正常な動作です。一時的にリスクを受け入れるか、レジストラから有効な SSL 証明書を取得できます。

SSL 警告のバイパス

使用しているブラウザに応じて、次の手順に従って Tenable Nessus ログインページに進みます。

ブラウザ	手順
Google Chrome または Microsoft Edge	[Advanced] (詳細設定)、[Proceed to example.com (unsafe)] (example.com (安全でない) に進む) の順に選択します。注意: Google Chrome と Microsoft Edge の一部のインスタンスでは、続行できません。これが発生する場合、Tenable は別のブラウザの使用を推奨します。
Mozilla Firefox	[I Understand the Risks] (リスクを理解しています)、[Add Exception] (例外を追加する) の順に選択します。 [Get Certificate] (証明書を取得する)、[Confirm Security Exception] (セキュリティ例外を確認する) の順に選択します。

ブラウザ

手順

Google Chrome または Microsoft Edge

[Advanced] (詳細設定)、[Proceed to example.com (unsafe)] (example.com (安全でない) に進む) の順に選択します。

注意: Google Chrome と Microsoft Edge の一部のインスタンスでは、続行できません。これが発生する場合、Tenable は別のブラウザの使用を推奨します。

Mozilla Firefox

[I Understand the Risks] (リスクを理解しています)、[Add Exception] (例外を追加する) の順に選択します。

[Get Certificate] (証明書を取得する)、[Confirm Security Exception] (セキュリティ例外を確認する) の順に選択します。