Tailsnitch
Tailscale設定用のセキュリティ監査ツール。Tailsnitch はテイルネットを50以上の設定ミス、過度に許可的なアクセス制御、およびセキュリティベストプラクティス違反についてスキャンします。
Tailscaleはゼロトラスト・アイデンティティベースの接続プラットフォームで、従来のVPN、SASE、PAMに代わり、リモートチーム、マルチクラウド環境、CI/CDパイプライン、Edge & IoTデバイス、AIワークロードを接続します。
既成のままで、Tailscaleは多くのネットワーキングの悩みを解決します。分散した職場の管理の需要を満たすためのカスタマイズ可能な設定があります。内部の自己ホスト型アプリケーションと外部のサードパーティアプリケーションをプロビジョニングするのに役立ちます。要件が変わるにつれて成長に合わせてスケールします。
セキュリティチェック
Taildotnetは7つのカテゴリー全体で52個のセキュリティチェックを実行します。各チェックの詳細なドキュメントについてはdocs/CHECKS.mdを参照してください。
致命的重度
| ID | チェック | リスク |
|---|---|---|
| ACL-001 | デフォルトの「すべて許可」ポリシー | すべてのデバイスが無制限のアクセス権を持つ |
| ACL-002 | SSH autogroup:nonroot の設定ミス | 任意の非rootユーザーとしてのSSH |
| ACL-006 | tagOwnersが広すぎる | タグ経由の権限昇格 |
| ACL-007 | autogroup:danger-all 使用 | 外部ユーザーへのアクセス許可 |
高重度
| ID | チェック | リスク |
|---|---|---|
| AUTH-001 | 再利用可能な認証キー | 盗まれた場合、無制限のデバイス追加 |
| AUTH-002 | 長期有効期限の認証キー | 拡張された露出ウィンドウ |
| AUTH-003 | 事前認可キー | デバイス承認をバイパス |
| DEV-001 | キー有効期限のないタグ付きデバイス | 無期限のアクセス |
| DEV-002 | タグ付きのユーザーデバイス | ユーザー削除後も存続 |
| DEV-010 | テイルネットロック無効 | 盗まれたキーに対する保護なし |
| DEV-012 | 保留中のテイルネットロック署名 | 署名されていないノードは確認が必要 |
| NET-001 | ファネル露出 | 公開インターネットアクセス |
| NET-003 | サブネットルーターの信頼境界 | ローカルネットワークでの暗号化されていないトラフィック |
| SSH-002 | チェックモードなしのルートSSH | 再認証は不要 |
中程度重度
| ID | チェック | リスク |
|---|---|---|
| ACL-004 | autogroup:member 使用 | 外部ユーザーを含む |
| ACL-005 | AutoApproversが設定済み | ルート承認をバイパス |
| AUTH-004 | 非一時的なCI/CDキー | 古いデバイスが蓄積 |
| DEV-003 | 古いクライアント | 潜在的な脆弱性 |
| DEV-004 | 古いデバイス | 未使用の攻撃面 |
| DEV-005 | 未認可デバイス | 保留中の承認キュー |
| DEV-007 | 機密なマシン名 | CTログ露出 |
| DEV-009 | デバイス承認の設定 | 有効になっていない可能性がある |
| NET-004 | HTTPS CTログ露出 | マシン名が公開 |
| NET-005 | 終了ノードトラフィック可視性 | オペレーターがすべてのトラフィックを見る |
| NET-006 | サーブ露出 | テイルネット上のローカルサービス |
| SSH-003 | レコーダーUI露出 | セッションがネットワークに表示 |
情報提供
ログ設定、DNS設定、ユーザーロール、および手動検証項目のチェック。
インストールして使用
翻訳元: https://meterpreter.org/tailsnitch-tailscale-security-config-auditor-guide/
ソース: meterpreter.org
