Quali sono alcuni flag rossi istantanei durante la scansione di una rete con nmap

9

Quando si esegue una scansione Nmap da una rete esterna, quali porte aperte dovrebbero essere una bandiera rossa istantanea? Ad esempio, se fossi in Internet aperto e scansionato www.somewebsite.com, oltre a port 22 , quali altre porte aperte dovrei essere alla ricerca?

    
posta anotherNoob 21.07.2018 - 14:34
fonte

3 risposte

7

Per fare eco al commento di gameOver ed elaborare ulteriormente, è sufficiente rilevare che una porta è aperta ma non la vedrei come una "bandiera rossa" immediata. Forse un approccio migliore potrebbe essere quello di eseguire Nmap con i flag -sV o -sC che eseguiranno una scansione di servizio / versione o avviano gli script NSE (Nmap Scripting Engine) predefiniti rispetto alla porta di destinazione che hai ritenuto interessante, a condizione che tu abbia l'autorizzazione appropriata per farlo.

Quindi, per esempio diciamo che hai scoperto che la porta 21 è aperta, il che è interessante, ma diventa solo un potenziale vettore di attacco quando puoi enumerare il servizio in esecuzione dietro di esso. Una volta scoperto il servizio specifico, è possibile iniziare a cercare CVE e ottenere una migliore comprensione se vi è una vulnerabilità legata ad esso. Eseguendo una scansione di script, l'NSE metterà alla prova la tua porta specifica in questione e mostrerà i risultati, questo potrebbe includere (per la porta 21) un errore di configurazione di login FTP anonimo che consente l'accesso in lettura / scrittura.

Ora, dopo un'ulteriore enumerazione del servizio in esecuzione dietro la porta 21, hai un potenziale vettore di attacco.

Come nota finale, ci sono alcune porte conosciute dove tipi specifici di malware hanno una storia di utilizzo, ma questi possono anche essere falsi positivi in quanto posso semplicemente eseguire il mio client SSH dalla porta TCP 31337. Potresti vedere questa porta come aperta e pensare immediatamente a Back Orifice! Invece sto solo facendo funzionare SSH usando una porta insolita per farlo.

Fonti:

risposta data 21.07.2018 - 19:27
fonte
3

Solo perché una porta esiste in una scansione non è sufficiente per generare una bandiera rossa.

  1. Alcuni firewall o altri meccanismi di protezione (honeypot) faranno sembrare che una porta sia attiva quando non è
  2. Non tutte le porte eseguono i servizi tipici
  3. Qualsiasi porta che potrebbe sembrare sospetta su una rete potrebbe essere bloccata correttamente su un altro
  4. Dovresti indagare su tutte le tutte le porte che compaiono in una scansione, quindi non importa cosa si apre

Il punto è che dovresti avere un processo metodico per indirizzare tutte le porte con lo stesso vigore del resto, quindi essere entusiasti di una porta, in particolare, non è molto utile.

    
risposta data 21.07.2018 - 22:59
fonte
0

Fammi prendere una pugnalata nel rispondere all'intenzione della tua domanda. Se l'intenzione della tua domanda è:

If I discover open ports with an external scan, assuming it has the typical associated service with it, what should be my highest priority to investigate and/or address?

Iniziamo con dati reali, dal vivo. Ecco un link al centro tempesta SANS link

Uno di questi è il traffico di attacco per porta. Quindi questa è la conferma in tempo reale degli hacker che stanno inseguendo quei porti / servizi in questo momento. Direi che dovrebbe essere preso molto sul serio. Noterai 21/22/23 in cima alla lista.

Anche quando si enumera una scansione NMAP è bene guardare anche a cosa è l'host. Assicurati di controllare il "miglior ospite del sistema operativo". Se è chiaramente una webcam, direi che è molto più rischioso di una macchina Windows 10. Potrebbe non esserlo, ma "in the wild" le Web Camera esposte a internet sono famose per essere "possedute". Anche i dispositivi multifunzione (come una stampante per computer) sono famosi per questo.

link

Inoltre, cosa c'è su questa rete? Ciò influenzerà anche questa risposta. È una rete domestica? Se è così, probabilmente non dovrebbe esserci nulla di esposto. In genere i dispositivi domestici fungono da client e non richiedono alcuna richiesta di connessioni in entrata. Quindi in tal caso vedere qualsiasi porta aperta è preoccupante.

Anche una porta molto alta può essere preoccupante in quanto potrebbe essere una backdoor. Gli hacker cercheranno di nasconderli rendendoli qualcosa come la porta 50505, che verrebbe catturata con una scansione nmap completa, che per lo più non viene eseguita a causa del tempo necessario. Queste porte sono chiamate porte "effimere" e possono essere utilizzate da molti servizi che richiedono più di una porta, ad esempio un servizio di bilanciamento del carico.

    
risposta data 26.07.2018 - 20:04
fonte

Leggi altre domande sui tag