Cercando le porte del firewall 1863, 5190

Naviga le tue risposte
7

Uso il firewall arno-iptables di Debian e l'ho configurato per consentire solo l'accesso alle porte di cui ho bisogno.

Ma nmap mostra le porte 1863, 5190 aperte. Cosa dà? Come posso interrogare ulteriormente quelle porte?

Come ho detto, in realtà utilizzo il firewall arno-iptables, ma poiché è difficile eseguire il debug (è molto complesso), sto fornendo un esempio del problema con un firewall dimostrativo molto semplice '(senza arno), che dovrebbe fare il lavoro, ma a quanto pare non è : 

$ iptables -A INPUT -p tcp --destination-port 1863 -j DROP 
$ iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1863 

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Quindi nmap example.com -p1863 (da un altro host) mostra ancora 

host is up (0.019s latency).
PORT     STATE SERVICE
1863/tcp open  msnp

Molto confuso.

UPDATE : OK nmap di host diversi dice cose diverse (!). nmap da qualche altra parte su internet (ma all'interno della stessa rete di hosting di macchine virtuali) mostra le porte chiuse, come dovrebbero essere, e telnet da questi host non funziona. Ma dalla connessione ADSL del mio ufficio, le porte sono aperte e il telnet si connette (quindi viene "chiuso dall'host straniero" poco dopo).

CONCLUSIONE: avendo ora testato da 6 posti su Internet, posso solo riprodurre questo comportamento dall'ADSL del mio ufficio. Concludo che si tratta di un problema con i router locali o il nostro ISP. Grazie a tutti coloro che mi hanno aiutato a approfondire questo tema - ho imparato molto!

    
posta artfulrobot 17.05.2013 - 11:43
fonte

4 risposte

5

Nel tuo esempio sembra che tu stia cercando di configurare iptables che è diverso da Arno IPTables . Dai un'occhiata a questo link per maggiori informazioni sui diversi tipi di firewall .

Per vedere le regole di iptables che stai eseguendo puoi digitare (cosa che stai già facendo): 

iptables -L

Per bloccare le porte che hai elencato specificamente in iptables, dato che sono entrambe in genere traffico TCP, puoi usare: 

-A INPUT -p tcp --dport 1863 -j REJECT
-A INPUT -p tcp --dport 5190 -j REJECT

Attenzione: assicurati di lasciare aperto il tuo accesso prima di eseguire qualcosa di simile, ma di rifiutare tutto il traffico in ingresso non consentito con iptables che useresti: 

-A INPUT -j REJECT
-A FORWARD -j REJECT

Il trucco con iptables è che dovrai effettivamente salvare il set di regole dato che tutto ciò che scrivi tramite la linea di comando è di solito svuotato al riavvio.

Firewall IPTables di Arno

Per Arno IPTables puoi fare riferimento al file /etc/arno-iptables-firewall/firewall.conf per la configurazione aggiuntiva oltre l'ambito delle finestre di dialogo di debconf. Per avviare / arrestare / riavviare il firewall dalla shell, utilizzare il comando /etc/init.d/arno-iptables-firewall [start|stop|restart]

In base al file firewall.conf :

Put in the following variables the TCP/UDP ports you want to DENY(DROP) for everyone (and logged). Also use these variables if you want to log connection attempts to these ports from everyone (also trusted/full access hosts). In principle you don't need these variables, as everything is already blocked

(denied) by default, but just exists for consistency.

DENY_TCP="" DENY_UDP=""

Se Arno IP Tables è in esecuzione, in teoria quelle porte dovrebbero già essere bloccate. Dal momento che appaiono come se non fossero bloccati, potresti eseguire solo iptables .

Puoi ricontrollare le porte con netcat o provare a telnet a loro per vedere se è un falso positivo da nmap .

Esempio di Netcat: 

nc -z your_server 1-6000

Per telnet se le porte sono bloccate, diranno: 

> telnet your_server 1863
telnet: Unable to connect to remote host

Se le porte sono ancora aperte, vedrai: 

Connected to your_server

Questo sarà seguito dalla risposta del server.

Dovresti essere in grado di vedere cosa è in esecuzione digitando top .

    
risposta data 17.05.2013 - 11:57
fonte
4

Un paio di cose a cui puoi dare un'occhiata.

Dall'host che stai proteggendo, prova

sudo netstat -tunap

che dovrebbe mostrare tutte le connessioni di rete. In cima ci dovrebbe essere una serie di porte TCP in ascolto e il processo corrispondente che sta facendo uso di esse.

dalla rete prova

sudo nmap -sS -sV -sC -v -n [target]

per vedere se nmap può capire di più sulla porta.

Inoltre, in generale, noto che la politica di input di iptables è impostata su ACCEPT. Ti consiglio di impostarlo su DROP e di consentire solo le porte necessarie. A lungo termine rende la sicurezza della scatola molto più semplice.

    
risposta data 17.05.2013 - 15:11
fonte
2

Un modo forse grezzo ma piuttosto efficace di trovare una potenziale applicazione incriminata è usare lsof .

Ad esempio: lsof -i | grep LISTEN

Cerca i servizi corrispondenti ai numeri di porta I reclami NMAP sono aperti.

Aggiornamento: Suppongo che dovrei dire che il comando dovrebbe essere eseguito come root per assicurare che tutti gli handle di file aperti siano elencati!

    
risposta data 17.05.2013 - 13:34
fonte
1

Stai cercando di bloccare il 1853 e il 5190 in uscita? Se così Nmap non è l'ideale per determinare le regole del firewall. Per testare veramente una regola del firewall con una precisione prossima al 100%, è necessario inviare il traffico attraverso il firewall a una destinazione nota sull'altro lato, invece di provare a eseguire la scansione dell'interfaccia / IP del firewall stesso.

Dai documenti Nmap:

"Nonostante Nmap tenti di produrre risultati accurati, tieni presente che tutti i suoi approfondimenti sono basati sui pacchetti restituiti dalle macchine di destinazione (o firewall di fronte a loro) .Questi host potrebbero essere inaffidabili e inviare risposte intese a confondere o fuorviare Nmap. " ( link )

Hai bisogno di una soluzione come IsMyPortBlocked che manda il traffico dal suo client attraverso il firewall e sul server basato su cloud e poi torna a il client, su tutte le porte specificate.

    
risposta data 14.08.2013 - 23:29
fonte

Leggi altre domande sui tag

Acquisizione e decrittografia del mio traffico SSL Un po 'confuso sulla conformità PCI