Queste porte significano qualcosa?

6

Mi sto immergendo nel mondo dei test di penetrazione e ho deciso di eseguire la scansione del mio server. Il mio sito web è completamente gestito da un mio amico ma non ha alcuna conoscenza della sicurezza.

PORT      STATE    SERVICE      VERSION
21/tcp    open     ftp          ProFTPD
23/tcp    filtered telnet
25/tcp    open     smtp         Exim smtpd
80/tcp    open     http         nginx
110/tcp   open     pop3         Dovecot pop3d
135/tcp   filtered msrpc
143/tcp   open     imap         Dovecot imapd
161/tcp   filtered snmp
443/tcp   open     ssl/http     nginx
445/tcp   filtered microsoft-ds
465/tcp   open     ssl/smtp     Exim smtpd 4.X
587/tcp   open     smtp         Exim
993/tcp   open     ssl/imap     Dovecot imapd
995/tcp   open     ssl/pop3     Dovecot pop3d
1433/tcp  filtered ms-sql-s
1434/tcp  filtered ms-sql-m
2222/tcp  open     sftp         ProFTPD mod_sftp 0.9.7
3306/tcp  filtered mysql
3333/tcp  filtered dec-notes
4899/tcp  filtered radmin
5800/tcp  filtered vnc-http
5801/tcp  filtered vnc-http-1
5900/tcp  filtered vnc
5901/tcp  filtered vnc-1
20000/tcp filtered dnp

La prima cosa che ho notato è che è in esecuzione una versione obsoleta di ProFTPD. Questo o qualsiasi altro ha un impatto sulla sicurezza sul mio server?

    
posta SecurityEnthusiast 21.08.2011 - 11:51
fonte

4 risposte

6

21 / tcp - In generale non dovresti avere questa porta aperta. Dovresti passare a un FTP sicuro. Se è necessario tenerlo aperto, limitare almeno l'accesso solo agli indirizzi IP che aggiornano il contenuto.

23 / tcp - Telnet non dovrebbe più essere usato. Passa a SSH.

25 / tcp - Ciò significa che un servizio di posta elettronica potrebbe essere in esecuzione su questo server. Se non stai utilizzando la posta elettronica, questa porta non dovrebbe essere aperta.

110 / tcp - Questo è per ricevere e-mail. Se non è presente alcun server di posta elettronica, questa porta non dovrebbe essere aperta. A proposito, se si sta eseguendo la posta elettronica, in realtà dovrebbe essere su un server diverso. Se sei a corto di hardware, potresti prendere in considerazione VMware e creare due VM: una per il web e una per la posta elettronica. L'accesso e-mail a deve essere limitato a quelli che utilizzano una VPN con autenticazione.

Anche le porte del database per MSSql e MySQL sono aperte, questa è una configurazione molto pericolosa. Implica che le persone dall'esterno possano raggiungere direttamente i database. Se ci sono database su questo server, dovrebbero essere spostati su server dietro un altro firewall.

Non ho familiarità con le altre porte aperte. Ma, in generale, non dovrebbero essere accessibili da Internet se non tramite VPN.

Devi chiudere le porte rischiose o aggiungere una protezione firewall / VPN per minimizzare almeno chi può accedere a quelle porte.

    
risposta data 22.08.2011 - 00:38
fonte
13

Una breve nota sull'acquisizione di banner

Il primo, più grande, ostacolo da affrontare quando si entra in valutazioni di vulnerabilità o test di penetrazione è capire i limiti di qualsiasi meccanismo di rilevamento che si sta utilizzando. Come ha detto Rory, non hai davvero detto come hai la lista di porte presentata, ma sembra una scansione NMAP usando il banner. Questo è importante! l'acquisizione di banner funziona richiedendo ogni porta scansionata,

"Hello old chap! Anything you might be able to assist me with?"

I risultati dipendono sia dalla possibilità di accedere alla porta, sia dal servizio che risponde in modo accurato.

Problemi con Banner Grabbing

Troverete spesso che le distribuzioni che tentano di fornire un supporto a lungo termine, RedHat è il classico esempio, che questi banner non sono necessariamente utili. Tipicamente, quando un bug viene trovato in un pezzo di software (e supponendo che sia corretto), verrà rilasciata una nuova versione che risolve il problema. Spesso queste distribuzioni di supporto a lungo termine non vogliono per aggiornare ciecamente il software. Quindi, al fine di risolvere i bug, il fornitore applicherà manualmente la patch alla versione precedente. Questo è spesso chiamato "backporting". Di conseguenza, la patch viene applicata, ma il banner continua a indicare la versione precedente.

Opzioni migliori

Sebbene sia utile una veloce scansione nmap con il banner grabbing, è solo un primo passaggio che può essere utile per identificare i frutti a basso impatto. Per veramente buone informazioni sul tuo sistema ci sono alcune altre cose che puoi fare.

  1. Chiedi : la risposta più semplice è chiedere al tuo amico le informazioni sulla configurazione del sistema. Che distribuzione è in esecuzione, quali binari sono in ascolto su ciascuna porta, quali versioni del software sono installate, qual è il suo programma di patching, quando è stata applicata l'ultima patch, ecc. Questo è tutto, ovviamente, limitato a ciò che effettivamente ti dice, ma fintanto che è affidabile e competente, risulterà in una migliore informazione.
  2. Scansioni credenziali : questo è il mio preferito. I migliori prodotti di valutazione della vulnerabilità, in base a credenziali adeguate e un modo per accedere al sistema, possono eseguire una lista di assegni locali. Questo è il modo in cui si può aggirare il problema fisso backported discusso sopra. Alcuni, come Tenable's Nessus sono gratuiti per l'uso in determinate situazioni e sono quasi completi come le loro versioni commerciali.
  3. Exploit It! - Supponendo di avere l'autorizzazione, puoi sempre provare a sfruttare il servizio. Se ci riesci, allora conosci c'è un problema. Questo può anche darti la possibilità di iniziare davvero a provare alcune cose divertenti come trovare e usare gli exploit conosciuti, o conoscere un framework come Metasploit.
risposta data 21.08.2011 - 16:52
fonte
5

Alcuni consigli generali:

Non ho potuto dire dalla domanda che livello di scansione stavi usando. Assicurati di avere tutte le informazioni sulle versioni del servizio, conferma che sono corrette, trova le ultime patch / versioni dal fornitore e l'aggiornamento.

Inoltre, hai bisogno del traffico sql attraverso il tuo firewall? Altrimenti, uccidilo!

E uno minore - hai ftp e sftp in esecuzione. Se possibile, dovresti semplicemente spegnere ftp completamente perché è intrinsecamente insicuro.

    
risposta data 21.08.2011 - 13:21
fonte
4

Il vecchio ProFTPD potrebbe portare a problemi (può essere un vettore di attacco), considerando che Debian vecchio -stable (lenny) ha ProFTPD versione 1.3.1 Direi che sia:

  • È in esecuzione una vecchia molto distribuzione, molto probabilmente già non supportata,
  • È il numero di versione di mod_ssl in ProFTPD, non ProFTPD

nmap esegue il rilevamento della versione reale quando viene aggiunto l'interruttore -A , non per impostazione predefinita

La mancanza di numeri di versione per exim , nginx e dovecot suggerirebbe piuttosto la seconda possibilità.

Chiedi a lui, quale distribuzione sta utilizzando, quando è stata l'ultima volta che ha eseguito un aggiornamento.

    
risposta data 21.08.2011 - 12:46
fonte

Leggi altre domande sui tag