Come configuro nmap per verificare che il mio firewall stia eseguendo un controllo statico dei pacchetti?

Naviga le tue risposte
4

Come parte di un controllo di conformità, ho bisogno di eseguire una scansione di routine che verifica che i nostri firewall eseguano l'ispezione di pacchetto stateful sui pacchetti in entrata. Ho un server dedicato al di fuori della nostra rete, sul quale posso eseguire nmap o qualsiasi altro software necessario e scansionare la porta esterna del nostro firewall.

Il manuale di controllo della conformità dice che dovrei "eseguire NMAP su tutte le porte TCP con" syn reset "o" syn ack "bit set", e che una risposta significa che "i pacchetti sono permessi anche se non fanno parte di una sessione stabilita in precedenza '

Quali sono gli switch nmap che devo analizzare un intervallo di indirizzi IP - in questo caso una sottorete singola / 28 - e segnalare su quali porte sono aperte e se il firewall sta eseguendo SPI?

Il server è Windows 2008; nmap versione 5.21 è installata e funzionante.

    
posta Dylan Beattie 22.03.2011 - 21:06
fonte

3 risposte

7

Il flag per le scansioni SYN ACK è -sA . la scansione di tutte le porte è -p- 192.168.0.0/28 esegue la scansione della subnet ovvia. Potresti volere -vv per vedere più dettagli

Il seguente comando: 

nmap -sA -p- 192.168.0.0/28 -vv

dovrebbe funzionare.

    
risposta data 22.03.2011 - 21:27
fonte
2

L'opzione -sA è un buon approccio per questo. Anche se il modo migliore per sapere se il firewall sta eseguendo il filtro stateless o statefull, è vedere il file conf o la configurazione in generale.

Un modo per ottenere ciò con nmap sarebbe questo: prima fai una scansione di -sS (syn scan) su tutte le porte e guarda quali porte vengono filtrate. Quindi esegui una scansione -sA (scansione dell'ack) e se le stesse porte hanno ricevuto il risultato non filtrato è molto probabile che il firewall non stia eseguendo il filtro statefull.

    
risposta data 26.03.2011 - 06:04
fonte
1

Questo è tutto, più o meno, nella pagina man di nmap. Leggi about -sA e --scanflags e dovresti riuscire a capirlo.

Forse sono stato troppo breve qui. Scuse.

Oltre a ciò che era nella seconda risposta, puoi usare l'argomento --scanflags per impostare i flag che vuoi; per "syn reset" useresti --scanflags RSTSYN . Se specifichi anche -sS (per fare una "scansione di sincronizzazione") avrai le risposte interpretate correttamente, con nmap che non interpreta nessuna risposta come porta chiusa, che credo sia ciò che desideri.

    
risposta data 22.03.2011 - 21:23
fonte

Leggi altre domande sui tag

Il più informativo DEF CON parla? Devo abilitare l'autenticazione del dominio nella mia DMZ