Più porte aperte su un server, è sicuro? [chiuso]

0

Usando nmap provo a scansionare un server, come risultato ottengo più porte aperte. Ad esempio, quando provo a scansionare domain.com come risultato:

7/tcp open echo
9/tcp open discard
13/tcp open daytime
21/tcp filtered ftp
22/tcp filtered ssh
23/tcp open telnet
25/tcp open smtp
26/tcp open rsftp
37/tcp open time
53/tcp filtered domain
79/tcp open finger
80/tcp open http
81/tcp open hosts2-ns
88/tcp open kerberos-sec
106/tcp open pop3pw
110/tcp open pop3
111/tcp open rpcbind
113/tcp open ident
119/tcp open nntp
135/tcp open msrpc
139/tcp open netbios-ssn
143/tcp open imap
144/tcp open news
179/tcp filtered bgp
199/tcp open smux
389/tcp open ldap
427/tcp open svrloc
443/tcp open https
444/tcp open snpp
445/tcp open microsoft-ds
465/tcp open smtps
513/tcp open login
514/tcp open shell
515/tcp open printer
543/tcp open klogin
544/tcp open kshell
548/tcp open afp
554/tcp open rtsp
587/tcp open submission
631/tcp open ipp
646/tcp open ldp
873/tcp open rsync
990/tcp open ftps
993/tcp open imaps
995/tcp open pop3s
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
1027/tcp open IIS
1028/tcp open unknown
1029/tcp open ms-lsa
1110/tcp open nfsd-status
1433/tcp open ms-sql-s
1720/tcp open h323q931
1723/tcp open pptp
1755/tcp open wms
1900/tcp open upnp
2000/tcp open cisco-sccp
2001/tcp open dc
2049/tcp open nfs
2121/tcp open ccproxy-ftp
2717/tcp open pn-requester
3000/tcp filtered ppp

e molte altre porte aperte.

Voglio sapere se queste porte aperte hanno un impatto pericoloso?

È possibile sfruttare questi servizi dietro le porte aperte?

    
posta Ihebhamad 10.06.2018 - 13:13
fonte

2 risposte

9

Ci sono molti fraintendimenti e ipotesi nella tua domanda, ma proverò ad affrontarli.

In primo luogo, stai eseguendo la scansione di un dominio (presumo da Internet). Solo perché nmap li mostra come open non significa che lo siano realmente. Esistono molti dispositivi tra te e il dominio che potrebbero rispondere alla scansione e potrebbero semplicemente rispondere a qualsiasi cosa tu li invii senza che il servizio sia effettivamente in esecuzione.

In secondo luogo, avere un servizio in esecuzione non è male. Avere più servizi in esecuzione di quanto necessario semplicemente ti apre a una gamma più ampia di minacce senza motivo, quindi il consiglio è di esporre solo i servizi di cui hai assolutamente bisogno.

In terzo luogo, "è possibile sfruttare questi servizi dietro le porte aperte" è la domanda sbagliata. È come chiedere se una porta che stai guardando dall'altra parte della strada sia sbloccata o meno. Non c'è modo di dirlo solo sapendo che c'è una porta. Hai bisogno di maggiori informazioni.

    
risposta data 10.06.2018 - 13:23
fonte
1

Non sicuramente:

  • Potrebbe essere possibile che in realtà ci sia una rete complessa di macchine fisiche o virtuali dietro un gateway, con privilegi separati e protetti l'uno dall'altro.
  • È anche possibile che in realtà tu abbia trovato un "sistema di trap", che ha molte porte aperte, ma invece di fornire servizi reali e attaccabili, infatti registra le tue attività. Probabilmente solo una piccola parte delle porte aperte (e non sicuramente 80 e 443) appartengono a servizi reali.
  • Potresti aver trovato solo un singolo servizio che utilizza molte porte.

In genere, avere così tante porte aperte è una difesa debole, in particolare se non vi è un focus per la separazione dei privilegi per i servizi dietro di loro. Ma non pensare che sia sempre male.

    
risposta data 14.06.2018 - 08:20
fonte

Leggi altre domande sui tag