web-dev-qa-db-ja.com

Nmap外部スキャンでポートが開いていることが示されますが、ASAはポートが開いていないと言いますが、ソケットを取得します

人々は、奇妙なものを持っています、あなたの専門家の助けが必要です。監査で発生した、使用頻度の高い外部向けサーバーの1つについて、nmap -Pnスキャンは以下を示します。

    Starting Nmap 5.51 ...
    Host pub.ip is up (0.0032s latency).
    Not shown: 993 filtered ports
    PORT     STATE  SERVICE
    21/tcp   open   ftp
    22/tcp   open   ssh
    80/tcp   open   http
    113/tcp  closed auth
    119/tcp  open   nntp
    8008/tcp open   http
    8010/tcp open   xmpp

これは、パブリックFTP/SFTPサーバーであり、物理ホスト上のnetstat/lsofは、ポート21(ftp)、22(ssh)、および25(内部smtp)のみが待機していることを確認します。

ASA FW configは、NAT pubipからftp/sshの内部IPへ)のみを許可することを示しています。

 static (dmz3,pub1) pub.ip internalftp.ip netmask 255.255.255.255
 access-list pub1_access_in extended permit tcp any Host pub.ip eq ftp
 access-list pub1_access_in extended permit tcp any Host pub.ip eq ssh

それでおしまい。 FW設定全体で8010またはポート8008のエントリがありません。


しかし、ここに紛らわしい部分があります:

ポート8008で(Telnetを使用して)ソケットを開こうとすると、ソケットを取得し、HEAD /またはGET /と入力すると、セキュアポート8010への次のリダイレクトを取得します。

HTTP/1.1 302 Found
Location: https://:8010
Connection: close

Connection to Host lost.

ポート8010でもソケットを開くことができますが、ブラウザやwiresharkを介して何も生成されません。

物理的なftp/sftpサーバーで、すばやく

#tcpdump -nni eth0 port 80 or port 8008 or port 8010 

クライアントでソケットを取得してもトラフィックは発生しません。だからデフ。接続は別の場所で確立されています。

だからここに来る-ソケットのリスト/サーバー側の接続を推定する!?

あるフォーラム/スレッドは、ハッカーをなりすまし/誤解させようとしている可能性のあるスマートルーター/ fwを提案しました。本当!?

いずれにせよ、接続が確立されている場所を正確に見つける方法。

ps:私はASA側でprivを読んだだけです。したがって、そこでトラブルシューティングを実行することはできません。 ASA/NW管理者に渡す必要があります。

お手数をおかけしますが、よろしくお願いいたします。


要求に応じた「netstat-taulpn | grepLISTEN」の出力:

tcp        0      0 10.x.x.x:427            0.0.0.0:*               LISTEN      3779/slpd
tcp        0      0 127.0.0.1:427           0.0.0.0:*               LISTEN      3779/slpd
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      3843/portmap
tcp        0      0 127.0.0.1:2544          0.0.0.0:*               LISTEN      4081/zmd
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      4042/xinetd
tcp        0      0 10.x.x.x:22             0.0.0.0:*               LISTEN      4190/sshd
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      4282/master
tcp        0      0 ::1:25                  :::*                    LISTEN      4282/master

更新:申し訳ありませんが、各ホップのトラブルシューティングをさらに進めます。上記は、内部n/wから外部IPをスキャンする場合にのみ当てはまります。だから私たちは本当に外出していませんでした。私のエッジルーターの内部インターフェイスは、ASAに直接ルーティングします。そして、この内部インターフェイスがこれらのポートでリッスンしていることがわかりますが、その理由はわかりません。その構成には何もないので、プロバイダーに質問しました。おそらくデフォルトのCisco 7200の動作です。

したがって、DSL回線を使用した実際のテストでは、外部で開いているポート21/22のみが明らかになります。また、エッジルーター(外部インターフェイス)でスキャンを実行すると、開いているポートはありません。

だから今は大丈夫です。まだ内部から「なぜ」を理解する必要があります。私たちが見つけた後、最後の更新を投稿します。

みんな、ありがとう。あなたの時間を大切にし、助けてください。

4
user3196304

の出力を確認します

netstat -an

リスナーが8008と8080でどのインターフェイス上にあるかを確認します。ループバックインターフェイスでのみリスニングしている可能性があります。その場合、トラフィックはlocalhostから開始する必要があります。

1
Chad Smith