人々は、奇妙なものを持っています、あなたの専門家の助けが必要です。監査で発生した、使用頻度の高い外部向けサーバーの1つについて、nmap -Pnスキャンは以下を示します。
Starting Nmap 5.51 ...
Host pub.ip is up (0.0032s latency).
Not shown: 993 filtered ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
113/tcp closed auth
119/tcp open nntp
8008/tcp open http
8010/tcp open xmpp
これは、パブリックFTP/SFTPサーバーであり、物理ホスト上のnetstat/lsofは、ポート21(ftp)、22(ssh)、および25(内部smtp)のみが待機していることを確認します。
ASA FW configは、NAT pubipからftp/sshの内部IPへ)のみを許可することを示しています。
static (dmz3,pub1) pub.ip internalftp.ip netmask 255.255.255.255
access-list pub1_access_in extended permit tcp any Host pub.ip eq ftp
access-list pub1_access_in extended permit tcp any Host pub.ip eq ssh
それでおしまい。 FW設定全体で8010またはポート8008のエントリがありません。
しかし、ここに紛らわしい部分があります:
ポート8008で(Telnetを使用して)ソケットを開こうとすると、ソケットを取得し、HEAD /またはGET /と入力すると、セキュアポート8010への次のリダイレクトを取得します。
HTTP/1.1 302 Found
Location: https://:8010
Connection: close
Connection to Host lost.
ポート8010でもソケットを開くことができますが、ブラウザやwiresharkを介して何も生成されません。
物理的なftp/sftpサーバーで、すばやく
#tcpdump -nni eth0 port 80 or port 8008 or port 8010
クライアントでソケットを取得してもトラフィックは発生しません。だからデフ。接続は別の場所で確立されています。
だからここに来る-ソケットのリスト/サーバー側の接続を推定する!?
あるフォーラム/スレッドは、ハッカーをなりすまし/誤解させようとしている可能性のあるスマートルーター/ fwを提案しました。本当!?
いずれにせよ、接続が確立されている場所を正確に見つける方法。
ps:私はASA側でprivを読んだだけです。したがって、そこでトラブルシューティングを実行することはできません。 ASA/NW管理者に渡す必要があります。
お手数をおかけしますが、よろしくお願いいたします。
要求に応じた「netstat-taulpn | grepLISTEN」の出力:
tcp 0 0 10.x.x.x:427 0.0.0.0:* LISTEN 3779/slpd
tcp 0 0 127.0.0.1:427 0.0.0.0:* LISTEN 3779/slpd
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 3843/portmap
tcp 0 0 127.0.0.1:2544 0.0.0.0:* LISTEN 4081/zmd
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 4042/xinetd
tcp 0 0 10.x.x.x:22 0.0.0.0:* LISTEN 4190/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 4282/master
tcp 0 0 ::1:25 :::* LISTEN 4282/master
更新:申し訳ありませんが、各ホップのトラブルシューティングをさらに進めます。上記は、内部n/wから外部IPをスキャンする場合にのみ当てはまります。だから私たちは本当に外出していませんでした。私のエッジルーターの内部インターフェイスは、ASAに直接ルーティングします。そして、この内部インターフェイスがこれらのポートでリッスンしていることがわかりますが、その理由はわかりません。その構成には何もないので、プロバイダーに質問しました。おそらくデフォルトのCisco 7200の動作です。
したがって、DSL回線を使用した実際のテストでは、外部で開いているポート21/22のみが明らかになります。また、エッジルーター(外部インターフェイス)でスキャンを実行すると、開いているポートはありません。
だから今は大丈夫です。まだ内部から「なぜ」を理解する必要があります。私たちが見つけた後、最後の更新を投稿します。
みんな、ありがとう。あなたの時間を大切にし、助けてください。
の出力を確認します
netstat -an
リスナーが8008と8080でどのインターフェイス上にあるかを確認します。ループバックインターフェイスでのみリスニングしている可能性があります。その場合、トラフィックはlocalhostから開始する必要があります。