コンプライアンス監査の一環として、ファイアウォールが着信パケットに対してステートフルパケットインスペクションを実行していることを確認する定期的なスキャンを実行する必要があります。ネットワークの外に専用サーバーがあり、nmapまたは必要なソフトウェアを実行し、ファイアウォールの外部ポートをスキャンできます。
コンプライアンス監査マニュアルには、「すべてのTCP「syn reset」または「syn ack」ビットが設定されたポートでNMAPを実行する)必要があると記載されており、応答は、たとえパケットがそれらは以前に確立されたセッションの一部ではありません」
ある範囲のIPアドレス(この場合は単一の/ 28サブネット)をスキャンし、開いているポートとファイアウォールがSPIを実行しているかどうかをレポートするために必要なnmapスイッチは何ですか?
サーバーはWindows 2008です。 nmapバージョン5.21がインストールされ、動作しています。
SYN ACKスキャンのフラグは-sA
。すべてのポートのスキャンは-p-
192.168.0.0/28
は明らかなサブネットをスキャンします。 -vv
詳細を表示するには
次のコマンド:
nmap -sA -p- 192.168.0.0/28 -vv
うまくいくはずです。
オプション -sA
はこれに適したアプローチです。知っているより良い方法ですが、ファイアウォールがステートレスまたはステートフルフィルタリングを実行している場合は、confファイルまたは設定全般を確認することです。
Nmapでこれを実現する方法は次のようになります。最初に-sS
(同期スキャン)すべてのポートをスキャンし、どのポートがフィルタリングされているかを確認します。次に、-sA
(ackスキャン)スキャンし、同じポートがフィルタリングされていない結果を受け取った場合、ファイアウォールがステートフルフィルターを実行していない可能性があります。
これは、多かれ少なかれ、nmapのmanページにあります。 -sAと--scanflagsについて読むと、それを理解できるはずです。
おそらく私はここでは短すぎました。謝罪。
2番目の回答の内容に加えて、-scanflags引数を使用して、必要なフラグを設定できます。「syn reset」の場合は、--scanflags RSTSYN
を使用します。 -sS( "syn scan"を実行するため)も指定すると、応答が正しく解釈され、nmapは応答を閉じたポートとして解釈しないため、これが望ましいと思います。