この脆弱性の意味を理解するのに少し問題があります。誰かがこれを理解するのを手伝ってくれませんか?
私は特に結果のセクションに戸惑っています。送信元ポート25がランダムな送信元ポートと異なるのはなぜですか。どちらも外部から発信されています。
脆弱性:
TCP送信元ポートパスファイアウォール脅威:
ファイアウォールポリシーは、特定の送信元ポートを持つTCPパケットを通過させているようです。影響:
一部の種類のリクエストはファイアウォールを通過できます。この脆弱性レポートの結果セクションにリストされているポート番号は、許可されていないユーザーがファイアウォールをバイパスするために使用できる送信元ポートです。解決策:
すべてのフィルタリングルールが正しく、十分に厳密であることを確認してください。ファイアウォールが特定のポートへのTCP接続を拒否する場合は、送信元に関係なく、このポートに送信されるすべてのTCP SYNパケットをブロックするように構成する必要があります。ポート。コンプライアンス:
適用できません結果:
ホストは4 TCP送信元ポート25を使用して宛先ポート22に送信されたSYNプローブに4回応答しました。ただし、4 TCP SYNプローブはランダムな送信元ポートを使用して同じ宛先ポートに送信されます。
クライアントがサーバーに接続すると、クライアントは1024〜65535の空きtcpポートを取得します。Linux/ Unixでは、root以外のユーザーは1024未満のポートを取得できません。次に、次のようなよく知られたポートに接続します。 httpの場合は80 ...
レポートでは、送信元ポートが特定の場合(サンプルでは22〜25)に宛先ポートに到達できるとされていますが、ランダムポート(たとえば1024〜65535)を使用している場合は到達できません。クライアントは通常ランダムポートを使用するため、ルールでは送信元ポート番号を考慮しないでください
したがって、ルールの1つは不適切です。これは、送信元ポートが特定の場合にフローを許可するのに対し、2つの間の唯一の静的部分である宛先ポートでのみフィルタリングする必要があるためです。
ソースと宛先の値を誤って交換して、ルールの1つを作成し忘れたと思います
これは脆弱性スキャンでも表示されましたが、UDPポート53の場合です。私の場合、これが表示された理由は、ファイアウォールポリシールールを作成して、任意のポートで特定のsrcIPアドレスがdestIPに接続できるようにするためです。宛先ポート。ファイアウォールの前には、ACLを実行するインターネットルーターがあります。ファイアウォールがDMZサーバーのこれらのポートのルールを処理し、許可した場合はIPでフィルタリングできないため、80、443、21、22などのポートを任意に許可します。したがって、ACLは多数の要求をブロックしますが、ACLはそれらを許可するため、80、443、22などのポートを許可します。ファイアウォールはパケットをリセットして、スキャナーがそれを閉じたポートとして認識します。