¿Cómo configuro nmap para verificar que mi firewall esté realizando una inspección de paquetes con estado?

Navega tus respuestas
4

Como parte de una auditoría de cumplimiento, necesito ejecutar un análisis de rutina que verifique que nuestros firewalls estén realizando una inspección de paquetes con estado en los paquetes entrantes. Tengo un servidor dedicado fuera de nuestra red, en el que puedo ejecutar nmap o el software que necesite, y escanear el puerto externo de nuestro firewall.

El manual de auditoría de cumplimiento dice que debería "ejecutar NMAP en todos los puertos TCP con" restablecimiento de sincronización "o" sincronización de bits "establecido", y que una respuesta significa que se están permitiendo los paquetes incluso si no son parte de una sesión previamente establecida '

¿Qué son los conmutadores de nmap que necesito para escanear un rango de direcciones IP, en este caso, una única subred / 28, e informar sobre qué puertos están abiertos y si el firewall está ejecutando SPI?

El servidor es Windows 2008; La versión 5.21 de nmap está instalada y funcionando.

    
pregunta Dylan Beattie 22.03.2011 - 21:06
fuente

3 respuestas

7

El indicador para los escaneos SYN ACK es -sA . la exploración de todos los puertos es -p- 192.168.0.0/28 buscará la subred obvia. Es posible que desee que -vv vea más detalles

El siguiente comando: 

nmap -sA -p- 192.168.0.0/28 -vv

debería funcionar.

    
respondido por el Hyppy 22.03.2011 - 21:27
fuente
2

La opción -sA es un buen enfoque para esto. Aunque la mejor manera de saberlo, si su firewall está realizando un filtrado sin estado o de estado, es viendo el archivo conf o la configuración en general.

Una forma de lograr esto con nmap sería esta: primero realice un escaneo de -sS (syn scan) en todos los puertos y vea qué puertos se filtran. Luego realice un escaneo de -sA (escaneo de ack) y si los mismos puertos recibieron el resultado sin filtrar, es muy probable que su firewall no esté realizando un filtro de estado.

    
respondido por el Paulo Bu 26.03.2011 - 06:04
fuente
1

Esto es todo, más o menos, en la página del manual de nmap. Lee sobre -sA y --scanflags y deberías poder averiguarlo.

Tal vez yo era demasiado breve aquí. Disculpas.

Junto con lo que había en la segunda respuesta, puedes usar el argumento --scanflags para establecer los indicadores que quieras, para "syn reset" usarías --scanflags RSTSYN . Si también especifica -sS (para hacer un "análisis de sincronización"), las respuestas se interpretarán correctamente, y el nmap no interpretará ninguna respuesta como un puerto cerrado, lo que creo que es lo que desea.

    
respondido por el malcolmpdx 22.03.2011 - 21:23
fuente

Lea otras preguntas en las etiquetas

¿Cómo debo configurar el sistema operativo para las pruebas fuzz? ¿Alterando una variable $ _SESSION en PHP a través de XSS?