Si nmap informa que un puerto está abierto, ¿significa TAMBIÉN que un servicio está escuchando en el puerto?

Navega tus respuestas
4

Tengo un enrutador / firewall Thompson TG585v7 cuyo firewall está configurado para FORWARD varios puertos a una computadora X54 dentro de la LAN.

Estos puertos están en el rango 1024 through to 2500

Esa computadora X54 ya no está, por lo que no hay nada "escuchando" en esos puertos de destino finales

Si utilizo escanear la IP pública de los firewalls utilizando 

nmap -A -p 1000-2500 219.xxx.xxx.xxx

Salida 

$ sudo nmap -A -p 1000-2500 219.xxx.xxx.xxx

Starting Nmap 6.40 ( http://nmap.org ) at 2015-02-21 13:14 NZDT
Nmap scan report for dsldevice.lan (219.xxx.xxx.xxx)
Host is up (0.011s latency).
Not shown: 1500 filtered ports
PORT     STATE SERVICE VERSION
1723/tcp open  pptp    THOMSON (Firmware: 1)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: broadband router
Running: Thomson embedded
OS CPE: cpe:/h:thomson:st_585 cpe:/h:thomson:st_536i
OS details: Thomson ST 585 or ST 536i ADSL modem
Network Distance: 1 hop
Service Info: Host: SpeedTouch

Informa sobre otros puertos que funcionan completamente, en este caso 1723 , que están abiertos y tienen un servicio de escucha, pero no muestra estos puertos que se reenvían a una máquina inexistente.

Entonces, mi pregunta es, si nmap informa que un puerto está "abierto", ¿significa que ambos lo siguiente es cierto?

  1. el firewall está aceptando conexiones en el puerto dado
  2. hay una máquina / servicio escuchando en el otro extremo
pregunta Michael Coleman 21.02.2015 - 00:46
fuente

2 respuestas

5

Para un escaneo de SYN del tipo que está realizando, nmap define un puerto TCP "abierto" como uno donde un paquete SYN enviado por nmap provoca un paquete ACK del sistema de destino. Suponiendo que el firewall esté configurado de manera sensata y que la pila TCP / IP esté programada correctamente, un puerto "abierto" significa que sí,

  1. el firewall está permitiendo conexiones en el puerto dado
  2. hay una máquina escuchando en el otro extremo

y adicionalmente

  1. en el otro extremo hay un software que escucha los datos enviados a ese puerto.

Si desea un mayor grado de certeza, haga que nmap realice una exploración de "conexión" ( -sT ). Esta es una técnica más lenta que establece una conexión TCP completa con el objetivo, a diferencia de la conexión "a medio camino" de un escaneo de SYN . Si un análisis de "conexión" dice que el puerto está abierto, está abierto en cualquier sentido significativo de la palabra.

    
respondido por el Mark 21.02.2015 - 01:49
fuente
1

  1. Sí. Aunque hay situaciones en las que un puerto aparentemente abierto no significa que pueda comunicarse con él de manera significativa.

  2. No necesariamente, como acaba de decir, el firewall está esperando para reenviar esos puertos. A menos que haya cambiado el firewall para que ya no esté esperando el envío de datos, no cerrará los puertos. Debería ver errores de esto en sus registros de firewall.

¿Hiciste la enumeración de servicios? Debería ser que NMAP solo pueda adivinar qué hay en los puertos por los números de puerto en sí mismos. Examinó exactamente lo que nmap pudo encontrar, en comparación con lo que estaba adivinando. Ejecute NMAP con un nivel de verbosidad más alto.

Probablemente deberías cerrar esos puertos.

    
respondido por el baordog 21.02.2015 - 01:02
fuente

Lea otras preguntas en las etiquetas

¿La certificación ISO 27000 aumenta el riesgo de ser atacado? Protegiendo el BIOS de malware [cerrado]