¿Por qué un escaneo de nmap da resultados diferentes dependiendo de si se ejecuta desde dentro o fuera de una LAN?

4

Estoy probando / configurando un enrutador / firewall Thompson TG585v7.

Resultados al ejecutar nmap desde una computadora DENTRO de la LAN

$ sudo nmap -O 210.86.xxx.xxx

Starting Nmap 6.40 ( http://nmap.org ) at 2015-02-22 10:55 NZDT
Host is up (0.0049s latency).
Not shown: 995 filtered ports
PORT     STATE SERVICE
21/tcp   open  ftp
23/tcp   open  telnet
80/tcp   open  http
443/tcp  open  https
1723/tcp open  pptp

Resultados al ejecutar nmap desde una computadora FUERA DE la LAN

michael@trusty-ssd:~$ sudo nmap -Pn 210.86.xxx.xxx

Starting Nmap 6.40 ( http://nmap.org ) at 2015-02-22 11:10 NZDT
Host is up (0.038s latency).
Not shown: 998 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
1935/tcp open  rtmp

¿Esto está sucediendo porque

  • Cuando el escaneo se ejecuta desde afuera, el firewall de la LAN responde con reglas de INPUT chain?
  • Cuando el análisis se ejecuta desde el interior del firewall de LAN, responde con reglas de OUTPUT chain?
pregunta Michael Coleman 21.02.2015 - 23:28
fuente

2 respuestas

5

Es normal que el tráfico externo (WAN) e interno (LAN) siga diferentes rutas y que esas rutas tengan un comportamiento de filtrado diferente. En la mayoría de los enrutadores, incluso los dispositivos de tipo SOHO, normalmente encontrará al menos 3 interfaces, WAN, LAN y WLAN. El tráfico de LAN y WLAN se origina dentro de su red y los dispositivos conectados de esta manera pueden tener direcciones IP privadas no enrutables. La interfaz WAN es para conexiones desde fuera de su red. Si posee suficientes direcciones IP, es decir, tiene una clase C o su ISP le ha asignado un rango de direcciones IP, los dispositivos dentro de su red pueden tener una dirección IP "real" que puede enrutarse, pero para redes más pequeñas, es más común para que la red interna tenga direcciones IP privadas y una única dirección IP pública, que está asociada con su extremo de la conexión WAN. En este caso, su enrutador realizará NAT (Traducción de dirección de red) para asignar el tráfico de las IP privadas internas a su IP pública y viceversa para los protocolos basados en la conexión como TCP. También puede tener reenvío de puertos, lo que permite que las conexiones iniciadas desde el exterior se enruten a una IP dentro de su red.

La diferencia que observa entre los análisis internos y externos probablemente se deba a las diferentes políticas de firewall que se aplican al tráfico en función de la IP de origen y la posible interfaz en la que se encuentra. Por ejemplo, puede filtrar cualquier intento de conexión a través de su interfaz WAN para las direcciones IP que se encuentran dentro de su rango de IP y filtrar las conexiones desde su LAN / WLAN para las direcciones IP que no están dentro de su rango de IP.

También puede filtrar el acceso a los puertos / protocolos / servidores según la interfaz de origen (LAN / WLAN, WAN) o la dirección IP de origen. También puede tener múltiples niveles de filtrado. Un concepto importante en seguridad es 'seguridad en profundidad'. Esto se refiere a tener más de una capa de defensa. Por ejemplo, su escaneo desde fuera de la red podría filtrarse en el servidor de seguridad interno o podría filtrarse en el servidor de seguridad del servidor. En estos días, no es infrecuente encontrar filtros en la frontera, en el servidor e incluso en el nivel de la aplicación.

También hay cortafuegos de paquetes reactivos y profundos. Por ejemplo, es posible que vea resultados diferentes de sus exploraciones externas según la cantidad de exploraciones que realice o el tiempo entre exploraciones o la cantidad de hosts que analice. Un servidor de seguridad reactivo hará un seguimiento de lo que está ocurriendo y si ve un patrón que considera inusual o podría representar a personas malas que intentan escanear la red o un host, podría cambiar la forma en que se filtra o incluso proporcionar información engañosa. Los firewalls de inspección profunda de paquetes pueden incluso mirar los paquetes que envía y decidir que no se ven como el tráfico normal y dejarlos caer.

En pocas palabras, es posible que la información que obtiene de un escaneo no le diga todo lo que piensa y ni siquiera le diga la verdad. La información es un indicador que debe combinarse con otra información antes de poder sacar conclusiones sobre lo que está sucediendo.

    
respondido por el Tim X 22.02.2015 - 01:44
fuente
1

Si bien no estoy familiarizado con ese producto en particular, es común que los enrutadores distingan entre sus interfaces WAN y LAN. La mayoría de los enrutadores destinados a consumidores o usuarios de pequeñas empresas esperan ser gestionados desde la LAN, por lo tanto, bloquean el acceso a las interfaces de administración desde la WAN.

Los paquetes tanto de la WAN como de la LAN atraviesan la cadena de ENTRADAS, pero es probable que el enrutador tenga reglas en la cadena de ENTRADAS que seleccionan según la interfaz (-i).

También es posible que el ISP o algún otro sistema fuera de la LAN esté filtrando las conexiones antes de que lleguen al enrutador; algunos ISP bloquean el acceso a servicios comúnmente abusados.

    
respondido por el Colin Phipps 22.02.2015 - 00:04
fuente

Lea otras preguntas en las etiquetas