Leí que si un servidor está dentro de una DMZ detrás de un firewall sin estado, es una buena idea usar los puertos 20 y 53 como puertos de origen cuando se realiza la exploración de puertos. ¿Por qué es una buena idea? ¿Supongo que el firewall probablemente no filtrará los datos FTP y DNS?
Lo has adivinado correctamente.
Según la Guía de referencia de Nmap :
--source-port <portnumber>; -g <portnumber>(número de puerto de origen falso)Una configuración errónea sorprendentemente común es confiar en el tráfico basándose únicamente en el número de puerto de origen. Es fácil entender cómo ocurre esto. Un administrador configurará un nuevo cortafuegos brillante, solo para ser inundado con quejas de usuarios ingratos cuyas aplicaciones dejaron de funcionar. En particular, el DNS puede estar roto porque las respuestas de DNS UDP de servidores externos ya no pueden ingresar a la red. FTP es otro ejemplo común. En las transferencias de FTP activas, el servidor remoto intenta establecer una conexión con el cliente para transferir el archivo solicitado.
Existen soluciones seguras para estos problemas, a menudo en forma de servidores proxy de nivel de aplicación o módulos de firewall de análisis de protocolo. Lamentablemente también hay soluciones más fáciles, inseguras. Observando que las respuestas de DNS provienen del puerto 53 y del FTP activo del puerto 20, muchos administradores han caído en la trampa de simplemente permitir el tráfico entrante desde esos puertos. A menudo, asumen que ningún atacante se daría cuenta y explotaría dicho firewall agujeros En otros casos, los administradores consideran esto como una medida de interrupción a corto plazo hasta que puedan implementar una solución más segura. Entonces se olvidan de la actualización de seguridad.
Los administradores de red con exceso de trabajo no son los únicos que caen en esta trampa. Numerosos productos han sido enviados con estas reglas inseguras. Incluso Microsoft ha sido culpable. Los filtros IPsec que se enviaron con Windows 2000 y Windows XP contienen una regla implícita que permite todo el tráfico TCP o UDP desde el puerto 88 (Kerberos). En otro caso bien conocido, las versiones del firewall personal de Zone Alarm hasta 2.1.25 permitían cualquier paquete UDP entrante con el puerto de origen 53 (DNS) o 67 (DHCP).
Una respuesta de 2005 en Seclists.org proporciona una cita de una versión anterior de la Guía de referencia:
--source_port <portnumber>Establece el número de puerto de origen utilizado en las exploraciones. Muchas instalaciones ingenuas de firewall y filtro de paquetes hacen una excepción en su conjunto de reglas para permitir que los paquetes DNS (53) o FTP-DATA (20) se conecten y establecer una conexión. Obviamente, esto subvierte completamente las ventajas de seguridad de el firewall ya que los intrusos pueden enmascararse como FTP o DNS modificando su puerto de origen. Obviamente, para una exploración UDP debe probar 53 primero y las exploraciones TCP deberían intentar 20 antes que 53. Tenga en cuenta que esto es solo una solicitud; nmap lo aceptará solo cuando sea posible. Por ejemplo, no puede hacer que TCP ISN muestre todo desde un host: puerto a un host: puerto, por lo que nmap cambia el puerto de origen incluso si usó esta opción. Este es un alias para la opción
-gmás corta, pero más difícil de recordar.
Lea otras preguntas en las etiquetas dns ftp port-knocking ports