¿Por qué uno mostraría en su mayoría puertos filtrados y el otro en su mayoría cerrados
¿Qué puertos y cuál sería el peor de los dos?
Suponiendo que está describiendo un escaneo TCP (completo o SYN), entonces la diferencia tiene que ver con la forma en que los diferentes hosts manejan los paquetes no deseados. Cerrado vs. Filtrado no representa mucha diferencia en términos de seguridad; En ambos casos, el tráfico no está permitido. Es cómo no está permitido lo que marca la diferencia.
Una guía rápida: para configurar una conexión TCP, el Cliente y el Servidor intercambian tres paquetes, el denominado "Protocolo de enlace de tres vías TCP":
Client -> Server: SYN ("Can you hear me?")
Server -> Client: SYN/ACK ("Yes, I can hear you. Can you hear me?")
Client -> Server: ACK ("Yes! Let's get talkin'!")
Nmap utiliza este intercambio de dos formas básicas:
En una exploración SYN de nmap (-sS), nmap envía un SYN y espera a que SYN / ACK regrese. Si obtiene uno, en lugar de enviar ACK, envía un RST para restablecer la conexión en lugar de enviar un ACK para terminar de anularlo. Esto tiene la ventaja de que el escaneo solo toca el sistema operativo, no el nivel de la aplicación; ya que el sistema operativo no le dirá a las aplicaciones una conexión hasta que esté en funcionamiento, las aplicaciones no registrarán las conexiones realizadas por el escáner.
En un escaneo de nmap TCP (-sT), nmap envía un SYN, espera un SYN / ACK y luego envía un ACK para finalizar la conexión. Este es un escaneo "seguro" ya que prueba que la conectividad total es posible, pero es más ruidosa en los registros.
La cosa en común, aquí, es que nmap espera a que SYN / ACK determine si el puerto está abierto. Pero hay tres posibles "respuestas", según la configuración del objetivo:
Server -> Client: SYN/ACK ("Port is open, application is listening")
o
Server -> Client: RST ("Port is closed, server told the client so")
o
Server -> Client: (nothing) ("Port doesn't seem to respond, but not sure why")
Ahora, los dos últimos estados representan configuraciones de cortafuegos diferentes. Un firewall que está configurado para bloquear el tráfico responderá con un RST, lo que dará a nmap una señal clara de que el puerto no está disponible. Por otro lado, un servidor de seguridad configurado para soltar de forma silenciosa no responderá en absoluto. Nmap dibuja una inferencia negativa aquí y asume que el acceso al puerto está siendo filtrado por un firewall.
Y es por eso que se ve cerrado en un sistema y filtrado en el otro. En el primer caso, el host o el firewall está devolviendo RST para bloquear paquetes no deseados, lo que le da a nmap una señal inequívoca de que el puerto está cerrado. En el otro, el firewall está eliminando paquetes silenciosamente en lugar de rechazarlos ruidosamente, y nmap solo puede inferir que los puertos están cerrados.
En términos de seguridad, no hay diferencia real. En ambos casos sus paquetes no llegan al servidor. En algunos casos, un atacante puede hacer inferencias sobre su postura de seguridad y las preocupaciones sobre la forma y los lugares donde aplica el bloqueo o filtrado, pero ese es un aspecto sutil del reconocimiento y mucho menos importante que el bloqueo real del tráfico que no desea.
Hay una precaución importante que debe tener al escanear. Si un destino está configurado para bloquear las conexiones y enviarle un RST para cada intento, entonces los escáneres pueden interpretar la no respuesta como un puerto abierto, en lugar de un puerto filtrado. El escáner dice "Hmm, 65534 puertos respondieron con un RST, pero 1 puerto no. ¡Ese puerto debe estar abierto!" Pero si hay una pérdida de paquetes, lo que puede ocurrir al escanear a través de Internet, o incluso al escanear localmente con un perfil de escaneo lo suficientemente agresivo (paquetes rápidos), entonces el RST faltante puede ser un paquete perdido en lugar de cualquier indicación de lo que es o no es el filtrado. Fuera de lugar. Es una buena práctica verificar los puertos abiertos manualmente después de la exploración, especialmente si ve puertos abiertos que no tienen ningún sentido (por ejemplo, puertos muy altos).
Cuando escaneo la otra computadora (B) con nmap desde la computadora (A), se muestra
999 puertos filtrados y un puerto cerrado.
Comprender cómo funcionan los escaneos, como se indicó anteriormente, puede permitirnos interpretar sus resultados con mayor claridad. Lo que inferiría de estos resultados es que 999 puertos se están cayendo silenciosamente por el firewall, pero que el puerto está permitiendo que un puerto se conecte a la computadora (B), y que ese puerto está realmente cerrado (no está escuchando) en el anfitrión. Por lo tanto, cuando el servidor de seguridad está configurado para descartarse de manera silenciosa, el host real responderá con un RST como se supone.