escaneo nmap muestra que los puertos están filtrados pero el escaneo nessus no muestra ningún resultado

17

Estoy realizando una exploración de puertos en un rango de IP en nuestro sitio remoto. Intenté ejecutar el escaneo de nmap en ese rango de IP y algunos de los resultados de IP se muestran como filtrados

Cuando realizo un análisis de nessus en el cuadro, no hay ningún resultado para algunas de las IP.

Como tal, ¿es seguro asumir que no hay puertos abiertos en algunos de los servidores remotos?

    
pregunta J. Caballero 30.11.2011 - 15:51
fuente

2 respuestas

33

A menos que tenga configurado nmap para no realizar el descubrimiento del host ( -PN o -PN --send-ip en la LAN), si indica que todos los puertos están filtrados , entonces el host es < em> up , pero el firewall en ese host está reduciendo el tráfico a todos los puertos escaneados.

Tenga en cuenta que una exploración predeterminada de nmap no prueba todos los puertos. Sólo escanea 1000 puertos TCP. Si desea verificar los servicios de cualquier , querrá verificar todos los 65535 puertos TCP y todos los 65535 puertos UDP.

También, para ser precisos, pero cuando el análisis de puertos indica que un puerto está filtrado , eso no significa que no haya ningún servicio ejecutándose en ese puerto. Es posible que el firewall del host tenga reglas que denieguen el acceso a la IP desde la que se ejecuta el análisis , pero puede haber otras IP que tengan acceso a ese servicio.

Si el escaneo de puertos informa que un puerto está cerrado , es más definitivo que no haya ningún servicio escuchando en ese puerto.

No puedo comentar sobre la falta de resultados de nessus, ha pasado un tiempo desde que lo usé.

Ejemplo de cerrado vs. filtrado vs. host-down

Por ejemplo, en mi red, este host está activo, no tiene servicios en ejecución y no tiene un firewall, tenga en cuenta que los puertos se reportan como cerrados (esto significa que el host respondió a las sondas ese puerto):

% sudo nmap -T4 -n 192.168.1.24

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:20 EST
All 1000 scanned ports on 192.168.1.24 are closed
MAC Address: 00:0E:00:AB:CD:EF (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 7.70 seconds

Este host está activo, no tiene servicios ejecutándose en los puertos 100-1000, y tiene un firewall. Tenga en cuenta que los puertos se informan como filtrados (esto significa que el host eliminó las sondas en esos puertos):

% sudo nmap -T4 -n -p 100-1000 192.168.1.45

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:24 EST
All 901 scanned ports on 192.168.1.45 are filtered
MAC Address: 00:12:34:AA:BB:CC (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 20.03 seconds

Solo a modo de ilustración, hice un agujero temporal en el firewall para el último host del puerto 443 y volví a realizar la exploración. (No hay nada funcionando en 443 allí). Observe cómo se informan 998 puertos filtrados , pero el puerto 443 se informa como cerrado ; el firewall está permitiendo pasar a través de 443, y el sistema operativo responde con un RST.

% sudo nmap -T4 -n 192.168.1.45

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:43 EST
Interesting ports on 192.168.1.45:
Not shown: 998 filtered ports
PORT    STATE  SERVICE
22/tcp  open   ssh
443/tcp closed https
MAC Address: 00:12:34:AA:BB:CC (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 5.67 seconds

No hay ningún host en esta dirección ( host abajo ):

% sudo nmap -T4 -n 192.168.1.199

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:26 EST
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 0.56 seconds

si vuelvo a escanear con -PN --send-ip (esto último es necesario porque estoy escaneando la LAN y no quiero usar sondas ARP), veo:

% sudo nmap -T4 -n -PN --send-ip 192.168.1.199 

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:29 EST
All 1000 scanned ports on 192.168.1.199 are filtered

Nmap done: 1 IP address (1 host up) scanned in 101.44 seconds
    
respondido por el bstpierre 30.11.2011 - 17:47
fuente
10

El resultado "filtrado" de nmap implica que (si sabe que hay un host con esa dirección IP) el acceso al puerto ha sido bloqueado por un firewall o similar, que está eliminando el tráfico. Esto es opuesto al resultado "cerrado" que indica que hay un host en esa IP pero que no hay un servicio activo que responda a las sondas de nmaps.

Si todos los puertos de un host vuelven a ser filtrados, no hay nada allí o hay un firewall configurado para eliminar todo el tráfico dirigido a él.

    
respondido por el Rоry McCune 30.11.2011 - 16:07
fuente

Lea otras preguntas en las etiquetas