Exploraciones de puertos: 'tráfico denegado' VS 'cierre - caducidad'

1

He estado investigando los registros del firewall (Juniper) y descubrí que cuando alguien está explorando puertos en mi sitio web, la mayoría del tráfico a través de diferentes puertos tcp / udp se niega (excepto en los puertos 80 y 443, que esta permitido). Sin embargo, se permite el tráfico a través de algunos de los puertos que no debería, por ejemplo, los puertos 4800, 502, 21025, 88. Pero después de inspeccionar el registro, también dice 'CERRAR - caducidad'. ¿Significa eso que el atacante logró iniciar una sesión pero no se envió tráfico durante un tiempo determinado? ¿El atacante obtiene alguna información de estas diferentes respuestas? Para aclarar: no tengo acceso para verificar cuál es la configuración exacta del firewall.

    
pregunta Gabrielius 14.11.2017 - 14:49
fuente

1 respuesta

0

Algunos dispositivos Juniper registran los paquetes TCP RST a medida que caducan. Esto tiene que ver con cómo los ASIC manejan el tiempo de espera: vea aquí .

Un paquete RST sería el comportamiento esperado cuando se permite un escáner de puerto basado en SYN a través del firewall en un puerto determinado. Los escáneres SYN envían el paquete SYN inicial para establecer la conexión TCP.

  • Para un puerto cerrado, la mayoría de los sistemas rechazaría esto al enviar un paquete RST (por lo tanto, informará al cliente y no lo dejará en espera).
  • Para un puerto abierto, el cliente respondería con un ACK. Luego, el escáner (normalmente) envía un RST para que el servidor sepa que puede cerrar la conexión.
  • Vale la pena señalar que esto también podría ser legítimamente un tiempo fuera. Es decir. se establece una conexión pero no se reciben paquetes dentro del límite de tiempo de espera de los cortafuegos.

Si está viendo la caducidad en esos puertos, sugeriría que los paquetes lo hagan a través del firewall. Sin ver más información del registro, la configuración del servidor de seguridad o la configuración del servidor, es difícil especular sobre por qué se permiten estos y hasta qué punto a través de la conexión se obtiene el proceso.

    
respondido por el Hector 14.11.2017 - 16:31
fuente

Lea otras preguntas en las etiquetas