Al realizar un escaneo de Nmap desde una red externa, ¿qué puertos abiertos deberían ser una bandera roja instantánea?
Por ejemplo, si estaba en el Internet abierto y escaneado www.somewebsite.com, además de port 22 , ¿qué otros puertos abiertos debería estar atento?
Para repetir el comentario de gameOver y seguir elaborando, simplemente detectar que un puerto está abierto es interesante, pero no lo vería como una "bandera roja" inmediata. Quizás un mejor enfoque podría ser ejecutar Nmap con los indicadores -sV o -sC que ejecutarán un escaneo de servicio / versión o iniciarán los scripts predeterminados de NSE (Nmap Scripting Engine) contra el puerto de destino que usted considere interesante. siempre que tenga la autorización adecuada para hacerlo.
Entonces, por ejemplo, digamos que descubrió que el puerto 21 está abierto, lo cual es interesante, pero solo se convierte en un posible vector de ataque cuando puede enumerar el servicio que se ejecuta detrás de él. Una vez que descubra el servicio específico, puede comenzar a buscar CVE y obtener una mejor comprensión si existe una vulnerabilidad vinculada a él. Al ejecutar un escaneo de secuencias de comandos, el NSE probará su puerto específico en cuestión y emitirá sus hallazgos, esto podría incluir (para el puerto 21) una configuración errónea de inicio de sesión de FTP anónimo que permita el acceso de lectura / escritura.
Ahora, después de una enumeración adicional del servicio que se ejecuta detrás del puerto 21, tiene un posible vector de ataque.
Como nota final, hay algunos puertos conocidos donde los tipos específicos de malware tienen un historial de uso, pero estos también pueden ser falsos positivos, ya que simplemente podría ejecutar mi cliente SSH desde el puerto TCP 31337. Es posible que vea este puerto como abierto e inmediatamente piense en Back Orifice. En su lugar, solo estoy ejecutando SSH utilizando un puerto inusual para hacerlo.
Fuentes:
Solo porque un puerto exista en un escaneo no es suficiente para generar una bandera roja.
El punto es que debe tener un proceso metódico para abordar todos los puertos con tanto vigor como el resto, por lo que entusiasmarse con un puerto, en particular, no es muy útil.
Déjame intentarlo respondiendo la intención de tu pregunta. Si la intención de tu pregunta es:
Si descubro puertos abiertos con un escaneo externo, suponiendo que tiene el servicio asociado típico con él, ¿cuál debería ser mi mayor prioridad para investigar y / o abordar?
Permite comenzar con datos reales y en vivo. Aquí hay un enlace al centro de tormentas SANS enlace
Uno de ellos es el tráfico de ataque por puerto. Así que esa es la confirmación en vivo de los hackers que van tras esos puertos / servicios ahora mismo. Yo diría que se debe tomar muy en serio. Notará que el 21/22/23 encabeza la lista.
También cuando se enumera un análisis NMAP, también es bueno observar qué es el host. Asegúrese de marcar el "mejor invitado en OS". Si es claramente una cámara web, diría que es un riesgo mucho mayor que una máquina con Windows 10. Podría no ser así, pero "en libertad" las cámaras Web expuestas a Internet son famosas por ser "propietarias". Los dispositivos multifunción (como una impresora corp) también son famosos por esto.
Además, ¿qué hay en esta red? Eso afectará esta respuesta también. ¿Es una red doméstica? Si es así, probablemente no debería haber nada expuesto. Normalmente, los dispositivos domésticos actúan como clientes y no requieren que se solicite ninguna conexión entrante. Entonces, en ese caso, ver cualquier puerto abierto es preocupante.
También un puerto muy alto puede ser preocupante, ya que podría ser una puerta trasera. Los piratas informáticos intentarán ocultarlos haciéndolos algo como el puerto 50505, que se vería atrapado con un escaneo de nmap completo, que en su mayoría no se realiza debido a cuánto tiempo lleva. Estos puertos se denominan puertos "efímeros" y pueden ser utilizados por muchos servicios que requieren más de un puerto, como un equilibrador de carga, por ejemplo.
Lea otras preguntas en las etiquetas penetration-test nmap network-scanners