Intentando con los puertos de firewall 1863, 5190

Navega tus respuestas
7

Estoy usando arno-iptables-firewall de Debian y lo he configurado para permitir solo el acceso a los puertos que necesito.

Pero nmap muestra los puertos 1863, 5190 abiertos. ¿Lo que da? ¿Cómo puedo interrogar más a esos puertos?

Como dije, en realidad estoy usando arno-iptables-firewall, pero como es difícil de "depurar" (es muy complejo), estoy proporcionando un ejemplo del problema con un servidor de seguridad de demostración muy simple '(sin arno), que debería hacer el trabajo, pero aparentemente no lo es : 

$ iptables -A INPUT -p tcp --destination-port 1863 -j DROP 
$ iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1863 

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Entonces nmap example.com -p1863 (de otro host) aún se muestra 

host is up (0.019s latency).
PORT     STATE SERVICE
1863/tcp open  msnp

Muy confundido.

ACTUALIZACIÓN : OK nmap desde diferentes hosts dice cosas diferentes (!). nmap desde otro lugar en Internet (pero dentro de la misma red de la compañía de alojamiento de VM) muestra los puertos cerrados, como deberían ser, y telnet desde estos hosts no funciona. Pero desde la conexión ADSL de mi oficina, los puertos están abiertos y telnet se conecta (luego se "cierra por un host extranjero" poco después).

CONCLUSIÓN: Después de haber probado desde 6 sitios en Internet, solo puedo reproducir este comportamiento desde mi ADSL de oficina. Concluyo que es un problema con los enrutadores locales o nuestro ISP. Gracias a todos los que me ayudaron a profundizar más en este problema. ¡Aprendí mucho!

    
pregunta artfulrobot 17.05.2013 - 11:43
fuente

4 respuestas

5

En su ejemplo, parece que está intentando configurar iptables , que es diferente a Arno IPTables . Visite este enlace para obtener más información sobre los diferentes tipos de firewalls .

Para ver las reglas de iptables que está ejecutando, puede escribir (lo que ya está haciendo): 

iptables -L

Para bloquear los puertos que has enumerado específicamente en iptables, ya que ambos son típicamente tráfico TCP, puedes usar: 

-A INPUT -p tcp --dport 1863 -j REJECT
-A INPUT -p tcp --dport 5190 -j REJECT

Advertencia: asegúrese de dejar su acceso abierto antes de ejecutar algo como esto, pero para rechazar todo el tráfico entrante no permitido con iptables que usaría: 

-A INPUT -j REJECT
-A FORWARD -j REJECT

El truco con iptables es que en realidad deberá guardar el conjunto de reglas , ya que cualquier cosa que escriba a través de la línea de comandos suele ser se sonrojó al reiniciar.

Cortafuegos IPTables de Arno

Para Arno IPTables puede hacer referencia al archivo /etc/arno-iptables-firewall/firewall.conf para una configuración adicional más allá del alcance de los diálogos de debconf. Para iniciar / detener / reiniciar el firewall desde el shell, use el comando /etc/init.d/arno-iptables-firewall [start|stop|restart]

Según el archivo firewall.conf :

  

Coloque en las siguientes variables los puertos TCP / UDP que desea NEGAR (DROP) para   todos (y registrados). También usa estas variables si quieres registrar la conexión   intentos de todos estos puertos (también hosts de acceso completo / de confianza).   En principio, no necesita estas variables, ya que todo está bloqueado

     

(denegado) de forma predeterminada, pero solo existe para mantener la coherencia. 

DENY_TCP="" DENY_UDP=""

Si Arno IP Tables se está ejecutando, en teoría, esos puertos ya deberían estar bloqueados. Ya que parecen no estar bloqueados, solo puede estar ejecutando iptables .

Puedes revisar los puertos con netcat o intentar telnet para ver si es un falso positivo de nmap .

Ejemplo de Netcat: 

nc -z your_server 1-6000

Para telnet si los puertos están bloqueados, dirán: 

> telnet your_server 1863
telnet: Unable to connect to remote host

Si los puertos aún están abiertos, verá: 

Connected to your_server

A esto seguirá la respuesta del servidor.

Debería poder ver lo que se está ejecutando escribiendo top .

    
respondido por el AbsoluteƵERØ 17.05.2013 - 11:57
fuente
4

Un par de cosas que puedes ver para esto.

Desde el host que estás protegiendo, intenta

sudo netstat -tunap

que debería mostrar todas las conexiones de red. En la parte superior debe haber un conjunto de puertos TCP de escucha y el proceso correspondiente que los utiliza.

desde la red intenta

sudo nmap -sS -sV -sC -v -n [target]

para ver si nmap puede averiguar algo más sobre el puerto.

También en general, me doy cuenta de que tienes la política de entrada de iptables establecida en ACCEPT. Recomiendo configurarlo en DROP y solo permitir los puertos que necesita. Hace que asegurar la caja sea mucho más fácil a largo plazo.

    
respondido por el Rоry McCune 17.05.2013 - 15:11
fuente
2

Una forma quizás burda pero bastante efectiva de encontrar una aplicación ofensiva potencial es usar lsof .

Por ejemplo: lsof -i | grep LISTEN

Busque servicios que coincidan con los números de puerto Las reclamaciones NMAP están abiertas.

Actualización: supongo que debo mencionar que el comando debe ejecutarse como root para garantizar que todos los manejadores de archivos abiertos estén listados.

    
respondido por el Christoffer 17.05.2013 - 13:34
fuente
1

¿Estás tratando de bloquear las salidas de 1853 y 5190? Si es así, Nmap no es ideal para determinar las reglas de firewall. Para probar verdaderamente una regla de firewall con una precisión de casi el 100%, debe enviar el tráfico a través del firewall a un destino conocido en el otro lado, en lugar de intentar escanear la interfaz / IP del firewall en sí.

De la documentación de Nmap:

"Si bien Nmap intenta producir resultados precisos, tenga en cuenta que todos sus conocimientos se basan en paquetes devueltos por las máquinas de destino (o cortafuegos en frente de ellos). Dichos hosts pueden ser poco fiables y enviar respuestas con la intención de confundir o engañar a Nmap ". ( enlace )

Necesita una solución como IsMyPortBlocked que envía tráfico desde su cliente a través del firewall y al servidor basado en la nube y luego vuelve a El cliente, en todos los puertos especificados.

    
respondido por el Dave 14.08.2013 - 23:29
fuente

Lea otras preguntas en las etiquetas

Capturando y descifrando mi propio tráfico SSL ¿Es STARTTLS una vulnerabilidad de seguridad?