it-swarm.dev

La scansione nmap mostra che le porte sono filtrate ma la scansione nessus non mostra alcun risultato

Sto eseguendo una scansione delle porte su una gamma di IP sul nostro sito remoto. Ho provato a eseguire nmap scan su quell'intervallo IP e alcuni dei risultati IP sono mostrati come filtrati

Quando eseguo una scansione nessus sulla scatola, non c'è alcun risultato per alcuni degli IP.

Come tale è sicuro supporre che non ci siano porte aperte su alcuni server remoti?

17
J. Caballero

A meno che non sia configurato nmap per non eseguire il rilevamento host (-PN o -PN --send-ip sulla LAN), se indica che tutte le porte sono filtrate , quindi l'host è attivo , ma il firewall su quell'host sta rilasciando il traffico verso tutte le porte scansionate.

Si noti che una scansione nmap predefinita non rileva tutte le porte. Esegue solo la scansione di 1000 TCP. Se si desidera verificare la presenza di servizi , è necessario controllare tutto 65535 TCP e tutte le porte UDP 65535.

Inoltre, per essere precisi, ma quando la scansione delle porte dice che una porta è filtrata , ciò non significa che non vi sia alcun servizio in esecuzione su quella porta. È possibile che il firewall dell'host abbia regole che negano l'accesso a l'IP da cui stai eseguendo la scansione , ma potrebbero esserci altri IP che sono autorizzato ad accedere a quel servizio.

Se la scansione delle porte segnala che una porta è chiusa , è più definitivo che non vi sia alcun servizio in ascolto su quella porta.

Non posso commentare la mancanza di risultati da nessus, è da un po 'che non lo uso.

Esempio di chiuso vs. filtrato vs. Host down

Ad esempio, sulla mia rete, questo host è attivo, non ha servizi in esecuzione e non ha un firewall, notare che le porte sono riportate come chiuso (questo significa che l'host ha risposto ai sondaggi su quella porta) :

% Sudo nmap -T4 -n 192.168.1.24

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:20 EST
All 1000 scanned ports on 192.168.1.24 are closed
MAC Address: 00:0E:00:AB:CD:EF (Unknown)

Nmap done: 1 IP address (1 Host up) scanned in 7.70 seconds

Questo host è attivo, non ha servizi in esecuzione sulle porte 100-1000 e ha un firewall. Si noti che le porte sono riportate come filtrate (ciò significa che l'host ha lasciato cadere le sonde su tali porte):

% Sudo nmap -T4 -n -p 100-1000 192.168.1.45

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:24 EST
All 901 scanned ports on 192.168.1.45 are filtered
MAC Address: 00:12:34:AA:BB:CC (Unknown)

Nmap done: 1 IP address (1 Host up) scanned in 20.03 seconds

A scopo puramente illustrativo, ho creato un foro temporaneo nel firewall per l'ultimo host per la porta 443 e ho eseguito nuovamente la scansione. (Non c'è nulla in esecuzione su 443 lì.) Nota come vengono segnalate 998 porte filtrate , ma la porta 443 viene indicata come chiusa ; il firewall consente il passaggio 443 e il sistema operativo risponde con un RST.

% Sudo nmap -T4 -n 192.168.1.45

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:43 EST
Interesting ports on 192.168.1.45:
Not shown: 998 filtered ports
PORT    STATE  SERVICE
22/tcp  open   ssh
443/tcp closed https
MAC Address: 00:12:34:AA:BB:CC (Unknown)

Nmap done: 1 IP address (1 Host up) scanned in 5.67 seconds

Non c'è Host a questo indirizzo (Host down):

% Sudo nmap -T4 -n 192.168.1.199

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:26 EST
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 0.56 seconds

se rieseguo la scansione con -PN --send-ip (quest'ultimo è necessario perché sto eseguendo la scansione della LAN e non voglio usare le sonde ARP), vedo:

% Sudo nmap -T4 -n -PN --send-ip 192.168.1.199 

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:29 EST
All 1000 scanned ports on 192.168.1.199 are filtered

Nmap done: 1 IP address (1 Host up) scanned in 101.44 seconds
33
bstpierre

Il risultato nmap "filtrato" implica che (se si conosce un host con quell'indirizzo IP) l'accesso alla porta è stato bloccato da un firewall o simili, che sta facendo cadere il traffico. Ciò è in contrasto con il risultato "chiuso" che indica che esiste un host su quell'IP ma che non esiste un servizio attivo che risponde alle sonde nmaps.

Se tutte le porte su un host ritornano come filtrate, non c'è nulla o c'è un firewall configurato per eliminare tutto il traffico diretto ad esso.

10
Rory McCune