Gente, tem um estranho, precisa da ajuda de um especialista. Para um dos nossos servidores de revestimento externos muito usados que surgiram em uma auditoria, o scan nmap -Pn mostra o seguinte:
Starting Nmap 5.51 ...
Host pub.ip is up (0.0032s latency).
Not shown: 993 filtered ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
113/tcp closed auth
119/tcp open nntp
8008/tcp open http
8010/tcp open xmpp
Agora, este é um servidor FTP / SFTP público e o netstat / lsof no host físico confirma que somente a porta 21 (ftp), 22 (ssh) e 25 (smtp interna) está escutando.
A configuração ASA FW mostra que só permite NAT do pub ip para o IP interno em ftp / ssh:
static (dmz3,pub1) pub.ip internalftp.ip netmask 255.255.255.255
access-list pub1_access_in extended permit tcp any host pub.ip eq ftp
access-list pub1_access_in extended permit tcp any host pub.ip eq ssh
É isso. Nenhuma entrada para 8010 ou porta 8008 em toda a configuração do FW.
Mas aqui está a parte confusa:
Quando eu tento abrir um soquete (usando telnet) na porta 8008, eu recebo um soquete e quando eu digito HEAD / ou GET /, recebo o seguinte redirecionamento para a porta segura 8010:
HTTP/1.1 302 Found
Location: https://:8010
Connection: close
Connection to host lost.
Eu também consigo abrir um soquete na porta 8010, mas não produz nada, nada através do navegador ou do wireshark.
É interessante, no servidor físico ftp / sftp, um rápido
#tcpdump -nni eth0 port 80 or port 8008 or port 8010
não gera tráfego quando recebo um soquete no meu cliente. Então def. a conexão está sendo estabelecida em outro lugar.
Então aqui vem - O que é a lista no socket / est a conexão no lado do servidor!?
Um fórum / discussão sugeriu um possível roteador inteligente / fw na mistura tentando enganar / enganar um hacker. Verdade !?
De qualquer forma, como encontrar exatamente onde a conexão está se estabelecendo.
ps: Eu só li priv no lado ASA. Por isso, não será possível executar nenhuma solução de problemas. Terá que passá-lo no ASA / NW admin.
Agradecemos antecipadamente pelo seu tempo e valiosa ajuda.
Saída de "netstat -taulpn | grep LISTEN" conforme solicitado:
tcp 0 0 10.x.x.x:427 0.0.0.0:* LISTEN 3779/slpd
tcp 0 0 127.0.0.1:427 0.0.0.0:* LISTEN 3779/slpd
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 3843/portmap
tcp 0 0 127.0.0.1:2544 0.0.0.0:* LISTEN 4081/zmd
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 4042/xinetd
tcp 0 0 10.x.x.x:22 0.0.0.0:* LISTEN 4190/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 4282/master
tcp 0 0 ::1:25 :::* LISTEN 4282/master
Atualização: Desculpem as pessoas, solucionando ainda mais cada um dos saltos, as informações acima são verdadeiras somente quando analisamos o IP externo de nosso n / w interno. Então, nós não estávamos realmente saindo. No meu caminho para fora da interface interna do nosso roteador de borda rotas diretamente para o ASA. E acontece que essa interface interna está escutando essas portas, as quais não sabemos ao certo por quê. Nada na sua configuração e levantamos a questão com o provedor. Talvez um comportamento padrão do Cisco 7200.
Assim, o teste real usando uma linha DSL revela apenas a porta 21/22 aberta no exterior. E fazer uma varredura no roteador de borda (interface externa) não mostra portas abertas.
Então estamos bem por agora. Ainda precisa descobrir "por que" de dentro. Vai postar uma última atualização depois que descobrirmos.
Obrigado a todos. Valorize seu tempo e ajuda.
Eu verificaria a saída de
netstat -an
para ver em qual interface os ouvintes estão ligados para 8008 e 8080. É possível que eles estejam apenas ouvindo na interface de loopback, caso em que o tráfego teria que ser iniciado a partir do host local.