A verificação externa do Nmap mostra a porta aberta, o ASA diz que a porta não está aberta, mas obtenha um soquete

4

Gente, tem um estranho, precisa da ajuda de um especialista. Para um dos nossos servidores de revestimento externos muito usados que surgiram em uma auditoria, o scan nmap -Pn mostra o seguinte:

    Starting Nmap 5.51 ...
    Host pub.ip is up (0.0032s latency).
    Not shown: 993 filtered ports
    PORT     STATE  SERVICE
    21/tcp   open   ftp
    22/tcp   open   ssh
    80/tcp   open   http
    113/tcp  closed auth
    119/tcp  open   nntp
    8008/tcp open   http
    8010/tcp open   xmpp

Agora, este é um servidor FTP / SFTP público e o netstat / lsof no host físico confirma que somente a porta 21 (ftp), 22 (ssh) e 25 (smtp interna) está escutando.

A configuração ASA FW mostra que só permite NAT do pub ip para o IP interno em ftp / ssh:

 static (dmz3,pub1) pub.ip internalftp.ip netmask 255.255.255.255
 access-list pub1_access_in extended permit tcp any host pub.ip eq ftp
 access-list pub1_access_in extended permit tcp any host pub.ip eq ssh

É isso. Nenhuma entrada para 8010 ou porta 8008 em toda a configuração do FW.

Mas aqui está a parte confusa:

Quando eu tento abrir um soquete (usando telnet) na porta 8008, eu recebo um soquete e quando eu digito HEAD / ou GET /, recebo o seguinte redirecionamento para a porta segura 8010:

HTTP/1.1 302 Found
Location: https://:8010
Connection: close

Connection to host lost.

Eu também consigo abrir um soquete na porta 8010, mas não produz nada, nada através do navegador ou do wireshark.

É interessante, no servidor físico ftp / sftp, um rápido

#tcpdump -nni eth0 port 80 or port 8008 or port 8010 

não gera tráfego quando recebo um soquete no meu cliente. Então def. a conexão está sendo estabelecida em outro lugar.

Então aqui vem - O que é a lista no socket / est a conexão no lado do servidor!?

Um fórum / discussão sugeriu um possível roteador inteligente / fw na mistura tentando enganar / enganar um hacker. Verdade !?

De qualquer forma, como encontrar exatamente onde a conexão está se estabelecendo.

ps: Eu só li priv no lado ASA. Por isso, não será possível executar nenhuma solução de problemas. Terá que passá-lo no ASA / NW admin.

Agradecemos antecipadamente pelo seu tempo e valiosa ajuda.

Saída de "netstat -taulpn | grep LISTEN" conforme solicitado:

tcp        0      0 10.x.x.x:427            0.0.0.0:*               LISTEN      3779/slpd
tcp        0      0 127.0.0.1:427           0.0.0.0:*               LISTEN      3779/slpd
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      3843/portmap
tcp        0      0 127.0.0.1:2544          0.0.0.0:*               LISTEN      4081/zmd
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      4042/xinetd
tcp        0      0 10.x.x.x:22             0.0.0.0:*               LISTEN      4190/sshd
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      4282/master
tcp        0      0 ::1:25                  :::*                    LISTEN      4282/master

Atualização: Desculpem as pessoas, solucionando ainda mais cada um dos saltos, as informações acima são verdadeiras somente quando analisamos o IP externo de nosso n / w interno. Então, nós não estávamos realmente saindo. No meu caminho para fora da interface interna do nosso roteador de borda rotas diretamente para o ASA. E acontece que essa interface interna está escutando essas portas, as quais não sabemos ao certo por quê. Nada na sua configuração e levantamos a questão com o provedor. Talvez um comportamento padrão do Cisco 7200.

Assim, o teste real usando uma linha DSL revela apenas a porta 21/22 aberta no exterior. E fazer uma varredura no roteador de borda (interface externa) não mostra portas abertas.

Então estamos bem por agora. Ainda precisa descobrir "por que" de dentro. Vai postar uma última atualização depois que descobrirmos.

Obrigado a todos. Valorize seu tempo e ajuda.

    
por user3196304 16.04.2015 / 06:02

1 resposta

1

Eu verificaria a saída de

netstat -an

para ver em qual interface os ouvintes estão ligados para 8008 e 8080. É possível que eles estejam apenas ouvindo na interface de loopback, caso em que o tráfego teria que ser iniciado a partir do host local.

    
por 16.04.2015 / 06:45