Em que casos o IIS inicia uma saída de conexão com a porta de origem 80?

1

Temos um farm de servidores web IIS de oito nós, protegido por um firewall de hardware. O firewall está configurado para permitir a entrada de tráfego da porta 80, mas está configurado para bloquear o tráfego de saída.

Em nossos logs de firewall, estou vendo muitas instâncias de conexões negadas que têm um src / srcname de um dos servidores da web, um src_port de 80 , um dst / dstname de um IP aleatório e um dst_port de 30000 +

Eu sou uma pessoa com experiência em software (não TI / devops) e meu entendimento é que todo o tráfego HTTP deve ser iniciado por um cliente de origem em uma porta de origem alta com o IP de destino sendo o servidor da Web e a porta de destino 80.

Mas os logs do firewall mostram o contrário, há uma situação em que isso faria sentido?

Por que os logs do firewall mostram uma conexão saindo através do firewall da porta de origem 80 para alguma porta de alta numeração?

editar trecho de registros do Firewall: link

    
por optus 19.02.2014 / 23:19

1 resposta

3

As conexões TCP que fazem referência à porta 80 em seus servidores da Web e uma porta de numeração alta em um endereço IP público são semelhantes às conexões TCP dos clientes para os servidores da Web.

Como você está estabelecendo que o iniciador dessas conexões é o seu servidor web? Você está vendo o TCP SYN vindo da porta 80 dos servidores web?

Eu suspeito que seu dispositivo de firewall está "perdendo" o estado das conexões periodicamente e, já que a única maneira de determinar o iniciador de uma conexão TCP é observando o handshake inicial, o firewall não pode relatar confiavelmente a "direção" dessas conexões.

Você pode nos contar mais sobre o firewall e, talvez, fornecer alguns dados de log higienizados a partir dele?

Certamente é possível que você tenha sido comprometido por um invasor que está tentando se comunicar com a Internet de uma maneira que possa disfarçar seu fluxo de tráfego como respostas HTTP, mas a Navalha de Occam diz que é realmente um tráfego de resposta. isso está sendo categorizado incorretamente pelo seu firewall. Correlacionar os fluxos de tráfego para os logs de seu servidor da Web certamente ajudaria a descartar a teoria de que eles são realmente conexões iniciadas a partir dos servidores da Web.

Editar:

Parece que você está usando um firewall Fortigate. Eu não tive o prazer de trabalhar com um desses antes, mas eu posso falar sobre isso em geral.

Parece que este é um firewall de inspeção com informações de estado. Como tal, ele mantém uma tabela de estados para conexões que "viu", identificando o iniciador, números de porta, números esperados de seqüência TCP e um Time to Live (TTL) que "eliminará" a conexão da tabela de controle de estado. depois de ficar inativo por um período de tempo. Embora eu suponha que seja possível que essas conexões estejam abertas sem tráfego maior do que o TTL, isso parece improvável, a menos que alguém tenha modificou o TTL padrão para baixo.

Há uma quantidade finita de RAM no Fortigate para acompanhar as sessões. Vale a pena revisar os logs e a interface de administração para ver se ele pode relatar o número total de sessões que estão sendo rastreadas e o número máximo possível de sessões rastreáveis.

Esses dados de log têm a aparência de um firewall com estado que perdeu o controle das conexões em sua tabela de estados.

    
por 19.02.2014 / 23:38

Tags