форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[ Отслеживать ]

"Оцените пожалуйста результат сканирования портов c NMAP (Zen..."

Сообщение от JVS (ok) on 08-Апр-08, 15:28

Добрый день! Ребята, я поднял шлюз x.x.x.x и подключил к интернету, проверил с windows машины с программой nmap. Получил следующий результат (хотел спросить у Вас, насколько надежен мой шлюз, и могу ли я смело поднимать на нем почтовый сервер и открыть 25 порт внешнему миру? ): Starting Nmap 4.60 ( http://insecure.org ) at 2008-04-08 17:14  (Initiating Ping Scan at 17:15 Scanning x.x.x.x[2 ports] Completed Ping Scan at 17:15, 1.00s elapsed (1 total hosts) Initiating SYN Stealth Scan at 17:15 Scanning x.x.x.x[1715 ports] Discovered open port 22/tcp on x.x.x.x Completed SYN Stealth Scan at 17:15, 1.03s elapsed (1715 total ports) Initiating Service scan at 17:15 Scanning 1 service on x.x.x.x Completed Service scan at 17:15, 0.21s elapsed (1 service on 1 host) Initiating OS detection (try #1) against x.x.x.x Retrying OS detection (try #2) against x.x.x.x SCRIPT ENGINE: Initiating script scanning. Host x.x.x.xappears to be up ... good. Interesting ports on x.x.x.x: Not shown: 1705 filtered ports PORT     STATE  SERVICE         VERSION 20/tcp       closed ftp-data 21/tcp       closed ftp 22/tcp       open   ssh             OpenSSH 4.5p1 (FreeBSD) 80/tcp       closed http 81/tcp       closed hosts2-ns 443/tcp     closed https 8080/tcp   closed http-proxy 8081/tcp   closed blackice-icecap 9090/tcp   closed zeus-admin 9100/tcp   closed jetdirect No OS matches for host Uptime: 0.063 days (since Tue Apr 08 15:44:24 2008) TCP Sequence Prediction: Difficulty=262 (Good luck!) IP ID Sequence Generation: Incremental Service Info: OS: FreeBSD Read data files from: C:\Program Files\Nmap OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 12.327 seconds            Raw packets sent: 1760 (80.664KB) | Rcvd: 1746 (98.046KB)

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Оцените пожалуйста результат сканирования портов c NMAP (Zen..."

Сообщение от angra (ok) on 08-Апр-08, 17:51

А вы хоть пробовали почитать что такое nmap и для чего он служит. Сдается, что нет, иначе не задавали бы глупых вопросов. Шлюз в нормальном состоянии, но это никак не связано с "могу ли я смело поднимать на нем почтовый сервер и открыть 25 порт внешнему миру", вообще никак.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Оцените пожалуйста результат сканирования портов c NMAP (Zen..."
	Сообщение от JVS (ok) on 09-Апр-08, 10:26
	Так можно мне поднимать почтовик на этом шлюзе?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Оцените пожалуйста результат сканирования портов c NMAP (Zen..."
	Сообщение от hate on 09-Апр-08, 13:52
	>Так можно мне поднимать почтовик на этом шлюзе?   Наймите на работу IT специалиста.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Оцените пожалуйста результат сканирования портов c NMAP (Zen..."
	Сообщение от Dima (??) on 09-Апр-08, 14:12
	>Так можно мне поднимать почтовик на этом шлюзе? Можно, но осторожно.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Оцените пожалуйста результат сканирования портов c NMAP (Zen..."
	Сообщение от angra (ok) on 09-Апр-08, 15:22
	Перевожу ваш вопрос на язык понятный простому обывателю: "Вот вам ребята фотография ковра в моей квартире, можно ли мне в этой квартире повесить люстру?". Что можно ответить на такой вопрос?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Оцените пожалуйста результат сканирования портов c NMAP (Zen..."
	Сообщение от JVS (ok) on 09-Апр-08, 15:46
	>Перевожу ваш вопрос на язык понятный простому обывателю: "Вот вам ребята фотография >ковра в моей квартире, можно ли мне в этой квартире повесить >люстру?". Что можно ответить на такой вопрос? Спасибо за внимание :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Оцените пожалуйста результат сканирования портов c NMAP (Zen..."

Сообщение от billybons2006 (ok) on 23-Апр-08, 16:38

Если вы сканили nmap-ом снаружи сети, то: С точки зрения информации о вашей системе, которую предоставил nmap, ваш будущий почтовый сервер слишком много говорит про себя. Потом ftp-сервер - это уже дыра в определенном смысле. И в конце-концов, чем меньше открыто на сервере сервисов "в мир", тем лучше, а судя по ответу nmap - их и так достаточно. Ну или хотя бы регулярно обновлять все программы, которые смотрят "в мир".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Оцените пожалуйста результат сканирования портов c NMAP (Zen..."
	Сообщение от JVS (ok) on 29-Апр-08, 07:07
	>Если вы сканили nmap-ом снаружи сети, то: > >С точки зрения информации о вашей системе, которую предоставил nmap, ваш будущий >почтовый сервер слишком много говорит про себя. Потом ftp-сервер - это >уже дыра в определенном смысле. > >И в конце-концов, чем меньше открыто на сервере сервисов "в мир", тем >лучше, а судя по ответу nmap - их и так достаточно. >Ну или хотя бы регулярно обновлять все программы, которые смотрят "в >мир". После вашего совета добавил следующее (fxp1-внешний интерфейс шлюза): ipfw add deny log tcp from any to any in via fxp1 setup Запустил nmap, теперь он обнаруживает только сервис ssh 22-порт (выводит на экран зеленым цветом). А вот почтовый сервер почему nmap не обнаруживает? ведь я писал т.е. 25-порт прослушивается sendmailом: ipfw add pass tcp from any to x.x.x.x 22,25 setup
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Оцените пожалуйста результат сканирования портов c NMAP (Zen..."
	Сообщение от billybons2006 (ok) on 29-Апр-08, 10:26
	А вы можете конфиг ipfw написать? А то трудно понять, что к чему, там же зависит результат от порядка расположения правил.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Оцените пожалуйста результат сканирования портов c NMAP (Zen..."
	Сообщение от JVS (ok) on 30-Апр-08, 08:39
	>А вы можете конфиг ipfw написать? А то трудно понять, что к >чему, там же зависит результат от порядка расположения правил. Правила фильтрации: !/bin/sh echo echo ' My settings ' echo ipfw -q flush ipfw add allow all from any to any via lo0 ipfw add deny all from 127.0.0.0/8 to any ipfw add deny all from any to 127.0.0.0/8 ipfw add deny all from any to 10.0.0.0/8 via rl1 ipfw add deny all from any to 172.16.0.0/12 via rl1 #ipfw add deny all from any to 192.168.0.0/16 via rl1 #ipfw add deny all from 192.168.0.0/16 to any via rl1 ipfw add deny all from 172.16.0.0/12 to any via rl1 ipfw add deny all from 10.0.0.0/8 to any via rl1 ipfw add divert natd all from any to any via rl1 ipfw add allow icmp from any to any ipfw add allow udp from any 53 to x.x.x.x ipfw add allow udp from x.x.x.x to any 53 ipfw add allow tcp from y.y.y.y 23,110 to y.y.y.y via rl0 ipfw add allow all from y.y.y.y to any ipfw add pass tcp from any to any 22,25 setup ipfw add deny log tcp from any to any in via rl1 setup ipfw add pass all from any to any echo
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Оцените пожалуйста результат сканирования портов c NMAP (Zen..."
	Сообщение от billybons2006 (ok) on 30-Апр-08, 16:47
	Если вы сканите хост x.x.x.x, то проходит ли команда 'telnet x.x.x.x 25'? Потом я бы указанное выше правило (ipfw add pass tcp from any to any 22,25 setup) разбил бы на два (когда что-то глючит, надо упрощать себе жизнь): ipfw add pass tcp from any to any 22 setup ipfw add pass tcp from any to any 25 setup и проверил бы снова. Ну и если telnet не пройдет, то может, sendmail не слушает 25 порт?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Оцените пожалуйста результат сканирования портов c NMAP (Zen..."
	Сообщение от Redduck (??) on 01-Май-08, 16:50
	ipfw add allow udp from any 53 to x.x.x.x Это правило небезопасное! Злоумышленник сможет подделать udp пакет который пройдет ваше правило!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Оцените пожалуйста результат сканирования портов c NMAP (Zen..."
	Сообщение от billybons2006 (ok) on 05-Май-08, 23:43
	>ipfw add allow udp from any 53 to x.x.x.x >ipfw add allow udp from x.x.x.x to any 53 >Это правило небезопасное! Злоумышленник сможет подделать udp пакет который пройдет ваше правило! Угу. Я бы написал так: ipfw add allow udp from x.x.x.x 53 to any 53 out via fxp1 keep-state либо ipfw add allow udp from x.x.x.x 53 to any 53 out via fxp1 setup keep-state где fxp1 - внешний интерфейс. Один из вариантов работает хуже, но что именно - не помню, надо посмотреть конфиг. А еще лучше - вместо 'any 53' писать 'z.z.z.z 53', где z.z.z.z - IP DNS-сервера провайдера, т.к. от прова ждать подставы можно менее всего. Но тут может возникнуть либо временный затык в открытии сайтов, отправке почты и пр., либо вообще будет работать со сбоями, так что вполне возможно, придется вернуться к схеме с 'any 53', но это в любом случае лучше делать с помощью 'out ...', как указано выше. >ipfw add allow icmp from any to any Убрать это подальше, нафиг кому-то вас пинговать?! >ipfw add deny log tcp from any to any in via rl1 setup Лучше запретить все: ipfw add deny log all from any to any in via rl1 setup а если хотите логировать tcp, то так: ipfw add deny log tcp from any to any in via rl1 setup ipfw add deny all from any to any in via rl1 setup хотя смысл 'setup' в данных правилах не понимаю. Может, так: ipfw add deny log tcp from any to any in via rl1 ipfw add deny all from any to any in via rl1 лучше будет? А еще лучше последнюю строку писать так: ipfw add deny all from any to any via rl1 :):):)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]