Может кто-нибудь объяснить, что означает эта уязвимость?

У меня возникла небольшая проблема с пониманием того, что означает эта уязвимость. Может ли кто-нибудь помочь мне понять это?

Я особенно озадачен разделом РЕЗУЛЬТАТОВ. Почему порт источника 25 отличается от порта случайного источника, оба они происходят из внешнего мира?

Уязвимость:
TCP Source Port Pass Firewall

УГРОЗА:
Кажется, ваша политика брандмауэра пропускает TCP-пакеты с определенным портом источника.

ВЛИЯНИЕ:
Некоторые типы запросов могут проходить через брандмауэр. Номер порта, указанный в разделе результатов этого отчета об уязвимости, является портом источника, который неавторизованные пользователи могут использовать для обхода брандмауэра.

РЕШЕНИЕ:
Убедитесь, что все ваши правила фильтрации являются правильными и достаточно строгими. Если брандмауэр намеревается запретить TCP-соединения с определенным портом, он должен быть настроен на блокировку всех пакетов TCP SYN, идущих на этот порт, независимо от исходного порта.

СООТВЕТСТВИЕ:
Непригодный

РЕЗУЛЬТАТЫ:
Хост ответил 4 раза на 4 зонда TCP SYN, отправленных на порт назначения 22, используя исходный порт 25. Однако он вообще не ответил на 4 зонда TCP SYN, отправленных на тот же порт назначения с использованием случайного исходного порта.

1 ответ

Решение

Когда клиент подключается к серверу, клиент выбирает свободный порт TCP, который он имеет между 1024 и 65535. В Linux/Unix пользователь без полномочий root не может выбрать порт< 1024. Затем он подключается к хорошо известному порту, например 80 для http...

В отчете утверждается, что он может достигнуть порта назначения, если указан исходный порт (22 и 25 в вашем примере), но не может, если он использует случайный порт (например, между 1024 и 65535). Клиент обычно использует произвольный порт, поэтому ваше правило не должно учитывать номер порта источника

Таким образом, одно из ваших правил плохое, потому что оно разрешает потоки, если исходный порт специфичен, тогда как оно должно фильтровать только порт назначения, который является единственной статической частью между ними.

Я предполагаю, что вы пропустили, создали одно из ваших правил, непреднамеренно меняя исходное и целевое значения

У меня это также отображалось при сканировании уязвимостей, но для UDP-порта 53. В моем случае я думаю, что причина этого обнаружена в том, что мы создаем наши правила политики брандмауэра, чтобы позволить конкретному IP-адресу src через любой порт подключаться к dest IP и дест порт. Перед нашим брандмауэром у нас есть интернет-маршрутизатор, на котором мы запускаем ACL. Мы разрешаем порты типа 80, 443, 21, 22 и т. Д. Любым, поскольку наш брандмауэр обрабатывает правила для этих портов для наших серверов DMZ, и вы не можете фильтровать по IP, если разрешаете всем доступ к своему веб-сайту. Таким образом, ACL блокирует запросы большого числа, но разрешает порты, такие как 80, 443, 22 и т. Д., Поскольку ACL позволяет им входить. Брандмауэр затем сбрасывает пакет, так что сканер видит его как закрытый порт.

Другие вопросы по тегам