Como determinar quais portas estão abertas/fechadas em um FIREWALL?

Como determinar quais portas estão abertas/fechadas em um FIREWALL?

Parece que ninguém fez essa pergunta antes (a maioria considera firewalls baseados em host).

Qualquer pessoa familiarizada com ferramentas de varredura de portas (por exemplo, nmap) sabe tudo sobre varredura SYN, varredura FIN e similares para determinar portas abertas em uma máquina host. A questão é: como você determina as portas abertas em um firewall (desconsidere se o host ao qual você está tentando se conectar por trás do firewall tem essas portas específicas abertas ou fechadas). Isso pressupõe que o firewall esteja bloqueando sua conexão IP.

Exemplo: Todos nós nos comunicamos com serverfault.com através da porta 80 (tráfego web). Uma varredura em um host revelaria que a porta 80 está aberta. Se serverfault.com estiver atrás de um firewall e ainda permitir a passagem desse tráfego, podemos assumir que o firewall também tem a porta 80 aberta. Agora vamos supor que o firewall esteja bloqueando você (por exemplo, seu endereço IP está na lista de negações ou não está na lista de permissões). Você sabe que a porta 80 deve estar aberta (funciona para endereços IP apropriados), mas quando você (o IP não permitido) tenta qualquer varredura, todas as tentativas de varredura de porta no firewall descartam o pacote (incluindo a porta 80, que sabemos estar aberta ). Então, como podemos realizar uma verificação direta do firewall para revelar portas abertas/fechadas no próprio firewall, enquanto ainda usamos o IP não permitido?

Responder1

Você não. Não há distinção, do ponto de vista da filtragem de pacotes, entre o que o host está mostrando e o que o firewall está mostrando. Se você verificar o próprio endereço IP do firewall (supondo que ele tenha um endereço IP), é improvável que ele use as mesmas regras que usa para o tráfego vinculado ao host por trás dele.

No entanto, em algumas configurações, você pode acidentalmente ver o que o firewall está permitindo.

Veja o exemplo de um host que responde ao tráfego em portas que não está escutando com uma rejeição (um RSTpacote, que é um comportamento normal do TCP) e um firewall que descarta o tráfego silenciosamente. Digamos que o host ouça apenas 80, mas o firewall permite a entrada de 80 e 25. O firewall deixa passar o tráfego da porta 25, que o host rejeita, a porta 80, que o host conecta, e bloqueia todas as outras.

O nmap mostraria esse host como tendo a porta 80 aberta, a porta 25 fechada e todas as outras portas filtradas. O nmap foi criado para mostrar quando esse tipo de diferença está presente, para ajudá-lo a determinar o comportamento do host que você está observando.

Responder2

Se você usar um serviço da Web para realizar a verificação de portas ou executar a verificação de portas em seu endereço IP externo a partir de um local externo, verá quais portas estão abertas no firewall.

Este é o primeiro serviço web que encontrei fazendo uma pesquisa no Google; provavelmente outros por aí também:http://www.hackerwatch.org/probe/

Responder3

Se você possui o firewall e deseja realizar testes funcionais nele, você pode configurar um sniffer em uma porta estendida do switch conectado à sua interface DMZ antes da varredura. Dessa forma, você pode capturar qualquer ocorrência de pacotes que passaram, mesmo que o host de destino esteja inativo ou não responda em uma porta específica. Dá a você mais visibilidade do que a ferramenta que executa a verificação pode fornecer.

informação relacionada