Logo Hardware.com.br
jgama
jgama Ubbergeek Registrado
7.1K Mensagens 65 Curtidas

Fechando porta sem utilidades

#1 Por jgama 06/04/2004 - 21:31
Olá amigos

É a primeira vez que uso o nmap para analizar alguma falha no Servidor o qual tem acesso a Internet e compatilha com a rede.

Se possívem alguém que tenha experiênça em segurança pode analizar o que o nmap mostrou, se estou correndo perigo e como ficar mais seguro.

root@serv1linux:~# nmap 192.168.0.*

Starting nmap 3.45 ( http://www.insecure.org/nmap/ ) at 2004-04-06 00:50 AKDT
Interesting ports on serv1linux.linux.net (192.168.0.1):
(The 1644 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
37/tcp open time
53/tcp open domain
79/tcp open finger
111/tcp open rpcbind
113/tcp open auth
139/tcp open netbios-ssn
445/tcp open microsoft-ds
631/tcp open ipp
901/tcp open samba-swat
5903/tcp open vnc-3
6000/tcp open X11
6003/tcp open X11:3

Interesting ports on 192.168.0.20:
(The 1651 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
3389/tcp open ms-term-serv
5000/tcp open UPnP

Nmap run completed -- 256 IP addresses (2 hosts up) scanned in 22.600 seconds


Quais destas portas posso fechar. Saliento que uso o Servidor para:
Acesso remoto via ssh
Compartilhamento de arquivos e internet
Transferencia do X
Server NFS
Samba PDC.

E como fecho as portas aberta que não tem utilidade no Slackware 9.1 ?
porta acesso servidor falha analizar fechando nmap serv1linux utilidades
RVR777
RVR777 Geek Registrado
4.7K Mensagens 1 Curtida
#2 Por RVR777
19/09/2005 - 15:01
Bom, uma porta que você pode fechar é a 901, ou desabilitar o swat, se o seu samba já estiver configurado. Se você não usa os serviços como timer e finger pode desabilitá-los também. E tem o VNC, se você usa o X, não existe a necessidade do VNC, a não ser pra usar de uma estação Windows.

Só pra saber, a primeira máquina é linux e a segunda windows?
Linux User #385325
--
http://br-net.org - de olho na internet
Renan Rangel
netw0rk g33k
netw0rk g33k Super Participante Registrado
732 Mensagens 13 Curtidas
#7 Por netw0rk g33k
24/09/2005 - 06:10
A questão de seguranca é um pouco complexa, para que se possa dizer o que é certo ou errado, até porque não conheco detalhes sobre sua topologia de rede, mas podemos fazer algumas consideracões:

Pelo que entendi, essa máquina com IP de interface interna 192.168.0.1 é o seu roteador, e presumo que também seja o local onde está instalado o seu filtro de pacotes (firewall). Se não é, a primeira consideracão a fazer é que seja. Agora quanto aos servicos...

21/tcp open ftp
Um dos cuidados básicos a se tomar com um servidor FTP corporativo, é criar os usuários que terão acesso a ele, de modo que se conectem ao servidor e fiquem em chroot, ou seja, confinados unicamente ao seu diretório. Outro cuidado, é desabilitar o login do usuário [i]anonymous[/b], além de adotar uma política de senhas coerentes para usuŕios (nada de usuário "joao" com senha "joao" ou senha "1234"). Também é interessante utilizar um servidor de FTP que tenha suporte a SSL, como vsftpd, e se possível, forcar os usuários a utilizar clients de FTP que suportem SSL, para poder utilizar todos os recursos que o vsftpd oferece. Além disso tudo, se possível, seria interessante limitar via firewall, o acesso ao servidor FTP apenas para quem realmente precisa acessar esse seu servidor (se é que voc usa esse servidor). Se o servico não estiver sendo utilizado, o melhor é desabilitar.

37/tcp open time
A não ser que esse seja um servidor de Time que outros servidores utilizam para sincronismo de horam pode ser desativado. Se algum outro servidor utiliza esse servico, é interessante liberar via firewall a conexão nesta porta apenas para as máquinas que irão utilizar o servico.

53/tcp open domain
Se você tem domínios hospedados nessa máquina, você vai ter de deixar o servico acessivel a internet, mas tome a precaucão de não deixar liberada a transferência de zonas para qualquer zé mané. Libere apenas para o seu NS secundário, e ninguém mais. Se está rodando só um resolver para a rede interna, pode bloquear o acesso a essa porta para todo mundo, e liberar só a 53/udp, que é o que o povão usa para resolver nomes. Se não tem nada de DNS nessa máquina, detona com esse servico.

79/tcp open finger
Esse servidor de finger pode ser desabilitado, a menos que você tenha alguma utilidade para ele.

111/tcp open rpcbind
Se você não compartilha nenhum diretório por NFS nessa máquina, pode desativar esse servico. Se compartilha, o firewall não é o melhor lugar pra esse tipo de coisa. O ideal é tentar separar o firewall desses servicos de fileserver, de modo que ele fique quieto no canto dele.

113/tcp open auth
A não ser que você tenha um IRC rodando, detona com esse tbm.

139/tcp open netbios-ssn
445/tcp open microsoft-ds
901/tcp open samba-swat
Se você não compartilha nenhum diretório por SMB ne ssa máquina, pode desativar esse servico. Se compartilha, como eu disse antes, para o NFS, o firewall não é o melhor lugar pra esse tipo de coisa.

631/tcp open ipp
Esse é o CUPS. Se você não utiliza essa máquina como servidor de impressão, destrua com esse tbm. Se usa, tenta colocar esse print server no mesmo saco com o NFS e SMB, e tenta isolar do firewall em outra máquina.

5903/tcp open vnc-3
VNC server no firewall linux? Se for utilizado para manutencão remota, tenta limitar só ao IP da tua estacão interna, e ao IP do teu link de casa. O melhor mesmo seria implementar um esquema de PPTP no linux, para que o acesso de fora da rede interna só fosse possível via VPN baseada em PPTP.


6000/tcp open X11
6003/tcp open X11:3
Pode bloquear por firewall, e se você não xompartilha o X dessa máquina com alguma máquina que não roda o X para instalacão de alguma aplicacão com instalador gráfico (tipo o Oracle por exemplo), dá até pra fechar o X pra geral.

Quanto ao firewall, essas são algumas consideracões que eu lembrei assim, por cima. Se for ver bem, e estudar a sua topologia de rede, vai aparecer muito mais coisa.

Agora, referente ao servidor 192.168.0.20, acredito que ele seja uma máquina interna, e os servicos que rodam nele são comuns a esse tipo de máquina. O único cuidado em especial, seria com o Servidor de Terminal, que roda na 3389/tcp, onde devem-se evitar senhas fracas, e políticas de senhas fracas, além de tentar restringir o acesso a partir da internet só para quem realmente precisa, e se possível, via VPN baseada em PPTP por exemplo.

Espero ter podido te ajudar em alguma coisa. Um abraco.
Linux User #415511
Mikrotik MTCNA #MKBR0039
Mikrotik MTCRE #1010RE004
Mikrotik MTCINE #1010INE006
Z0
Z0 Zerinho Registrado
2.3K Mensagens 0 Curtidas
#9 Por Z0
25/09/2005 - 03:03
RVR777
Perguntas:
O IRC usa a prota 133?
Pra que serve o finger?


O IRC geralmente utiliza a 6667. Às vezes maiores.

Finger ou outras utilidades de checagem de status podem reportar novos e-mails incorretamente, desde que eles não estejam avisados da existência de filtros. Uma ferramenta de comando 'openwebmail-tool.pl' é fornecida para uso como uma reposição de finger, que faz a filtragem de e-mails antes de reportar o status de e-mail. :roll: :roll: :roll:
sml0179 Distribuição de Distros Linux em todo o Brasil!
         (__)

         (oo)

   /------\/

  / |    ||

 *  /\---/\

    ~~   ~~
jgama
jgama Ubbergeek Registrado
7.1K Mensagens 65 Curtidas
#13 Por jgama
08/08/2006 - 00:36
O bom filho sempre retorna a casa, acho que este ditado popular não é correto, pois já faz mais de 20 anos que não retono para minha cidade :cry:

Mas retornei ao post que eu tinha aberto, já faz mais de 2 anos :lol: :lol:

Meus caros amigos, alguém pode tirar uma duvida?

qual é a diferença nestes dois fatos abaixo, usando o nmap eu rodei usando numa maquina remota para localizar as porta do Servidor aberta ou fechado e e rodei internamente veja.


[valdir@servidor init.d]$ sudo nmap 192.168.0.1 --> INTERNO

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-08-08 00:19 BRT
Interesting ports on servidor (192.168.0.1):
(The 1649 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
53/tcp open domain
80/tcp open http
111/tcp open rpcbind
139/tcp open netbios-ssn
515/tcp open printer
631/tcp open ipp
637/tcp open lanserver
665/tcp open unknown
2049/tcp open nfs
3128/tcp open squid-http
6000/tcp open X11
8080/tcp open http-proxy
10000/tcp open snet-sensor-mgmt

Nmap finished: 1 IP address (1 host up) scanned in 0.226 seconds
[valdir@servidor init.d]$

Agora rorando o nmap remotamente

[rc0.d]# sudo nmap 201.xx.xxx.xxx

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2006-08-08 03:10 BRT
Interesting ports on 201-xx-xxx-xxx.dsl.telesp.net.br (201.xx.xxx.xxx):
Not shown: 1676 filtered ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp closed smtp
110/tcp closed pop3
10000/tcp open snet-sensor-mgmt

Nmap finished: 1 IP address (1 host up) scanned in 120.911 seconds


Minha duvida é a seguinte tem varias postas aberta para a rede local, mas não parace para rede Externa, isso é normal?


Rodei o nmap especificando as porta indicidual e aparece como porta fechada e filtrada o que seguinifica eta filtrada??

[rc0.d]# sudo nmap -sV 201.xx.xxx.xxx -p 2049

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2006-08-08 03:23 BRT
Interesting ports on 201-xx-xxx-xxx.dsl.telesp.net.br (201.xx.xxx.xxx):
PORT STATE SERVICE VERSION
2049/tcp filtered nfs


Abraço
" O DVD Pirata de hoje é a bala perdida de amanhã"
Autoria: Bárbara Gancia - Jornalista

Valdir
Sumaré - SP
© 1999-2024 Hardware.com.br. Todos os direitos reservados.
Imagem do Modal