2008/9/10 Marco Ermini <[EMAIL PROTECTED]>: > 2008/9/9 Dario Calamai <[EMAIL PROTECTED]>: >> ciao a tutti, >> >> proprio così. secondo nmap ci sono delle porte in stato OPEN ma il >> servizio non risponde (e non deve perchè bloccato da ACL sul pix [v. >> 7.0.7]) >> ma perchè OPEN??! >> > [...] >> nmap: >> [EMAIL PROTECTED]:~$ nmap xxx.xxx.22.111 -p80 > [...] > > Da bravo NIUBBO di nmap ;-) usi soltanto l'opzione di default che è > l'ACK scan (by the way, l'unica opzione che usi è ridondante, dato che > è la porta che nmap usa di default). Prova a usare vari tipi di scan, > come FIN, null o Xmas, potresti avere risultati diversi. > > > Ciao > -- > Marco Ermini > [EMAIL PROTECTED] # mount -t life -o ro /dev/dna /genetic/research > http://www.markoer.org/ - http://www.linkedin.com/in/marcoermini > "Jesus saves... but Buddha makes incremental back-ups!" > _______________________________________________ > Cug mailing list > http://www.areanetworking.it/index_docs.php > [email protected] > http://ml.areanetworking.it/mailman/listinfo/cug >
forse sono stato un po' scarno di info. Ma il fatto e' che quello che tu vedi con la versione 7.0.7 e' un BACO (nel post precedente...spero che sia leggibile a tutti.... ho indicato un link a cisco della versione 7.0.8 dove tale baco e' stato messo a posto). Il fatto e' il tcp intercept (in pratica quello che viene impostato con le embrionic connection nelle acl e che di default e' 0 ossia infinito) viene eseguito prima dell' acl. Il tcp inercept usa dalla versione 6.2 o 6.1 il meccanismo dei syn cookie. Ora questo meccanismo nasce per evitare i dos verso gli host interni, ma facendo cosi' rend il firewall una sorta di proxy su cui vengono prima terminate le sessioni dall' esterno e se tutto e' ok allora la comunicazione avviene anche verso l' host interno. Per fare cio' il pix deve virtualmente essere in grado di accettare qualsiasi connessione su qualsiasi porta (che non significa che e' in ascolto per forza su quella porta). Pero' a causa del baco invece di eseguire prima l' acl e nn accettare null' altro (per cui non vedresti le porte aperte su nmap ma solo l' acl che si incrementa), opera al contrario ossia prima accetta il msg di nmap e poi esegue l' acl. Per questo tu vedi l' acl che si incrementa e riscontri su nmap le porte aperte. Prova a mettere una versione dalla 7.0.8 in poi. http://www.cisco.com/en/US/docs/security/pix/pix70/release/notes/pix708rn.html questo e' un estratto del doc del link relativo alla versione 7.0.8 CSCsl66758 TCP intercept comes before ACL checks. All TCP ports appear open Ciao Alessandro _______________________________________________ Cug mailing list http://www.areanetworking.it/index_docs.php [email protected] http://ml.areanetworking.it/mailman/listinfo/cug
