2008/9/10 Alessandro Barisone <[EMAIL PROTECTED]>: > 2008/9/10 Marco Ermini <[EMAIL PROTECTED]>: >> 2008/9/9 Dario Calamai <[EMAIL PROTECTED]>: >>> ciao a tutti, >>> >>> proprio così. secondo nmap ci sono delle porte in stato OPEN ma il >>> servizio non risponde (e non deve perchè bloccato da ACL sul pix [v. >>> 7.0.7]) >>> ma perchè OPEN??! >>> >> [...] >>> nmap: >>> [EMAIL PROTECTED]:~$ nmap xxx.xxx.22.111 -p80 >> [...] >> >> Da bravo NIUBBO di nmap ;-) usi soltanto l'opzione di default che è >> l'ACK scan (by the way, l'unica opzione che usi è ridondante, dato che >> è la porta che nmap usa di default). Prova a usare vari tipi di scan, >> come FIN, null o Xmas, potresti avere risultati diversi. >>
niubbo forever! non esiste un giorno durante il quale non imparo una virgola in più! il punto è che non dovrebbe far vedere tutte le porte aperte... (e la risposta di Alessandro è chiarissima!) infatti con le altre opzioni la porta risulta chiusa. comunque il risultato di un portscanning che Chiunque può fare restituisce tutte le porte aperte, ed è quello che interessa a me. ovviamente anche in questi sig.Chiunque ci sono i meno niubbi che magari fanno un test in più usando altre opzioni... >> >> Ciao >> -- >> Marco Ermini >> [EMAIL PROTECTED] # mount -t life -o ro /dev/dna /genetic/research >> http://www.markoer.org/ - http://www.linkedin.com/in/marcoermini >> "Jesus saves... but Buddha makes incremental back-ups!" >> _______________________________________________ >> Cug mailing list >> http://www.areanetworking.it/index_docs.php >> [email protected] >> http://ml.areanetworking.it/mailman/listinfo/cug >> > > forse sono stato un po' scarno di info. Ma il fatto e' che quello che > tu vedi con la versione 7.0.7 e' un BACO (nel post precedente...spero > che sia leggibile a tutti.... ho indicato un link a cisco della > versione 7.0.8 dove tale baco e' stato messo a posto). > > Il fatto e' il tcp intercept (in pratica quello che viene impostato > con le embrionic connection nelle acl e che di default e' 0 ossia > infinito) viene eseguito prima dell' acl. > > Il tcp inercept usa dalla versione 6.2 o 6.1 il meccanismo dei syn > cookie. Ora questo meccanismo nasce per evitare i dos verso gli host > interni, ma facendo cosi' rend il firewall una sorta di proxy su cui > vengono prima terminate le sessioni dall' esterno e se tutto e' ok > allora la comunicazione avviene anche verso l' host interno. > > Per fare cio' il pix deve virtualmente essere in grado di accettare > qualsiasi connessione su qualsiasi porta (che non significa che e' in > ascolto per forza su quella porta). > > Pero' a causa del baco invece di eseguire prima l' acl e nn accettare > null' altro (per cui non vedresti le porte aperte su nmap ma solo l' > acl che si incrementa), opera al contrario ossia prima accetta il msg > di nmap e poi esegue l' acl. > Per questo tu vedi l' acl che si incrementa e riscontri su nmap le porte > aperte. > > Prova a mettere una versione dalla 7.0.8 in poi. > > http://www.cisco.com/en/US/docs/security/pix/pix70/release/notes/pix708rn.html > > questo e' un estratto del doc del link relativo alla versione 7.0.8 > > CSCsl66758 TCP intercept comes before ACL checks. All TCP ports > appear open > avevo capito benissimo! è un bug corretto proprio nella 7.0.8 poi ho fatto un po di ricerche, a questo punto con parole chiave più precise, e si trova un po di documentazione interessante, niente di particolare visto che la soluzione è solo l'aggiornamento in questo caso. tanto per dovere di cronaca nella mail alla fine avevo tralasciato un dato importante... che ora è diventato chiarissimo. ho catturato del traffico che generavo verso quel server in 2 punti diversi ripetendo la procedura: con una porta in monitoring sull'uscita del pix e con un capture direttamente sul pix. l'ack alla prima richiesta che facevo lo vedevo uscire dal pix ma nello stesso momento sul pix non dava nessuna risposta. o sbagliavo i filtri o il pix rispondeva al posto del server. quello che ancora non capisco è perchè lo fa solo su pochi ip rispetto alla subnet, anche perchè il nat non è per ogni host ma per tutta l'interfaccia. > Ciao > > Alessandro > _______________________________________________ > Cug mailing list > http://www.areanetworking.it/index_docs.php > [email protected] > http://ml.areanetworking.it/mailman/listinfo/cug > comunque ancora grazie Alessandro della risposta molto chiara ed esaustiva! ciao! -- dario calamai
_______________________________________________ Cug mailing list http://www.areanetworking.it/index_docs.php [email protected] http://ml.areanetworking.it/mailman/listinfo/cug
