Duvida sobre portas abertas

hunter2800aa
(usa Debian)

Enviado em 09/12/2024 - 09:58h

Bom dia galera...

Tenho alguns sistemas rodando no servidor da empresa onde trabalho e onde os clientes acessam....

A pergunta é, as portas tem q ficar como OPEN mesmo em um escaneamento com NMAP nesses serviços?
Essas portas de acesso para os clientes poderiam ficar como filtred ou nem aparecer no NMAP?

Abaixo é o resultado do NMAP no meu IP

PORT     STATE  SERVICE     VERSION

80/tcp   open   http        nginx 1.18.0 (Ubuntu)

443/tcp  open   ssl/http    nginx 1.18.0 (Ubuntu)

587/tcp  open   smtp        Exim smtpd 4.92.2

1723/tcp open   pptp        linux (Firmware: 1)

4443/tcp open   ssl/pharos?

8094/tcp closed unknown

8123/tcp open   http        aiohttp 3.8.1 (Python 3.10)

8443/tcp open   https-alt?

1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :

SF-Port4443-TCP:V=7.94SVN%T=SSL%I=7%D=12/9%Time=6756DC98%P=x86_64-pc-linux

SF:-gnu%r(GetRequest,2000,"HTTP/1\.1\x20200\x20OK\r\nDate:\x20Mon,\x2009\x

SF:20Dec\x202024\x2012:22:45\x20GMT\r\nServer:\x20xxxx\r\nX-Frame-Options:

SF:\x20SAMEORIGIN\r\nStrict-Transport-Security:\x20max-age=31536000\r\nX-C

SF:ontent-Type-Options:\x20nosniff\r\nContent-Security-Policy:\x20default-

SF:src\x20https:\x20data:\x20ws:\x20wss:\x20blob:\x20'unsafe-inline'\x20'u

SF:nsafe-eval';\x20worker-src\x20'self'\x20blob:;\x20frame-ancestors\x20's

SF:elf';\r\nX-XSS-Protection:\x201;\x20mode=block\r\nContent-Type:\x20text

SF:/html;charset=utf-8\r\nExpires:\x20Wed,\x2031\x20Dec\x201969\x2023:59:5

SF:9\x20GMT\r\nCache-Control:\x20no-cache\r\nPragma:\x20no-cache\r\nConten

SF:t-Length:\x2028646\r\nSet-Cookie:\x20JSESSIONID=sbqacm6secqytwsdsp2uy26

SF:p4;\x20Path=/userportal;\x20Secure;\x20HttpOnly\r\nConnection:\x20close

SF:\r\n\r\n<!DOCTYPE\x20HTML>\n\n<meta\x20http-equiv=\"X-UA-Compatible\"\x

SF:20content=\"IE=edge\">\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n<ht

SF:ml\x20lang=\"en\">\n<head>\n\n<title>User\x20Portal</title>\n<link\x20h

SF:ref=\"/themes/lite1/css/typography\.css\?version=470a1e4cd777c812f7f075

SF:f00d7bd542\"\x20rel=\"stylesheet\"\x20type=\"text/css\"\x20/>\n<link\x2

SF:0rel=\"stylesheet\"\x20hre")%r(HTTPOptions,1D4,"HTTP/1\.1\x20403\x20For

SF:bidden\r\nDate:\x20Mon,\x2009\x20Dec\x202024\x2012:22:45\x20GMT\r\nServ

SF:er:\x20xxxx\r\nX-Frame-Options:\x20SAMEORIGIN\r\nStrict-Transport-Secur

SF:ity:\x20max-age=31536000\r\nX-Content-Type-Options:\x20nosniff\r\nConte

SF:nt-Length:\x20199\r\nConnection:\x20close\r\nContent-Type:\x20text/html

SF:;\x20charset=iso-8859-1\r\n\r\n<!DOCTYPE\x20HTML\x20PUBLIC\x20\"-//IETF

SF://DTD\x20HTML\x202\.0//EN\">\n<html><head>\n<title>403\x20Forbidden</ti

SF:tle>\n</head><body>\n<h1>Forbidden</h1>\n<p>You\x20don't\x20have\x20per

SF:mission\x20to\x20access\x20this\x20resource\.</p>\n</body></html>\n")%r

SF:(FourOhFourRequest,17E,"HTTP/1\.1\x20404\x20Not\x20Found\r\nDate:\x20Mo

SF:n,\x2009\x20Dec\x202024\x2012:22:45\x20GMT\r\nServer:\x20xxxx\r\nX-Fram

SF:e-Options:\x20SAMEORIGIN\r\nStrict-Transport-Security:\x20max-age=31536

SF:000\r\nX-Content-Type-Options:\x20nosniff\r\nAccept-Ranges:\x20bytes\r\

SF:nConnection:\x20close\r\nContent-Length:\x20111\r\nContent-Type:\x20tex

SF:t/html\r\n\r\n<!DOCTYPE\x20html>\n<html>\n<body>\n<h3>Error:404\x20Page

SF:\x20not\x20found</h3>\n<h4>Check\x20the\x20entered\x20URL\.</h4>\n</bod

SF:y>\n<html>\n");

Service Info: Hosts: softensistemas.com.br, local; OS: Linux; CPE: cpe:/o:linux:linux_kernel

 

Buckminster
(usa Debian)

Enviado em 09/12/2024 - 11:48h

man nmap

"Os seis estados de porta reconhecidos pelo Nmap

aberto (open)
Uma aplicação está ativamente aceitando conexões TCP ou pacotes UDP
nesta porta. Encontrar esse estado é freqüentemente o objetivo
principal de um escaneamento de portas. Pessoas conscientes sobre a
segurança sabem que cada porta aberta é um convite para um ataque.
Invasores e profissionais de avaliação de segurança querem explorar
as portas abertas, enquanto os administradores tentam fechar ou
proteger com firewalls sem bloquear usuários legítimos. Portas
abertas são também interessantes para scans não-relacionados à
segurança pois mostram os serviços disponíveis para utilização na
rede.

fechado (closed)
etc etc

filtrado (filtered)
etc etc

não-filtrado (unfiltered)
etc etc

open|filtered
etc etc

closed|filtered
etc etc"

"A maioria dos tipos de scan está disponível apenas para usuários privilegiados."
É melhor usar o nmap como root.
# man nmap

Um resumão:
OPEN (aberta): Significa que um serviço está rodando e está aceitando conexões
TPC ou pacotes UDP. Encontrar portas abertas é basicamente a intenção do exame de
redes. Toda porta estando como "aberta" deve ter, obrigatoriamente, um serviço conhecido rodando.
• CLOSED (fechada): Geralmente são portas que se encontram fechadas por não
terem um certo serviço ativo naquela porta. Tem sua utilidade, como mostrar se um
serviço está ativo ou não em um host.
• FILTERED (filtrada): Significa que a porta pode estar sendo protegida por um
firewall; com isso, o envio de pacotes pode estar sendo filtrado por ele, o que causa
lentidão nos exames e mantém a omissão de informações.
• UNFILTERED (não filtrada): Quando uma porta se encontra neste estado,
geralmente ela está acessível, mas o nMAP não consegue desvendar se ela se encontra
aberta ou fechada. Esse tipo de resposta só aparece em exames de scan ACK, que são
usados para mapear regras de firewall. Teste comentando a regra do firewall para ver se detecta, se não
detectar, pode ter problemas de invasão ou na porta mesmo.
• OPEN/FILTERED (aberta ou filtrada): Portas são assim classificadas quando o
nMAP é incapaz de determinar se a devida porta se encontra aberta ou filtrada. Isso
ocorre pois muitas vezes um firewall descarta a resposta de uma requisição de conexão
para o servidor, assim ficando sem resposta. Teste comentando a regra do firewall para ver se detecta, se não
detectar, pode ter problemas de invasão ou na porta mesmo.
• CLOSED/FILTERED (fechada ou filtrada): Comum quando o nMAP não consegue
determinar se uma porta está aberta ou fechada. Este estado só é usado quando um
exame de ociosidade é executado.


8094/tcp closed unknown
Veja esse link. Provavelmente você sofreu, em tese, um ataque de DoS, mas a porta estava fechada.
https://www.speedguide.net/port.php?port=8094

1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service
1 serviço não reconhecido apesar de retornar dados. Se você souber o serviço/versão, envie a seguinte impressão digital em https://nmap.org/cgi-bin/submit.cgi?new-service

Execute o comando para TCP:
nmap -O -Pn -sSV -T4 -d --version-trace -p8094 localhost

E para UDP:
nmap -O -Pn -sUV -T4 -d --version-trace -p8094 localhost

No caso é para TCP:
8094/tcp closed unknown

E poste a saída nesse link:
https://nmap.org/cgi-bin/submit.cgi?new-service

Maiores informações aqui:
https://nmap.org/book/osdetect-unidentified.html#osdetect-wrong



_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!