J'effectue une analyse de port sur une plage d'adresses IP sur notre site distant. J'ai essayé d'exécuter l'analyse nmap sur cette plage IP et certains des résultats IP sont affichés comme filtrés
Lorsque j'effectue une analyse Nessus sur la boîte, il n'y a aucun résultat du tout pour certaines adresses IP.
En tant que tel, est-il sûr de supposer qu'il n'y a pas de ports ouverts sur certains des serveurs distants?
Sauf si vous avez configuré nmap pour ne pas effectuer de découverte d'hôte (-PN
ou -PN --send-ip
sur le LAN), si cela indique que tous les ports sont filtrés , alors l'hôte est up , mais le pare-feu sur cet hôte réduit le trafic vers tous les ports analysés.
Notez qu'une analyse nmap par défaut ne sonde pas tous les ports. Il ne scanne que 1000 TCP. Si vous voulez vérifier tous les services , vous voudrez tout vérifier 65535 TCP et tous les ports 65535 UDP.
En outre, pour être précis, mais lorsque l'analyse du port indique qu'un port est filtré , cela ne signifie pas qu'aucun service ne s'exécute sur ce port. Il est possible que le pare-feu de l'hôte ait des règles qui refusent l'accès à l'adresse IP à partir de laquelle vous exécutez l'analyse , mais il peut y avoir d'autres adresses IP qui sont autorisés à accéder à ce service.
Si l'analyse de port signale qu'un port est fermé , c'est plus définitif qu'il n'y a pas de service d'écoute sur ce port.
Je ne peux pas commenter le manque de résultats de nessus, cela fait un moment que je ne l'ai pas utilisé.
Exemple de fermeture vs filtré vs host-down
Par exemple, sur mon réseau, cet hôte est en place, n'a aucun service en cours d'exécution et n'a pas de pare-feu, notez que les ports sont signalés comme fermé (cela signifie que l'hôte a répondu aux sondes sur ce port) :
% Sudo nmap -T4 -n 192.168.1.24
Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:20 EST
All 1000 scanned ports on 192.168.1.24 are closed
MAC Address: 00:0E:00:AB:CD:EF (Unknown)
Nmap done: 1 IP address (1 Host up) scanned in 7.70 seconds
Cet hôte est actif, n'a aucun service en cours d'exécution sur les ports 100-1000 et dispose d'un pare-feu. Notez que les ports sont signalés comme filtré (cela signifie que l'hôte a déposé des sondes sur ces ports):
% Sudo nmap -T4 -n -p 100-1000 192.168.1.45
Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:24 EST
All 901 scanned ports on 192.168.1.45 are filtered
MAC Address: 00:12:34:AA:BB:CC (Unknown)
Nmap done: 1 IP address (1 Host up) scanned in 20.03 seconds
Juste à titre d'illustration, j'ai percé un trou temporaire dans le pare-feu pour ce dernier hôte pour le port 443 et relancé l'analyse. (Il n'y a rien en cours d'exécution sur 443.) Remarquez comment 998 ports sont signalés filtrés , mais le port 443 est signalé comme fermé ; le pare-feu laisse passer 443 et le système d'exploitation répond par un RST.
% Sudo nmap -T4 -n 192.168.1.45
Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:43 EST
Interesting ports on 192.168.1.45:
Not shown: 998 filtered ports
PORT STATE SERVICE
22/tcp open ssh
443/tcp closed https
MAC Address: 00:12:34:AA:BB:CC (Unknown)
Nmap done: 1 IP address (1 Host up) scanned in 5.67 seconds
Il n'y a pas d'hôte à cette adresse (Host down):
% Sudo nmap -T4 -n 192.168.1.199
Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:26 EST
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 0.56 seconds
si je renumérise avec -PN --send-ip
(ce dernier est nécessaire car je scanne le LAN, et je ne veux pas utiliser de sondes ARP), je vois:
% Sudo nmap -T4 -n -PN --send-ip 192.168.1.199
Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:29 EST
All 1000 scanned ports on 192.168.1.199 are filtered
Nmap done: 1 IP address (1 Host up) scanned in 101.44 seconds
Le résultat nmap "filtré" implique que (si vous savez qu'il existe un hôte avec cette adresse IP) l'accès au port a été bloqué par un pare-feu ou similaire, ce qui réduit le trafic. C'est par opposition au résultat "fermé" qui indique qu'il y a un hôte sur cette IP mais qu'il n'y a pas de service actif qui répond aux sondes nmaps.
Si tous les ports d'un hôte reviennent filtrés, il n'y a rien là-bas ou un pare-feu est configuré pour supprimer tout le trafic qui y est dirigé.