我在理解这个漏洞的含义时遇到了一些问题,有人可以帮助我理解这一点吗?
我对结果部分特别困惑。为什么源端口 25 与随机源端口有任何不同,它们都来自外部世界?
漏洞:
TCP Source Port Pass 防火墙威胁:
您的防火墙策略似乎允许具有特定源端口的 TCP 数据包通过。影响:
某些类型的请求可以通过防火墙。此漏洞报告的结果部分中列出的端口号是未经授权的用户可以用来绕过您的防火墙的源端口。解决方案:
确保您的所有过滤规则都正确且足够严格。如果防火墙打算拒绝与特定端口的 TCP 连接,则应将其配置为阻止所有到达该端口的 TCP SYN 数据包,无论源端口如何。合规性:
不适用结果:
主机响应了 4 次使用源端口 25 发送到目标端口 22 的 TCP SYN 探测。但是,它根本没有响应使用随机源端口发送到同一目标端口的 4 个 TCP SYN 探测。
当客户端连接到服务器时,客户端获取它在 1024 和 65535 之间的空闲 tcp 端口。在 Linux/Unix 上,非 root 用户无法获取小于 1024 的端口。然后它连接到一个众所周知的端口,例如80 为 http...
该报告声称,如果源端口是特定的(在您的示例中为 22 和 25),它可以到达目标端口,但如果它使用随机端口(例如,在 1024 和 65535 之间)则不能。客户端通常使用随机端口,因此您的规则不应考虑源端口号
所以你的规则之一是不好的,因为如果源端口是特定的,它就允许流,而它应该只过滤目标端口,这是两者之间唯一的静态部分。
我猜你错过了通过不经意间交换源值和目标值来创建你的规则之一
我在漏洞扫描中也出现了这种情况,但是对于 UDP 端口 53。在我的情况下,我认为出现这种情况的原因是我们创建了防火墙策略规则,以允许通过任何端口的特定 src IP 地址连接到 dest IP 和目的港。在我们的防火墙前面,我们有我们运行 ACL 的互联网路由器。我们允许 80、443、21、22 等端口访问任何端口,因为我们的防火墙会为我们的 DMZ 服务器处理这些端口的规则,如果您允许所有人访问您的网站,则您无法按 IP 过滤。因此 ACL 会阻止大量请求,但允许 80、443、22 等端口,因为 ACL 允许这些端口进入。然后防火墙会重置数据包,以便扫描程序将其视为关闭的端口。