这个漏洞意味着什么,我有一个问题,有人可以帮我理解这个吗?
结果部分我特别困惑。 为什么源端口25与随机源端口有什么不同呢,它们都源于外部世界?
漏洞:
TCP源端口通过防火墙威胁:
您的防火墙策略似乎让具有特定源端口的TCP数据包通过。
- 重build或修理?
- IIS在内容位置字段中显示内部IP地址
- 为什么将网站内容文件放在系统(OS)驱动器以外的其他驱动器上很好?
- 有没有人运行过Nessus和Skipfish的客观比较
- 双向SSHauthentication
影响:
某些types的请求可以通过防火墙。 此漏洞报告的结果部分中列出的端口号是未经授权的用户可用于绕过防火墙的源端口。解:
确保所有的过滤规则都正确和严格。 如果防火墙意图拒绝到特定端口的TCP连接,则应configuration为阻止所有到此端口的TCP SYN数据包,而不pipe源端口如何。合规性:
不适用结果:
主机对使用源端口25发送到目标端口22的4个TCP SYN探测进行了4次响应。但是,它根本没有响应使用随机源端口发送到同一个目标端口的4个TCP SYN探测。
当一个客户端连接到一个服务器时,客户端提取一个空闲的TCP端口,它的值在1024到65535之间。在Linux / Unix上,非root用户无法获取一个<1024的端口。然后连接到一个众所周知的端口, 80为http …
报告声称,如果源端口是特定的(如你的示例中是22和25),它可以到达目的端口,但是如果它使用随机端口(例如在1024和65535之间)则不能。 客户端通常使用随机端口,因此您的规则不应考虑源端口号
所以你的规则是坏的,因为如果源端口是特定的,它允许stream,而它应该只在目的端口上过滤,这是两者之间唯一的静态部分。
我想你错过了创造一个你的规则,因为不经意地交换了来源和目的地的价值