LINUX.ORG.RU
ФорумSecurity

iptables vs MS Forefront TMG 2010

 


0

1

Всем привет.

В одной компании есть древний Forefront TMG 2010 Standard. Настройки у него по умолчанию. Открытые наружу порты:

8080, 3389, 25, 480.

В другой тоже есть открытые порты и используется iptables.

С помощью nmap просканировал все порты.

Хост с Forefront:

nmap -p 1-65535 -T4 -A -v 82.162.xx.xx

Starting Nmap 7.80 ( https://nmap.org ) at 2020-08-26 09:05 Iineianeia a?aiy (ceia)

NSE: Loaded 151 scripts for scanning.

NSE: Script Pre-scanning.

Initiating NSE at 09:05

Completed NSE at 09:05, 0.00s elapsed

Initiating NSE at 09:05

Completed NSE at 09:05, 0.00s elapsed

Initiating NSE at 09:05

Completed NSE at 09:05, 0.00s elapsed

Initiating Ping Scan at 09:05

Scanning 82.162.xx.xx [4 ports]

Completed Ping Scan at 09:05, 2.08s elapsed (1 total hosts)

Nmap scan report for 82.162.xx.xx [host down]

NSE: Script Post-scanning.

Initiating NSE at 09:05

Completed NSE at 09:05, 0.00s elapsed

Initiating NSE at 09:05

Completed NSE at 09:05, 0.00s elapsed

Initiating NSE at 09:05

Completed NSE at 09:05, 0.00s elapsed

Read data files from: C:\Program Files (x86)\Nmap

Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn

Nmap done: 1 IP address (0 hosts up) scanned in 4.14 seconds

           Raw packets sent: 8 (304B) | Rcvd: 0 (0B)

Хост с iptables

nmap -p 1-65535 -T4 -A -v 193.106.xx.xx

Starting Nmap 7.80 ( https://nmap.org ) at 2020-08-26 09:36 Iineianeia a?aiy (ceia)

NSE: Loaded 151 scripts for scanning.

NSE: Script Pre-scanning.

Initiating NSE at 09:36

Completed NSE at 09:36, 0.00s elapsed

Initiating NSE at 09:36

Completed NSE at 09:36, 0.00s elapsed

Initiating NSE at 09:36

Completed NSE at 09:36, 0.00s elapsed

Initiating Ping Scan at 09:36

Scanning 193.106.xx.xx [4 ports]

Completed Ping Scan at 09:36, 0.07s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 09:36

Completed Parallel DNS resolution of 1 host. at 09:36, 0.04s elapsed

Initiating SYN Stealth Scan at 09:36

Scanning cp174.iqhost.ru (193.106.xx.xx) [65535 ports]

Discovered open port 3306/tcp on 193.106.xx.xx

Discovered open port 80/tcp on 193.106.xx.xx

Discovered open port 21/tcp on 193.106.xx.xx

Discovered open port 443/tcp on 193.106.xx.xx

SYN Stealth Scan Timing: About 8.29% done; ETC: 09:42 (0:05:43 remaining)

SYN Stealth Scan Timing: About 12.60% done; ETC: 09:44 (0:07:03 remaining)

SYN Stealth Scan Timing: About 16.72% done; ETC: 09:45 (0:07:33 remaining)

Discovered open port 222/tcp on 193.106.xx.xx

SYN Stealth Scan Timing: About 34.17% done; ETC: 09:47 (0:07:04 remaining)

SYN Stealth Scan Timing: About 39.70% done; ETC: 09:47 (0:06:29 remaining)

SYN Stealth Scan Timing: About 46.08% done; ETC: 09:47 (0:05:56 remaining)

Discovered open port 3310/tcp on 193.106.xx.xx

SYN Stealth Scan Timing: About 51.97% done; ETC: 09:47 (0:05:20 remaining)

Чем же так хорош iptables, если вот такая дыра в безопасности?

Туннели которые прикидываются http/imap/ftp
Шифрование диска в линукс

если вот такая дыра в безопасности?

Какая?

vvn_black ★★★★★
()

древний
2010

Ну а что не так с iptables? как приготовили, так и кушайте, очевидно же.

Есть масса рецептов по приготовлению изысканного блюда из него, попробуйте.

Aborigen1020
()

В случае Linux netfilter, который ты настраиваешь посредством iptables для пакета пришедшего на сетевой интерфейс есть два пути, в зависимости от того предназначен самому шлюзу или абоненту за шлюзом.

Вот смотри: https://www.opennet.ru/docs/RUS/iptables/misc/iptables-tutorial/images/tables_traverse.jpg

Слева показано как проходит пакет, адресованный самому шлюзу, справа - транзитный пакет.

И если у тебя шлюз и он должен защищать сеть за ним, то достаточно фильтровать трафик на цепочке forward, а цепочки input / output оставить без фильтрации.

Всё зависит от того, как ты настраивал правила iptables и что тестируешь nmap.

За подробностями вот: https://www.opennet.ru/docs/RUS/iptables/

И вообще, когда ты говоришь «что за дыра этот ваш …» я это читаю: «я не читал документацию и не знаю вообще как это работает и как настраивать и не смотрел текущие настройки».

anonymous
()
Ответ на: комментарий от anonymous

Мои правила

[root@host user]# iptables -L -v -n
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  19G 7338G f2b-sshd   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0
  19G 7345G ispmgr_deny_ip  all  --  *      *       0.0.0.0/0            0.0.0.0/0
  19G 7345G ispmgr_allow_ip  all  --  *      *       0.0.0.0/0            0.0.0.0/0
  19G 7345G ispmgr_allow_sub  all  --  *      *       0.0.0.0/0            0.0.0.0/0
  19G 7345G ispmgr_deny_sub  all  --  *      *       0.0.0.0/0            0.0.0.0/0
 157K 9475K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set ispmgr_limit_req src
  19G 7337G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
 380K   18M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW multiport dports 35000:35999
 158K 9040K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW tcp dpt:222
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW tcp dpt:222
  28M 1623M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW multiport dports 20:21,25,80,443,110,143,465,587,993,995,53,3306,5432,1500
60134 4236K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW multiport dports 53
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
1033K   72M ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
  46M 2738M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       192.168.xx.0/24      0.0.0.0/0            ctstate NEW tcp dpt:22
25117 1507K ACCEPT     tcp  --  *      *       193.106.xx.0/22     0.0.0.0/0            ctstate NEW tcp dpt:22
  59M 3273M REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  123  6662 DOCKER-ISOLATION  all  --  *      *       0.0.0.0/0            0.0.0.0/0
   70  3530 DOCKER     all  --  *      docker0  0.0.0.0/0            0.0.0.0/0
    7   690 ACCEPT     all  --  *      docker0  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
   53  3132 ACCEPT     all  --  docker0 !docker0  0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  docker0 docker0  0.0.0.0/0            0.0.0.0/0
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 19M packets, 61G bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain DOCKER (1 references)
 pkts bytes target     prot opt in     out     source               destination
   63  2840 ACCEPT     tcp  --  !docker0 docker0  0.0.0.0/0            172.17.0.2           tcp dpt:3306

Chain DOCKER-ISOLATION (1 references)
 pkts bytes target     prot opt in     out     source               destination
  123  6662 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0
yatakoi
() автор топика
Ответ на: комментарий от yatakoi

Как?

Если у тебя фильтруется транзитный трафик, то к какому IP ты подключаешься nmap?

Если к IP самого шлюза, то смысла нет, там цепочки input и output.

Если на шлюзе есть проброс целого IP на внутренний хост, то смотри как ты фильтруешь трафик до хоста через drop или reject.

И в iptables есть очерёдность правил.

В общем, пока только один вывод: ты не читал документацию и не умеешь настраивать.

anonymous
()
Ответ на: комментарий от anonymous

Вот правила

[root@iqhost m.kostromin]# iptables-save
# Generated by iptables-save v1.4.21 on Wed Aug 26 10:13:11 2020
*nat
:PREROUTING ACCEPT [759822:43442196]
:INPUT ACCEPT [251392:14781310]
:OUTPUT ACCEPT [1342889:80522579]
:POSTROUTING ACCEPT [1342912:80523623]
:DOCKER - [0:0]
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A POSTROUTING -s 172.17.0.2/32 -d 172.17.0.2/32 -p tcp -m tcp --dport 3306 -j M                                                                                        ASQUERADE
-A DOCKER -i docker0 -j RETURN
-A DOCKER ! -i docker0 -p tcp -m tcp --dport 3310 -j DNAT --to-destination 172.1                                                                                        7.0.2:3306
COMMIT
# Completed on Wed Aug 26 10:13:11 2020
# Generated by iptables-save v1.4.21 on Wed Aug 26 10:13:11 2020
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [21874606:67482655774]
:DOCKER - [0:0]
:DOCKER-ISOLATION - [0:0]
:f2b-sshd - [0:0]
:ispmgr_allow_ip - [0:0]
:ispmgr_allow_sub - [0:0]
:ispmgr_deny_ip - [0:0]
:ispmgr_deny_sub - [0:0]
-A INPUT -p tcp -j f2b-sshd
-A INPUT -j ispmgr_deny_ip
-A INPUT -j ispmgr_allow_ip
-A INPUT -j ispmgr_allow_sub
-A INPUT -j ispmgr_deny_sub
-A INPUT -m set --match-set ispmgr_limit_req src -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 35000:35999 -j                                                                                         ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 222 -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 222 -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 20:21,25,80,443                                                                                        ,110,143,465,587,993,995,53,3306,5432,1500 -j ACCEPT
-A INPUT -p udp -m conntrack --ctstate NEW -m multiport --dports 53 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.xx.0/24 -p tcp -m conntrack --ctstate NEW -m tcp --dport 22                                                                                         -j ACCEPT
-A INPUT -s 193.106.xx.0/22 -p tcp -m conntrack --ctstate NEW -m tcp --dport 22                                                                                         -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j DOCKER-ISOLATION
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A DOCKER -d 172.17.0.2/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 3306 -j                                                                                         ACCEPT
-A DOCKER-ISOLATION -j RETURN
yatakoi
() автор топика

Чем же так хорош iptables, если вот такая дыра в безопасности?

Проблема в том кто настраивал iptables.

Iptables очень хороший сетевой фильтр, но требует квалифицированной настройки.

anonymous
()

Строго говоря, сравнивать TMG (который уже несколько лет out of support, к слову сказать) и iptables - некорректно. TMG имеет много разных плюшек, которых нет у iptables. Это раз.

Два. Ты сейчас сравниваешь не два этих продукта, а то, как они настроены. Никакими дырами в iptables тут и не пахнет.

CaveRat ★★
()

В выхлопе TMG:

Scanning 82.162.xx.xx [4 ports]

Completed Ping Scan at 09:05, 2.08s elapsed (1 total hosts)

Nmap scan report for 82.162.xx.xx [host down]

То есть ICMP запрещен. По крайней мере тот, что используется nmap для сканирования(подозреваю обычный echo request, tcpdump в помощь)

В выхлопе правил iptables: 

1033K   72M ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0

Ээээ... Ну окей, чо.

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Туннели которые прикидываются http/imap/ftp
Security
Шифрование диска в линукс