Networking

有人可以解釋這個漏洞的含義嗎?

  • November 7, 2019

我在理解這個漏洞的含義時遇到了一些問題,有人可以幫助我理解這一點嗎?

我對結果部分特別困惑。為什麼源埠 25 與隨機源埠有任何不同,它們都來自外部世界?

漏洞:

TCP Source Port Pass 防火牆

威脅:

您的防火牆策略似乎允許具有特定源埠的 TCP 數據包通過。

影響:

某些類型的請求可以通過防火牆。此漏洞報告的結果部分中列出的埠號是未經授權的使用者可以用來繞過您的防火牆的源埠。

解決方案:

確保您的所有過濾規則都正確且足夠嚴格。如果防火牆打算拒絕與特定埠的 TCP 連接,則應將其配置為阻止所有到達該埠的 TCP SYN 數據包,無論源埠如何。

合規性:

不適用

結果:

主機響應了 4 次使用源埠 25 發送到目標埠 22 的 TCP SYN 探測。但是,它根本沒有響應使用隨機源埠發送到同一目標埠的 4 個 TCP SYN 探測。

當客戶端連接到伺服器時,客戶端獲取它在 1024 和 65535 之間的空閒 tcp 埠。在 Linux/Unix 上,非 root 使用者無法獲取小於 1024 的埠。然後它連接到一個眾所周知的埠,例如80 為 http…

該報告聲稱,如果源埠是特定的(在您的範例中為 22 和 25),它可以到達目標埠,但如果它使用隨機埠(例如,在 1024 和 65535 之間)則不能。客戶端通常使用隨機埠,因此您的規則不應考慮源埠號

所以你的規則之一是不好的,因為如果源埠是特定的,它就允許流,而它應該只過濾目標埠,這是兩者之間唯一的靜態部分。

我猜你錯過了通過不經意間交換源值和目標值來創建你的規則之一

引用自:https://serverfault.com/questions/109716