Connettersi a servizi chiusi dal firewall

[mark2x]

Da un post precedente, mi nasce una curiosità (che mi sono sempre chiesto ma non ho mai approfondito).

Allora, poniamo di avere un server in DMZ.
Il router di frontiera natta l'IP statico pubblico assegnato al server in IP locale e nel contempo il firewall blocca tutte le connessioni out->in non desiderate, ovvero chiude tutte le porte tranne la 80 (ad esempio).

Se però il server ha servizi in ascolto sull'Internet (non bindati solo a localhost per intenderci), con alcune tecniche (vedi nmap) è possibile (o almeno nmap si prefigge di) ottenere una lista di porte effettivamente attive ma "firewallate" (cioè nello stato filtered).

Bene, ma poi è possibile connettersi a tali servizi, sempre dall'Internet?

[billiejoex]

Allora, poniamo di avere un server in DMZ.
Il router di frontiera natta l'IP statico pubblico assegnato al server in IP locale e nel contempo il firewall blocca tutte le connessioni out->in non desiderate, ovvero chiude tutte le porte tranne la 80 (ad esempio).

Se però il server ha servizi in ascolto sull'Internet (non bindati solo a localhost per intenderci), con alcune tecniche (vedi nmap) è possibile (o almeno nmap si prefigge di) ottenere una lista di porte effettivamente attive ma "firewallate" (cioè nello stato filtered).

nmap utilizza varie tecniche per determinare gli stati di una porta.
Una porta chiusa, a quanto mi pare di capire leggendo, nmap la determina nel caso in cui mandando un pacchetto TCP con flag "FIN" attivato ne venga risposto uno con flag "RST" attivato:

http://insecure.org/nmap/nmap_doc.html

"The idea is that closed ports tend to reply to your FIN packet with the proper RST. Open ports, on the other hand, tend to ignore the packet in question"

Bene, ma poi è possibile connettersi a tali servizi, sempre dall'Internet?

No. Non in questo senso almeno: le due cose non sono correlate.
Credo possa interessarti dare uno sguardo a:
http://www.s0ftpj.org/bfi/dev/BFi13-dev-17

[mark2x]

Da una medesima sottorete posso (lontanamente) comprendere come sia possibile connettersi ad un servizio oltre il NAT [ma non oltre il firewall?].

Ma, se ho ben capito, risulta impossibile connettersi da client con provider A a porta server di server con provider B, se questa è filtrata. Giusto?

[billiejoex]

Dovresti spiegarti un po' meglio.
Gia il primo messaggio avevo fatto fatica a comprenderlo, ma quest'ultimo...
Cosa ti serve sapere di preciso?

[mark2x]

Mi hai invitato a leggere un whitepaper sulla fattibilità di connettersi ad un servizio dietro un NAT, entro alcune condizioni: medesima sottorete (diciamo medesimo provider).

Bene, questo mi è chiaro (diciamo..) ma quindi la risposta alla mia domanda ("E' possibile connettersi da ogni client di un qualsivoglia provider, indipendentemente quindi dalla topologia della rete, ad un servizio filtrato di un server?") è NEGATIVA a quanto capisco.

Giusto?

Ma allora, a che serve, in fondo in fondo, nmap...?

[billiejoex]

Mi hai invitato a leggere un whitepaper sulla fattibilità di connettersi ad un servizio dietro un NAT, entro alcune condizioni: medesima sottorete (diciamo medesimo provider).

Bene, questo mi è chiaro (diciamo..) ma quindi la risposta alla mia domanda ("E' possibile connettersi da ogni client di un qualsivoglia provider, indipendentemente quindi dalla topologia della rete, ad un servizio filtrato di un server?") è NEGATIVA a quanto capisco.

Giusto?

Connettersi a macchine stanti dietro a NAT dovrebbe, di norma, non essere possibile, salvo casi quali quello descritto nell'articolo di BfI: errata configurazione da parte dell'amministratore, errata implementazione del NAT stesso (es: router da due soldi), ecc..
Se un servizio è "filtrato", ovvero se vi è una regola sul firewall che ne nega deliberatamente la connessione, a quel servizio non ti ci potrai ovviamente connettere (era questa la tua domanda?).

Noto che parli di "provider" riferendoti, credo a "NAT", ma queste sono due cose totalmente differenti (per questo non ho capito il tuo precedentemente messaggio, complice anche la mia febbre a 39).
Vedi se questo ti chiarisce un po:
http://forum.html.it/forum/showthrea...27#post9815027

Ma allora, a che serve, in fondo in fondo, nmap...?

Continuo a non capire quale sia il tuo dubbio dato che nmap è una cosa e il connettersi a servizi firewallati è un'altra.
nmap è un port scanner con varie funzionalità. Ci fai auditing di rete: rilevi quali macchine sono up, lo stato delle loro porte, l'OS utilizzato, ecc...
Qual è il nesso tra le due cose?

[mark2x]

No, non parlo di provider in quanto a NAT (ovviamente....), ma in quanto a medesima sottorete dei suoi clienti (sempre riferendomi all'articolo).

Ma non importa: alla domanda mi hai già risposto con una negazione.
Da questo mi è venuto da chiedermi (e non mi sembra di spiegarmi così male ): perchè nmap ha metodi così sofisticati per rilevare porte aperte dietro un firewall (perchè li ha) quando poi, una volta trovate queste informazioni non puoi farci nulla?

[billiejoex]

Perchè il suo scopo è fare appunto auditing.
Sapere se una porta è effettivamente chiusa può fare comodo all'amministratore che ha configurato quel firewall in quella data maniera.
nmap non serve esclusivamente per pianificare attacchi.

[mark2x]

In quest'ottica mi pare davvero di poca utilità.
Forse sottende attacchi ai firewall (che alcuni testi riportano) ...

[billiejoex]

In quest'ottica mi pare davvero di poca utilità.

Considerando la tipologia del software (nmap) a me pare del tutto lecito e tutt'altro che inutile.
Certo che se tu come unico obbiettivo hai quello di connetterti ad una porta filtrata questa feature specifica non ti serve.
...Ma è un po' come dire che la funzione di messaggi privati di questo forum è inutile solo perchè tu non la usi.

Forse sottende attacchi ai firewall (che alcuni testi riportano)

No. Stiamo parlando di puro e semplice auditing:
http://www.google.it/search?num=100&...ition&ct=title
http://www.google.com/search?hl=en&q...=Google+Search
Nessun riferimento ad attacchi al firewall, semplicemente viene determinato in maniera "generica" lo stato delle porte della macchina remota al fine di ottenere un'analisi:
http://insecure.org/nmap/man/man-por...ng-basics.html
Con "generica" intendo che l'analisi si basa sui comportamenti più comuni che gli stack di rete assumono nei confronti di sollecitazioni esterne, ma nulla vieta all'amministratore di riconfigurare lo stack ad-hoc, ad esempio tramite iptables, e sfalsare i risultati di tale analisi.

Nmap, a quanto ne so, non fornisce alcuna funzione che attua esplicitamente un attacco. E' un software che fa tutt'altro e adempie ad altri scopi.