Dubbio su porte aperte...

**alwaysnew** · 25-10-2005, 13:53

Ciao a tutti, oggi ho provato ad effettuare una scansione delle porte con nmap sul mio pc e questo è il risultato:

(The 131059 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
111/tcp open rpcbind
111/udp open|filtered rpcbind
137/udp open|filtered netbios-ns
138/udp open|filtered netbios-dgm
139/tcp open netbios-ssn
445/tcp open microsoft-ds
631/tcp open ipp
631/udp open|filtered unknown
4662/tcp open unknown
5353/udp open|filtered unknown
32768/udp open|filtered omad
49793/udp open unknown

la porta che ho aperto io è la 4662, mentre non riesco a capire le altre se è giusto che siano aperte o meno.
I servizi ssh rpcbin netbios e microsoft penso che vadano bene, le porte 631 sono aperte da cups(ho usato fuser) la 5353 e la 32768 sono aperte da mdnsd, mentre l'ultima porta non so cosa possa essere, ho provato a usar fuser ma nn mi da risultati e ho notato che ripetendo il comando nmap questa porta cambia sempre.
come posso rintrcciare il servizio che la apre?! é potenzialmente pericolosa??
Come distribuzione uso la suse linux 10.0
Grazie

**Habanero** · 25-10-2005, 14:09

un netstat che ti dice?

**billiejoex** · 25-10-2005, 14:30

Qualche consiglio che posso darti:
Visto il risultato "server like" di nmap posso intuire tu abbia due interfacce di rete, una LAN e una WAN. In tal caso il demone di smbd di samba lascialo in listening sulla sola interfaccia LAN. In questo modo cominci a chiudere la 139 e 137 tcp lato WAN.
Edita /etc/samba/smb.conf e aggiungi le seguenti righe nella sezione [global]:

codice:

bind interfaces only = yes  
interfaces = ethx #specifica il numero dell'interfaccia al posto di x

Abilita, inoltre, se non l'hai già fatto, un range di ip "fidato" che il demone accetterà escludendo tutti gli altri che non sono specificati. Avendo una rete 192.168.1.0/24, ad es, aggiungi al solito [global]:

codice:

hosts allow = 127.0.0.1 192.168.1.0/255.255.255.0

(io che ho rete fastweb, ad esempio, senza impostare queste 3 regole sarei costantemente contattato da ip della mia sottorete che tentano di accedere a samba)
Ti consiglio, inoltre, di cercare di bloccare qualunque connessione in ingresso (iptables -A INPUT -i eth[wan] -j DROP) salvo per quelle porte su cui hai attivo un demone che desideri rendere esplicitamente disponibile all'esterno e che, a occhio e croce, mi pare sia il solo sshd (iptables -A INPUT -i eth[wan] -p TCP --dport 22 -j ACCEPT).

l'ultima porta non so cosa possa essere.
come posso rintrcciare il servizio che la apre?!

Al posto di usare netstat usa ss.
Dando un "ss -a -p" ti verrano stampati a video tutti i socket attualmente in uso, sia quelli in LISTENING che quelli con connessione ESTABLISHD.
Osservano il pid associato al socket puoi facilmente determinare il processo che lo utilizza tramite un:

ps aux |grep numero_pid

Assicurati (di nuovo) che lato WAN non ci sia nessun socket, salvo ssh, che accetta connessioni dall'esterno.

Saluti

**alwaysnew** · 26-10-2005, 00:36

Ciao, non ho 2 interfacce ethernet, sono collecato alla wan attraverso un router, adesso non ho la possibilita di provare, ma domani vi faro sapere!!
intanto grazie!
ciao ciao

**tony83** · 02-11-2005, 13:56

Originariamente inviato da alwaysnew
Ciao a tutti, oggi ho provato ad effettuare una scansione delle porte con nmap sul mio pc e questo è il risultato:

(The 131059 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
111/tcp open rpcbind
111/udp open|filtered rpcbind
137/udp open|filtered netbios-ns
138/udp open|filtered netbios-dgm
139/tcp open netbios-ssn
445/tcp open microsoft-ds
631/tcp open ipp
631/udp open|filtered unknown
4662/tcp open unknown
5353/udp open|filtered unknown
32768/udp open|filtered omad
49793/udp open unknown

la porta che ho aperto io è la 4662, mentre non riesco a capire le altre se è giusto che siano aperte o meno.
I servizi ssh rpcbin netbios e microsoft penso che vadano bene, le porte 631 sono aperte da cups(ho usato fuser) la 5353 e la 32768 sono aperte da mdnsd, mentre l'ultima porta non so cosa possa essere, ho provato a usar fuser ma nn mi da risultati e ho notato che ripetendo il comando nmap questa porta cambia sempre.
come posso rintrcciare il servizio che la apre?! é potenzialmente pericolosa??
Come distribuzione uso la suse linux 10.0
Grazie

scusate ma cosa sono di preciso queste porte?
definizione? .. non ho mai capito bene!

**billiejoex** · 02-11-2005, 14:07

Chiedere è lecito ma per questo genere di cose esiste google...
http://www.google.it/search?hl=it&q=...nG=Cerca&meta=

**tony83** · 02-11-2005, 14:11

Originariamente inviato da billiejoex
Chiedere è lecito ma per questo genere di cose esiste google...
http://www.google.it/search?hl=it&q=...nG=Cerca&meta=

si ma ho trovato pochissimo! e ancora non mi è ben chiaro!

**Habanero** · 02-11-2005, 14:41

cerchi una definizione di porta tcp/ip?

http://sicurezza.html.it/articoli/ar...&idarticoli=37

**tony83** · 02-11-2005, 14:45

Originariamente inviato da Habanero
cerchi una definizione di porta tcp/ip?

http://sicurezza.html.it/articoli/ar...&idarticoli=37

ok grazie!

Discussione: Dubbio su porte aperte...

Strumenti discussione

Ricerca discussione

Visualizza

Dubbio su porte aperte...

Re: Dubbio su porte aperte...

Permessi di invio