Pillole di #penetrationtest

Se nmap ci indica una porta "tcpwrapped", si tratta di un probabile rilevamento del servizio TCPWrappers Unix.

Usiamo al solito il condizionale, in quanto molte delle ricerche nmap "deducono" qualcosa dalle risposte ottenute. Ma se questo è vero, lo stato della porta è più articolato che essere semplicemente aperta, chiusa o filtrata.

TCP Wrappers è un super-servizio ("super-listener") in uso nei sistemi Unix (su Linux fino all'ingresso nella scena di systemd, che ne prende il ruolo) capace di intercettare la richiesta di apertura socket per qualsivoglia porta per dirottarla poi verso un processo capace di gestire il protocollo presunto (in realtà è il programma che si registra per avere questa redirezione, quindi il legame porta-programma è definito in origine).

Naturalmente TCP Wrappers ha capacità di ACL (a difesa di programmi e non di porte) che consentono di limitare gli accessi secondo alcune condizioni, quindi può chiudere la porta ... SLAM !

Per nmap questa porta può anche essere considerata "aperta" (quando nessuna risposta negativa è giunta, in mancanza di ACL), ma può anche essere che il programma "backend" non sia operativo (o non ci sia affatto) e questo confonde le idee. Può inoltre trovarsi con un diniego da parte di TCP Wrappers e quindi il tutto si complica ancora di più.

E' naturale che tutto questo dipende fortemente dal tipo di analisi che è stata condotta (parametri nmap), dagli elementi in gioco (ip, porte, ecc) e tutto quanto sia correlato alle modalità di intervento di TCP Wrappers.

Questo discorso vale se la porta rilevata è una sola ... altrimenti potremmo essere di fronte ad un altro fenomeno.

nmap si lascia anche confondere.... non è perfetto: magari siamo di fronte ad uno strumento di sicurezza che tenta di ingannare i software di scansione ... ma questo è un altro discorso.

Tweet