Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Уязвимости - [решено] SBS 2011 с белым IP

Ответить
Настройки темы
Уязвимости - [решено] SBS 2011 с белым IP
exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442


Конфигурация

Профиль | Отправить PM | Цитировать

Добрый день. есть ОС 2008 R2 SP1. имеет белый IP.
Запустил удалённо виндовый nmap +TCP ports, и вот что получил:

читать дальше »
Цитата:
Starting Nmap 5.51 ( http://nmap.org ) at 2011-09-15 10:57 W. Europe Daylight Time
NSE: Loaded 57 scripts for scanning.
Initiating Ping Scan at 10:57
Scanning XXX.YYY.ZZZ.AAA [4 ports]
Completed Ping Scan at 10:57, 0.12s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 10:57
Completed Parallel DNS resolution of 1 host. at 10:57, 0.00s elapsed
Initiating SYN Stealth Scan at 10:57
Scanning server.domain.tld (XXX.YYY.ZZZ.AAA) [65535 ports]
Discovered open port 993/tcp on XXX.YYY.ZZZ.AAA
Discovered open port 25/tcp on XXX.YYY.ZZZ.AAA
Discovered open port 110/tcp on XXX.YYY.ZZZ.AAA
Discovered open port 80/tcp on XXX.YYY.ZZZ.AAA
Discovered open port 143/tcp on XXX.YYY.ZZZ.AAA
Discovered open port 445/tcp on XXX.YYY.ZZZ.AAA
Discovered open port 995/tcp on XXX.YYY.ZZZ.AAA
Discovered open port 443/tcp on XXX.YYY.ZZZ.AAA
Discovered open port 808/tcp on XXX.YYY.ZZZ.AAA
SYN Stealth Scan Timing: About 7.93% done; ETC: 11:04 (0:06:00 remaining)
Discovered open port 6006/tcp on XXX.YYY.ZZZ.AAA
Discovered open port 46354/tcp on XXX.YYY.ZZZ.AAA
Completed SYN Stealth Scan at 11:00, 158.07s elapsed (65535 total ports)
Initiating Service scan at 11:00
Scanning 11 services on server.domain.tld (XXX.YYY.ZZZ.AAA)
Completed Service scan at 11:00, 49.31s elapsed (11 services on 1 host)
Initiating OS detection (try #1) against server.domain.tld (XXX.YYY.ZZZ.AAA)
Retrying OS detection (try #2) against server.domain.tld (XXX.YYY.ZZZ.AAA)
Initiating Traceroute at 11:01
Completed Traceroute at 11:01, 0.01s elapsed
NSE: Script scanning XXX.YYY.ZZZ.AAA.
Initiating NSE at 11:01
Completed NSE at 11:01, 40.04s elapsed
Nmap scan report for server.domain.tld (XXX.YYY.ZZZ.AAA)
Host is up (0.012s latency).
Not shown: 65524 filtered ports
PORT STATE SERVICE VERSION
25/tcp open smtp Microsoft Exchange ESMTP
| smtp-commands: server.domain.tld Hello [YYY.XXX.AAA.ZZZ], SIZE 104693760, PIPELINING, DSN, ENHANCEDSTATUSCODES, STARTTLS, AUTH NTLM LOGIN, 8BITMIME, BINARYMIME, CHUNKING
|_ This server supports the following commands: HELO EHLO STARTTLS RCPT DATA RSET MAIL QUIT HELP AUTH BDAT
80/tcp open http Microsoft IIS httpd 7.5
|_http-methods: No Allow or Public header in OPTIONS response (status code 302)
| http-title: Object moved
|_Did not follow redirect to HTTPS://SERVER.DOMAIN.TLD/
110/tcp open pop3 MS Exchange 2007 pop3d
|_pop3-capabilities: OK(K) STLS TOP UIDL
143/tcp open imap Microsoft Exchange 2007-2008 imapd
|_imap-capabilities: IMAP4 STARTTLS IMAP4rev1 UIDPLUS LOGINDISABLED LITERAL+ IDLE NAMESPACE CHILDREN
443/tcp open ssl/http Microsoft IIS httpd 7.5
|_sslv2: server still supports SSLv2
|_http-methods: No Allow or Public header in OPTIONS response (status code 302)
| http-title: Document Moved
|_Did not follow redirect to https://server.domain.tld/owa/
445/tcp open netbios-ssn
808/tcp open ccproxy-http?
993/tcp open ssl/imap Microsoft Exchange 2007-2008 imapd
|_imap-capabilities: AUTH=GSSAPI IMAP4 AUTH=NTLM AUTH=PLAIN UIDPLUS IMAP4rev1 LITERAL+ IDLE NAMESPACE CHILDREN
995/tcp open ssl/pop3 MS Exchange 2007 pop3d
|_pop3-capabilities: OK(K) UIDL USER TOP SASL(NTLM GSSAPI PLAIN)
6006/tcp open msrpc Microsoft Windows RPC
46354/tcp open msrpc Microsoft Windows RPC
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running (JUST GUESSING): Microsoft Windows Vista|2008|7|2003 (87%)
Aggressive OS guesses: Microsoft Windows Vista (87%), Microsoft Windows Server 2008 SP1 (86%), Microsoft Windows Vista SP0 - SP2, Server 2008, or Windows 7 Ultimate (86%),
Microsoft Windows Vista SP1 (86%), Microsoft Windows Vista SP2 (86%), Microsoft Windows 7 (85%), Microsoft Windows Vista Business (85%), Microsoft Windows Vista SP0 or SP1 (85%), Microsoft Windows Server 2003 (85%)
No exact OS matches for host (test conditions non-ideal).
Uptime guess: 9.599 days (since Mon Sep 05 20:39:33 2011)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=256 (Good luck!)
IP ID Sequence Generation: Busy server or unknown class
Service Info: OS: Windows
Host script results:
|_smbv2-enabled: Server supports SMBv2 protocol
| smb-os-discovery:
| OS: Windows Small Business Server 2011 Standard 7600 (Windows Small Business Server 2011 Standard 6.1)
| Name: DOMAIN\SERVER
|_ System time: 2011-09-15 11:01:04 UTC+2
TRACEROUTE (using port 80/tcp)
HOP RTT ADDRESS
1 0.00 ms server.domain.tld (XXX.YYY.ZZZ.AAA)


Что можете сказать про безопасность? Какие риски есть?
больше всего волнуют 80, 445, 6006 и 46354 порты.
Имеет смысл сделать скан с UDP портами?
и ещё вот это - TCP Sequence Prediction: Difficulty=256 (Good luck!). Что это означает?
Спасибо.

-------
Вежливый клиент всегда прав!

Отправлено: 14:26, 15-09-2011

 

Аватара для cameron

Ветеран


Сообщения: 4677
Благодарности: 1092

Профиль | Отправить PM | Цитировать

выключите на внешнем интерфейсе всё кроме TCP/IP и там же запретите Netbios over tcp/
после чего прогоните скан ещё раз.

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.

Это сообщение посчитали полезным следующие участники:

Отправлено: 15:35, 15-09-2011 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.

exo exo вне форума Автор темы

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать

cameron, один момент - у меня нет внутреннего интерфейса...
Т.е. если я выключу на единственном внешнем интерфейсе, как будут обрабатываться политики, если папка с политиками станет не доступна.
Дело может не только в политиках, всего не знаю...

сейчас отключил и 445 не доступен и при попытке входа на шару получаю - A device attached to the system is not configured. что хорошо но как это будет влиять на сам сервер?

читать дальше »
Код: Выделить весь код
dcdiag:
      Starting test: NCSecDesc
         ......................... SERVER passed test NCSecDesc
      Starting test: NetLogons
         [SERVER] User credentials does not have permission to perform this
         operation.
         The account used for this test must have network logon privileges
         for this machine's domain.
         ......................... SERVER failed test NetLogons
      Starting test: ObjectsReplicated
         ......................... SERVER passed test ObjectsReplicated
      Starting test: Replications
         [Replications Check,SERVER] DsReplicaGetInfo(PENDING_OPS, NULL) failed,
         error 0x2105 "Replication access was denied."
         ......................... SERVER failed test Replications
      Starting test: RidManager
         ......................... SERVER passed test RidManager
      Starting test: Services
            Could not open NTDS Service on SERVER, error 0x5 "Access is denied."
            Invalid service startup type: NtFrs on SERVER, current value
            DEMAND_START, expected value AUTO_START
            NtFrs Service is stopped on [SERVER]
         ......................... SERVER failed test Services
      Starting test: SystemLog
         An error event occurred.  EventID: 0x00009018
            Time Generated: 09/15/2011   15:38:48
            Event String:
            The following fatal alert was generated: 10. The internal error state is 1203.
         An error event occurred.  EventID: 0x00009018
            Time Generated: 09/15/2011   15:39:18
            Event String:
            The following fatal alert was generated: 10. The internal error state is 1203.
         ......................... SERVER failed test SystemLog


остальное pass.

-------
Вежливый клиент всегда прав!

Отправлено: 18:32, 15-09-2011 | #3


Аватара для cameron

Ветеран


Сообщения: 4677
Благодарности: 1092

Профиль | Отправить PM | Цитировать

Цитата exo:
cameron, один момент - у меня нет внутреннего интерфейса... »
у вас только один интерфейс и тот внешний?

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.

Отправлено: 21:07, 15-09-2011 | #4

exo exo вне форума Автор темы

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать

Цитата cameron:
у вас только один интерфейс и тот внешний? »
да. так надо после отключения некоторые порты закрылись, а нужное приложение вроде работает.
осталось отключить open msrpc Microsoft Windows RPC , или разрешить подключения только с 127.0.0.1, но в FW к RPC много чего есть.. какое именно нужно менять?

-------
Вежливый клиент всегда прав!

Отправлено: 22:26, 15-09-2011 | #5


Аватара для cameron

Ветеран


Сообщения: 4677
Благодарности: 1092

Профиль | Отправить PM | Цитировать

в таком случае мой совет неверен, поставьте галочки обратно.
Цитата exo:
какое именно нужно менять? »
не имею ни малейшего представления, меня Бог миловал поднимать КД на одном внешнем интерфейсе.

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.

Отправлено: 00:56, 16-09-2011 | #6

exo exo вне форума Автор темы

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать

просканировал UDP - ф шоке....
И тут я подумал - а не поменять ли мне активный профиль с доменного на общественный?
Жду когда закончится рабочий день......

-------
Вежливый клиент всегда прав!

Отправлено: 19:27, 16-09-2011 | #7

exo exo вне форума Автор темы

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать

решилось всё просто: отключаем ненужные правила - трафик блокируется, но при этом для 127.0.0.1 всё работает, после правки А записей в ДНС...

-------
Вежливый клиент всегда прав!

Последний раз редактировалось exo, 23-09-2011 в 18:59.

Отправлено: 19:33, 17-09-2011 | #8

exo exo вне форума Автор темы

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать

поздравьте меня. я алень!!!
можно было по другому всё сделать без перенастройки сервера (127 и пр.)
в каждом правиле можно было указать Scope - Local network. А эта сеть определяется маской на сетевом интерфейсе.
Т.е. для хоста и серверов из этой же сети правило работает. для других - нет. Т.е. блок.

-------
Вежливый клиент всегда прав!

Отправлено: 17:50, 16-10-2011 | #9



Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Уязвимости - [решено] SBS 2011 с белым IP

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
2008 R2 - SBS 2011 exo Windows Server 2008/2008 R2 15 16-09-2011 00:47
Microsoft представила Windows SBS 2011 Essentials OSZone News Новости и события Microsoft 0 13-07-2011 01:30
Разное - Развёртывание SBS 2011 Standard !! Alex2104 Другие серверные продукты 1 04-07-2011 14:52
Разное - [решено] Миграция с SBS 2008 на sbs 2011 Magikanin2006 Другие серверные продукты 1 30-06-2011 17:52
2008 R2 - Windows SBS 2011 Standart mifrith Windows Server 2008/2008 R2 7 31-01-2011 10:51


« Предыдущая тема | Следующая тема »


 
Переход