Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   [решено] SBS 2011 с белым IP (http://forum.oszone.net/showthread.php?t=215685)

exo 15-09-2011 14:26 1753541
SBS 2011 с белым IP
 
Добрый день. есть ОС 2008 R2 SP1. имеет белый IP.
Запустил удалённо виндовый nmap +TCP ports, и вот что получил:

читать дальше »
Цитата:
Starting Nmap 5.51 ( http://nmap.org ) at 2011-09-15 10:57 W. Europe Daylight Time
NSE: Loaded 57 scripts for scanning.
Initiating Ping Scan at 10:57
Scanning XXX.YYY.ZZZ.AAA [4 ports]
Completed Ping Scan at 10:57, 0.12s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 10:57
Completed Parallel DNS resolution of 1 host. at 10:57, 0.00s elapsed
Initiating SYN Stealth Scan at 10:57
Scanning server.domain.tld (XXX.YYY.ZZZ.AAA) [65535 ports]
Discovered open port 993/tcp on XXX.YYY.ZZZ.AAA
Discovered open port 25/tcp on XXX.YYY.ZZZ.AAA
Discovered open port 110/tcp on XXX.YYY.ZZZ.AAA
Discovered open port 80/tcp on XXX.YYY.ZZZ.AAA
Discovered open port 143/tcp on XXX.YYY.ZZZ.AAA
Discovered open port 445/tcp on XXX.YYY.ZZZ.AAA
Discovered open port 995/tcp on XXX.YYY.ZZZ.AAA
Discovered open port 443/tcp on XXX.YYY.ZZZ.AAA
Discovered open port 808/tcp on XXX.YYY.ZZZ.AAA
SYN Stealth Scan Timing: About 7.93% done; ETC: 11:04 (0:06:00 remaining)
Discovered open port 6006/tcp on XXX.YYY.ZZZ.AAA
Discovered open port 46354/tcp on XXX.YYY.ZZZ.AAA
Completed SYN Stealth Scan at 11:00, 158.07s elapsed (65535 total ports)
Initiating Service scan at 11:00
Scanning 11 services on server.domain.tld (XXX.YYY.ZZZ.AAA)
Completed Service scan at 11:00, 49.31s elapsed (11 services on 1 host)
Initiating OS detection (try #1) against server.domain.tld (XXX.YYY.ZZZ.AAA)
Retrying OS detection (try #2) against server.domain.tld (XXX.YYY.ZZZ.AAA)
Initiating Traceroute at 11:01
Completed Traceroute at 11:01, 0.01s elapsed
NSE: Script scanning XXX.YYY.ZZZ.AAA.
Initiating NSE at 11:01
Completed NSE at 11:01, 40.04s elapsed
Nmap scan report for server.domain.tld (XXX.YYY.ZZZ.AAA)
Host is up (0.012s latency).
Not shown: 65524 filtered ports
PORT STATE SERVICE VERSION
25/tcp open smtp Microsoft Exchange ESMTP
| smtp-commands: server.domain.tld Hello [YYY.XXX.AAA.ZZZ], SIZE 104693760, PIPELINING, DSN, ENHANCEDSTATUSCODES, STARTTLS, AUTH NTLM LOGIN, 8BITMIME, BINARYMIME, CHUNKING
|_ This server supports the following commands: HELO EHLO STARTTLS RCPT DATA RSET MAIL QUIT HELP AUTH BDAT
80/tcp open http Microsoft IIS httpd 7.5
|_http-methods: No Allow or Public header in OPTIONS response (status code 302)
| http-title: Object moved
|_Did not follow redirect to HTTPS://SERVER.DOMAIN.TLD/
110/tcp open pop3 MS Exchange 2007 pop3d
|_pop3-capabilities: OK(K) STLS TOP UIDL
143/tcp open imap Microsoft Exchange 2007-2008 imapd
|_imap-capabilities: IMAP4 STARTTLS IMAP4rev1 UIDPLUS LOGINDISABLED LITERAL+ IDLE NAMESPACE CHILDREN
443/tcp open ssl/http Microsoft IIS httpd 7.5
|_sslv2: server still supports SSLv2
|_http-methods: No Allow or Public header in OPTIONS response (status code 302)
| http-title: Document Moved
|_Did not follow redirect to https://server.domain.tld/owa/
445/tcp open netbios-ssn
808/tcp open ccproxy-http?
993/tcp open ssl/imap Microsoft Exchange 2007-2008 imapd
|_imap-capabilities: AUTH=GSSAPI IMAP4 AUTH=NTLM AUTH=PLAIN UIDPLUS IMAP4rev1 LITERAL+ IDLE NAMESPACE CHILDREN
995/tcp open ssl/pop3 MS Exchange 2007 pop3d
|_pop3-capabilities: OK(K) UIDL USER TOP SASL(NTLM GSSAPI PLAIN)
6006/tcp open msrpc Microsoft Windows RPC
46354/tcp open msrpc Microsoft Windows RPC
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running (JUST GUESSING): Microsoft Windows Vista|2008|7|2003 (87%)
Aggressive OS guesses: Microsoft Windows Vista (87%), Microsoft Windows Server 2008 SP1 (86%), Microsoft Windows Vista SP0 - SP2, Server 2008, or Windows 7 Ultimate (86%),
Microsoft Windows Vista SP1 (86%), Microsoft Windows Vista SP2 (86%), Microsoft Windows 7 (85%), Microsoft Windows Vista Business (85%), Microsoft Windows Vista SP0 or SP1 (85%), Microsoft Windows Server 2003 (85%)
No exact OS matches for host (test conditions non-ideal).
Uptime guess: 9.599 days (since Mon Sep 05 20:39:33 2011)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=256 (Good luck!)
IP ID Sequence Generation: Busy server or unknown class
Service Info: OS: Windows
Host script results:
|_smbv2-enabled: Server supports SMBv2 protocol
| smb-os-discovery:
| OS: Windows Small Business Server 2011 Standard 7600 (Windows Small Business Server 2011 Standard 6.1)
| Name: DOMAIN\SERVER
|_ System time: 2011-09-15 11:01:04 UTC+2
TRACEROUTE (using port 80/tcp)
HOP RTT ADDRESS
1 0.00 ms server.domain.tld (XXX.YYY.ZZZ.AAA)


Что можете сказать про безопасность? Какие риски есть?
больше всего волнуют 80, 445, 6006 и 46354 порты.
Имеет смысл сделать скан с UDP портами?
и ещё вот это - TCP Sequence Prediction: Difficulty=256 (Good luck!). Что это означает?
Спасибо.

cameron 15-09-2011 15:35 1753580
выключите на внешнем интерфейсе всё кроме TCP/IP и там же запретите Netbios over tcp/
после чего прогоните скан ещё раз.

exo 15-09-2011 18:32 1753714
cameron, один момент - у меня нет внутреннего интерфейса...
Т.е. если я выключу на единственном внешнем интерфейсе, как будут обрабатываться политики, если папка с политиками станет не доступна.
Дело может не только в политиках, всего не знаю...

сейчас отключил и 445 не доступен :) и при попытке входа на шару получаю - A device attached to the system is not configured. что хорошо :) но как это будет влиять на сам сервер?

читать дальше »
Код:
dcdiag:
      Starting test: NCSecDesc
        ......................... SERVER passed test NCSecDesc
      Starting test: NetLogons
        [SERVER] User credentials does not have permission to perform this
        operation.
        The account used for this test must have network logon privileges
        for this machine's domain.
        ......................... SERVER failed test NetLogons
      Starting test: ObjectsReplicated
        ......................... SERVER passed test ObjectsReplicated
      Starting test: Replications
        [Replications Check,SERVER] DsReplicaGetInfo(PENDING_OPS, NULL) failed,
        error 0x2105 "Replication access was denied."
        ......................... SERVER failed test Replications
      Starting test: RidManager
        ......................... SERVER passed test RidManager
      Starting test: Services
            Could not open NTDS Service on SERVER, error 0x5 "Access is denied."
            Invalid service startup type: NtFrs on SERVER, current value
            DEMAND_START, expected value AUTO_START
            NtFrs Service is stopped on [SERVER]
        ......................... SERVER failed test Services
      Starting test: SystemLog
        An error event occurred.  EventID: 0x00009018
            Time Generated: 09/15/2011  15:38:48
            Event String:
            The following fatal alert was generated: 10. The internal error state is 1203.
        An error event occurred.  EventID: 0x00009018
            Time Generated: 09/15/2011  15:39:18
            Event String:
            The following fatal alert was generated: 10. The internal error state is 1203.
        ......................... SERVER failed test SystemLog


остальное pass.

cameron 15-09-2011 21:07 1753798
Цитата:
Цитата exo
cameron, один момент - у меня нет внутреннего интерфейса... »
у вас только один интерфейс и тот внешний?

exo 15-09-2011 22:26 1753866
Цитата:
Цитата cameron
у вас только один интерфейс и тот внешний? »
да. так надо :) после отключения некоторые порты закрылись, а нужное приложение вроде работает.
осталось отключить open msrpc Microsoft Windows RPC , или разрешить подключения только с 127.0.0.1, но в FW к RPC много чего есть.. какое именно нужно менять?

cameron 16-09-2011 00:56 1753949
в таком случае мой совет неверен, поставьте галочки обратно.
Цитата:
Цитата exo
какое именно нужно менять? »
не имею ни малейшего представления, меня Бог миловал поднимать КД на одном внешнем интерфейсе.

exo 16-09-2011 19:27 1754480
просканировал UDP - ф шоке....
И тут я подумал - а не поменять ли мне активный профиль с доменного на общественный?
Жду когда закончится рабочий день......

exo 17-09-2011 19:33 1754988
решилось всё просто: отключаем ненужные правила - трафик блокируется, но при этом для 127.0.0.1 всё работает, после правки А записей в ДНС...

exo 16-10-2011 17:50 1774659
поздравьте меня. я алень!!!
можно было по другому всё сделать без перенастройки сервера (127 и пр.)
в каждом правиле можно было указать Scope - Local network. А эта сеть определяется маской на сетевом интерфейсе.
Т.е. для хоста и серверов из этой же сети правило работает. для других - нет. Т.е. блок.


Время: 18:02.

Время: 18:02.
© OSzone.net 2001-