Сканирования серверных портов. АНАЛИЗ протокола. Нужен.

[Музалёв Николай]

Уважаемые коллеги!
Не затруднится ли кто потратить на мой интерес 10ть минут и не посмотрит приведенный ниже протокол сканирования портов моих серверов и, по мере своих возможностей, - протокол этот прокомментирует в плане безопасности?
Спасибо.

Интересует меня в первую очередь три порта: 2000 , 8009 (портал??) , 1025 .
И еще теоритич. вопрос: что означает и почему протокол UDP имеет метку фильтован?

Код: Выделить всё

Starting Nmap 4.20 ( http://insecure.org ) at 2007-02-15 16:45 EET
Interesting ports on penta.bgd (A.B.C.D):
Not shown: 2259 closed ports
PORT     STATE         SERVICE
53/tcp     open            domain
80/tcp     open            http
389/tcp   open            ldap
427/tcp   open            svrloc
524/tcp   open            ncp
2000/tcp  open           callbook
8009/tcp  open           ajp13
53/udp    open|filtered domain
67/udp    open|filtered dhcps
123/udp  open|filtered ntp
161/udp  open|filtered snmp
427/udp  open|filtered svrloc
524/udp  open            ncp
1025/udp open|filtered blackjack

Nmap finished: 1 IP address (1 host up) scanned in 1.447 seconds
linux-210:/home/dim # nmap -sSU -fF A.B.C.D

Starting Nmap 4.20 ( http://insecure.org ) at 2007-02-15 16:46 EET
Interesting ports on homer.bgd (E.K.L.M):
Not shown: 2269 closed ports
PORT     STATE         SERVICE
524/tcp    open            ncp
123/udp   open|filtered ntp
161/udp   open|filtered snmp
1025/udp open|filtered blackjack

Nmap finished: 1 IP address (1 host up) scanned in 1.453 seconds

Доп.инфо:
На первом сервере установлены DNS/DHCP , LDAP, NDPS-сервисы.
Сервер идет МастеРепликом, но SECONDARY.

Второй сервер - чисто домашние каталоги. РВреплика, но SINGLE. Сам получает время из-вне от пограничного лин-сервера.

[Alex-M]

53/tcp + 53/udp = DNS
67/udp = DHCP/BootP Requests
80/tcp = HTTP (либо сам Веб, либо входная страница NRMa, если отдельный Веб заглушен)
123/udp = NTP (Timesync)
161/udp = SNMP (из initsys.ncf) Тут хорошо бы проверить, не светится ли оно в Инет и нет ли дефолтных коммьюнитей ака public, private и т.д.
389/tcp = LDAP
427/tcp + 427/udp = SLP
524/tcp + 524/udp = NCP Requests (tcp) + NCP Timesync (udp)
1025/udp = вот это хз, по Новелловской knowledgebase вроде принадлежит NAT-у, но вот для чего - ???
2000/tcp = порт управления DNS/DHCP Console
8009/tcp = NRM/SSL (HTTPSTK)

По идее всё ОК, но не стоит светить в Инет весь udp, за исключением 53 и 123 по необходимости, а также tcp 389, 2000, ибо не защищены SSLем.
Типа ИМХО...

ЗЫ - Ах да, про filtered. Взято из http://insecure.org/nmap/man/: "The state is either open, filtered, closed, or unfiltered. Open means that an application on the target machine is listening for connections/packets on that port. Filtered means that a firewall, filter, or other network obstacle is blocking the port so that Nmap cannot tell whether it is open or closed. Closed ports have no application listening on them, though they could open up at any time. Ports are classified as unfiltered when they are responsive to Nmap's probes, but Nmap cannot determine whether they are open or closed. Nmap reports the state combinations open|filtered and closed|filtered when it cannot determine which of the two states describe a port. The port table may also include software version details when version detection has been requested. When an IP protocol scan is requested (-sO), Nmap provides information on supported IP protocols rather than listening ports."

[Андрей Тр. aka RH]

по мере своих возможностей .. прокомментирует .. Спасибо.

Прокомментировать не возьмусь, но ссылочку подброшу ( если еще не читали ) : AppNote: Open Enterprise Server (OES) services security. Скажу сразу - написано много и по-английски, но почитать имеет смысл.