UDP port 500 på en Pix vises ikke i en Nessus rapport

http://www.bekkoame.ne.jp/~s_ita/port/port500-599.html
500 tcp/udp isakmp isakmp
500 udp # Cisco Systems

http://archives.neohapsis.com/archives/incidents/2000-12/0110.html
Port 500 is used by IKE (Internet Key Exchange). This is typically used
for IPSEC-based VPN software, such as Freeswan, PGPnet, and various
vendors of in-a-box VPN solutions such as Cisco. (For anyone that
doesn't know, VPN = Virtual Private Network, and refers to an encrypted
tunnel between two hosts or sites over which IP applications can be
run. SSH port forwarding is actually a form of VPN). IKE is used to set
up the session keys. The actual session is usually sent with ESP
(Encapsulated Security Payload) packets, IP protocol 50 (but some
in-a-box VPN's such as Cisco are capable of negotiating to send the
encrypted tunnel over a UDP channel, which is useful for use across
firewalls that block IP protocols other than TCP or UDP).


So as was mentioned in another message, this could be a probe looking
for a VPN box, or else your user on y.y.y.y is trying to set up a VPN
to remote site x.x.x.x

Dette forklarer ikke hvorfor UDP port 500 er med i den første rapport fra Nessus versio 2 og ikke i rapporten fra Nessus version 3.

Det forklarer evt at i må ha haft en sesseion igang mens i scannede. og ved næste scanning havde i ikke.

derud over kan du se at det er noget cisco relateret og ikke blot en eller anden port der står og flyver med et skummelt program

Nessus er verdenskendt for sine falske positiver. Politikken er at man hellere vil flage en sårbarhed der ikke er der , end man vil overse en sårbarhed. Dette er bl.a. derfor en nessus rapport ikke kan bruges til noget når den står alene og altid skal gennemgås af en sårbarhedsanalytikker der kan luge ud i falske positiver og finde de falske negativer samt forholde sig til de sårbarheder der findes.

Hvis du søger uddannelse på området, så se på CPSA certificeringsuddannelsen på www.protego.dk (de er nu købt af PWC) jeg har den i øvrigt selv og underviser i dag på den for pwc

I øvrigt skal man huske at UDP er connection less og i forhold til scanninger betyder det at hvis porten ikke svare på forespørgslen, så tolkes det som om porten er åben. Er porten lukket, forventer scanneren en ICMP port unreacable tilbage. Dette betyder at hvis din firewall var indstillet til ikke at sende ICMP pakker (det er ofte kaldes stealth eller ICMP stealth) så vil scanneren tolke det manglende svar som om porten er åben. Hvis din firewall i dag svare med ICMP vil scanneren i dag tolke det som om porten er lukket da den modtager svar (ICMP)

Mange tak for hjælpen... ;-)

Hej Bufferzone,

Vil du venligst forklare mig den del om icmp igen?
Jeg har fået at vide, at Cisco Pix firewall vil droppe alle pakker som kommer til UDP port 500 hvis de ikke indeholder præsis de informationer som Pix'en forventer.
Dvs. den vil aldrig sende et svar fordi Nessus scanneren ikke kender de rigtige parametre.

Hvor kommer ICMP ind i billedet?

ICMP kan enten tillades til interfacet eller man kan evt. tillade et ICMP svar igennem firewallen, men jeg har svært ved at se sammenhængen til UDP port 500?

Please help me...

Det er således:

ICMP protokollen, der bl.a. indeholder ping, er lavet til at håndterer midlertidige fejl og uhensigtsmæssigheder på nettet. Hvis vi først ser på en situation hvor ICMP ikke filtreres fra af firewallen (dette gøres ofte da ICMP både kan bruges til at finde oplysninger og også til forskellige angreb, f.eks. Loki og TFN)

Hvis du sender en forespørgsel (TCP eller UDP) til en klient og denne ikke svare (slukket eller død) så vil den sidste router før klienten sende en ICMP hosr unreacable. Hvis du forespørger en port. og denne er lukket, vil maskinen svare med en ICMP port unreacable.

Forskellen mellem TCP og UDP er at UDP er connectionless. Når du laver en TCP forbindelse, så SKAL der et svar tilbage for at det virker (en SYN pakke sendes, Der svares med en SYN og en ACK pakke, der svares med en ACK pakke, også kaldet tree way handshake). Når vi taler UDP så har afsenderen ikke behov for svar, der sender bare i en lind strøm. Derfor er det sådan at scannere (Nessus og nmap og nessus bruger faktisk nmap) tolker det at der ikke svares som tegn på at det virker og at (UDP pakkerne modtages.

En firewall kan konfigureres på mange forskellige måder. Du kan lukke den helt ned, så den ikke svare på noget som heldst. Så kan du åbne for lidt af det, f.eks. port Unreacable eller du kan lukke op.

Dette betyder at du altid er nødt til at have flere indikationer på at en UDP port er åben en bare port scanningen.

OK, men situationen er ikke ændret på firewallen.
Firmware og opsætning er den samme.

Hvis jeg forstår dig rigtigt så mener du:

Nessus 2.x finder ud af at UDP port 500 er åben fordi den ikke får en ICMP unreacable. Hverken fra firewallen selv eller fra den sidste router.
Nessus 3.x finder ikke ud af, at UDP port 500 er åben... Hvorfor?
Er Nessus blevet dårligere i version 3.X end den var i version 2.X?

Uden af vide det med sikkerhed, så kan det være fordi nessus 3.x er blevet bedre til at validerer sine fund og bruger endnu en parameter til at validerer tilstedeværelsen af IPSec (og isakmp protokollen) på port 500.

En normal sårbarhedsanalyse vil gennemgå nessusrapporten i detaljer og også kikke på de muligheder den ikke finder, typisk er det tilstedeværelsen af mulighed for VPN i forskellige versioner (IPSec, PPTP, L2TP m.m.) Fjern administrationsværktøjer som DAmeware, VNC og Remotedesktop, Virtualisations software som VMWare og Microsoft Virutal machin), kommunkiationsting og p2p som kazaa, limewire, emula, icq, msn osv osv.

Nessus er kun en lille del af analysen og kan ikke stå allene

Jeg har forstået, at scanningen ikke kan stå alene, men jeg mangler stadig en forklaring på, at Nessus 3.x ikke finder UDP port 500 når scanningen med Nessus 2.x fandt den. Nessus version 3.x er jo ikke blevet bedre, men dårligere når den ikke finder en åben port i firewallen.

Hmmm har du preøvet at kontakte nessus. De er normalt til at gå til med den slags ting og kunne måske forklare tingene

Fant noen små ord her .. (men bare litt generelt) ..
http://www.ks-soft.net/ip-tools.eng/info.htm