12 de fevereiro de 2005

Dá para confiar em um firewall que remapeia portas?

Notei hoje um fenômeno interessante. Nos últimos dias eu fiz uma instalação de firewall para um cliente, e decidi avaliar como estavam as coisas. A partir de casa, rodei o nmap, e obtive os seguintes resultados:


Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2005-02-12 18:47 BRST
Host xxx.xxx.xxx.xxx appears to be up ... good.
Initiating Connect() Scan against xxx.xxx.xxx.xxx at 18:47
Adding open port 22/tcp
Adding open port 21/tcp
Adding open port 80/tcp
Adding open port 1002/tcp
Adding open port 389/tcp
Adding open port 1720/tcp
The Connect() Scan took 329 seconds to scan 1659 ports.
Interesting ports on xxx.xxx.xxx.xxx:
(The 1653 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
389/tcp open ldap
1002/tcp open windows-icfw
1720/tcp open H.323/Q.931

Nmap run completed -- 1 IP address (1 host up) scanned in 331.759 seconds
A despeito do fato de que o serviço de ftp deveria ter sido bloqueado, e não foi - o que é uma falha da configuração atual - achei curioso o resultado para algumas portas. Não me lembrava, de forma alguma, de ter aberto os serviços adicionais (389, 1002 e 1720). Verifiquei e vi uma coisa interessante: se eu tentasse um telnet para qualquer uma dessas portas, a conexão era estabelecida; porém, a captura de pacotes via tcpdump no próprio cliente não revelava nenhum tráfego entrante.

Uma breve pesquisa na Internet resolveu o mistério. O pessoal do nmap já tinha notado algo estranho, e o próprio suporte da Microsoft respondeu. O firewall do Windows XP faz um proxy automático para as portas citadas. O curioso é que isso não está bem documentado, e nem aparece se você rodar um netstat no Windows para saber quais portas estão 'ouvindo' no momento. Se você pensar bem, a intenção é até razoável; é uma forma de suportar automaticamente chamadas com NetMeeting em um computador dentro da rede local. Mas fica a pergunta, dá para confiar em um firewall que remapeia tráfego sem avisar?

Agora, para quem está curioso. Minha rede doméstica deve ser um caso único: um computador com com Microsoft XP para compartilhar o acesso de um computador com Linux. O motivo é simples, a minha placa ISDN (uma Eicon Diva Pro) não é suportada por nenhum driver Linux, devido a questões de propriedade intelectual do driver. Enquanto não dá para trocar o acesso ISDN por outro, fica desse jeito.

Nenhum comentário: