Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 19 replies
  • Subscribers 0 subscribers
  • Views 12375 views
  • Users 0 members are here
Options
Suggested

[9.200] Sophos UTM 9.200 Nmap Open Ports

Knome
nmap -sS -sU -T4 -A -v xx-***-***-***

Starting Nmap 6.40 ( Nmap - Free Security Scanner For Network Exploration & Security Audits. ) at 2014-02-27 19:47 Standard Time
Did a external scan with nmap from the outside to the Sophos UTM 9.200 Soft-Released
and nmap reported 3 open ports from the outside their are no rules in place for these ports and no any service rules for these ports.

Nmap scan report for ipxx-xx-***-xx.xx.***.xx.*** (xx.xx.xx.xx)

Host is up (0.00s latency).

Not shown: 97 filtered ports

PORT    STATE SERVICE

21/tcp  open  ftp

80/tcp  open  http

443/tcp open  https

Nmap done: 1 IP address (1 host up) scanned in 19.69 seconds
  • 0
    Hi Knome,
    Do you have Anti Port scan enabled? If not plz do so and scan again. Running several times nmap will make the ports close. Also you can use this tool for checking: https://www.grc.com/x/ne.dll?rh1dkyd2

    Best
    Bianca
  • 0
    Hi, do you have the end-user portal enabled? That'd explain port 443.

    Test 21 and 80 with an ftp client and web browser.

    Barry
  • 0
    Test 21 and 80 with an ftp client and web browser got a responce.

    Authentication Required
    Enter username and password for ftp://xx.xx.xx.xx

    also got responce from 80 and 443
    no firewall rules allowing ftp, http. https

    the only change i made was to test this rpm to fix the Suspicious TCP state issue
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/81/t/65404
  • 0
    Do you have any DNATs on ports 21, 80?

    Or do you have the Web Protection proxy misconfigured to listen on the EXT/WAN interface?

    Barry
  • 0
    No DNATs on ports 21, 80?
    No Web Protection proxy not misconfigured to listen on the EXT/WAN interface?

    Did a fresh install Sophos UTM 9.200 no firewall rules, Web Protection proxy and all other proxy are off disable 

    did another nmap scan and this is what i get

    NSE: Loaded 110 scripts for scanning.

    NSE: Script Pre-scanning.

    Initiating Ping Scan at 14:05

    Scanning ***.xx.xx.*** [4 ports]

    Completed Ping Scan at 14:05, 0.38s elapsed (1 total hosts)

    Initiating Parallel DNS resolution of 1 host. at 14:05

    Completed Parallel DNS resolution of 1 host. at 14:05, 0.23s elapsed

    Initiating SYN Stealth Scan at 14:05

    Scanning ip***-xx-xx-***.***.xx.***.*** (***.xx.xx.***) [1000 ports]

    Discovered open port 443/tcp on ***.xx.xx.***

    Discovered open port 21/tcp on ***.xx.xx.***

    Discovered open port 80/tcp on ***.xx.xx.***

    Completed SYN Stealth Scan at 14:06, 10.91s elapsed (1000 total ports)

    this is a clean fresh install of ophos UTM 9.200
  • 0
    What do you get when you browse to 80 and 443? Also do you have SSL VPN enabled which uses 443 tcp by default?
  • 0
    I've made the same nmap scan. All open ports are as expected. Port 21 is not open.
    regards
    mod
  • 0
    Discovered open port
    Scan is done from external source not from behind the Sophos UTM v.9.200011 box

    I have been having this issue for a while now with UTM v.9.2 did fresh clean install everything left at default, did a scan same result Discovered open port, so applied filter rules configure it how i need it to be same result Discovered open port.

    So I decided to setup a different Brand Firewall put it infront of the Sophos UTM v.9.200011 did a scan with default no open port discovered, so applied filter rules configure it how i need it to be same result no open port discovered.

    When I remove the different brand firewall from infront of Sophos UTM v.9.200011 same result Discovered open port.

    why do i see open ports.

    scan result below for Sophos UTM v.9.200011

    Starting Nmap 6.40 ( Nmap - Free Security Scanner For Network Exploration & Security Audits. ) at 2014-03-11

    NSE: Loaded 110 scripts for scanning.

    NSE: Script Pre-scanning.

    Initiating Ping Scan at 10:55

    Scanning ***.***.***.XX [4 ports]

    Completed Ping Scan at 10:55, 0.31s elapsed (1 total hosts)

    Initiating Parallel DNS resolution of 1 host. at 10:55

    Completed Parallel DNS resolution of 1 host. at 10:55, 0.19s elapsed

    Initiating SYN Stealth Scan at 10:55

    Scanning ip***.***.***.XX.0000.0000.000 (***.***.***.XX) [1000 ports]

    Discovered open port 21/tcp on ***.***.***.XX

    Discovered open port 80/tcp on ***.***.***.XX

    Discovered open port 443/tcp on ***.***.***.XX

    Discovered open port 8010/tcp on ***.***.***.XX

    Discovered open port 8008/tcp on ***.***.***.XX

    Completed SYN Stealth Scan at 10:55, 4.91s elapsed (1000 total ports)



    Scan result below for Different Brand Firewall

    Starting Nmap 6.40 ( Nmap - Free Security Scanner For Network Exploration & Security Audits. ) at 2014-03-11

    NSE: Loaded 110 scripts for scanning.

    NSE: Script Pre-scanning.

    Initiating Parallel DNS resolution of 1 host. at 12:52

    Completed Parallel DNS resolution of 1 host. at 12:52, 0.14s elapsed

    Initiating SYN Stealth Scan at 12:52

    Scanning ip***.***.***.XX.0000.0000.000 (***.***.***.XX) [1000 ports]

    SYN Stealth Scan Timing: About 29.50% done; ETC: 12:54 (0:01:14 remaining)

    SYN Stealth Scan Timing: About 59.00% done; ETC: 12:54 (0:00:42 remaining)

    Completed SYN Stealth Scan at 12:54, 104.16s elapsed (1000 total ports) 

    whatDiscovered open port
    Scan is done from external source not from behind the Sophos UTM v.9.200011 box

    I have been having this issue for a while now with UTM v.9.2 did fresh clean install everything left at default, did a scan same result Discovered open port, so applied filter rules configure it how i need it to be same result Discovered open port.

    So I decided to setup a different Brand Firewall put it infront of the Sophos UTM v.9.200011 did a scan with default no open port discovered, so applied filter rules configure it how i need it to be same result no open port discovered.

    When I remove the different brand firewall from infront of Sophos UTM v.9.200011 same result Discovered open port.

    why do i see open ports.

    scan result below for Sophos UTM v.9.200011

    Starting Nmap 6.40 ( Nmap - Free Security Scanner For Network Exploration & Security Audits. ) at 2014-03-11

    NSE: Loaded 110 scripts for scanning.

    NSE: Script Pre-scanning.

    Initiating Ping Scan at 10:55

    Scanning ***.***.***.XX [4 ports]

    Completed Ping Scan at 10:55, 0.31s elapsed (1 total hosts)

    Initiating Parallel DNS resolution of 1 host. at 10:55

    Completed Parallel DNS resolution of 1 host. at 10:55, 0.19s elapsed

    Initiating SYN Stealth Scan at 10:55

    Scanning ip***.***.***.XX.0000.0000.000 (***.***.***.XX) [1000 ports]

    Discovered open port 21/tcp on ***.***.***.XX

    Discovered open port 80/tcp on ***.***.***.XX

    Discovered open port 443/tcp on ***.***.***.XX

    Discovered open port 8010/tcp on ***.***.***.XX

    Discovered open port 8008/tcp on ***.***.***.XX

    Completed SYN Stealth Scan at 10:55, 4.91s elapsed (1000 total ports)



    Scan result below for Different Brand Firewall

    Starting Nmap 6.40 ( Nmap - Free Security Scanner For Network Exploration & Security Audits. ) at 2014-03-11

    NSE: Loaded 110 scripts for scanning.

    NSE: Script Pre-scanning.

    Initiating Parallel DNS resolution of 1 host. at 12:52

    Completed Parallel DNS resolution of 1 host. at 12:52, 0.14s elapsed

    Initiating SYN Stealth Scan at 12:52

    Scanning ip***.***.***.XX.0000.0000.000 (***.***.***.XX) [1000 ports]

    SYN Stealth Scan Timing: About 29.50% done; ETC: 12:54 (0:01:14 remaining)

    SYN Stealth Scan Timing: About 59.00% done; ETC: 12:54 (0:00:42 remaining)

    Completed SYN Stealth Scan at 12:54, 104.16s elapsed (1000 total ports)
  • 0
    See my response to your post in the Network Protection forum.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    ..Do you have Anti Port scan enabled? If not plz do so and scan again. Running several times nmap will make the ports close. ...
    Hi Bianca, that is a good suggestion but it is not a substitute to a closed port. All ports should be stealth out of the box on any firewall.

    See my response to your post in the Network Protection forum.
    Hi Bob, are you saying that some ports are open on the wan side in default configuration of astaro? I wasn't aware of that. FWIW, I don't get port 21 as open on port scan. I have a web server running on port 80 and 443 so those are open obviously.

    Regards
    Bill
Unfiltered HTML