Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 19 replies
  • Subscribers 0 subscribers
  • Views 12377 views
  • Users 0 members are here
Options
Suggested

[9.200] Sophos UTM 9.200 Nmap Open Ports

Knome
nmap -sS -sU -T4 -A -v xx-***-***-***

Starting Nmap 6.40 ( Nmap - Free Security Scanner For Network Exploration & Security Audits. ) at 2014-02-27 19:47 Standard Time
Did a external scan with nmap from the outside to the Sophos UTM 9.200 Soft-Released
and nmap reported 3 open ports from the outside their are no rules in place for these ports and no any service rules for these ports.

Nmap scan report for ipxx-xx-***-xx.xx.***.xx.*** (xx.xx.xx.xx)

Host is up (0.00s latency).

Not shown: 97 filtered ports

PORT    STATE SERVICE

21/tcp  open  ftp

80/tcp  open  http

443/tcp open  https

Nmap done: 1 IP address (1 host up) scanned in 19.69 seconds
  • 0 in reply to Billybob
    Hi Bianca, that is a good suggestion but it is not a substitute to a closed port. All ports should be stealth out of the box on any firewall.
    Bill


    Agreed... I think I've asked about this before in previous versions too (we're going back quite a few years).

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    Hi,  is anyone else able to reproduce this? 

    Barry
  • 0
    No, either something is being forwarded or other features are open like user portal or vpn.
  • 0
    Their are no user portable vpn or ftp enable/active, their are no forwards.

    Are their any commands that i can use to check the system to see what ports are open on the box itself and what proces are using them.
    commands to see if any service is stuck or half open 

    can the sophos utm box get infected by a rootkit, bot, trojan, virus is their a way to scan the box for those if it can be.
  • 0 in reply to Knome
    Their are no user portable vpn or ftp enable/active, their are no forwards.

    Are their any commands that i can use to check the system to see what ports are open on the box itself and what proces are using them.
    commands to see if any service is stuck or half open 

    can the sophos utm box get infected by a rootkit, bot, trojan, virus is their a way to scan the box for those if it can be.


    as far as the system getting a virus?  Not unless you have ssh open with no password(which would take some real effort). You either have a badly messed configuration or a bad install.  This does not happen with UTM.  by default it allows nothing unless it is told to do so.  I would highly recommend you do a reinstall from the 9.2 iso and then do not restore your backup.  This is either a corrupted install or a highly reconfigured system.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Hi,


    Try 
    netstat -an

    If that shows open ports on the WAN address, then there is an lsof command that can identify the processes.

    Barry
  • 0
    sudo lsof -i TCP:80

    will show what is listening on port 80/tcp.

    Barry
  • 0
    ******x:/root # sudo lsof -i TCP:80
    COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
    ctasd   5386 root   10u  IPv4 126988      0t0  TCP ******x:40916->c2resolver1.ctmail.com:http (CLOSE_WAIT)
    ctasd   5386 root  117u  IPv4  57568      0t0  TCP ******x:38404->216.163.188.45:http (CLOSE_WAIT)
    ******x:/root # COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME

    ******x:/root # sudo lsof -i TCP:443
    ******x:/root # ******x:/root # sudo lsof -i TCP:443
    -bash: ******x:/root: No such file or directory
    ******x:/root #

    ******x:/root # sudo lsof -i TCP:21
    ******x:/root # ******x:/root # sudo lsof -i TCP:21
    -bash: ******x:/root: No such file or directory
    ******x:/root #

    ******x:/root # sudo lsof -i TCP:8008
    ******x:/root # ******x:/root # sudo lsof -i TCP:8008
    -bash: ******x:/root: No such file or directory
    ******x:/root #

    netstat -an
    does not shows any open ports on the WAN address

    but when i do an nmap scan i get the same open ports 
    going to use the other brand utm untill the next version of sophos utm is release

    thanks for all the help guys
  • 0
    ******x:/root # sudo lsof -i TCP:80
    COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
    ctasd   5386 root   10u  IPv4 126988      0t0  TCP ******x:40916->c2resolver1.ctmail.com:http (CLOSE_WAIT)
    ctasd   5386 root  117u  IPv4  57568      0t0  TCP ******x:38404->216.163.188.45:http (CLOSE_WAIT)
    ******x:/root # COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME

    ******x:/root # sudo lsof -i TCP:443
    ******x:/root # ******x:/root # sudo lsof -i TCP:443
    -bash: ******x:/root: No such file or directory
    ******x:/root #

    ******x:/root # sudo lsof -i TCP:21
    ******x:/root # ******x:/root # sudo lsof -i TCP:21
    -bash: ******x:/root: No such file or directory
    ******x:/root #

    ******x:/root # sudo lsof -i TCP:8008
    ******x:/root # ******x:/root # sudo lsof -i TCP:8008
    -bash: ******x:/root: No such file or directory
    ******x:/root #

    netstat -an
    does not shows any open ports on the WAN address

    but when i do an nmap scan i get the same open ports
    going to use the other brand utm untill the next version of sophos utm is release

    thanks for all the help guys


    I think nmap is giving false positives

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Unfiltered HTML