Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 33 replies
  • Subscribers 3 subscribers
  • Views 27274 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SecuritySpace |No Risk Audit | Medium Vulnerability

Alvin
Hi

I always use Security Space No Risk Audit Free version on my Home Astaro to check for problems.

1) The No Risk Audit Free version is limited to TCP Scan Only.
2) I have been getting Medium Risk Reports but since it is a free service, I need to pay quite a bit for the full report.

3) I know I have the following open.
   3.1) SSL VPN, I set to TCP because I experience UDP being blocked from some remote locations such as Hotels etc.
   3.2) IPsec for Site to Site VPN.
   3.3) SMTP Proxy had those ports open even if you use it as a out going e-mail server, I work around by DNAT to a Blackhole IP Address. 

4) The objective of this post is to see if someone else here has the full service of Security Space and have similar services like mine and would know what that Medium Vulnerability is.

IE: You also have SSL VPN Enabled on TCP, IPsec for Site to Site, SMTP Proxy and with a scan ( Turn OFF the Anti PortScan) you should get similiar results.


This thread was automatically locked due to age.
  • 0 in reply to Alvin
    Hi Alvin,
    sorry I can't help with your question.

    On the smtp issue, I ran a security audit with a PF rule dropping any incoming smtp traffic and nothing was found. Found 3 high security risks, LOL
    1/. you need to upgrade your firewall from w95
    2/. you need to reconfigure your dialup modem there is a security hole if certain codes are used
    3/. I can't remember, but it was something that an ASG doesn't have.

    I received warnings on my VPN tunnel access, nothing risky.

    Ian M
  • 0
    I tested Version 8, SSL VPN, TCP 443

    It seems this is something Astaro need to fix at the Software Level and not something on the Configuration.

    Hopefully someone at Astaro can confirm this.

    12213 General: TCP sequence number approximation
    Description
    general/tcp

    The remote host might be vulnerable to a sequence number approximation
    bug, which may allow an attacker to send spoofed RST packets to the remote
    host and close established connections.

    This may cause problems for some dedicated services (BGP, a VPN over
    TCP, etc...).

    Solution : See Multiple Vendor TCP Sequence Number Approximation Vulnerability
    Risk factor : Medium
    CVE : CVE-2004-0230
    BID : 10183
    Other references : OSVDB:4030, IAVA:2004-A-0007

    *** Baseline Alert ***
    This vulnerability is new to your system, based on the baseline comparison done.

    CVE Description
    TCP, when using a large Window Size, makes it easier for remote attackers to guess sequence numbers and cause a denial of service (connection loss) to persistent TCP connections by repeatedly injecting a TCP RST packet, especially in protocols that use long-lived connections, such as BGP.
  • 0 in reply to Alvin
    I tested Version 8, SSL VPN, TCP 443

    It seems this is something Astaro need to fix at the Software Level and not something on the Configuration.


    You can turn off window scaling via Packetfilter -> Advanced  "Enable TCP Window Scaling".
  • 0 in reply to 67ef1d
    Thank You for your suggestion.

    1) Network Security -> Packet Filter -> Advance -> Protocol Handling.

    The Current Settings is

    [  ] Enable TCP Window scaling (NOT Checked)
    [V] Use strict TCP session handling (Checked)
    [V] Validate packet length (Checked)
    Spoof protection: STRICT

    I read the help and Enable TCP Window scaling is Not recommended to be enabled as not many network equipment support it.

    But for the sake of troubleshooting, I ENABLED Enable TCP Window scaling and will do a Full Scale Advance Scan now and share with you all the results.

    Just irritating to see my firewall has vulnerabilities.
  • 0
    [ ] Enable TCP Window scaling

    I ENABLED the above settings and tested with SecuritySpace Advance Full Scale Audit and the same vulnerability exist.
  • 0 in reply to Alvin
    Hi Alvin,
    I see you are now into full scale audits.

    I have run the last couple of audits with window scaling enabled and not received any warnings.

    Ian M
  • 0 in reply to RFCat_vk_01
    Yeah, I decided to buy the 1 year Daily Recurring Scan.

    On top of seeing the actual problem, the 365 days of scan is useful for such troubleshooting as compared to in the past I waited 1 month for my next scan.

    Another reason I buy is because I often test Client Security (It is amazing how exposed those "Internet Security Suites" ) can be by installing those software on my laptop, configured it to the best of my knowledge, get it directed connected to Internet, Run a Full Scale Audit ( Hey I got 365 to use) and from the results can Learn a Lot and be Amazed how fake some of these security suites are even in their "Highest Security " configuration.


    It would Appear when I have SSL VPN Enabled on TCP 443 (UDP 443 would not have it)

    1) I confirmed it is NOT due to the 03 x SMTP Ports as I did a scan with it exposed. (disable the Blackhole)
    2) I confirmed it is NOT due to this TCP Windows Scaling as I did a scan with and without it enabled.
    3) I confirmed that it would not appear if I turn Off SSL VPN.
    3) I have no idea how to do the IPsec VPN so I do not know if that has problem too if enabled. 

    Reminder: When you are doing the scan, you need to set securityspace servers to Exceptions from PortScan else your PortScan will block everything .

    SecuritySpace Scanners 69.28.227.208/28
  • 0
    Hi

    Good News that I did a Full Scale Advanced Audit with Identical Configuration and that Medium Vulnerability is gone  in 8.001

    Feel so great to know my Firewall does not have vulnerability issues now.

    I have the following LOW which is fine but anybody can shine some light what is it?

    They are NEW stuff appearing on my reports, I do not see these in version 8.00.

    1.3.6.1.4.1.25623.1.0.810002 Service detection: CPE Inventory
    Description
    general/CPE
    No CPE identities could be determined.

    CPE Inventory

    This NVT uses information present in the Knowledge Base (KB) to
    determine CPE identities (http://cpe.mitre.org/) of operating
    systems, services and applications detected during the scan.

    Risk Factor: None

    1.3.6.1.4.1.25623.1.0.80110 Web application abuses: wapiti (NASL wrapper)
    Description
    http (80/tcp)
    wapiti could not be found in your system path.
    OpenVAS was unable to execute wapiti and to perform the scan you
    requested.
    Please make sure that wapiti is installed and that wapiti is
    available in the PATH variable defined for your environment.


    This plugin uses wapiti to find
    web security issues.

    Make sure to have wapiti 2.x as wapiti 1.x is not supported.

    See the preferences section for wapiti options.

    Note that OpenVAS is using limited set of wapiti options.
    Therefore, for more complete web assessment, you should
    use standalone wapiti tool for deeper/customized checks.

    Risk factor : None
  • 0
    Hi Alvin

    Could you please confirm that the following is the configuration I should have to allow proper scan via security scan?

    1)Exclude security scan ip from port scan
    2)Do I need to exclude it from tcp,icmp,udp Flood as well?

    Thanks
  • 0
    Wingman

    - Sorry for slow reply, now a days not looking at Forums as I used to be.
    - YES I exclude that SecuritySpace Network ( I posted somewhere in this post) from PORT SCAN ONLY.
    - NO I do not exclude it from anything else.
    - The Concept is, if Port Scan Kicks In then it simply Block everything thus does not really show how secure the firewall is.
    - By setting it to be excluded from PortScan, I can see how my firewall behaves without the portscan in place and if that shows it is secured, then yeah it is good.
    - I already upgraded to Fully Paid Advance Security Audit and while it is kind of expensive for home user, several hundreds per year, seriously can learn a lot lot more and at much faster pace because now I do not need to wait for monthy test, I implement I fix that I think should do it, I hammer it again.