Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 7555 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM 9.313-3 Visible to online scans (pcflank and various nmap scans)

DexterJackson
I would like to prevent responses to port scans and the like but I keep failing various online stealth scans.

PC Flank: Make sure you're protected on all sides.  
https://pentest-tools.com/discovery-probing/tcp-port-scanner-online-nmap

I have not configured any settings beyond the initial setup. I have no ports open and I do not have it configured to respond to pings.

If I have my router connected to the modem I can pass these tests.

I know I am placing too much importance on being "stealth" but I can't figure out why I can't achieve it. 

Thanks in advance for any advice.


This thread was automatically locked due to age.
Parents
  • 0
    I just did a fresh install of 9.312, set it up as your video, updated to 9.313, and updated patterns.  From a client system out on the internet I did a ping test and I ran an NMAP (real NMAP, NOT some hosted web based thing) and did not see any of what you are seeing.  The only ports that showed were 22 and 4444, which are expected, as I had Any set as allowed networks for SSH and and WebAdmin for testing purposes.  This being said, the only thing I can thing of is that either your infrastructure or testing methodologies are flawed.  

    In the port list above from your results, there are some services that just aren't going to be running unless overtly enabled on the UTM, like the mail protocols, VPN protocols, BGP, etc.  UTM doesn't run ms-sql-s, ms-wbt-server, or vnc.  The only way these are going to show up is if you have DNATs forwarding these services to systems behind the UTM that are running them.  It looks like something else other than the UTM is being scanned.

    Is the UTM WAN plugged directly into the modem and is the modem just a modem or does it provide other services (routing, VPN, proxy, port forwarding, etc)?

    Test using the actual NMAP program that you download and install from a client out on the internet.  Alternately you can plug both the UTM WAN and client machine directly into the router (I'm assuming that the is a home router like Linksys or Netgear, that has a few switch ports for LAN devices.  This way you can run the installed NMAP directly against the UTM WAN IP. without having to worry about intermediary upstream devices.
Reply
  • 0
    I just did a fresh install of 9.312, set it up as your video, updated to 9.313, and updated patterns.  From a client system out on the internet I did a ping test and I ran an NMAP (real NMAP, NOT some hosted web based thing) and did not see any of what you are seeing.  The only ports that showed were 22 and 4444, which are expected, as I had Any set as allowed networks for SSH and and WebAdmin for testing purposes.  This being said, the only thing I can thing of is that either your infrastructure or testing methodologies are flawed.  

    In the port list above from your results, there are some services that just aren't going to be running unless overtly enabled on the UTM, like the mail protocols, VPN protocols, BGP, etc.  UTM doesn't run ms-sql-s, ms-wbt-server, or vnc.  The only way these are going to show up is if you have DNATs forwarding these services to systems behind the UTM that are running them.  It looks like something else other than the UTM is being scanned.

    Is the UTM WAN plugged directly into the modem and is the modem just a modem or does it provide other services (routing, VPN, proxy, port forwarding, etc)?

    Test using the actual NMAP program that you download and install from a client out on the internet.  Alternately you can plug both the UTM WAN and client machine directly into the router (I'm assuming that the is a home router like Linksys or Netgear, that has a few switch ports for LAN devices.  This way you can run the installed NMAP directly against the UTM WAN IP. without having to worry about intermediary upstream devices.
Children
  • 0 in reply to Scott_Klassen
    I think I have it figured out (to a point).

    (Modem is a standard cable modem with no features, worked with home router)

    I ran scans from an external network with nmap and could not see anything on my ip.
    I ran scans from an internal network with nmap and looking at all the traffic with wireshark and could not see any responses from Sophos UTM .

    " methodologies are flawed" - yup

    If I opened a scanning website and ran the scan from within my network they could see me.

    If I scanned my IP from my cellular connection they could not see me. It seems that by connecting to the website and running the scan from the network I was testing they could see me.

    Maybe the existing connection is goofing with the firewall, it does not seem like a real problem. My router would block this but it does not seem like a big deal to have an ip I am already connected to know I exist.

    Thanks for all of your help trouble shooting this.