Puerto 80 del Firewall escuchando

[damagris]

Hola, quería exponeros una duda referente al Fortigate 800.

¿Por qué escucha en el puerto 80 de mi red externa si le tengo dicho que no se le permita la administración más que desde la red interna y sólo por HTTPS? Me he sorprendido al ver que tras denegar cualquier opción de administración salvo por la Interna y por HTTPS al hacerle telnet a la IP pública del Fortigate en el puerto 80 hay algo que escucha (el puerto está abierto).

¿No hay forma de evitarlo?

[gabyrossi]

Hola, como estas? si sacaste el http en la administracion de la wan, no debe contestarte desde afuera.
que firmware usas? tendras algun virtual ip brindando servicio de algun server interno??

saludos
Gabriel

[damagris]

Aquí ando peleándome con los Fortigate.

No, no tengo ninguna virtual ip creada. Actualmente tengo puesto el firmware Fortigate-800 3.00-b0668(MR6 Patch 2), tengo un subnetting de una clase C, la primera mitad en la parte EXTERNA y la mitad superior del subnetting en la DMZ. No hay servidores publicados, no hay virtual ip, no tengo administración por la EXTERNA pero si desde Internet le haces un telnet a la IP pública del Fortigate al 80... responde!!

¿No le gustará a lo mejor el subnetting de una clase C pública repartido entre Externa y DMZ?

[gabyrossi]

hola, y en la dmz si tenes el puerto de admin. 80 habilitado?


saludos
Gabriel

[damagris]

Hola mucha gracias por tu tiempo.

Ya he localizado el problema aunque no se como resolverlo, no es problema del Fortigate. Parece que mis routes de la parte pública están haciendo de las suyas. Por el motivo que sea están respondiendo a peticiones telnet al 80 contra IPs de su segmento, incluso aquella que no tienen un dispositivo vinculado. Cosa rara que tendré que investigar.

[gabyrossi]

hola, como estas? los routes del proveedor de internet? que tipo de conexion tenes?

saludos
Gabriel

[damagris]

Son dos routers Cisco 7300 con una sesión BGP levantada entre ellos y cada router se conecta a una línea de Internet de un proveedor distinto . Evidentemente los firewall en su parte externa (la ethernet de mi lado) están conectados al segmento donde están ambos routers. Cada router tiene una IP pública (de la misma clase C), hay una IP virtual por el tema del BGP que es a la que hay que encaminar todo el tráfico de Internet (con una IP igualmente de la misma clase C) y luego los firewall con el HA levantado en modo Cluster /activo-activo con otra IP también pública del segmento externo.

Comentado a uno de los proveedor me dice que puede ser normal que cuando existen balanceadores de carga o similares, en mi caso el BGP entre los routers, estos se "apropien" en cierta manera de los puertos y que por eso me puede estar pasando que aunque el firewall no tenga publicado el 80, que no lo tiene, cuando alguien hace un telnet al puerto 80 desde internet esos mismos routers "engañen" al origen (de hecho si se hace ese mismo telnet a una ip de esa parte externa que ni existe igualmenet responde ). Me dicen igualmente que no debería afectarme y parece que no es así por lo que llevo comprobado, a servicios publicados a través del firewall pero siempre te entra la duda. Es más, estoy convencida que en alguno de mis escaneos nunca me había pasado esto pero claro, ya te hace dudar.

[damagris]

Resuelto, al parecer es tema de los proveedores de internet que para prevenir los ataques DoS del estilo "TCP Sync Flood" enmascaran las direcciones de la red y hasta que las conexiones a los puertos no están correctamente establecidas nos las dejan pasar a las IP's de destino reales . Por eso mis telnet a la dirección pública del firewall contra el puerto 80 me respondían.

[gabyrossi]

hola, bien barbado, gracias por compartir la solucion.

saludos
Gabriel