CISCO SEC Zone Based Firewall nmap

Kein Feedback ist natürlich auch ein Feedback!

Vielleicht reicht es ja noch beim TO diesen Rumpelthread so zu korrigieren das auch Außenstehende die Fragestellung verstehen um zielgerichtet helfen zu können?!

Oder..., wenn egal, ihn dann auch als erledigt zu schliessen:
How can I mark a post as solved?

Sorry, aber auch nach 3maligem Lesen ist aus deinem Thread nicht klar um was es dir wirklich geht.
Ja, du hast irgendetwas mit nmap gescannt in einem der Segmente. Unklar ist aber ob du die ZFW von außen (WAN Port) gescannt hast, dann würden aber keine 253 Geräte gescannt. Oder du hast intern gescannt was dann die 253 Geräte erklären würde aber zumindestens für die ZFW völlig sinnfrei wäre.

Dann wird noch ein anderer Router in den Ring geschmissen und irgendwie geschwurbelt das der nicht zu erkennen ist obwohl ein show cdp neighbors oder auch ein show lldp neighbors dies kinderleicht, im Handumdrehen erledigt. Völlig egal ob DHCP IP oder statische IP.
Was mit dem 2ten Router und dessen Erkennung aber gemeint ist und wie das auf die ZFW bezogen ist erklärst du nicht und sollen wir vermutlich kristallkugeln.

Du hast weder geschildert WIE deine nmap Kommandos ausgesehen haben die du losgelassen hast, noch hast du dediziert erklärt WAS das Ziel deines Scans sein soll, noch von wo auf was du gescannt hast und was der 2te Router und seine Erkennung in dem Zusammenhang für eine Rolle spielt.
Vom gruseligen Satzbau, Formulierungs- und Rechtschreibfehlern die das "Herauslesen" insgesamt noch deutlich schwerer machen mal gar nicht zu reden. Hellsehen können wir (noch) nicht.
Wenn also mehrere Forenuser trotz Bemühungen den Content nicht "herauslesen" können, solltest DU ggf. noch einmal in dich gehen und dich fragen ob eine Reformulierung hier nicht sinnvoll ist sofern du eine zielführende Antwort oder Hilfe erwartest. Der "Bearbeiten" Knopf ist wie immer dein Freund!

Sehr hilfreich wäre zumindestens auch die Grundkonfig deiner Router und insbesondere das ZFW Setup zu kennen um zielgerichtet helfen zu können. Wie sollte das auch sonst gehen wenn man deine Konfig gar nicht kennt. Alles nada....
Was also hast du für eine Erwartungshaltung an deinen Thread??!

In der Tat, da hast du Recht. Es gibt aber bekanntlich durch die Flexibilität der IOS Kommandosprache tausendundeine Möglichkeit die ZFW zu konfigurieren. Folglich ist jedes Setup immer individuell. Das hiesige ZFW Beispiel zeigt ja nur ein klassisches Standard Setup.
Wichtig zu verstehen ist aber primär nicht speziell das ZFW Setup sondern WAS du WARUM scannst um deine Intention bzw. Zielsetzung zu verstehen.

Wenn du z.B. mit nmap nur im internen LAN scannst hat der Cisco und seine Firewall damit rein gar nichts zu tun weil diese Pakete niemals den Router erreichen. Dieser Traffic bleibt bekanntlich immer rein lokaler Layer 2 Traffic der nicht über den Router geht.
Insofern wäre jeder Zusammenhang deiner nmap Anzeige mit der ZFW völlig sinnfrei.

Sätze wie "Wieso erklärt es dass angeblich mehr als die zwei Clients up anstatt nur der zwei Clients." die kein Mensch trotz 3maligem Lesen verstehen kann, macht die ganze Sache nicht leichter wie du sicher auch selber zugeben musst. Wenn du meinst das der Satzbau allein schon von diesem zitierten Satz "ok" ist, lebst du vermutlich in einer ganz anderen Welt?! Das kommt gleich hinter "Nachts ist's kälter als draußen".

Sorry, aber so kommen wir nicht zu einer zielführenden Hilfe oder Antwort für dich wenn keiner hier weiss WAS du WIE und WARUM scannen möchtest und WARUM du bestimmte nmap Outputs nicht verstehst.
Wenn du weiter Interesse an einer Antwort hast und nur allein diesen Punkt einmal sauber klären könntest wären wir schon deutlich weiter.

OK, aber das ist ja dann nur rein das lokale LAN, oder? Wenn ja ist dann aber der Router und seine ZFW gar nicht involviert, denn für einen Scan des lokalen LANs geht kein Traffic über den Router und damit auch nicht über die ZFW. Die wäre also komplett raus!
Fragt sich also warum du diese Cisco Thematik in den Thread reinbringst wenn es dir nur rein um ein lokales Security Scanning geht wo der Router keinerlei Rolle spielt?! Aber egal...

Na ja...dafür gibt es im Internet zig Anleitungen und eine Google Suche kann auch ein blutiger Anfänger:
https://nmap.org/man/de/man-target-specification.html
https://www.elektronik-kompendium.de/sites/net/2104261.htm
Vorab einfach das [nmap Tool installieren auf dem Rechner der Wahl.
Für eine schnelle, einfache Liste was an Endgeräten online ist im LAN (Beispiel Netz IP 192.168.1.0/24) reicht ein: nmap -sn 192.168.1.0/24
Etwas detailierter ist ein simples nmap 192.168.1.0/24 was alle offenen Ports der Endgeräte zeigt!
nmap -O 192.168.1.0/24 zeigt alle verwendeten Betriebssysteme der Endgeräte.
Usw. usw...
Mit dem jeweiligen nmap Kommando bestimmst DU detailiert was DU im LAN scannen willst!
https://www.nwlab.net/tutorials/portscanner/nmap-tutorial.html

Nein, das ist Quatsch, das musst du logischerweise nur wenn alle Endgeräte im LAN auch den embeddeten Switch am Router nutzen, was ja eher selten der Fall ist außer z.B. bei Heimnetzen mit nur 3 Geräten.
Normalerweise ist der Router ja mit einem Switch verbunden an dem auch alle anderen Endgeräte des lokalen LANs hängen und an den klemmt man dann einfach den Rechner auf dem der nmap Scanner installiert ist und fertisch.
Aber auch gesetzt den Fall du hast diesen Switch nicht und alle Endgeräte hängen am lokalen Switch im Router, dann klemmst du den Rechner der den nmap Scanner installiert hat eben dort an einen freien Port und fertisch.
Dafür muss man kein Netzwerk Experte sein, denn das sagt einem schon der gesunde IT Verstand.

Und ja, da hast du auch Recht, dafür muss man natürlich keinerlei Cisco Kommandos usw. kennen und auch kein ZFW Setup, denn der Router ist für einen Scan des lokalen LANs, wie oben schon gesagt, völlig außen vor, da gar nicht involviert.
Man muss lediglich den nmap Scan PC irgendwo ins lokale LAN, egal wo, stecken um dieses lokale LAN scannen zu können. Ob als gesamtes LAN oder detailiert einen einzelnen Host ist dabei ganz alleine eine Frage des NMAP Kommandos das man auf dem nmap Scan PC nutzt.

Ein Router selber, egal welcher, hat keinerlei Port Scanning Optionen, das weiss auch ein Laie. Der soll bekanntlich routen und keine Netzwerk Analyse machen.
Für einen Scan deines eigenen lokalen LAN Netzes oder einzelnen Hosts darin gehst du vor wie oben beschrieben...

• PC nehmen und dort das nmap Tool drauf installieren. Das kann ein Raspberry Pi sein, Winblows Rechner oder was auch immer.
• nmap Rechner ist lokale LAN stecken
• Je nach Scan Aufgabe die entsprechenden nmap Kommandos auf das lokale Netzwerk oder einzelne Hosts loslassen. 3 mögliche Kommandos siehst du ja oben schon als Beispiel!

Das ist ja nun alles kein Hexenwerk und schafft auch ein blutiger Anfänger in max. ner Viertelstunde im Handumdrehen umzusetzen. Wo ist also dein wirkliches Problem?! 🤔

P.S.: Etwas Foren Netiquette (Regel 2, Punkt 8) wie eine korrekte Rechtschreibung (Groß- Kleinschrift) hilft allen hier!

OK, dann befinden sich auch 253 aktive Geräte im LAN. Also alles wie es sein soll allerdings kein gutes Segmentierungsdesign was als goldenen regel nie mehr als max. 150 Endgeräte in einer L2 Broadcast Domain vorsieht. Aber andere Baustelle...
Mmmhhh tcpmux und WhoIs als aktive Ports.
https://www.iana.org/assignments/service-names-port-numbers/service-name ...
Das ist sehr außergewöhnlich da einmal ein mehr als exotischer Protokollport und ein sehr seltener und veralteter. Für klassische LAN Clients schon sehr sehr ungewöhnlich!
WAS genau funktioniert denn nicht?? Hilfreich wäre ja hier für alle wenn du einmal dein nmap Kommando mitteilen würdest was du nutzt.
Sinnvoll wäre z.B. nmap -sS -Pn <host_ip_address> für TCP und nmap -sU -Pn <host_ip_address> für UDP.
Wenn nmap keine offenen Ports anzeigt ist das Gerät entweder gut geschützt (Firewall) oder betreibt eben keinerlei Dienste auf offenen Protokollports. Einfache Logik!

Was hat irgendeine Konfig aus irgendeinem Forum mit einem lokalen nmap Scan zu tun??
Nochmals: Bei einem lokalen nmap Scan geht kein einziges Paket über den Router! Ausnahme natürlich du scannst NICHT das lokale sondern ein anderes IP Netz was zuerst geroutet werden muss. Leider teilst du uns dein Messszenario ja nicht mit und zwingst zum Kristallkugeln.
Das kann normalerweise nicht sein oder du bist über den Online Status deiner Endgeräte nicht wirklich im Bilde!!
Ein nmap -sn 192.168.1.0/24 erzwingt einen Ping Scan im gesamten Subnetz. Wenn der 253 aktive Rechner anzeigt dann sind da auch 253 aktive Rechner!
Um ganz sicher zu gehen solltest du mit nmap -PS 192.168.1.0/24 oder nmap -PA 192.168.1.0/24 (TCP SYN bzw. ACK Ping ausgewählter Ports) einen TCP Ping hinterherschicken um auch solche Systeme zu discovern die ICMP blockieren wie es die Winblows Firewall ja in der Regel macht.

Wenn dann weiter 253 System angezeigt werden sind zumindestens in der Layer 2 Domain auch wirklich 253 Endgeräte aktiv. nmap zeit in der Regel keinen Mist an sofern man es richtig bedient!
Beachte das ein Output wie "Nmap done: 256 IP addresses (18 hosts up) scanned in 1.93 seconds" lediglich bedeutet das 256 IP Adressen gescannt wurden und von diesen IP Adressen sind 18 aktiv!

Wenn das ein Kabel ist das zu einem Switch oder einem gesamten, größeren Netzwerk Backbone mit mehreren Switches geht an dem 500 und mehr Endgeräte hängen ist es ja durchaus nichts Ungewöhnliches wenn einem 253 Clients angezeigt werden die online sind.
Eben aus diesem lokalen angeschlossenen IP Netzwerk was du in deinem nmap Suchkommando z.B. mit nmap -sn 192.168.1.0/24 durchsuchst. Dort werden dann alle bei einem /24er Prefix üblichen 253 IP Adressen von 192.168.1.1 bis 192.168.1.254 durchgescannt und von nmap überprüft. Einfache nmap Logik!
Keinen. Diese Geräte sind einfach da bzw. online und werden von nmap erkannt und folgerichtig auch angezeigt.
Das so ein populäres Tool wie nmap dir Fake Daten anzeigt gehört wohl eher ins Reich der Märchen.

Moin Mario,

Du meinst vermutlich statt Foren Threads und erwartest jetzt von uns, dass wir uns die (aktuelle) Config aus den teils mehr als 2 Jahre alten Beiträgen zusammensuchen? Der verlinkte Thread hat 153 Kommentare und war damals ähnlich chaotisch wie dieser bisher.
Also einfach für Dich:
1. Poste Deine aktuelle Config.
2. Mach mal eine grobe Zeichnung Deines Setups, damit wir uns vorstellen können, von wo nach wo Du mit nmap scannen willst. Ich kann mir kaum vorstellen, dass Du in über 2 Jahren am Setup/Config nichts verändert hast.
3. Poste doch mal einfach (wie von @aqui bereits mehrfach angefordert) einfach Deine nmap-Kommandozeile und das Ergebnis, was Du erhälst.

Gruß

cykes

Gut, auf 3 einfache Fragen keine Antwort erhalten, nur 3 Gegenfragen - ich bin dann mal wieder raus wg. Zeitverschwendung ...

Ganz sicher eine Falschinformation oder Falschinterpretation wenn du einen nmap Scan auf das IP Netz dieses Clients loslässt und das dir dann 253 aktive Clients dort anzeigt.
Gut, könnte natürlich auch eine falsche IP Segmentierung oder Subnetz Nutzung deines Netzwerkes bedeuten. Ohne eine Netzwerk Skizze und die Information WAS du mit nmap WIE misst ist das absolutes Kristallkugeln im freien Fall.

Das nmap als das meistgenutzte Scantool weltweit und auf dem auch kommerzielle Produkte basieren dir irgendwelchen Märchenoutputs anzeigt kann man wohl mit an Sicherheit grenzender Wahrscheinlichkeit ausschliessen!!
Der Grund dürfte dann eher falsche nmap Syntax oder sehr wahrscheinlich falsche oder fehlerhafte Netzwerk Segmentierung oder IP Adressierung sein. Raten im freien Fall eben...
Wieso schaffst du es auch nicht auf die Fragen des Kollegen @cykes zu antworten?! Würde für eine zielführende Lösung helfen. Aber egal...

Och Mario,

zumindest die Punkte 1. und 3. benötigen für Dich 5 Minuten - für uns in Bezug auf Punkt 1. mal mindestens 1 Stunde, um alle alten Threads komplett durchzulesen und die aktuelle Config herauszufiltern, ohne dann zu wissen, ob es wirklich die aktuelle Config ist. Die alten Threads haben sich ja teilweise auch über Wochen oder Monate hingezogen. Punkt 3 kann doch auch nicht so schwer sein (nmap-Kommandozeile & Ergebnis einfach per Copy & Paste hier ins Forum). Alle Infos, die nur Dir bekannt sind, gehören eigentlich in die Frage mit rein.

Die Skizze würde das ganze mal visualisieren, wir sind ja nicht bei Dir vor Ort und sehen nicht, was Du wo eingesteckt hast und dann irgendwo eintippst.

Gruß

cykes

Klar, deshalb investieren wir hier auch so viel Zeit und Tipparbeit um versuchen dir zu helfen.
Mal im Ernst, dein Vorhaben wurde hier in diversen Cisco Routernetzen allesamt mit einer ZFW Konfig live ausgeführt!
Die Ergebnisse zeigen allesamt die erwartbaren Ergebnisse das dort auch nur die Clients angezeigt werden die auch online sind. Alles andere wäre auch bei einem so renomierten Tool Unsinn.
Full ACK 👍
Ganz besonders die ZFW bzw. Router Konfiguration wäre hier hilfreich. Wurde dir oben aber auch schon alles mehrfach gesagt ohne das du etwas Essentielles dazu zur Lösung beigetragen hast.
Sich dann auch noch Hilfsunwilligkeit deinerseits unterstellen zu lassen ist schon starker Tobak um es mal freundlich zu formulieren!

Wenn es das denn nun war bitte den Thread dann auch als erledigt markieren!
How can I mark a post as solved?

Moin Mario,

nur mal für's Protokoll, wir sind schon wieder fast 2 Monate hier zugange.
Möglich ist das, auch da wäre eine Zeichnung Deines Setups i.V.m. der Config (aller beteiligten Geräte) hilfreich. Es bringt ja jetzt auch keinen Fortschritt, wenn wir über mögliche Ursachen spekulieren, ohne zu wissen, wie das ganze aufgebaut und konfiguriert ist. Von einer Routerkaskade hab ich in Deinen alten Threads nichts finden können. Nur dass Du Ende 2022 noch zusätzlich mit IP Fire rumgespielt hast (wobei der Thread auch ergebnislos brach liegt).

Nach mehr als 4 Wochen ein
gefolgt von einer Zwischenfrage, die man ohne ordentliche Informationen einfach nicht zielführend beantworten kann, bringt diesen Thread auch nicht weiter.

Gruß

cykes

Moin,

ein Tipp, den man auch auf die Schnelle umsetzen kann: achte auf die MAC-Adressen der Antworten. Wenn du für die 253 IP-Adressen 253-Mal die gleiche MAC-Adresse zurück bekommst, kann es sein, dass einen Funktion wie "Proxy ARP" (https://en.wikipedia.org/wiki/Proxy_ARP) aktiviert ist. Dann antwortet dein Router halt stellvertretend auf alle IP-Anfragen.

Wenn du neben nmap noch ein zweites Tool einsetzen möchtest, kannst du das auch mit Bordmitteln lösen, sofern deine Router auf "Ping" antwortet (Bsp.):


Vielleicht reicht dir schon ein Check mit einigen exemplarische IPs, ansonsten kannst du dir ja noch eine Schleife drum herum basteln.

Gruß
TA

+weitere 3 Wochen ohne nennenswerten Fortschritt. Passiert hier noch was, Mario?

Schöne Ostern

cykes