Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Новый вариант атаки NAT slipstreaming, позволяющей отправить запросы на внутренний IP"	+/–
Сообщение от opennews (??), 28-Янв-21, 22:41
Опубликован новый вариант атаки NAT slipstreaming,  позволяющей установить сетевое соединение от сервера атакующего к любому UDP или TCP порту на системе пользователя, открывшего подготовленную атакующем web-страницу в браузере. Атака даёт возможность атакующему отправить любые данные на любой порт пользователя, невзирая на применение на системе жертвы внутреннего диапазона адресов (192.168.x.x, 10.x.x.x), выход в сеть с которого напрямую закрыт и возможен только через транслятор адресов... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54480
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

4. Сообщение от Онаним (?), 28-Янв-21, 22:51	+11 +/–
И вот это вот овнище только что приняли в качестве стандарта. Малацы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #10, #14, #52, #55

6. Сообщение от Annoynymous (ok), 28-Янв-21, 22:52	+2 +/–
smart doormat — это прекрасно!
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Аноним (7), 28-Янв-21, 22:58	+/–
Ну вы просто галочку поставьте и не парьтесь.
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от АнДанте (?), 28-Янв-21, 23:02	+1 +/–
Верно, в проклЯтое время живем...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #36

9. Сообщение от Аноним (10), 28-Янв-21, 23:42	+14 +/–
Nat не для защиты. Обход НАТ это не баг, а фича
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #51

10. Сообщение от Аноним (10), 28-Янв-21, 23:45	+/–
Обход нат в webrtc используется для прямой передачи данных между компьютерами за nat. Для защиты используйте фаервол
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #12

11. Сообщение от Онаним (?), 28-Янв-21, 23:50	+15 +/–
От наличия или отсутствия NAT тут ничего не меняется. Проблема в обходе stateful filtering. NAT тут только часть целого. Вообще тут ещё к кодописцам ALG в роутерах есть вопросы: какого фига пакеты с флагом фрагмента скармливаются ALG без предварительной дефрагментации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #16, #17, #41

12. Сообщение от Онаним (?), 28-Янв-21, 23:51	+4 +/–
Один фиг, это счастье как раз рассчитывает на stateful filtering. Часть роутеров благополучно пробьют дырку и без всяких натов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

13. Сообщение от онанимус (?), 29-Янв-21, 00:19	+5 +/–
> smart doormat > internet connected oven то чувство, когда саркастичная ирония и не ирония вовсе, а киберпанк, который мы заслужили.
Ответить | Правка | Наверх | Cообщить модератору

14. Сообщение от Аноним (-), 29-Янв-21, 01:17	+2 +/–
> И вот это вот овнище только что приняли в качестве стандарта. Уже давно обязали его жрать и не отвлекаться. Почему нет хвалебных коментов ? Ох недоработка гулга..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #25, #53

15. Сообщение от Аноньимъ (ok), 29-Янв-21, 01:21	+5 +/–
Через какую же попу все описанные технологии работают. Это просто жуть.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20

16. Сообщение от Гентушник (ok), 29-Янв-21, 01:43	+4 +/–
Вот именно. Нужно фиксить этот баг на уровне ядра, а не в браузерах банить очередную порцию портов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

17. Сообщение от Аноним (17), 29-Янв-21, 01:59	+1 +/–
что-то мне подсказывает, что сквозь ipfw reass (и pf) хрен пролезет это чудище...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

18. Сообщение от openwrtshnik (?), 29-Янв-21, 02:24	+2 +/–
>OpenWRT проблеме не подвержен Ну тогда новость можно было и не писать. Проблемы любителей некротиков))
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19

19. Сообщение от NetRaider (ok), 29-Янв-21, 02:39	+/–
Чушь не пори. В микротиках функционал AGL полностью отключается штатными средствами
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #48

20. Сообщение от Аноним (20), 29-Янв-21, 02:55	+2 +/–
Цель интернета - пробить дыру к юзеру. А ты думаешь, почему его военные изобретали?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #24, #38, #69

22. Сообщение от Ivan_83 (ok), 29-Янв-21, 04:29	+1 +/–
А проблему решить просто: выставляем всем сокетам в системе по дефолту TTL/Hop Limit=1, а тем кому надо во внешку - пусть себе ставят привычные 64/128. После этого фаерволы становятся не очень то нужны, а такие хаки просто бесполезны.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #30

23. Сообщение от Аноним (23), 29-Янв-21, 05:20	+3 +/–
У меня дежавю или подобная новость с баном портов по умолчанию из-за каких-то уязвимостей уже была?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32

24. Сообщение от Ананоним (?), 29-Янв-21, 05:47	+/–
Кажется исследователи спалили фичу, а удивляющийся просто не понял этого :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

25. Сообщение от Аноним (25), 29-Янв-21, 05:47	+/–
У гугла в последнее время кризис, даже фанатики начали от них бежать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #37, #39

26. Сообщение от Ананоним (?), 29-Янв-21, 05:48	+1 +/–
Кажется исследователи спалили фичу :)
Ответить | Правка | Наверх | Cообщить модератору

27. Сообщение от Аноним (27), 29-Янв-21, 07:39	+1 +/–
Можно ещё проще - закрыть для браузера интернет вообще и использовать прокси. Пусть куда угодно пакеты отправляет, хоть и через WebДыреньTC.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

28. Сообщение от Аноним (28), 29-Янв-21, 08:13	–1 +/–
С голым задом нехрен лезть в инет.
Ответить | Правка | Наверх | Cообщить модератору

29. Сообщение от Аноним (29), 29-Янв-21, 09:22	+3 +/–
Ахахахахаха Помню как фиксили прошлую версию. Добавляли номера портов в чёрный список. Давайте теперь и этот добавляйте. И так до бесконечности.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #44, #66

30. Сообщение от Аноним (30), 29-Янв-21, 09:45	+/–
Это куда эту единичку прописать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #54

31. Сообщение от Кровосток (?), 29-Янв-21, 09:58	+5 +/–
Не до бесконечности, а до 65535 :) Но там стандартизаторы как увидят что все порты заблокированы по стандарту, решат что надо теперь к ipv6 добавить и портыv6 :) Чтобы уж точно их хватило с учётом забаненых :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

32. Сообщение от Аноним (32), 29-Янв-21, 10:07	+/–
> У меня дежавю или подобная новость с баном портов по умолчанию из-за > каких-то уязвимостей уже была? Написано же, что это новый вариант прошлогодней пробоемы (в новости на неё стоит ссылка), вместо SIP в котором H.323 и обход TURN.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #43

33. Сообщение от Аноним (28), 29-Янв-21, 11:13	+1 +/–
Нормальная практика - это закрывать все порты и оставлять только необходимые для работы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34, #46

34. Сообщение от Аноним (34), 29-Янв-21, 12:06	+/–
Я так и поступаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

35. Сообщение от Аноним (35), 29-Янв-21, 12:18	–1 +/–
Бугага. У меня не работает.
Ответить | Правка | Наверх | Cообщить модератору

36. Сообщение от Урри (ok), 29-Янв-21, 13:28	+1 +/–
В обычное смузивремя, что вы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #58

37. Сообщение от Урри (ok), 29-Янв-21, 13:32	+2 +/–
Просто гугл переборщил с aнaльным вставлянием рекламы по поводу и без. Настолько, что испортил свой собственный поиск. Вот народ и начал разбегаться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #40, #64, #70

38. Сообщение от СеменСеменыч777 (?), 29-Янв-21, 14:33	–1 +/–
сидящие за nat полноценными юзерами Интернета не являются. если некоторые ОС небезопасно выставить на реальный IP адрес без защиты, то это их проблемы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

39. Сообщение от Аноним (-), 29-Янв-21, 14:43	+1 +/–
> У гугла в последнее время кризис, даже фанатики начали от них бежать. какой кризис? какие фанатики? вы о чём именно? есть пруфы?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

40. Сообщение от Аноним (-), 29-Янв-21, 14:45	+/–
> гугл .... испортил свой собственный поиск. Вот народ и начал разбегаться. 1) Что значит "испортил... поиск" - Вы заметили ухудшение выдачи? 2) Какой народ? Куда разбегаться? Вы о чём? Есть пруфы?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #65

41. Сообщение от Аноним (41), 29-Янв-21, 14:46	–1 +/–
> Проблема в обходе stateful filtering Это вы где вычитали? Проблема только в ALG, ALG это часть NAT.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #45

42. Сообщение от Аноним (42), 29-Янв-21, 14:48	+6 +/–
> Проблема уже устранена в недавних выпусках Firefox 85, Chrome 87.0.4280.141, Edge 87.0.664.75 и Safari 14.0.3. Проблема в том, что это устраняют браузеры, а не долбоящеры, которые понасовали ALG во всевозможные роутеры. Вообще есть удивительный карго-культ вокруг NAT-а. Я имел несчастье общаться с людьми которые: 1. Рассматривают NAT как средство безопасности, способное заменить ACL 2. Свято верящие в правильность решений вокруг NAT, отказываясь верить, что это нестандартизированный плохо документированный вендорозависимый механизм внутри фаервола. ALG - это то что должен отключить каждый здравомыслящий человек вне зависимости от того, что там за вендор и на чем прошивка. Если вы зайдете в настройки своего железного роутера/файервола вы увидите там перечень протоколов, для которых включено ALG. Так вот знайте! Это не "улучшение поддержки этих протоколов, потому что они не поддерживают NAT", это роутер занимается косорылым DPI и меняет содержимое данных в пакетах, чтобы оно: а) заработало с его (вендора) единственно-верной реализацией NAT б) добилось работоспособности "поддерживаемых" протоколов по стандартам 15-летней давности. Из-за того что производители сетевого оборудования отказываются обновлять ПО, отказываются переходить на ipv6, отказываются стандартизировать механизм NAT они изобретают свои вендороспецифичные трюки вокруг ALG, которые в случае SIP и H323 не просто становятся причиной уязвимостей, но также приводят к неработоспособности этих протоколов, потому что не понимают/отказываются поддерживать их современные стандарты. Особенно удивляют меня фанбои Cisco, которые верят в безопасность аналогичных ALG на ASA/ASR, дескать это устройства повышенной безопасности с поддержкой инспектирования траффика. А потом, когда их носом тычешь в tcpdump, что инспектирование для вопросов безопасности в понимании Cisco - это повырезать и поковеркать ESMTP, вырезав оттуда "250 STARTTLS", они искренне удивляются. Верующим документация не нужна. Для них DPI и NAT - это средства безопасности, а ALG - это средство помощи "устаревшим" протоколам. А потом их ломают... не понятно конечно почему... Взять, например, холдинг Эр-Телеком с их интернетами Дом.фу. Когда я последний раз проверял у них от каждого клиента вырезалось STARTTLS. Заговор? Гэбня? Иллюминаты? Ни фига! Просто кто-то использует Cisco вместо коммутаторов и роутеров, да не просто так, а со стандартными настройками, потому что даже их настраивать не умеет. И все эти вендоры сетевого железа... Они +/- все одинаковые. Им плевать, что стандарты поменялись, потому что сетевой администратор продолжит молиться на Nexus и покупать их дерьмо, даже не понимая суть происходящего выше уровня TCP/IP, даже не подозревая, что Cisco и D-Link это оборудование одного и того же класса. Тьфу.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47

43. Сообщение от Аноним (41), 29-Янв-21, 14:54	+/–
> новый вариант прошлогодней пробоемы которая в свою очередь является развитием способа открытия портов в GW с помощью транслятора FTP протокола известного более 20 лет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

44. Сообщение от Аноним (41), 29-Янв-21, 14:56	+/–
А они так и делают :facepalm:
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

45. Сообщение от Аноним (45), 29-Янв-21, 14:59	+2 +/–
ALG это внезапно часть stateful tracking, а не NAT. Которая влияет как на NAT, так и на фильтрацию. Например порты RTP открывает, читая SIP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

46. Сообщение от Аноним (45), 29-Янв-21, 15:00	+2 +/–
Так ALG этим и занимается. Открывает порты, необходимые для работы...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

47. Сообщение от Аноним (41), 29-Янв-21, 15:04	+/–
> Взять, например, холдинг Эр-Телеком с их интернетами Дом.фу. Когда я последний раз проверял у них от каждого клиента вырезалось STARTTLS Лишний повод не пользоваться услугам крупных корпораций. Городская сеть ближе к клиентам :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

48. Сообщение от Иноагент (?), 29-Янв-21, 15:05	+2 +/–
Она везде отключается. Вопрос в том, где она включена по умолчанию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

49. Сообщение от Иноагент (?), 29-Янв-21, 15:22	+/–
>Взять, например, холдинг Эр-Телеком с их интернетами Дом.фу. Когда я последний раз проверял у них от каждого клиента вырезалось STARTTLS. Заговор? Ну это же зависит от настроек почтового сервера. Будет ли он принимать соединения для релея без TLS?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #50

50. Сообщение от Аноним (42), 29-Янв-21, 16:35	+1 +/–
TLS (SMTPS) - да. STARTTLS (ESMTP) - не только от него. В одном случае SMTP-соединение происходит внутри TLS-обёртки, а во втором случае, наоборот шифрование происходит внутри ESMTP-сессии. Для этого используется команда 250 STARTTLS. При таком подходе соединение между серверами не зашифрованное, и по этому приглашению устанавливается зашифрованное соединение. Соединение не зашифровано и оно вырезает возможность STARTTLS из ehlo. Потому что так решила Cisco. 250-STARTTLS -> 250-XXXXXXXA Оно просто видит траффик на 25/587 и режет это. Причем это поведение цисковской помойки по умолчанию. И не думайте, что баранов принимают в сетевики только в Эр-телекоме. Они повсюду: https://it.slashdot.org/story/14/11/11/2349244/ ALG это же даже как-то сложно. Их оборудование расшифровывает всю почту между почтовым клиентом и сервером, если используется удаленные порты 25/587. А их "сертифицированные" специализды слишком тупы, чтобы SMTP понять. Я пойму, когда аноним в интернете не понимает как работает почта, но я такой же бред от админов-сетевиков слышал. Печально это все... грустно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

51. Сообщение от pofigist (?), 29-Янв-21, 17:43	+/–
Cisco ASA смотрит на тебя с недоумением...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

52. Сообщение от Аноним (-), 29-Янв-21, 19:29	+/–
> И вот это вот овнище только что приняли в качестве стандарта. Которое из них?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

53. Сообщение от Аноним (-), 29-Янв-21, 19:31	+/–
> Ох недоработка гулга.. Твой аккаунт еще не зобанили? Вот это недоработка, но абьюз тим уже взял тебя на карандаш за нарушение ToS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

54. Сообщение от Ivan_83 (ok), 30-Янв-21, 00:25	+/–
Единичку прописать не проблема, проблема сказать софту чтобы он другой ттл прописал потом себе на отдельные сокеты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

55. Сообщение от Атон (?), 30-Янв-21, 14:33	+/–
Только что? Какой год у тебя на календаре? Да, к черту! не важно! Парень, как только создадут Евросоюз смело покупай новую валюту, евро!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #56

56. Сообщение от Онаним (?), 30-Янв-21, 15:11	+/–
Я не знаю, какой год у тебя на календаре, но... 28.01.2001 - Технология WebRTC получила статус стандарта
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #57

57. Сообщение от Онаним (?), 30-Янв-21, 15:12	+/–
Ахах блджад, да, 2001 Появится евро - обязательно куплю. Знал бы - сразу бы купил, а так - только в 2014 так делал. Не прогадал. 2021 конечно Но не суть
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

58. Сообщение от asdf (?), 30-Янв-21, 15:50	+/–
хоть цепочка дырявого софта в этом виде атаке длинная, виноват канешна-же NAT...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

59. Сообщение от Аноним (59), 30-Янв-21, 17:04	+/–
Это поможет? network.security.ports.banned.override = 69,137,161,1719,1720,1723,5060,5061,6566
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #60

60. Сообщение от XXX (??), 30-Янв-21, 20:30	+1 +/–
По идее это должно помочь: network.security.ports.banned = 69,137,161,1719,1720,1723,5060,5061,6566 Т.к. network.security.ports.banned.override наоборот разрешает порты из списка, исходя из этой информации: http://microsin.net/adminstuff/pcnetwork/firefox-blocking-po...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #61, #62

61. Сообщение от XXX (??), 30-Янв-21, 20:34	+1 +/–
http://kb.mozillazine.org/Network.security.ports.banned
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

62. Сообщение от trr (?), 30-Янв-21, 20:58	+/–
> По идее это должно помочь: Ну и ну, спецом для себя открыл, гугл такой гугл, спасибо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

63. Сообщение от darkshvein (ok), 01-Фев-21, 00:10	+1 +/–
на кой чёрт мне сип и webrtc в браузере? на кой чёрт я должен страдать из-за ретардов, которые не могут в установку отдельного мультимедийного ПО? причем страдать не по каким то там идейным показателям жора озу/цпу, а по вполне реальным тестам безопасности. почему браузеры равняются на дебилов?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #67, #71

64. Сообщение от darkshvein (ok), 01-Фев-21, 00:11	+/–
> испортил свой собственный поиск. с разморозкой!! только что заметили?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

65. Сообщение от darkshvein (ok), 01-Фев-21, 00:11	–1 +/–
- Вы заметили ухудшение выдачи?  Вы о чём? Есть пруфы? есть. ищи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

66. Сообщение от darkshvein (ok), 01-Фев-21, 00:13	+/–
>Добавляли номера портов в чёрный список. РКН довольно курит в сторонке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

67. Сообщение от онанимус (?), 01-Фев-21, 23:09	+/–
> на кой чёрт мне сип и webrtc в браузере? > на кой чёрт я должен страдать из-за ретардов, которые не могут в > установку отдельного мультимедийного ПО? > причем страдать не по каким то там идейным показателям жора озу/цпу, а > по вполне реальным тестам безопасности. > почему браузеры равняются на дебилов? есть рабочие станции для дебилов, где работает только браузер, чтобы дебил своими кривыми ручками не запустил винлокер. вся работа ведётся в браузере - для этого и онлайн офисы создаются, и сип клиенты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #68

68. Сообщение от darkshvein (ok), 02-Фев-21, 00:19	+/–
> есть рабочие станции для дебилов, где работает только браузер, чтобы дебил своими > кривыми ручками не запустил винлокер. > вся работа ведётся в браузере - для этого и онлайн офисы создаются, > и сип клиенты. а-ха-ха, в наиболее дырявом софте. узнаю виндоадминов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

69. Сообщение от Аноним (69), 02-Фев-21, 05:55	+/–
Теории заговора в следующем отделе. Изобретали интернет военные для военных, "юзеров" изначально там не планировалось вообще.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

70. Сообщение от Михаил (??), 05-Фев-21, 14:19	+/–
Чушь не пори
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

71. Сообщение от ГОНЩИК (?), 06-Фев-21, 15:50	+/–
Ставь PALEMOON в нем webrtc вырезан и всякое дерьмо ,сейчас он на гиконе  на 1 процессе .Даже ublock запилили ваще кайф
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

72. Сообщение от arisu (ok), 09-Фев-21, 08:36	+/–
главное — не останавливаться, и добавлять в браузеры ещё больше всяких API. потому что это модно и безопасно!
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема