Nefunkční odchozí hovory mimo Odorik

Volání přes internet pomocí speciálních telefonů nebo adaptérů.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Nefunkční odchozí hovory mimo Odorik

Příspěvek od xsouku04 »

mobilemanic píše:xsouku04: já bych to takhle nezjednodušoval, ono totiž NAT a firewall jsou si blízcí a velmi se prolínají, většina implementací routování je NAT + firewall, kdy ten Vámi řečený "bezpečný typ NATu" tam vlastně dělá něco, co se klidně dá nazvat firewallem. Tyhle dvě technologie dnes, obzvláště v krabičkách za pět euro, tak nějak "jedním jsou"...

Takže bych netvrdil, že firewall je na nic, ono se to vzájemně doplňuje.
Můžete být konkrétnější? Naštudoval jsem si, jak fungují NATy. Existují 4 typy NATu. Jeden typ NATu, co se jmenuje Full-cone NAT, je vysoce nebezpečný a téměř se nepoužívá. Nevím o případu, kdy by použití tohoto NATu bylo vhodné. Pokud chci nějakou službu otevřít pro přístup k internetu, použiji port forwarding - přesměrování portů do vnitřní sítě. Ostatní typy NATu už mají v podstatě funkci firewalu v sobě zahrnutu a to jaksi mimochodem jako vedlejší produkt toho, jak fungují. Tento onen firewall mimochodem jako vedlejší produkt NATu, je velmi kvalitní, v podstatě to nelze vymyslet lépe. Tedy mluvit o nějaké možnosti zapnout si extra firewall na routeru je přinejmenším reklamština, ne-li úplný nesmysl.

Jediná výjimka je, pokud si chcete přístup k internetu dobrovolně omezit. To dělají často firmy, dovolené je jen to, co je potřeba pro práci. Tedy NAT + firewall mohou existovat na stejném zařízení a dává to smysl, pokud si chcete omezit svůj vlastní přístup k internetu. Pochybuji ale, že by se nějaká domácnost chtěla dobrovolně omezovat.


Jiný případ, kdy firewall je dobrá věc, je, pokud si modem přepnete do režimu bridge (jak píše pan Pitomec) a tedy veřejnou IP adresu získá přímo Váš počítač nebo jiné zařízení. V tomto případě ale NAT vůbec nepoužíváte. Sami si pak řídíte, které porty, služby a programy smí naslouchat žádostem celého internetu. Pokud ale máte router, který poskytuje běžný - tedy bezpečný typ NATu, extra funkce "firewall" je marketingový blábol. Tedy hlavně v případě, když není vůbec nikde popsáno, co přesně funkce "firewall" vašeho routeru dělá - v tom případě by se měla spíše jmenovat "omezení internetu s překvapením".
Já mám UPC modem trvale přepnutý do režimu bridge a jako router používám jiné zařízení, co netrpí reklamštinou.
davids
Příspěvky: 5
Registrován: ned 07. pro 2014 17:07:09

Re: Nefunkční odchozí hovory mimo Odorik

Příspěvek od davids »

Pokud by byl funkční jen NAT a ne Firewall a zároveň byl na routeru povolen source routing. Pak by mohlo jít správně směrovaným paketem zvenčí projít za NAT.
Útočník by musel znát interní IP toho stroje ve vnitřní síti. Ale to by mohl zkusit odhadnout.
Tomu by měl firewall zabránit.

Jak často je v defaultním nastavení source routing povolen nevím.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Nefunkční odchozí hovory mimo Odorik

Příspěvek od xsouku04 »

davids píše:Pokud by byl funkční jen NAT a ne Firewall a zároveň byl na routeru povolen source routing. Pak by mohlo jít správně směrovaným paketem zvenčí projít za NAT.
Útočník by musel znát interní IP toho stroje ve vnitřní síti. Ale to by mohl zkusit odhadnout.
Tomu by měl firewall zabránit.

Jak často je v defaultním nastavení source routing povolen nevím.
Popravdě ani jsem nevěděl, že existuje něco jako IP source Route. Na internetu toho na tohle téma moc není. Jako kdyby se to skoro nepoužívalo.
When source routing is used, the sender of the data makes some or all of the routing decisions.
Tedy source routing je routování, kdy o tom, kudy paket půjde, rozhoduje zdrojový počítač a ne routery po cestě.

Osobně nechápu proč by měl o tom, kudy paket půjde, rozhodovat zdrojový počítač, který nemá dostatečné informace o tom, jaké jsou možnosti sítě. Pravděpodobně to bude vhodné jen pro routování uvnitř nějaké velké organizace nebo spíše, pokud si pan teoretik hraje a něco zkouší.
Vypadá to, že hlavní tuto funkci využívají hlavně útočníci (pokud vůbec někdo), tedy u všech routerů dělající NAT by měla být defaultně zakázána. Lepší než pouštět firewall.

Jinak děkuji za upozornění. Mít NAT s povoleným source routing je nebezpečné a zjevně je dobré si to pohlídat.

Testoval jsem na svém Linuxovém počítači Debian jessie, zda-li je source based routing povolen.

Kód: Vybrat vše

cd /proc
find  .| grep  accept_source_route
./sys/net/ipv4/conf/all/accept_source_route
./sys/net/ipv4/conf/default/accept_source_route
./sys/net/ipv4/conf/eth0/accept_source_route
./sys/net/ipv4/conf/eth1/accept_source_route
./sys/net/ipv4/conf/lo/accept_source_route
./sys/net/ipv6/conf/all/accept_source_route
./sys/net/ipv6/conf/default/accept_source_route
./sys/net/ipv6/conf/eth0/accept_source_route
./sys/net/ipv6/conf/eth1/accept_source_route
./sys/net/ipv6/conf/lo/accept_source_route

cat  /proc/sys/net/ipv4/conf/all/accept_source_route
0
cat  /proc/sys/net/ipv4/conf/default/accept_source_route
1
cat /proc/sys/net/ipv4/conf/eth0/accept_source_route
1
Tedy vypadá, že je reálná šance že to neprozíraví výrobci routeru nechají v defaultním stavu jádra - zdá se - zapnuto.
I když např. openwrt to má defaultně vypnuto.

Návody pro nováčky ale, zdá se, na to zapomínají.

Vypadá to, že pro běžný Linux se to dá nastavovat v souboru /etc/sysctl.conf

Vypadá to, že by to mělo jít testovat

Kód: Vybrat vše

#We Windows:
ping -j verejna_ip_adresa_routeru neverejna_ip_adresa_pocitace
# tedy například
ping -j 84.240.62.137 192.168.0.111

# V Linuxu  
traceroute -g verejna neverejna
Vypadá to ale, že ono source base routing pakety už zahazují i routery po cestě, tedy o žádné velké nebezpečí se nejedná.

Zde píší, že routing headers jsou depreciated. (výmysl teoretiků zaníká - neosvědčil se k ničemu než útokům?)
http://security.stackexchange.com/quest ... n-the-wild
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Nefunkční odchozí hovory mimo Odorik

Příspěvek od xsouku04 »

xsouku04 píše: Můžete být konkrétnější? Naštudoval jsem si, jak fungují NATy. Existují 4 typy NATu. Jeden typ NATu, co se jmenuje Full-cone NAT, je vysoce nebezpečný a téměř se nepoužívá. Nevím o případu, kdy by použití tohoto NATu bylo vhodné. Pokud chci nějakou službu otevřít pro přístup k internetu, použiji port forwarding - přesměrování portů do vnitřní sítě. Ostatní typy NATu už mají v podstatě funkci firewalu v sobě zahrnutu a to jaksi mimochodem jako vedlejší produkt toho, jak fungují. Tento onen firewall mimochodem jako vedlejší produkt NATu, je velmi kvalitní, v podstatě to nelze vymyslet lépe. Tedy mluvit o nějaké možnosti zapnout si extra firewall na routeru je přinejmenším reklamština, ne-li úplný nesmysl.

Jediná výjimka je, pokud si chcete přístup k internetu dobrovolně omezit. To dělají často firmy, dovolené je jen to, co je potřeba pro práci. Tedy NAT + firewall mohou existovat na stejném zařízení a dává to smysl, pokud si chcete omezit svůj vlastní přístup k internetu. Pochybuji ale, že by se nějaká domácnost chtěla dobrovolně omezovat.
Tak se musím opravit ohledně NATu. Jde o terminologii. NAT může být nebezpečný i v případě "bezpečného typu", pokud dovolí adresování lokální ip adresy v LAN i z portu WAN a takový paket přepošle.
V Linuxu je tohle defaultní chování NATu, pokud to někdo extra pravidlem nezakáže.
Lokální ip adresa sice neprojde na dálku internetem, ale mohl by to zkoušet třeba Váš soused, nebo jeho zavirovaný počítač, který je připojen ke stejnému poskytovateli internet s neoptimálním nastavením. Nebo by to mohl zkoušet někdo, kdo se nabourá do wifi spojení po cestě.
Tohle routování by bezpečně nastavený router s NATem neměl nikdy dělat.
A právě tohle blokování lze nazvat firewall, i když je o tom jaksi zbytečné z hlediska koncového uživatele mluvit jako o firewalu, když by to měla v podstatě vždy být základní funkce každého bezpečného NATu. Zbývá jen otestovat, jak se který router s NATem defaultně chová.
Odpovědět