Typ NATu a bezpečnost

tls,srtp,zrtp a bezpečnostní potíže VoIP

Typ NATu a bezpečnost

Příspěvekod xsouku04 » pát 28. srp 2015 17:17:07

typ NATu lze zjistit takto:
(z příkazové řádky Linuxu)
Kód: Vybrat vše
stun stun.ekiga.net


Nainstalovat v linuxu nástroj STUN lze pomocí "aptitude install stun"
Pokud máte Widnows, můžete použít naši java aplikaci.
http://www.odorik.cz/w/java_tunnel

V mém případě příkaz odpověděl:

STUN client version 0.96
Primary: Indepndent Mapping, Port Dependent Filter, preserves ports, no hairpin
Return value is 0x000017


Independent Mapping, Independent Filter = Fullcone NAT
Independent Mapping, Address Dependent Filter = Restricted Cone NAT
Independent Mapping, Port Dependent Filter = Port-Restricted Cone NAT
Dependent Mapping = Symmetric NAT

Nebezpečný je Fullcone NAT. Jakmile se namapuje port na veřejnou IP adresu, je pak otevřen pro jakéhokoli útočníka.
Pokud máte tento nebezpečný typ routeru, změňte si typ NATu. Pokud to nejde, router vyhoďte a kupte si jiný.
Jste na tom totiž téměř stejně špatně, jako byste přímo fungovali na veřejné IP adrese. Když s tím ale nepočítáte a zvolíte si na svém Asterisku sipové heslo třeba 1234, může to být drahé.

Pokud nemám nebezpečný typ NATu, funkci firewallu v podstatě nepotřebuji, protože samotný NAT chrání dostatečně.
Tedy alespoň co se VoIP týče. Blokovat RTP - tedy samotný hlas nemá opodstatnění snad nikdy.
Přesto to některé molochy dělají.

Starší vlákna a poznámky na tohle téma.
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 6562
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno

Re: Typ NATu a bezpečnost

Příspěvekod xsouku04 » pát 24. bře 2017 10:18:20

Tak se musím opravit ohledně NATu. Jde o terminologii. NAT může být nebezpečný i v případě "bezpečného typu", pokud dovolí adresování lokální ip adresy v lokální síti i z portu WAN a takový paket přepošle.
V Linuxu je tohle defaultní chování NATu, pokud to někdo extra pravidlem nezakáže.
Lokální ip adresa sice neprojde na dálku internetem, ale mohl by to zkoušet třeba Váš soused, nebo jeho zavirovaný počítač, který je připojen ke stejnému poskytovateli internetu s neoptimálním nastavením, kdy mohou různí klienti komunikovat napřímo lokálně bez omezení. Nebo by to mohl zkoušet někdo, kdo se nabourá do wifi spojení po cestě.
Tohle routování by bezpečně nastavený router s NATem neměl nikdy dělat.
A právě tohle blokování lze nazvat firewall, i když je o tom jaksi zbytečné z hlediska koncového uživatele mluvit jako o firewalu, když by to měla v podstatě vždy být základní funkce každého bezpečného NATu. Zbývá jen otestovat, jak se který router s NATem defaultně chová.
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 6562
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno


Zpět na Bezpečnost a šifrování hovorů

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 1 návštěvník