Typ NATu a bezpečnost

tls,srtp,zrtp a bezpečnostní potíže VoIP
Odpovědět
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8138
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Typ NATu a bezpečnost

Příspěvek od xsouku04 »

typ NATu lze zjistit takto:
(z příkazové řádky Linuxu)

Kód: Vybrat vše

stun stun.ekiga.net
Nainstalovat v linuxu nástroj STUN lze pomocí "aptitude install stun"
Pokud máte Widnows, můžete použít naši java aplikaci.
http://www.odorik.cz/w/java_tunnel

V mém případě příkaz odpověděl:

STUN client version 0.96
Primary: Indepndent Mapping, Port Dependent Filter, preserves ports, no hairpin
Return value is 0x000017


Independent Mapping, Independent Filter = Fullcone NAT
Independent Mapping, Address Dependent Filter = Restricted Cone NAT
Independent Mapping, Port Dependent Filter = Port-Restricted Cone NAT
Dependent Mapping = Symmetric NAT

Nebezpečný je Fullcone NAT. Jakmile se namapuje port na veřejnou IP adresu, je pak otevřen pro jakéhokoli útočníka.
Pokud máte tento nebezpečný typ routeru, změňte si typ NATu. Pokud to nejde, router vyhoďte a kupte si jiný.
Jste na tom totiž téměř stejně špatně, jako byste přímo fungovali na veřejné IP adrese. Když s tím ale nepočítáte a zvolíte si na svém Asterisku sipové heslo třeba 1234, může to být drahé.

Pokud nemám nebezpečný typ NATu, funkci firewallu v podstatě nepotřebuji, protože samotný NAT chrání dostatečně.
Tedy alespoň co se VoIP týče. Blokovat RTP - tedy samotný hlas nemá opodstatnění snad nikdy.
Přesto to některé molochy dělají.

Starší vlákna a poznámky na tohle téma.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8138
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Typ NATu a bezpečnost

Příspěvek od xsouku04 »

Tak se musím opravit ohledně NATu. Jde o terminologii. NAT může být nebezpečný i v případě "bezpečného typu", pokud dovolí adresování lokální ip adresy v lokální síti i z portu WAN a takový paket přepošle.
V Linuxu je tohle defaultní chování NATu, pokud to někdo extra pravidlem nezakáže.
Lokální ip adresa sice neprojde na dálku internetem, ale mohl by to zkoušet třeba Váš soused, nebo jeho zavirovaný počítač, který je připojen ke stejnému poskytovateli internetu s neoptimálním nastavením, kdy mohou různí klienti komunikovat napřímo lokálně bez omezení. (i když ani tohle není běžné, ale nedá se to úplně vyloučit) Nebo by to mohl zkoušet někdo, kdo se nabourá do wifi spojení po cestě.
Tohle routování by bezpečně nastavený router s NATem neměl nikdy dělat.
A právě tohle blokování lze nazvat firewall, i když je o tom jaksi zbytečné z hlediska koncového uživatele mluvit jako o firewalu, když by to měla v podstatě vždy být základní funkce každého bezpečného NATu. Zbývá jen otestovat, jak se který router s NATem defaultně chová.
Odpovědět