radoch píše:
Tak firmware routeru Huawei EchoLife HG520i jsem prehral nejnovejsi verzi stazenou ze stranek O2 (ze srpna 2012), zatim se nic negativniho neprojevilo.
Pripojuji se s dotazem, zda existuje nejaka moznost otestovani NATu, abych mel jistotu, ze utok zvenci uz neprojde pres router k brane a nezpusobi bezduvodne zvoneni telefonu. Urcite by to uvitala rada uzivatelu, aby si mohla otestovat bezpecnost nastaveni sveho HW.
Vyzkoušel jsem stun klienta zde
http://sourceforge.net/projects/stun/files/
Kód: Vybrat vše
[@arch-petr2 ~]$ stunc stunserver.org
STUN client version 0.96
Primary: Indepndent Mapping, Port Dependent Filter, preserves ports, no hairpin
Return value is 0x000017
Podle
zdroje zde se výsledky dají interpretovat takto.
Kód: Vybrat vše
Independent Mapping, Independent Filter = Fullcone NAT
Independent Mapping, Address Dependent Filter = Restricted Cone NAT
Independent Mapping, Port Dependent Filter = Port-Restricted Cone NAT
Dependent Mapping = Symmetric NAT
V mém případě mám tedy nejběžněší a bezpečný "Port Restricet Cone NAT"
http://cs.wikipedia.org/wiki/STUN
Preserves port, je funkce z které nejsem moc nadšený. Že pokud se moje zařízení registruje na vnitřní síti na portu 5060 a tento port je na veřejné ip adrese volný, bude přemapován na stejný port veřejné adresy.
Použitím portu 5060 na veřejné ip adrese prozrazujeme útočníkovi, že máme co do činění s VoIP.
Zbývá ještě rozluštit co je to hairpinming.
Podle definice zde:
http://searchunifiedcommunications.tech ... airpinning
Kód: Vybrat vše
In general telecommunication, hairpinning is returning a message from an origin endpoint back in the direction it came from as a way to get it to its destination endpoint. There are several usages.
Kód: Vybrat vše
Hairpinning is the ability of the NAT to route packets coming from the private network addressed towards a public IP address binding back to the private network. Not all routers are supporting this feature.
Můj router to nepodporuje a přesto funguje dobře. K čemu je to tedy dobré? Možná se tou veřejnou ip adresou myslí jen veřejná ip adresa našeho NATu. Usuzuji to z tohoto článku, ale možná se pletu.
http://wiki.mikrotik.com/wiki/Hairpin_NAT Nemohu tak zevnitř sítě zkoušet, které porty jsou navenek otevřené ... ??? Nepotřebuji, mohu to zkoušet z venku.
Přemýšlíme, že uděláme nějaký java applet, který by byl chopen vypsat typ natu a jeho nebezpečnost a též testovat jaké jsou dostupné ip adresy v lokální síti. ...