VIDEOCHAT  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

Представлен новый метод обхода NAT и межсетевых экранов

Информация о разработках, технологиях, VoIP клиентах, серверах, библиотеках и всему что связано с темой форума

Модераторы: ded, april22, Zavr2008

Ответить
april22
Сообщения: 2187
Зарегистрирован: 09 июл 2012, 09:47

Представлен новый метод обхода NAT и межсетевых экранов

Сообщение april22 »

Исследователь безопасности Сами Камкар (Samy Kamkar) представил новый метод обхода механизма Network Address Translation (NAT) и межсетевых экранов, позволяющий получить удаленный доступ к сервисам TCP/UDP во внутренней сети жертвы.

В ходе атаки, получившей название NAT Slipstreaming, используется браузер и механизм Application Level Gateway (ALG) для отслеживания соединений, использующийся в межсетевых экранах, NAT и маршрутизаторах.

По словам Камкара, представленный им метод предусматривает использование таких техник, как извлечение внутренних IP-адресов с помощью атаки по времени или WebRTC, автоматизированное удаленное обнаружение MTU и IP-фрагментации, сжатие TCP-пакетов, неправильное использование аутентификации TURN, точный контроль границ пакетов и создание путаницы протоколов в браузере.

Поскольку порт назначения открывается NAT или межсетевым экраном, атака позволяет обходить реализованные в браузере ограничения на доступ к портам. Все основные современные браузеры уязвимы к этой атаке, которая представляет собой новый вариант атаки NAT Pinning, представленной Камкаром десять лет назад. Атака базируется на поддержке ALG в NAT/межсетевых экранах – обязательной функции для многопортовых протоколов, таких как FTP, IRC DCC, SIP, H323 (VoIP) и пр.

NAT различает соединения, которые внутренние хосты пытаются установить с одними и теми же адресами/портами, путем перезаписи исходных портов. С помощью ALG механизм NAT может отслеживать многопортовые протоколы, обеспечивая доставку нужных данных на запросивший их компьютер. Камкар выяснил, что можно «обойти NAT жертвы и подключиться непосредственно к любом порту на ее компьютере, раскрывая ранее защищенные/скрытые сервисы».
Подробнее: https://www.securitylab.ru/news/513749.php

Всю жизнь считал ALG злом !!!
Своими вопросами , вы загоняете меня в ГУГЛЬ.
ded
Сообщения: 15621
Зарегистрирован: 26 авг 2010, 19:00

Re: Представлен новый метод обхода NAT и межсетевых экранов

Сообщение ded »

С развитием IPv6 у провайдеров последней мили NAT-атака становится неактуальна. Он как-бы присутствует в каждом домашнем роутере, но только для IPv4 адресов. А все домашние коробочки, компы и мобильные телефоны имеют автоматически IPv6 адреса, которые открыты миру без NAT.
Аватара пользователя
Zavr2008
Сообщения: 2211
Зарегистрирован: 27 янв 2011, 00:35
Контактная информация:

Re: Представлен новый метод обхода NAT и межсетевых экранов

Сообщение Zavr2008 »

IPV6 тема совсем иная. Убежден что и там полно скелетов в шкафу, просто мало используется пока что.
А вот ALG - да, еще один повод для отключения.
Российские E1 шлюзы Alvis. Модернизация УПАТС с E1,Подключение к ИС "Антифрод" E1 PRI/SS#7 УВР Телестор, Грифин и др..
Ответить
© 2008 — 2024 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH