Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
Каталог
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Страницы: 1
RSS
Уязвимость NAT Slipstream, UniFi Network
 
Новая уязвимость, использующая функционал ALG — https://samy.pl/slipstream/. Интересно, как это скажется на USG или похожих маршрутизаторах Ubiquiti? Кто-нибудь изучал это и нашёл места, куда смотреть, чтобы убедиться, что помощники ALG (если они есть) отключены?  
Дополнение: похоже, нужно зайти в настройки -> маршрутизация и брандмауэр -> брандмауэр -> модули conntrack.
 
Если я правильно понимаю обновление Slipstream 2.0, этот новый способ обходит защитные меры (блокировку определённого трафика на определённые порты), которые разработчики браузеров применяли к оригинальному Slipstream. Если ваши модули ALG не активированы (как ранее указывали @UI-Team выше), то эти новые атаки должны быть невозможны.
 
Этого действительно будет достаточно. Если они там все отключены, значит, они все отключены.
 
Если зайти в Firewall -> Settings в контроллере, можно отключить любой или все модули Conntrack. По моему мнению, этого достаточно... как я уже написал выше, я хочу это подтвердить.
 
Есть ли у нас способ установить net.netfilter.nf_conntrack_helper = 0? Какой рекомендуемый способ отключить все эти хелперы, если они нам не нужны?
 
У меня один вопрос: как ваши посты получают дизлайки и почему?
 
Только что увидел информацию про «NAT Slipstream 2.0» и, по моим примерно подготовленным ощущениям, кажется, что там используется протокол H.323. Правильно ли я понимаю, что отключение этого модуля conntrack защитит меня в какой-то существенной степени?
 
Модули conntrack в Linux известны как netfilter. Насколько я понимаю, это вспомогательная программа, которая помогает устройствам открывать порты в файрволе. По сути, работает примерно так же, как UPnP. Похоже, что единственный модуль conntrack, который может понадобиться — это H.323 для совместимости со старыми VoIP и другими устройствами. Если вы не используете VPN, остальное можно не трогать. Ubiquiti, похоже, не даёт отключить то, что может вызвать проблемы. В модулях H.323 тоже находили уязвимости. Я решил отключить H.323, и мои VoIP-телефоны всё равно работают. Зачем держать включённым то, чем не пользуешься?
 
Спасибо за разъяснение. Порыскав немного глубже, я предположил, что модули — это дополнения к conntrack, и приятно видеть подтверждение этому. Теперь, исходя из этого, получается, что если отключить модули conntrack, а что-то от них зависит, то это что-то работать не будет. При этом в firewall не появятся дырки просто потому, что модуль conntrack недоступен. Так ли это?
Страницы: 1
Читают тему (гостей: 1)