Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Уязвимость в NAT-PMP позволяет управлять трафиком на SOHO-маршрутизаторах  (Прочитано 1994 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ArcFi

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Уязвимость в настройке NAT-PMP позволяет управлять трафиком на SOHO-маршрутизаторах

Многие реализации протокола NAT-PMP в SOHO-маршрутизаторах различных производителей оказались подвержены уязвимости, позволяющей удалённому неаутентифицированному атакующему изменить параметры переадресации портов, получить доступ к внутренним сетевым службам на стороне клиента и организовать перехват приватного и публичного трафика путём его перенаправления на внешний хост.

http://www.opennet.ru/opennews/art.shtml?num=40922

***
Люди часто забивают на настройку фаервола в локалке, думая, что роутер их защищает.
А там дырка на дырке…

Оффлайн vboxer

  • Активист
  • *
  • Сообщений: 656
  • Release: 14.10 Codename: utopic
    • Просмотр профиля
Подавляющее большинство вообще не включает и не настраивает фаерволл самого роутера, фильтрации по маку и прочие мелкие полезности. :P

Оффлайн ArcFi

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
vboxer, смысл новости как раз в том, что фаервол на роутере до одного места.

Оффлайн .ubuntufan

  • Активист
  • *
  • Сообщений: 638
    • Просмотр профиля
ArcFi,
ну почему - если UDP 5351 будет закрыт от внешней сети то все ок.

Оффлайн rumit

  • Активист
  • *
  • Сообщений: 485
    • Просмотр профиля
Люди часто забивают на настройку фаервола в локалке, думая, что роутер их защищает.
А там дырка на дырке…
Ии? как настроить фаервол в локалке?

Оффлайн ArcFi

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
все ок
Всё OK будет, когда оно научится автоматом применять секьюрити апдейты не позднее 48 часов после опубликования информации об уязвимостях.
И когда в прошивках перестанут находить бэкдоры.
Т.е. никогда.

Оффлайн .ubuntufan

  • Активист
  • *
  • Сообщений: 638
    • Просмотр профиля
Цитировать
Проблеме подвержены некоторые модели устройств от компаний ZyXEL, Netgear, ZTE, MikroTik, Ubiquiti, Technicolor, Speedifi, Radinet и Grandstream

охлол, когда же они начнут читать RFC и мануалы к софту, который пихают в сборки

Цитировать
# LAN network interfaces IPs / networks
# there can be multiple listening ips for SSDP traffic.
# should be under the form nnn.nnn.nnn.nnn/nn
# It can also be the network interface name (ie "eth0")
# It if mandatory to use the network interface name to enable IPv6
# HTTP is available on all interfaces.
# When MULTIPLE_EXTERNAL_IP is enabled, the external ip
# address associated with the subnet follows. for example :
#  listening_ip=192.168.0.1/24 88.22.44.13
#listening_ip=192.168.0.1/24
listening_ip=192.168.10.109/24
#listening_ip=eth0

RFC 6886:

Цитировать
The NAT gateway MUST NOT accept mapping requests destined to the NAT gateway's external IP address or received on its external network interface.  Only packets received on the internal interface(s) with a destination address matching the internal address(es) of the NAT gateway should be allowed.



Пользователь решил продолжить мысль 24 Октябрь 2014, 23:36:32:
Цитировать
Всё OK будет, когда оно научится автоматом применять секьюрити апдейты не позднее 48 часов после опубликования информации об уязвимостях.

Конечно, проблема комплексная. Но мы о конкретной уязвимости говорили и что настройка файервола поможет в данном случае.
« Последнее редактирование: 24 Октябрь 2014, 23:36:32 от .ubuntufan »

Оффлайн Pilot6

  • Старожил
  • *
  • Сообщений: 13220
  • Xubuntu 18.04
    • Просмотр профиля
Надо ставить Openwrt. Тогда проблем не будет.
Я в личке не консультирую. Вопросы задавайте на форуме.

Оффлайн victor00000

  • Забанен
  • Старожил
  • *
  • Сообщений: 15570
  • Глухонемой (Deaf)
    • Просмотр профиля
narod.ru откуда реклама верх, посмотреть исход. код понял.



Пользователь решил продолжить мысль 25 Октябрь 2014, 02:56:17:
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 25 Октябрь 2014, 02:56:17 от victor00000 »
Нельзя друзья, дулу - AnrDaemon видите?
~.o

Оффлайн rumit

  • Активист
  • *
  • Сообщений: 485
    • Просмотр профиля
Надо ставить Openwrt. Тогда проблем не будет.
не на все есть прошивка от Openwrt

Оффлайн Pilot6

  • Старожил
  • *
  • Сообщений: 13220
  • Xubuntu 18.04
    • Просмотр профиля
rumit,
Ну это да. Но я всегда покупаю такие, чтобы была. Причем не обязательно менять заводскую прошивку. Но возможность такая должна быть на случай багов или необходимости какого-то дополнительного функционала.
Я в личке не консультирую. Вопросы задавайте на форуме.

 

Страница сгенерирована за 0.12 секунд. Запросов: 24.