Threat Prevention: "Session Traversal Utilities for NAT (Stun Binding Request) ignorieren?
Hallo,
die Fehlererkennung schlägt beim beschriebenen Signatur Alarm (Stufe: Erntshafte Bedrohung).
alert udp $HOME_NET any -> $EXTERNAL_NET 3478 (msg:"ET INFO Session Traversal Utilities for NAT (STUN Binding Request)"; content:"|00 01|"; depth:2; content:"|21 12 a4 42|"; distance:2; within:4; reference:url,tools.ietf.org/html/rfc5389; classtype:attempted-user; sid:2016149; rev:2; metadata:created_at 2013_01_04, updated_at 2013_01_04;)
Soweit ich einschätzen kann geht es hier um völlig normalen Netzwerkverkehr. Ich würde es also mit einer Richtlinie ignorieren.
Ich kann mir allerdings nicht vorstellen, warum so etwas als "Schwere: hoch" eingestuft wird?
Hat jemand eine Idee, warum so etwas gerfährlich sein könnte?
Die Warnung wurde von unserem Synology Router ausgegeben, der den Traffic nach diesen typischen Snort Signaturen untersucht.
Vielen Dank für eine kurze Bewertung.
Gr. I.
die Fehlererkennung schlägt beim beschriebenen Signatur Alarm (Stufe: Erntshafte Bedrohung).
alert udp $HOME_NET any -> $EXTERNAL_NET 3478 (msg:"ET INFO Session Traversal Utilities for NAT (STUN Binding Request)"; content:"|00 01|"; depth:2; content:"|21 12 a4 42|"; distance:2; within:4; reference:url,tools.ietf.org/html/rfc5389; classtype:attempted-user; sid:2016149; rev:2; metadata:created_at 2013_01_04, updated_at 2013_01_04;)
Soweit ich einschätzen kann geht es hier um völlig normalen Netzwerkverkehr. Ich würde es also mit einer Richtlinie ignorieren.
Ich kann mir allerdings nicht vorstellen, warum so etwas als "Schwere: hoch" eingestuft wird?
Hat jemand eine Idee, warum so etwas gerfährlich sein könnte?
Die Warnung wurde von unserem Synology Router ausgegeben, der den Traffic nach diesen typischen Snort Signaturen untersucht.
Vielen Dank für eine kurze Bewertung.
Gr. I.
Please also mark the comments that contributed to the solution of the article
Content-Key: 394423
Url: https://administrator.de/contentid/394423
Printed on: April 19, 2024 at 16:04 o'clock
4 Comments
Latest comment
Zitat von @istike2:
Hallo,
Soweit ich einschätzen kann geht es hier um völlig normalen Netzwerkverkehr. Ich würde es also mit einer Richtlinie ignorieren.
Das ist das STUN Protokoll das meistens üblicherweise von VoIP Clients und Telefonanlagen genutzt wird um externe Adresse und genutzte Ports zu ermitteln und damit RTP Pakete zurück durch die Firewall fließen können, ohne das Portforwardings nötig werden.Hallo,
Soweit ich einschätzen kann geht es hier um völlig normalen Netzwerkverkehr. Ich würde es also mit einer Richtlinie ignorieren.
Ich kann mir allerdings nicht vorstellen, warum so etwas als "Schwere: hoch" eingestuft wird?
Wenn du aber selbst konkret weißt welche Software auf deinen Devices es benötigt kannst du ja gezielt für die Devices freischalten die es benötigen, oder eben blocken.Gruß A
Die Firewall macht dadurch keine Ports auf...
So meinte ich das auch eigentlich nicht, das war ein Missverständnis und das "Bohren" sollte nur als Synonym dienen, sorry war nicht präzise genug ausgeführt.