4
Threat Prevention: "Session Traversal Utilities for NAT (Stun Binding Request) ignorieren?
Hallo,
die Fehlererkennung schlägt beim beschriebenen Signatur Alarm (Stufe: Erntshafte Bedrohung).
alert udp $HOME_NET any -> $EXTERNAL_NET 3478 (msg:"ET INFO Session Traversal Utilities for NAT (STUN Binding Request)"; content:"|00 01|"; depth:2; content:"|21 12 a4 42|"; distance:2; within:4; reference:url,tools.ietf.org/html/rfc5389; classtype:attempted-user; sid:2016149; rev:2; metadata:created_at 2013_01_04, updated_at 2013_01_04;)
Soweit ich einschätzen kann geht es hier um völlig normalen Netzwerkverkehr. Ich würde es also mit einer Richtlinie ignorieren.
Ich kann mir allerdings nicht vorstellen, warum so etwas als "Schwere: hoch" eingestuft wird?
Hat jemand eine Idee, warum so etwas gerfährlich sein könnte?
Die Warnung wurde von unserem Synology Router ausgegeben, der den Traffic nach diesen typischen Snort Signaturen untersucht.
Vielen Dank für eine kurze Bewertung.
Gr. I.
die Fehlererkennung schlägt beim beschriebenen Signatur Alarm (Stufe: Erntshafte Bedrohung).
alert udp $HOME_NET any -> $EXTERNAL_NET 3478 (msg:"ET INFO Session Traversal Utilities for NAT (STUN Binding Request)"; content:"|00 01|"; depth:2; content:"|21 12 a4 42|"; distance:2; within:4; reference:url,tools.ietf.org/html/rfc5389; classtype:attempted-user; sid:2016149; rev:2; metadata:created_at 2013_01_04, updated_at 2013_01_04;)
Soweit ich einschätzen kann geht es hier um völlig normalen Netzwerkverkehr. Ich würde es also mit einer Richtlinie ignorieren.
Ich kann mir allerdings nicht vorstellen, warum so etwas als "Schwere: hoch" eingestuft wird?
Hat jemand eine Idee, warum so etwas gerfährlich sein könnte?
Die Warnung wurde von unserem Synology Router ausgegeben, der den Traffic nach diesen typischen Snort Signaturen untersucht.
Vielen Dank für eine kurze Bewertung.
Gr. I.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 394423
Url: https://administrator.de/contentid/394423
Printed on: April 19, 2024 at 16:04 o'clock
4 Comments
Latest comment
Zitat von @istike2:
Hallo,
Soweit ich einschätzen kann geht es hier um völlig normalen Netzwerkverkehr. Ich würde es also mit einer Richtlinie ignorieren.
Das ist das STUN Protokoll das meistens üblicherweise von VoIP Clients und Telefonanlagen genutzt wird um externe Adresse und genutzte Ports zu ermitteln und damit RTP Pakete zurück durch die Firewall fließen können, ohne das Portforwardings nötig werden.Hallo,
Soweit ich einschätzen kann geht es hier um völlig normalen Netzwerkverkehr. Ich würde es also mit einer Richtlinie ignorieren.
Ich kann mir allerdings nicht vorstellen, warum so etwas als "Schwere: hoch" eingestuft wird?
Wenn du aber selbst konkret weißt welche Software auf deinen Devices es benötigt kannst du ja gezielt für die Devices freischalten die es benötigen, oder eben blocken.Gruß A
@137846:
STUN bohrt keine Löcher!
Es dient lediglich dazu, herauszufinden ob NAT und/oder PAT stattfindet um die so ermittelten Adressen dann in Pakete, wie bspw. SIP zu schreiben, wo die Angabe der IP-Adressen der Endpunkte zwingend ist.
Die Firewall macht dadurch keine Ports auf...
STUN bohrt keine Löcher!
Es dient lediglich dazu, herauszufinden ob NAT und/oder PAT stattfindet um die so ermittelten Adressen dann in Pakete, wie bspw. SIP zu schreiben, wo die Angabe der IP-Adressen der Endpunkte zwingend ist.
Die Firewall macht dadurch keine Ports auf...
1Die Firewall macht dadurch keine Ports auf...
So meinte ich das auch eigentlich nicht, das war ein Missverständnis und das "Bohren" sollte nur als Synonym dienen, sorry war nicht präzise genug ausgeführt.
Hallo I,
der Ansatz wäre: Ist es erlaubt und gewollt, dann ist es OK. sog. false positive. Wenn nicht, ist da natürlich Handlungsbedarf.
Die Schwere ist eine Frage der Justierung.
VG
der Ansatz wäre: Ist es erlaubt und gewollt, dann ist es OK. sog. false positive. Wenn nicht, ist da natürlich Handlungsbedarf.
Die Schwere ist eine Frage der Justierung.
VG
