2
Verständnisfrage nach heise Artikel über NAT-Slipstream Angriffe
Hallo zusammen,
bei heise konnte man neulich einen Artikel über NAT-Slipstream 2.0 Angriffe lesen. https://www.heise.de/news/NAT-Slipstreaming-Angriffe-Es-kommt-noch-schli ...
Irgendwie verstehe ich die Konsequenzen nicht so richtig. Die dort beschriebene Angriffstechnik nutzt Application Layer Gateways der Router die für die Nutzung mit SIP gedacht sind. Diese scheinen relativ "autonom" auf dem Router zu arbeiten, um die VoIP Konnektivität sicherzustellen. Und mit denen kann man dann sehr schön Löcher in die Firewall boren. Und so wie das klingt, wäre man dem schutzlos ausgeliefert?
Soweit so gut. Leider steht im Artikel nichts konkretes zu möglichen Gegenmaßnamen.
Wie kann man prüfen, ob ein Router hier angreifbar wäre? Und was könnte man dagegen machen?
Grüße
lcer
bei heise konnte man neulich einen Artikel über NAT-Slipstream 2.0 Angriffe lesen. https://www.heise.de/news/NAT-Slipstreaming-Angriffe-Es-kommt-noch-schli ...
Irgendwie verstehe ich die Konsequenzen nicht so richtig. Die dort beschriebene Angriffstechnik nutzt Application Layer Gateways der Router die für die Nutzung mit SIP gedacht sind. Diese scheinen relativ "autonom" auf dem Router zu arbeiten, um die VoIP Konnektivität sicherzustellen. Und mit denen kann man dann sehr schön Löcher in die Firewall boren. Und so wie das klingt, wäre man dem schutzlos ausgeliefert?
Soweit so gut. Leider steht im Artikel nichts konkretes zu möglichen Gegenmaßnamen.
Wie kann man prüfen, ob ein Router hier angreifbar wäre? Und was könnte man dagegen machen?
Grüße
lcer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 663254
Url: https://administrator.de/contentid/663254
Printed on: April 25, 2024 at 11:04 o'clock
2 Comments
Latest comment
Ich habe den Artikel auch "gelesen", nicht das ich da viel Ahnung von hätte. Fand aber den Kommentar sehr ausführlich:
https://www.heise.de/forum/heise-online/Kommentare/NAT-Slipstreaming-Ang ...
...und hab mir danach weniger "Sorgen" gemacht.
https://www.heise.de/forum/heise-online/Kommentare/NAT-Slipstreaming-Ang ...
...und hab mir danach weniger "Sorgen" gemacht.
1
Hi,
Schlussendlich geht es darum deinen PC ein Paket schicken zu lassen mit dem SIP Verbindungsaufbau - ich habe leider keinen Plan von SIP, habe nur dieses Youtube Video angeschaut https://www.youtube.com/watch?v=wznMQxZCpco&t=308s , schätze ich mal das der payload vom tcp paket so aussehen muss:
Hier die RFC falls man das korrekt machen will: (https://tools.ietf.org/html/rfc3261#page-57)
--> speicherst du unter payload.txt
d.h. die Idee ist das 192.168.178.21 meine eigene private Ip hinterm NAT ist und das 8080 der Dienst ist den ich exponieren will.
Jetzt könnte man das nun in ein TCP Paket mit z.B. hping3 packen und verschicken:
Jetzt habe ich also ein REGISTER SIP Request an GoogleDNS geschickt (--> also irgendwo ins internet)
Nun tust du schnell die NAT Table von deinem Router dumpen - falls er diese verbindung erlaubt - ist dein Port 8080 vom Internet aus von der IP 8.8.8.8 erreichbar
Der Splipstream macht es durch clevere fragmentierung, sodass der Browser via Javascriptcode genau dieses Paket verschickt und das ALG des Routers triggert
MFG
N-Dude
Schlussendlich geht es darum deinen PC ein Paket schicken zu lassen mit dem SIP Verbindungsaufbau - ich habe leider keinen Plan von SIP, habe nur dieses Youtube Video angeschaut https://www.youtube.com/watch?v=wznMQxZCpco&t=308s , schätze ich mal das der payload vom tcp paket so aussehen muss:
Hier die RFC falls man das korrekt machen will: (https://tools.ietf.org/html/rfc3261#page-57)
REGISTER SIP
Contact 192.168.178.21:8080d.h. die Idee ist das 192.168.178.21 meine eigene private Ip hinterm NAT ist und das 8080 der Dienst ist den ich exponieren will.
Jetzt könnte man das nun in ein TCP Paket mit z.B. hping3 packen und verschicken:
hping3 -c 1 -V -p 443 -E payload.txt -d 40 8.8.8.8Nun tust du schnell die NAT Table von deinem Router dumpen - falls er diese verbindung erlaubt - ist dein Port 8080 vom Internet aus von der IP 8.8.8.8 erreichbar
Der Splipstream macht es durch clevere fragmentierung, sodass der Browser via Javascriptcode genau dieses Paket verschickt und das ALG des Routers triggert
MFG
N-Dude
