Исходное сообщение
"Новый вариант атаки NAT slipstreaming, позволяющей отправить..." Отправлено Аноним, 29-Янв-21 14:48
> Проблема уже устранена в недавних выпусках Firefox 85, Chrome 87.0.4280.141, Edge 87.0.664.75 и Safari 14.0.3. Проблема в том, что это устраняют браузеры, а не долбоящеры, которые понасовали ALG во всевозможные роутеры. Вообще есть удивительный карго-культ вокруг NAT-а. Я имел несчастье общаться с людьми которые: 1. Рассматривают NAT как средство безопасности, способное заменить ACL 2. Свято верящие в правильность решений вокруг NAT, отказываясь верить, что это нестандартизированный плохо документированный вендорозависимый механизм внутри фаервола. ALG - это то что должен отключить каждый здравомыслящий человек вне зависимости от того, что там за вендор и на чем прошивка. Если вы зайдете в настройки своего железного роутера/файервола вы увидите там перечень протоколов, для которых включено ALG. Так вот знайте! Это не "улучшение поддержки этих протоколов, потому что они не поддерживают NAT", это роутер занимается косорылым DPI и меняет содержимое данных в пакетах, чтобы оно: а) заработало с его (вендора) единственно-верной реализацией NAT б) добилось работоспособности "поддерживаемых" протоколов по стандартам 15-летней давности. Из-за того что производители сетевого оборудования отказываются обновлять ПО, отказываются переходить на ipv6, отказываются стандартизировать механизм NAT они изобретают свои вендороспецифичные трюки вокруг ALG, которые в случае SIP и H323 не просто становятся причиной уязвимостей, но также приводят к неработоспособности этих протоколов, потому что не понимают/отказываются поддерживать их современные стандарты. Особенно удивляют меня фанбои Cisco, которые верят в безопасность аналогичных ALG на ASA/ASR, дескать это устройства повышенной безопасности с поддержкой инспектирования траффика. А потом, когда их носом тычешь в tcpdump, что инспектирование для вопросов безопасности в понимании Cisco - это повырезать и поковеркать ESMTP, вырезав оттуда "250 STARTTLS", они искренне удивляются. Верующим документация не нужна. Для них DPI и NAT - это средства безопасности, а ALG - это средство помощи "устаревшим" протоколам. А потом их ломают... не понятно конечно почему... Взять, например, холдинг Эр-Телеком с их интернетами Дом.фу. Когда я последний раз проверял у них от каждого клиента вырезалось STARTTLS. Заговор? Гэбня? Иллюминаты? Ни фига! Просто кто-то использует Cisco вместо коммутаторов и роутеров, да не просто так, а со стандартными настройками, потому что даже их настраивать не умеет. И все эти вендоры сетевого железа... Они +/- все одинаковые. Им плевать, что стандарты поменялись, потому что сетевой администратор продолжит молиться на Nexus и покупать их дерьмо, даже не понимая суть происходящего выше уровня TCP/IP, даже не подозревая, что Cisco и D-Link это оборудование одного и того же класса. Тьфу.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> Проблема уже устранена в недавних выпусках Firefox 85, Chrome 87.0.4280.141, Edge 87.0.664.75 и Safari 14.0.3. > Проблема в том, что это устраняют браузеры, а не долбоящеры, которые понасовали > ALG во всевозможные роутеры. > Вообще есть удивительный карго-культ вокруг NAT-а. Я имел несчастье общаться с людьми > которые: > 1. Рассматривают NAT как средство безопасности, способное заменить ACL > 2. Свято верящие в правильность решений вокруг NAT, отказываясь верить, что это > нестандартизированный плохо документированный вендорозависимый механизм внутри фаервола. > ALG - это то что должен отключить каждый здравомыслящий человек вне зависимости > от того, что там за вендор и на чем прошивка. > Если вы зайдете в настройки своего железного роутера/файервола вы увидите там перечень > протоколов, для которых включено ALG. Так вот знайте! Это не "улучшение > поддержки этих протоколов, потому что они не поддерживают NAT", это роутер > занимается косорылым DPI и меняет содержимое данных в пакетах, чтобы оно: > а) заработало с его (вендора) единственно-верной реализацией NAT > б) добилось работоспособности "поддерживаемых" протоколов по стандартам 15-летней давности. > Из-за того что производители сетевого оборудования отказываются обновлять ПО, отказываются > переходить на ipv6, отказываются стандартизировать механизм NAT они изобретают свои вендороспецифичные > трюки вокруг ALG, которые в случае SIP и H323 не просто > становятся причиной уязвимостей, но также приводят к неработоспособности этих протоколов, > потому что не понимают/отказываются поддерживать их современные стандарты. > Особенно удивляют меня фанбои Cisco, которые верят в безопасность аналогичных ALG на > ASA/ASR, дескать это устройства повышенной безопасности с поддержкой инспектирования > траффика. А потом, когда их носом тычешь в tcpdump, что инспектирование > для вопросов безопасности в понимании Cisco - это повырезать и поковеркать > ESMTP, вырезав оттуда "250 STARTTLS", они искренне удивляются. Верующим документация не > нужна. Для них DPI и NAT - это средства безопасности, а > ALG - это средство помощи "устаревшим" протоколам. А потом их ломают... > не понятно конечно почему... > Взять, например, холдинг Эр-Телеком с их интернетами Дом.фу. Когда я последний раз > проверял у них от каждого клиента вырезалось STARTTLS. Заговор? Гэбня? Иллюминаты? > Ни фига! Просто кто-то использует Cisco вместо коммутаторов и роутеров, да > не просто так, а со стандартными настройками, потому что даже их > настраивать не умеет. > И все эти вендоры сетевого железа... Они +/- все одинаковые. Им плевать, > что стандарты поменялись, потому что сетевой администратор продолжит молиться на Nexus > и покупать их дерьмо, даже не понимая суть происходящего выше уровня > TCP/IP, даже не подозревая, что Cisco и D-Link это оборудование одного > и того же класса. Тьфу.
	Введите код, изображенный на картинке: