NAT-Slipstreaming-Angriffe

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
nehemann
Beiträge: 19
Registriert: Mi 22.06.2016, 09:05

NAT-Slipstreaming-Angriffe

Beitrag von nehemann »

Hallo,

ist das Thema NAT-Slipstreamin-Angriff (https://www.heise.de/news/NAT-Slipstreaming-Angriffe-Es-kommt-noch-schlimmer-5078104.html) bekannt, inwieweit ist UTM betroffen und wie ist diesbezüglich ihre geplante Vorgehensweise?

Danke und Gruß

Nico

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Was mir dazu auf Anhieb einfaellt ist, zuerst einmal den Browser aktuell zu halten.

Das Zweite ist, das die Verwendung des SIP-Helper in der Firewall selbst nicht greift, wenn die Quell-IP  des gesendeten SIP-Paketes nicht mit der im SDP-Teil angegebenen uebereinstimmt. (Technisch gesehen kann der SIP-Helper das ignorieren und anfassen, ist aber abgeschalten)

Zudem betrifft das nicht nur SIP, sondern in der Theorie nahezu alle Protokolle, die einen Datenkanal und Steuerkanal nutzen und damit unter Umstaenden das  ALG eines vorgeschalteten Routes/ einer Firewall benoetigen. Also rein hypotetisch koennte man auch FTP fuer so einen Angriff missbrauchen usw. Das "2.0" ist aus meiner Sicht eine Uebertreibung. Zeigt nur, das man sich mit Tunnelblick darauf konzentriert hat. Wenn wir uns auf Internet-Browser konzentrieren ist FTP auf jeden Fall auch noch dabei. Wenn man es schafft, ueber den Browser andere Protokolle vorzutaeuschen, noch mehr.

Prinzipiell kann man bei der Securepoint UTM diese "Form" des Angriffes nur ausfuehren, wenn die SIP-Helper aktiv ueber die Portfilterregeln genutzt werden. Diese sind jedoch in einigen Faellen erforderlich, weil sonst Dienste ueber das Internet / konfigurationsabhaengig nicht mehr funktionieren. (FTP, wie schon angesprochen/ SNMP/ PPTP/ GRE/ SIP usw.)

Ab der 11.8 greifen die Helper-Module nicht mehr automatisch ein. Das erhoeht nicht nur die Sicherheit, es erhoeht auch die Flexibilitaet.

Jedoch kann man das Ganze zusaetzlich sicherer gestalten:

Bei SIP kann man das Problem "recht einfach" angehen:

- Es wird intern eine Telefonanlage verwendet/ diese uebernimmt das RTP-Streaming und nur fuer diese wird  der SIP-Helper in Regeln verwendet
- Telefone, die nach Extern kommunizieren, befinden sich in einem eigenen Netz und nur diese werden mit SIP-Helpern in Regeln ausgestattet
- Bei der Telefonanlage/ den Telefonen, wenn moeglich, einen STUN-Server hinterlegen und ohne den SIP-Helper generell arbeiten, wenn die Konfiguration/ Umgebung es erlaubt (Abhaengig von verschiedensten Faktoren)
- Gleiches auch fuer andere Protokolle, die man dafuer ausnutzen koennte. Auf die Geraete beschraenken, die es nutzen muessen...

Sicherlich werden noch intern Informationen zu dem Thema kommen. Ich werde das dann hier hinzufuegen/ korrigieren.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Antworten