[ninux-not-wireless] NAT Slipstreaming
Alessandro Gnagni
alessandro at gnagni.it
Tue Nov 3 17:22:07 CET 2020
L'attacco sfrutta i moduli alg, quando rileva un pacchetto che corrisponde
al traffico sip intercetta e apre il flusso richiesto.
Più di agire su iptables, basta spegnere il modulo alg SIP. Di solito ci
sta sempre l'opzione sui router.
Su openwrt non credo che ci siano moduli alg attivi di default.
È buona norma non abilitare MAI UpnP, e solo i moduli ALG che servono.
Tenete conto inoltre che i moduli alg sono quasi inutili, ai usavano tempo
fa per aiutare i device "stupidi": con sip ormai quasi tutti i telefoni
implementano meccanismi di keep alive per evitare la necessità di alg, e
per FTP pure è quasi inutile.
L'unica volta che l'ho visto funzionare in maniera utile era con un
telefono VoIP Cisco e centralino Cisco che passavano per un ASA.
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <https://ml.ninux.org/pipermail/not-wireless/attachments/20201103/1611c258/attachment.html>
More information about the Not-wireless
mailing list