[Fli4l_dev] NAT-Slipstreaming-Angriffe - auch fli4l betroffen?
Alexander Dahl
lespocky at web.de
So Mär 14 10:13:25 CET 2021
Hallo Stefan,
Stefan Puschek schrieb Samstag, 13. März 2021, 20:10 (CET):
>> Die conntrack helper sind per default nicht aktiviert soweit ich weiß.
>> Man muss das explizit in der config/base.txt selbst einstellen.
>
> heisst das also, dass ich mit
>
> PF_PREROUTING_CT_ACCEPT_DEF='yes'
> PF_PREROUTING_CT_N='0'
> PF6_PREROUTING_CT_N='0'
>
> PF_OUTPUT_CT_ACCEPT_DEF='yes'
>
> auf der sicheren Seite bin?
Müsste. Wie gesagt, dass ist mein Verständnis. Sowohl im heise Artikel
als auch in dem anderen waren ja andere Begriffe benutzt worden und ich
hab mir die Primärquellen (noch) nicht angeschaut. Aber es war von
Mechanismen die Rede, die im Application Layer in die Paket gucken und
von Protokollen wie SIP und FTP und das passt alles zu conntrack. Das
passt auch zur Beschreibung des Angriffsszenarios.
Ich würde mich freuen, wenn da nochmal jemand anderes genau drauf gucken
würde und das widerlegen oder bestätigen könnte.
Grüße
Alex
--
***** http://blog.antiblau.de/ *****************************
GnuPG-FP: C28E E6B9 0263 95CF 8FAF 08FA 34AD CD00 7221 5CC6
Mehr Informationen über die Mailingliste Fli4l_dev