В третьей статье из цикла «прозрачный брандмауэр с маршрутизатором» рассмотрена задача плавного перехода на новые адреса другого провайдера и особенности фильтрации пакетов через встроенный мост Linux на ядрах 4.X

>>> Статья полностью

Цель открытого проекта VPP — создание свича/маршрутизатора L2/L3+ с множеством функций, включая полноценный NAT, с высокой производительностью обрабатывающего сетевые пакеты при использовании обычного процессора за счёт векторной обработки данных (эта технология уже используется в новых промышленных сетевых устройствах). Проект ведётся Cisco, Pantheon Technologies и другими.

Продукт работает на Intel DPDK. Этот фрэймворк позволяет использовать сетевую карту Intel в обход ядра операционной системы.

Продукт не является стабильным; все отчёты об ошибках и запросы функциональности принимаются кураторами. Разработчики будут благодарны за тестирование.

>>> Страница VPP

>>> Страница DPDK

>>> Список рассылки

>>> Подробности

Представляю на обозрение сообщества первую публичную версию своего проекта.
Основные возможности системы:

• Управление доступом пользователей ЛВС к сети Интернет через NAT (iptables+ipset) без прокси сервера.
• Возможность авторизации по IP или прозрачной авторизации пользователей Active Directory при помощи клиента авторизации.
• Возможность ограничивать пользователей по объему потребленного трафика и максимальной скорости.
• Ведение статистики потребления трафика пользователями с сохранением списка посещенных узлов.

>>> Домашняя страница проекта

Выяснилось, что реализация протокола NAT-PMP во многих SOHO-роутерах и сетевых устройствах позволяет злоумышленнику менять настройки переадресации портов и осуществлять перехват приватного и публичного трафика (перенаправив его на подконтрольный сервер). Проблема усугубляется тем, что атаку можно произвести без авторизации.

Корень проблемы кроется в простоте протокола NAT-PMP, который не содержит никаких проверок на предмет того, откуда приходят запросы, подразумевая, что они должны приходить лишь из локальной сети. Многие производители сетевого оборудования нарушили соответствующий RFC-стандарт, реализовав возможность приёма запросов переадресации портов с внешних интерфейсов.

По предварительным данным, полученным в результате сканирования Интернета, количество уязвимых устройств (принимающих запросы на 5351 порт) превышает миллион. Из них:

• 2.5% позволяют перехватить внутренний трафик
• 86% — перехватить внешний трафик
• 88% — получить доступ к службам в локальной сети
• 88% — вызвать отказ в обслуживании
• 100% — получить информацию об оборудовании, IP-адресах, используемых портах

Уязвимо множество оборудования от ZyXEL, Netgear, ZTE, MikroTik, Ubiquiti, Technicolor, Speedifi, Radinet и Grandstream. До выхода обновлений от производителя рекомендуется отключить NAT-PMP или заблокировать входящий UDP-трафик на 5351 порту.

>>> Подробности