Tato otázka byla inspirována touto odpovědí , která z části uvádí:
Obecný soubor manifestu brány firewall je ukončen zrušením všeho, co jsem jinak nedovolil (kromě ICMP. Nevypínejte ICMP).
Je ale opravdu dobrým zvykem, když firewall povoluje ICMP? Jaké jsou bezpečnostní důsledky a existují případy, kdy by měl být ICMP vypnutý?
Komentáře
- I ‚ určitě existuje spousta dalších důvodů, ale za prvé – vzdálená správa je noční můrou.
- Je to ‚ jedním z těch “ Pokud ‚ nejste bůh sítě a opravdu nevíte, co ‚ děláte, nedělejte ‚ s tím se “ něco takového.
- IMO, toto pravidlo platí pro celý firewall, nejen pro ICMP .
- Viz také: Přestaňte lámat internet!
- RFC 4890: ietf.org/rfc/rfc4890.txt a tento koncept RFC: datatracker.ietf.org/doc/draft-ietf-opsec-icmp- filtrování / … … oba poskytují podrobné rady, jak filtrovat pakety ICMPv4 i ICMPv6.
Odpověď
Ve srovnání s jinými protokoly IP je protokol ICMP poměrně malý, ale slouží velkému počtu různých funkcí. Ve své podstatě byl ICMP navržen jako mechanismus ladění, odstraňování problémů a hlášení chyb pro IP. Díky tomu je šíleně cenná, takže je třeba hodně přemýšlet, než ji vypnout. Bylo by to trochu jako připíchat >/dev/null 2>&1
na konec všech vašich záznamů v cronu.
Většinu času, když mluvím s lidmi o blokování ICMP, jsou opravdu mluví o ping a traceroute. To se promítá do 3 typů
- 0 – Echo Reply (odpověď ping)
- 8 – Echo Request (ping request)
- 11 – Time Exceeded
To jsou 3 typy ze 16. Podívejme se na několik dalších typů ICMP, které jsou k dispozici.
- 4 – Source Quench (odeslat routerem a požádat hostitele, aby zpomalil jeho přenosy)
- 3 – Destination Unreachable (sestává ze 16 různých druhů zpráv od hlášení problému s fragmentací až po firewall hlášení, že je port uzavřen)
Obojí může být neocenitelné pro udržení škodlivých hostitelů v síti správně fungujících. Ve skutečnosti existují dva (pravděpodobně více, ale tyto jsou nejzřetelnější) pro mě) velmi dobré případy, kdy nechcete omezit ICMP.
- Cesta MTU Discovery – K určení nejmenší MTU na cestě mezi hostiteli používáme kombinaci příznaku Don „t Fragment a kódu typu 3 (Destination Unreachable – Fragmentation required, and DF flag set). Tímto způsobem se vyhneme fragmentaci během přenosu.
- Služba Active Directory vyžaduje, aby klienti pingovali na řadiče domény, aby mohli strhnout GPO. Pomocí ping určují „nejbližší“ řadič, a pokud žádný neodpovídá, předpokládá se, že žádný není dostatečně blízko. Aktualizace zásad se tedy nestane.
To neznamená, že bychom měli nutně nechat vše otevřené, aby to viděl celý svět. U ICMP je možný průzkum, což je obecně důvod blokování. Pomocí ping lze určit, zda je hostitel skutečně zapnutý, nebo Time Exceededs (jako součást traceroute) k mapování síťových architektur, nebo Rory zakáže přesměrování (typ 5, kód 0), aby změnil výchozí trasu hostitele.
Vzhledem k tomu všemu moje rada jako vždy přistupuje k vaší ochraně opatrně a promyšleně. Blokování celého protokolu ICMP pravděpodobně není nejlepší nápad, ale výběr a výběr co blokujete a do / z kde vám pravděpodobně přinese to, co chcete.
Komentáře
- malé podrobnosti: I když je protokol ICMP v protokolu IPv4 volitelný, vyžaduje protokol IPv6 normální fungování. Role ICMP se hodně změnila. Lehké informace o tom: blogs.cisco.com/security/icmp-and-security-in-ipv6
- @Mike Jasně, Myslím, že mi nebylo ‚ jasné, ale konkrétně jsem mluvil o v4. IPv6 je natolik odlišné zvíře, že s ním při navrhování a ochraně sítí v6 musíme zacházet jako se zcela odlišným protokolem.
- +1 “ .. .nebo Rory zakázat … “ Vlastně jsem se nahlas zasmál.
- @tylerl: Zasmál jsem se to i psaní Je pravda, že jsem si dal víno a bylo to 1,5 hodiny před spaním.
- Zdroj Quench byl formálně zastaralý ( RFC 6633 ). A na internetu ho po celá desetiletí téměř nikdo neviděl.
Odpověď
ICMP existuje z nějakého důvodu a ne všechny z toho důvodu je ping
. Jedná se o „meta“ protokol, který se používá ke komunikaci řídicích zpráv o samotné síti. Podívejte se na ICMP na Wikipedii , abyste získali lepší představu o tom, co je a k čemu je.
Mezi další zprávy ICMP patří také cílový hostitel nedosažitelný, požadovaná fragmentace, kontrola přetížení, překročení TTL, chyby protokolu IP a řada dalších.
Síť bude fungovat bez ICMP – odolnost tváří v tvář kapkám paketů je jednou ze silných stránek IP – ale bude fungovat pomaleji, méně efektivně a bez výhod těchto signálů, které vám pomohou diagnostikovat a řešit problémy .
Problémy se zabezpečením pomocí protokolu ICMP bývají spíše mlhavými problémy se zveřejňováním informací. Např. pokud váš směrovač někomu pošle zprávu ICMP, pak někdo ví, že máte směrovač. Možná vás útočník zná mít směrovač je něco, čeho se „obáváte, nebo pravděpodobněji není. Ale bezpečnostní výzkum má tendenci chybovat na straně ticha jen pro jistotu, pro každý případ.
V operačním systému se občas vyskytuje chyba zabezpečení typu „ping of death“ související s ICMP. V současné době neexistují žádné v běžných operačních systémech. Znovu ale platí, že obhájci bezpečnosti se pro případ potřeby mýlí. “
Komentáře
- Vy ‚ se mýlí, ale souhlasím s vámi, že běžní uživatelé / správci by neměli blokovat ICMP. ICMP má několik zásadních bezpečnostních obav. Hlavním problémem je zpětná vazba na úrovni řízení (ttl-překročena), která není posílána pouze cílem, ale také mezilehlým chmelem. Lze ji použít pro otisky prstů zařízení na základě charakteristik (počáteční TTL, příznaky IP a ještě důležitější IP ID) zprávy ICMP. Zprávy ICMP navíc mohou být také zpětnou vazbou pro procházení firewallem a v kombinaci s firewally kontrolujícími okna TCP můžete provádět útoky odvozené od pořadového čísla.
Odpovědět
Abych byl upřímný, je chytré filtrovat některé odchozí ICMP na úrovni routeru i na úrovni softwarového firewallu jako další vrstvu zabezpečení.
Není vhodné zastavit DoS nebo DDoS, ale lidé se zlými úmysly stále používají ICMP, aby se pokusili získat co nejvíce informací o síti, než se ji pokusí narušit.
Neříkám, že používají pouze ICMP, ale to je jeden z mála typy paketů, které používají, a v závislosti na tom, zda máte otevřené protipovodňové brány, mohou získat velmi podrobné informace za velmi krátkou dobu.
Věnujte nějaký čas google a vyhledejte informace o tom, jak NMAP a několik dalších programů využívá ICMP jako jeden ze zdrojů pro shromažďování informací a poté založí vaše filtry na tom, co považujete za nezbytné pro svoji ochranu a vaše síť.
Pokud je to možné, vytvořte interní testovací síť (osobně jsem koupil sekundární wifi router levný a mám sekundární počítač jako bránu firewall pro testování všech mých routerů / ipchainů / softwarových firewallů nastavení dříve, než je použiji v mé hlavní síti pro svou domácnost a pro každého zákazníka, který si mě najme, aby zabezpečil jejich sítě.
Velmi doporučuji lidem, aby se pokusili provést nějaký průzkum skenování portů a jak porušovat brány firewall na jejich sítích. vlastní síť, aby mohli lépe chránit sebe a každou rodinu, které pomáhají.
Zde je několik zdrojů, které jsem použil a které jsem doporučil přátelům. Bez zabezpečení informací Jak se používá ICMP pro průzkum
A také
ICMP Attacks InfoSec Institute
Některé z útoků již nejsou životaschopné, ale existují i novější formy Šmoula, které stále fungují kvůli tomu, jak programátor dokázal znovu kódovat původní útok a změňte, jak to funguje a jak využíváte zdroje.
Kopejte kolem sebe a Google je vaším přítelem spolu se Stack Exchange a také vyhledávač duckduckgo je skvělý pro zdroje, které by Google mohl odfiltrovat, ale buďte opatrní a používejte rozum!
Jsem počítačovou technikou 22 let a specialistou na síťovou bezpečnost 10 let. V současné době jsem v chool pro můj ECH a můj CPTS a po jejich dokončení se dívám na kurzy Offensive Security.
Doufám, že to pomůže ostatním považovat tyto informace za užitečné, protože obnovuji zálohy, které jsem v tomto systému vytvořil, a najdu další odkazy a zdroje týkající se této záležitosti. Tuto odpověď aktualizuji.
Odpověď
Blokování protokolu ICMP je nejen zbytečné, ale ve většině případů také škodlivé. Existuje několik důvodů, proč byste neměli blokovat ICMP, pokud si nejste zcela jisti, co děláte, a zvláště proč to děláte. Ano icmp ping může pomoci ostatním „profilovat“ vaši síť. Ale buďme upřímní, pokud máte vůbec otevřenou jakoukoli službu tcp, uvidíte. Pokud jen zahodíte balíčky, uvidíte. Pokud odpovíte špatně, budete viděni.Takže pokud věříte teorii, že musíte skrýt naše důležité servery v síti, protože je to zvyšuje bezpečnost, pak když zablokujete svůj icmp, je možné, že váš hostitel je ještě jasnějším cílem. Existuje jen spousta způsobů, jak to udělat špatně, takže prolomíte zjišťování cesty mtu, kontrolu přetížení atd. A dokonce necháte svůj server vyniknout z masy. Takže v ořechové buňce neblokujte svůj icmp, pokud na to nemáte opravdu dobrý důvod, a pak to dělejte opatrně a přečtěte si specifikace protokolu icmp, abyste pochopili, co a proč děláte, co jste. Ano, může být dobrý nápad blokovat přesměrování icmp na okraji sítě, pokud si nejste jisti, zda máte stará jádra. Ale na druhou stranu je lepší aktualizovat vaše servery a další hostitele (opravit skutečné problémy), než je skrýt pod koberec, kde někdo stejně najde vaše chyby.
Odpověď
Jak vidíte ze struktury protokolu, vše závisí na oblasti, ve které se používá, a od bran firewall jsou schopni jednat podle parametrů typu a kódu, můžete se rozhodnout, co projde bránou firewall a co ne. Je zřejmé, že pokud brána firewall obdrží požadavek ICMP Echo a nemáte žádný problém s oznámením, zda je cílový hostitel aktivní nebo ne, musí být brána firewall také schopna předat odpověď Echo Reply. Ale pozor: ICMP pakety musí být podrobeny DPI, to znamená, že musí být v souladu se specifikacemi paketu: Pokud paket ICMP prošel příchozí / odchozí bránou firewall a ve vaší síti byl malware na jednom nebo více hostitelích, tito hostitelé mohli získávat příkazy ze serveru C & C a filtrovat informace na tento server. Obecně si nemyslím, že je rozumné jej používat na hraničních směrovačích, ale pro interní diagnostiku sítě ano.