Onko huono idea, että palomuuri estää ICMP: n?

Tämän kysymyksen inspiroi tämä vastaus , jossa todetaan osittain:

Yleinen palomuuri-manifestitiedosto lopetetaan pudottamalla kaikki mitä en muuten sallinut (ICMP: n lisäksi. Älä sammuta ICMP: tä).

Mutta onko palomuurille todella hyvä tapa sallia ICMP? Mitkä ovat turvallisuusvaikutukset, ja onko tapauksia, joissa ICMP tulisi poistaa käytöstä?

Kommentit

  • I ’ on varma, että on olemassa paljon muita syitä, mutta yhdestä – se tekee etähallinnasta painajaisen.
  • Se ’ on yksi niistä ” Ellet ’ ole verkostoituva jumala ja tiedät todella mitä ’ teet, älä ’ t sotkea sen kanssa ” sellaisia asioita.
  • IMO, tämä sääntö koskee koko palomuuria, ei pelkästään ICMP: tä .
  • Katso myös: Lopeta Internetin rikkominen!
  • RFC 4890: ietf.org/rfc/rfc4890.txt ja tämä luonnos RFC: datatracker.ietf.org/doc/draft-ietf-opsec-icmp- suodatus / … … molemmat tarjoavat yksityiskohtaisia neuvoja sekä ICMPv4- että ICMPv6-pakettien suodattamisesta.

Vastaus

Verrattuna muihin IP-protokolliin, ICMP on melko pieni, mutta palvelee kuitenkin paljon erilaisia toimintoja. Ytimessä ICMP suunniteltiin IP: n virheenkorjaus-, vianmääritys- ja virheilmoitusmekanismiksi. Tämä tekee siitä mielettömän arvokkaan, joten sen sulkemisessa on paljon ajatuksia. Se olisi vähän kuin kiinnittää >/dev/null 2>&1 kaikkien cron-merkintöjen loppuun.

Useimmiten puhun ihmisille ICMP: n estämisestä. todella puhutaan pingistä ja traceroutesta. Tämä tarkoittaa kolmea tyyppiä

  • 0 – Kaiun vastaus (ping-vastaus)
  • 8 – Kaiku-pyyntö (ping-pyyntö)
  • 11 – Aika ylitetty

Se on 3 tyyppiä 16: sta. Katsotaanpa pari muuta käytettävissä olevaa ICMP-tyyppiä.

  • 4 – Lähdekatkaisu (reititin lähettää pyytämään isäntää hidastamaan lähetyksiä)
  • 3 – Kohdetta ei saavuteta (koostuu 16 erilaisesta viestistä pirstoutumisongelman ilmoittamisesta palomuuriin portin sulkemisesta ilmoittaminen)

Molemmat voivat olla korvaamattomia pitääkseen ei-haitalliset isännät toimimassa kunnolla verkossa. Itse asiassa on kaksi (luultavasti enemmän, mutta nämä ovat ilmeisimpiä) minulle) erittäin hyvät tapaukset, joissa et halua rajoittaa ICMP: tä.

  • Polku MTU Discovery – Käytämme Don ”t-fragmentin lipun ja tyypin 3 koodin 4 (Destination Unreachable – Fragmentation required, and DF flag set) yhdistelmää määritettäessä pienin MTU isäntien välisellä polulla. Tällä tavoin vältetään pirstoutuminen lähetyksen aikana.
  • Active Directory vaatii asiakkaita pingoimaan toimialueen ohjaimia vetääkseen GPO: t alas. He käyttävät pingiä määrittämään ”lähimmän” ohjaimen ja jos kukaan ei vastaa, oletetaan, ettei kukaan ole tarpeeksi lähellä. Joten käytäntöpäivitystä ei tapahdu.

Tämä ei tarkoita sitä, että meidän pitäisi välttämättä jättää kaikki avoinna koko maailman nähtäväksi. Tutkinta on mahdollista ICMP: llä, ja se on yleensä syy estoon. Pingien avulla voidaan selvittää, onko isäntä tosiasiallisesti käytössä, tai ylitetty aika (osana jäljitysreittiä) verkkoarkkitehtuurien kartoittamiseksi, tai Rory kieltää uudelleenohjauksen (tyyppi 5 koodi 0) isännän oletusreitin muuttamiseksi. / p>

Kaiken tämän vuoksi neuvoni on, kuten aina, suhtautua mitoitettuun ja harkittuun suojaan. ICMP: n estäminen kokonaisuudessaan ei todennäköisesti ole paras idea, mutta valitsemalla ja valitsemalla mitä estät ja mistä / mistä mistä luultavasti saat haluamasi.

Kommentit

  • pieni yksityiskohta: Vaikka ICMP on valinnainen IPv4: ssä, IPv6 vaatii sen toimimaan normaalisti. ICMP: n rooli on muuttunut paljon. Kevyt lukea siitä: blogs.cisco.com/security/icmp-and-security-in-ipv6
  • @Mike Voi varmasti, Luulen, etten ollut ’ selvä, mutta puhuin nimenomaan v4: stä. IPv6 on tarpeeksi erilainen peto, jota meidän on todella kohdeltava täysin erilaisena protokollana suunniteltaessa ja suojataessa v6-verkkoja.
  • +1 ” .. tai Rory kieltää … ” Nauroin itse asiassa ääneen.
  • @tylerl: Nauroin myös kirjoittaessani sitä. Myönnettiin, että minulla oli ollut viiniä ja kello oli 1,5 tuntia nukkumaanmenoni jälkeen.
  • Source Quench on virallisesti poistettu käytöstä ( RFC 6633 ). Ja tuskin koskaan nähty Internetissä vuosikymmenien ajan.

vastaus

ICMP on olemassa syystä, eikä kaikki tämä syy ole ping. Se on ”meta” -protokolla, jota käytetään ohjaamaan itse verkkoa koskevia ohjausviestejä. Katso ICMP Wikipediassa saadaksesi paremman käsityksen siitä, mitä se on ja mihin sitä tarkoitetaan.

Muut ICMP-viestit sisältävät myös kohde-isäntää, jota ei voida saavuttaa, tarvitaan pirstoutumista, ruuhkanhallintaa, TTL ylitetty, IP-protokollavirheet ja useita muita.

Verkko toimii ilman ICMP: tä – joustavuus pakettipisaroiden edessä on yksi IP: n keskeisistä vahvuuksista – mutta se toimii hitaammin, vähemmän tehokkaasti ja ilman näiden signaalien hyötyä ongelmien diagnosoinnissa ja ratkaisemisessa .

ICMP: n tietoturvaongelmat ovat yleensä epämääräisempiä ”tietojen paljastamisen” aiheita. Esim. jos reitittimesi lähettää ICMP-viestin takaisin jollekin, niin joku tietää, että sinulla on reititin. Ehkä hyökkääjä tuntee sinut sinulla on reititin, mistä olet huolissasi, tai todennäköisemmin se ei ole. Mutta turvallisuustutkimus yleensä erehtyy hiljaisuuden puolella vain olla turvallisella puolella, vain siinä tapauksessa.

Joskus käyttöjärjestelmässä on ICMP: n aiheuttama ”kuoleman ping” -tyyppinen haavoittuvuus. Tällä hetkellä niitä ei ole missään valtavirran käyttöjärjestelmissä. Mutta jälleen kerran tietoturvan puolustajat erehtyvät varoituksen varalta, vain siinä tapauksessa.

Kommentit

  • Sinä ’ on väärässä, mutta olen samaa mieltä kanssasi sanomalla, että säännöllisten käyttäjien / järjestelmänvalvojien ei tule estää ICMP: tä. ICMP: llä on useita kriittisiä turvallisuusongelmia. Suurin ongelma on ohjaustason palautteen saaminen (ttl-ylitetty), jota ei lähetä vain kohde, vaan myös välihumalat. Sitä voidaan käyttää laitteen sormenjälkien ottamiseen ominaisuuksien perusteella (alkuperäiset TTL, IP-liput ja mikä tärkeintä IP ID) ICMP-sanomasta. Lisäksi ICMP-viestit voivat olla myös palautetta palomuurin kulkemiseen, ja yhdessä TCP-ikkunoiden tarkistuspalomuurien kanssa voit suorittaa järjestysnumeron päättelyhyökkäyksiä.

Vastaa

Ollakseni rehellinen, on järkevää suodattaa jotkut lähtevät ICMP: t sekä reitittimen että ohjelmistojen palomuurien tasoksi ylimääräiseksi suojaustasoksi.

Minulla ei ole merkitystä DoS tai DDoS, mutta haitalliset ihmiset käyttävät edelleen ICMP: tä yrittäessään hakea mahdollisimman paljon tietoa verkosta ennen kuin he yrittävät rikkoa sitä.

En sano, että he käyttävät AINOASTI ICMP: tä, mutta se on yksi harvoista pakettityypit, joita he käyttävät, ja riippuen siitä, oletko tulvaportit auki, ne voivat saada paljon yksityiskohtia hyvin lyhyessä ajassa.

Ota aikaa Googlessa ja etsi tietoja siitä, kuinka NMAP ja a harvat muut ohjelmat käyttävät ICMP: tä yhtenä tiedonkeruun resursseista ja perustavat sitten suodattimesi siihen, mikä on mielestäsi välttämätöntä itsesi ja verkkoosi.

Jos mahdollista, asenna sisäinen testiverkko (ostin henkilökohtaisesti toissijaisen wifi-reitittimen halvan ja minulla on toissijainen tietokone palomuurina testatakseni kaikki reitittimet / ipchainit / ohjelmistojen palomuurit asetukset ennen kuin käytän niitä kotiverkkoani pääverkossani ja kaikilla asiakkailla, jotka palkkaavat minut suojaamaan verkkojaan.

Kannustan ihmisiä kokeilemaan ja tutkimaan satamien skannausta ja palomuurien rikkomista heidän kotonaan. omaa verkkoa, jotta he voivat paremmin suojella itseään ja kaikkia perheitä, joita he auttavat.

Tässä on pari resurssia, joita olen käyttänyt ja joihin olen aiemmin viitannut. Ei tietoturvaa Kuinka ICMP: tä käytetään tiedusteluun

Ja myös

InfoSec Institute ICMP -hyökkäykset

Jotkut hyökkäyksistä eivät ole enää elinkelpoisia, mutta on olemassa uudempia Smurf-muotoja, jotka toimivat edelleen, koska ohjelmoija pystyi koodaamaan alkuperäisen hyökkäyksen ja muuta miten se toimii ja käyttää resursseja.

Kaivaa ympärillesi ja google on ystäväsi yhdessä Stack Exchangen kanssa. Lisäksi duckduckgo-hakukone on upea resursseille, jotka google saattaa suodattaa pois, ole vain varovainen ja käytä järkeäsi!

Olen ollut tietokonetekniikka 22 vuotta ja verkkoturvallisuusasiantuntija 10 vuotta. Olen tällä hetkellä ECH: n ja CPTS: n koulunkäynnissä ja katson loukkaavia tietoturvakursseja, kun lopetan nämä.

Toivottavasti tämä auttaa ja muut pitävät näitä tietoja hyödyllisinä, kun palautan tähän järjestelmään tekemäni varmuuskopiot ja löydän muut asiaankuuluvat linkit ja resurssit, päivitän tämän vastauksen.

Vastaus

ICMP: n estäminen on paitsi hyödytöntä, myös useimmissa tapauksissa myös haitallista. On useita syitä, miksi sinun ei pitäisi estää ICMP: tä, jos et ole täysin varma siitä, mitä olet tekemässä ja erityisesti miksi teet. Kyllä, icmp-ping voi auttaa muita ”profiloimaan” verkkoasi. Mutta olkaamme rehellisiä, jos sinulla on mitään TCP-palvelua auki, sinut nähdään. Jos pudotat vain paketteja, sinut nähdään. Jos vastaat väärin, sinut nähdään.Joten jos uskot teorian, että sinun on piilotettava tärkeät palvelimemme verkossa, koska se tekee niistä turvallisempia, silloin kun estät icmp: n, on todennäköisempää, että isäntäsi on vielä kirkkaampi kohde. On vain monia tapoja tehdä se väärin, jotta voit rikkoa mtu-polun etsinnän, ruuhkien hallinnan jne. Ja jopa tehdä palvelimestasi erottuvan massasta. Joten älä estä icmp-solua, jos sinulla ei ole todella hyvää syytä tehdä se, ja tee se sitten huolellisesti ja lue icmp-protokollan tiedot, jotta ymmärrät mitä ja miksi teet mitä olet. Kyllä, voi olla hyvä idea estää icmp-uudelleenohjaus verkon reunasta, jos et ole varma, onko sinulla vanhoja ytimiä. Mutta toisaalta on parempi päivittää palvelimesi ja muut palvelimesi (korjata todelliset ongelmat) kuin piilottaa ne maton alle, josta joku löytää virheesi joka tapauksessa.

vastaus

Kuten protokollarakenteesta näet, kaikki riippuu alueesta, jolla sitä käytetään, ja palomuureista pystyvät toimimaan tyypin ja koodin parametrien mukaan, voit päättää, mitä palomuurin läpi siirretään ja mitä ei. On selvää, että jos palomuuri vastaanottaa ICMP Echo -pyynnön eikä sinulla ole mitään vaikeuksia ilmoittaa sille, onko kohde-isäntä aktiivinen vai ei, palomuurin on myös voitava päästää kaiku-vastaus. Mutta ole varovainen: ICMP-paketeille on suoritettava DPI, ts. Niiden on oltava yhdenmukaisia paketin määritysten kanssa: Jos ICMP-paketti kulki saapuvan / lähtevän palomuurin läpi ja yhdessä tai useammassa isännässä oli haittaohjelmia verkon sisällä, nämä isännät voisivat hankkia komentoja C & C-palvelimelta ja suodattaa tietoja kyseiselle palvelimelle. Yleensä en usko, että on viisasta käyttää sitä rajareitittimissä, mutta kyllä sisäisen verkon diagnostiikkaan.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *