novembre 3, 2020
Articles
Aucun commentaire

Est-ce une mauvaise idée pour un pare-feu de bloquer ICMP?

Cette question a été inspirée par cette réponse qui énonce en partie:

Le fichier manifeste du pare-feu générique se termine en supprimant tout ce que je naurais pas autorisé autrement (à part ICMP. Ne désactivez pas ICMP).

Mais est-ce vraiment une bonne pratique pour un pare-feu dautoriser ICMP? Quelles sont les implications en matière de sécurité et y a-t-il des cas où ICMP devrait être désactivé?

Commentaires

  • I ‘ je suis sûr quil y a beaucoup dautres raisons, mais pour une – cela fait de ladministration à distance un cauchemar.
  • Il ‘ fait partie de ces  » Sauf si vous ‘ êtes un dieu du réseau et sachez vraiment ce que vous ‘ faites, ne ‘ t gâcher avec ça  » sorte de choses.
  • IMO, cette règle sapplique à lensemble du pare-feu, pas seulement ICMP .
  • Voir aussi: Arrêtez de casser Internet!
  • RFC 4890: ietf.org/rfc/rfc4890.txt et ce projet de RFC: datatracker.ietf.org/doc/draft-ietf-opsec-icmp- filtering / … … tous deux fournissent des conseils détaillés sur la façon de filtrer les paquets ICMPv4 et ICMPv6.

Réponse

Comparé aux autres protocoles IP, ICMP est assez petit, mais il sert un grand nombre de fonctions disparates. À la base, ICMP a été conçu comme le mécanisme de débogage, de dépannage et de rapport derreurs pour IP. Cela le rend incroyablement précieux, il faut donc beaucoup de réflexion pour larrêter. Ce serait un peu comme clouer >/dev/null 2>&1 à la fin de toutes vos entrées cron.

La plupart du temps, quand je parle aux gens de bloquer ICMP, ils « re parler vraiment de ping et de traceroute. Cela se traduit en 3 types

  • 0 – Réponse décho (réponse ping)
  • 8 – Demande décho (requête ping)
  • 11 – Temps dépassé

Cest 3 types sur 16. Regardons quelques autres types ICMP disponibles.

  • 4 – Source Quench (envoyé par un routeur pour demander à un hôte de ralentir ses transmissions)
  • 3 – Destination inaccessible (se compose de 16 types de messages différents allant du signalement dun problème de fragmentation à un pare-feu signalant quun port est fermé)

Les deux peuvent être inestimables pour maintenir le bon fonctionnement des hôtes non malveillants sur un réseau. En fait, il y en a deux (probablement plus, mais ce sont les plus évidents pour moi) de très bons cas où vous ne « t voulez pas restreindre ICMP.

  • Chemin Découverte MTU – Nous utilisons une combinaison de lindicateur Don « t Fragment et du code 4 de type 3 (Destination inaccessible – Fragmentation requise et ensemble dindicateurs DF) pour déterminer le plus petit MTU sur le chemin entre les hôtes. De cette façon, nous évitons la fragmentation lors de la transmission.
  • Active Directory exige que les clients ping les contrôleurs de domaine afin dextraire les GPO. Ils utilisent ping pour déterminer le contrôleur « le plus proche » et si aucun ne répond, alors il est supposé quaucun nest suffisamment proche. Donc, la mise à jour de la politique ne se produit pas.

Cela ne veut pas dire que nous devrions nécessairement tout laisser ouvert au monde entier. La reconnaissance est possible avec ICMP et cest généralement la raison invoquée pour le blocage. On peut utiliser des pings pour déterminer si un hôte est réellement allumé, ou Time Exceededs (dans le cadre dun traceroute) pour cartographier les architectures réseau, ou Rory interdire une redirection (code de type 5 0) pour changer litinéraire par défaut dun hôte.

Compte tenu de tout cela, mon conseil est, comme toujours, dadopter une approche mesurée et réfléchie de vos protections. Bloquer ICMP dans son intégralité nest probablement pas la meilleure idée, mais choisir ce que vous bloquez et de / vers vous obtiendrez probablement ce que vous voulez.

Commentaires

  • petit détail: bien quICMP soit facultatif dans IPv4, il est requis par IPv6 pour fonctionner normalement. Le rôle de lICMP a beaucoup changé. Légère lecture à ce sujet: blogs.cisco.com/security/icmp-and-security-in-ipv6
  • @Mike Oh bien sûr, Je suppose que je nétais pas ‘ clair, mais je parlais spécifiquement de la v4. IPv6 est une bête assez différente pour que nous ayons vraiment besoin de le traiter comme un protocole complètement différent lors de la conception et de la protection des réseaux v6.
  • +1  » .. . ou Rory interdit …  » Jai en fait éclaté de rire.
  • @tylerl: Jai ri aussi en lécrivant. Certes, javais bu du vin et il était 1,5 heure après lheure du coucher.
  • Source Quench a été formellement obsolète ( RFC 6633 ). Et cela na pratiquement jamais été vu sur Internet depuis des décennies.

Réponse

ICMP existe pour une raison, et toutes ces raisons ne sont pas ping. Cest le « méta » protocole utilisé pour communiquer des messages de contrôle sur le réseau lui-même. Jetez un œil à ICMP sur Wikipédia pour avoir une meilleure idée de ce il est et à quoi il sert.

Les autres messages ICMP incluent également lhôte de destination inaccessible, la fragmentation requise, le contrôle de la congestion, le dépassement de la TTL, les erreurs de protocole IP et un certain nombre dautres.

Le réseau fonctionnera sans ICMP – la résilience face aux pertes de paquets est lune des principales forces dIP – mais il fonctionnera plus lentement, moins efficacement et sans les avantages de ces signaux pour vous aider à diagnostiquer et résoudre les problèmes .

Les problèmes de sécurité avec ICMP ont tendance à être les problèmes de « divulgation dinformations » les plus nébuleux. Par exemple, si votre routeur renvoie un message ICMP à quelquun, alors que quelquun sait que vous avez un routeur. Peut-être que lattaquant vous connaît avoir un routeur est quelque chose qui vous inquiète, ou plus probablement pas. Mais la recherche en matière de sécurité a tendance à pécher du côté du silence. pour être prudent, juste au cas où.

Il y a parfois une vulnérabilité de type « ping of death » liée à ICMP dans un OS. Actuellement, aucun nexiste dans les systèmes dexploitation grand public. Mais encore une fois, les défenseurs de la sécurité font preuve de prudence, juste au cas où.

Commentaires

  • Vous ‘ est faux, mais je suis daccord avec vous pour dire que les utilisateurs / administrateurs réguliers ne devraient pas bloquer ICMP. Il existe plusieurs problèmes de sécurité critiques avec ICMP. Le problème principal est davoir un retour de niveau de contrôle (dépassé ttl) qui nest pas seulement envoyé par la destination, mais aussi par les sauts intermédiaires.Il peut être utilisé pour lempreinte digitale de lappareil en fonction des caractéristiques (TTL initial, indicateurs IP et plus important encore IP ID) du message ICMP. De plus, les messages ICMP peuvent également être un retour dinformation pour la traversée du pare-feu, et combinés avec des pare-feu de vérification de fenêtre TCP, vous pouvez effectuer des attaques par inférence par numéro de séquence.

Réponse

Pour être honnête, il est judicieux de filtrer certains ICMP sortants à la fois au niveau du routeur et au niveau du pare-feu logiciel comme couche supplémentaire de sécurité.

Il nest pas pertinent darrêter un DoS ou DDoS, mais les personnes malveillantes utilisent toujours ICMP pour essayer de récupérer autant dinformations que possible sur un réseau avant de tenter de le violer.

Je ne dis pas quils utilisent UNIQUEMENT ICMP mais cest lun des rares types de paquets quils utilisent et, selon que vous avez ouvert vos portes, ils peuvent obtenir un grand nombre dinformations en très peu de temps.

Prenez le temps de chercher sur Google et de rechercher des informations sur la façon dont NMAP et un peu dautres programmes utilisent ICMP comme lune des ressources pour collecter des informations, puis baser vos filtres sur ce que vous jugez nécessaire pour vous protéger et votre réseau.

Si possible, configurez un réseau de test interne (jai personnellement acheté un routeur wifi secondaire bon marché et jai un PC secondaire comme pare-feu pour tester tous mes routeurs / ipchains / pare-feu logiciels paramètres avant de les utiliser sur mon réseau principal pour ma maison et pour tout client qui mengage pour sécuriser leurs réseaux.

Jencourage vivement les gens à essayer de faire des recherches sur lanalyse des ports et sur la façon de briser les pare-feu sur leur propre réseau afin quils puissent mieux se protéger eux-mêmes et toute famille quils aident.

Voici quelques ressources que jai utilisées et auxquelles jai référé des amis auparavant. Sans Information Security Comment ICMP est utilisé pour la reconnaissance

Et aussi

Attaques ICMP de lInfoSec Institute

Certaines des attaques ne sont plus viables, mais il existe de nouvelles formes de Schtroumpf qui fonctionnent encore en raison de la façon dont le programmeur a pu recoder lattaque originale et changer la façon dont il fonctionne et utilise les ressources.

Creusez et google est votre ami avec Stack Exchange et le moteur de recherche duckduckgo est merveilleux pour les ressources que Google pourrait filtrer, soyez prudent et utilisez votre intelligence!

Je suis technicien informatique depuis 22 ans et spécialiste de la sécurité réseau depuis 10 ans. Je suis actuellement à lécole pour mon ECH et mon CPTS et je regarde des cours de sécurité offensive quand jaurai terminé ces derniers.

Jespère que cela aidera et que dautres trouveront ces informations utiles alors que je restaure les sauvegardes que jai effectuées sur ce système et que je trouve mes autres liens et ressources sur ce sujet, je mettrai à jour cette réponse.

Réponse

Le blocage dICMP est non seulement inutile, mais dans la plupart des cas, il est également dangereux. Il y a plusieurs raisons pour lesquelles vous ne devriez pas bloquer ICMP si vous nêtes pas absolument sûr de ce que vous faites et surtout pourquoi vous le faites. Oui, icmp ping peut aider les autres à « profiler » votre réseau. Mais soyons honnêtes, si vous avez un service TCP ouvert du tout, vous serez vu. Si vous déposez simplement des paquets, vous serez vu. Si vous répondez mal, vous serez vu.Donc, si vous croyez en théorie que vous devez cacher nos serveurs importants sur le réseau parce que cela les rend plus sécurisés, alors lorsque vous bloquez votre icmp, il est plus possible que votre hôte soit une cible encore plus brillante. Il y a juste des tonnes de façons de le faire mal afin que vous cassiez la découverte de chemin mtu, le contrôle de la congestion, etc. et même que votre serveur se démarque de la masse. Donc, dans la cellule de lécrou, ne bloquez pas votre icmp si vous navez pas vraiment de bonne raison de le faire, puis faites-le avec soin et lisez les spécifications du protocole icmp afin de comprendre quoi et pourquoi vous faites ce que vous faites. Oui, cela peut être une bonne idée de bloquer la redirection icmp au bord de votre réseau si vous nêtes pas sûr davoir danciens noyaux. Mais dun autre côté, il est juste préférable de mettre à jour vos serveurs et autres hôtes (résoudre de vrais problèmes) que de les cacher sous un tapis où quelquun trouvera de toute façon vos bogues.

Réponse

Comme vous pouvez le voir dans la structure du protocole, tout dépend de la zone dans laquelle il est utilisé et depuis les pare-feu sont capables dagir sur les paramètres de type et de code, vous pouvez décider de ce quil faut passer à travers le pare-feu et de ce qui ne lest pas. De toute évidence, si le pare-feu reçoit la demande décho ICMP et que vous navez aucun problème à lui faire savoir si lhôte de destination est actif ou non, le pare-feu doit également pouvoir laisser passer une réponse décho. Mais attention: les paquets ICMP doivent être soumis à DPI, cest-à-dire quils doivent être cohérents avec les spécifications du paquet: Si un paquet ICMP est passé à travers le pare-feu entrant / sortant et quil y avait un malware sur un ou plusieurs hôtes à lintérieur de votre réseau, ces hôtes pourraient acquérir des commandes dun serveur C & C et exfiltrer les informations vers ce serveur. En général, je ne pense pas quil soit sage de lutiliser sur les routeurs frontaliers, mais pour les diagnostics internes du réseau, oui.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *