ファイアウォールがICMPをブロックするのは悪い考えですか?

この質問は、この回答に触発されました。

汎用ファイアウォールマニフェストファイルは、他の方法では許可しなかったものをすべて削除して終了します(ICMP以外。ICMPをオフにしないでください)。

しかし、ファイアウォールがICMPを許可することは本当に良い習慣ですか?セキュリティへの影響は何ですか。ICMPをオフにする必要がある場合はありますか?

コメント

  • I '他にもたくさんの理由があると思いますが、1つは、リモート管理が悪夢になることです。
  • 'はそれらの

'ネットワーキングの神であり、'何をしているのかを本当に理解していない限り、'それを台無しにする"ある種のもの。

  • IMO、このルールはICMPだけでなくファイアウォール全体に適用されます。
  • 関連項目:インターネットの遮断を停止してください!
  • RFC 4890: ietf.org/rfc/rfc4890.txt およびこのドラフトRFC: datatracker.ietf.org/doc/draft-ietf-opsec-icmp-フィルタリング/ … …どちらも、ICMPv4パケットとICMPv6パケットの両方をフィルタリングする方法に関する詳細なアドバイスを提供します。
  • 回答

    他のIPプロトコルと比較すると、ICMPはかなり小さいですが、多数の異なる機能を提供します。コアとなるICMPは、IPのデバッグ、トラブルシューティング、およびエラー報告メカニズムとして設計されました。これはめちゃくちゃ価値があるので、それをシャットダウンするために多くの考えが必要です。これは、すべてのcronエントリの最後に>/dev/null 2>&1を追加するのと少し似ています。

    ICMPのブロックについて人々と話すときは、ほとんどの場合、 pingとtracerouteについて実際に話します。これは3つのタイプに変換されます

    • 0-エコー応答(ping応答)
    • 8-エコー要求(ping要求)
    • 11-Time Exceeded

    16のうち3つのタイプです。利用可能な他のICMPタイプをいくつか見てみましょう。

    • 4-送信元クエンチ(送信を遅くするようにホストに要求するためにルーターによって送信されます)
    • 3-宛先到達不能(断片化の問題の報告からファイアウォールまでの16種類のメッセージで構成されますポートが閉じていることを報告する)

    どちらも、悪意のないホストをネットワーク上で適切に動作させるために非常に貴重です。実際には2つあります(おそらくそれ以上ですが、これらが最も明白です。私にとって)ICMPを制限したくない 非常に良いケースです。

    • パスMTUディスカバリー-Don “t Fragmentフラグとタイプ3コード4(Destination Unreachable-Fragmentation required、およびDFフラグセット)の組み合わせを使用して、ホスト間のパス上の最小MTUを決定します。このようにして、送信中の断片化を回避します。
    • Active Directoryでは、GPOをプルダウンするためにクライアントがドメインコントローラーにpingを実行する必要があります。彼らはpingを使用して「最も近い」コントローラーを判別し、応答がない場合は、十分に近いコントローラーはないと見なされます。したがって、ポリシーの更新は発生しません。

    それは、すべての世界が見ることができるように、必ずしもすべてを開いたままにしておく必要があるということではありません。偵察はICMPで 可能であり、それが一般的にブロックの理由です。 pingを使用してホストが実際にオンになっているかどうかを判断したり、Time Exceededs(tracerouteの一部として)を使用してネットワークアーキテクチャをマッピングしたり、Roryがリダイレクト(タイプ5コード0)を禁止してホストのデフォルトルートを変更したりできます。

    それをすべて踏まえて、私のアドバイスは、いつものように、あなたの保護に対して慎重で思慮深いアプローチを取ることです。 ICMP全体をブロックすることはおそらく最善の方法ではありませんが、ブロックするものを 選択して選択し、どこからどこへ/から選択することで、おそらく必要なものが得られます。

    コメント

    • 詳細:ICMPはIPv4ではオプションですが、IPv6では正常に動作する必要があります。 ICMPの役割は大きく変わりました。軽量版について読む: blogs.cisco.com/security/icmp-and-security-in-ipv6
    • @Mike確かに、 'はっきりしていなかったと思いますが、具体的にはv4について話していました。 IPv6は十分に異なる獣であるため、v6ネットワークを設計および保護する際には、IPv6を完全に異なるプロトコルとして扱う必要があります。
    • +1 " .. 。またはRoryforbid … "私は実際に大声で笑いました。
    • @tylerl:私もそれを書くことを笑いました。確かに私はワインを飲んでいて、就寝時刻の1.5時間過ぎでした。
    • ソースクエンチは正式に非推奨になりました( RFC 6633 )。そして、何十年もの間、インターネット上でほとんど見られませんでした。

    回答

    ICMPには理由があり、その理由のすべてが。これは、ネットワーク自体に関する制御メッセージを通信するために使用される「メタ」プロトコルです。Wikipediaの ICMP を参照して、何を理解するかを理解してください。

    その他のICMPメッセージには、宛先ホストに到達できない、断片化が必要、輻輳制御、TTL超過、IPプロトコルエラー、その他多数が含まれます。

    ネットワークはICMPなしで動作します(パケットドロップに直面したときの回復力はIPのコアの強みの1つです)が、問題の診断と解決に役立つこれらの信号の利点がなく、速度が遅く、効率が低下します。

    ICMPのセキュリティの問題は、より曖昧な「情報開示」の問題になる傾向があります。たとえば、ルーターがICMPメッセージを誰かに送り返す場合、誰かがあなたがルーターを持っていることを知っています。攻撃者があなたを知っている可能性があります。ルーターを持っていることはあなたが「心配している、あるいはそうではない可能性が高い」ものです。しかし、セキュリティ研究は沈黙の側で誤りを犯す傾向があります。念のため、念のために。

    OSにICMP関連の「pingofdeath」スタイルの脆弱性が存在する場合があります。現在、主流のOSには存在しません。しかし、繰り返しになりますが、万が一の場合に備えて、セキュリティ擁護者は注意を怠ります。

    コメント

    • あなた'は間違っていますが、通常のユーザー/管理者はICMPをブロックすべきではないと言っていることに同意します。 ICMPには複数の重大なセキュリティ上の懸念があります。主な問題は、宛先だけでなく中間ホップによっても送信される制御レベルのフィードバック(ttl-exceeded)があることです。これは、特性(初期TTL、IPフラグ、さらに重要なのはIP)に基づくデバイスのフィンガープリントに使用できます。 ICMPメッセージのID)。さらに、ICMPメッセージはファイアウォールトラバースのフィードバックにもなり、TCPウィンドウチェックファイアウォールと組み合わせて、シーケンス番号推論攻撃を実行できます。

    回答

    正直なところ、セキュリティの追加レイヤーとして、ルーターレベルとソフトウェアファイアウォールレベルの両方のアウトバウンドICMPをフィルタリングするのが賢明です。

    停止することは適切ではありません。 DoSまたはDDoSですが、悪意のある人々は依然としてICMPを使用して、ネットワークを侵害しようとする前に、ネットワークに関するできるだけ多くの情報を取得しようとします。

    ICMPのみを使用しているとは言いませんが、それは数少ないものの1つです。彼らが使用するパケットタイプは、ファイアウォールを開いているかどうかによって異なりますが、非常に短い時間で詳細な情報を取得できます。

    Googleにアクセスして、NMAPと他のいくつかのプログラムは、情報を収集するためのリソースの1つとしてICMPを利用し、自分自身を保護するために必要と思われるものに基づいてフィルターを作成します。

    可能であれば、内部テストネットワークをセットアップします(私は個人的にセカンダリwifiルーターを安価なものを購入し、すべてのルーター/ ipchains /ソフトウェアファイアウォールをテストするためのファイアウォールとしてセカンダリPCを持っています家族やネットワークを保護するために私を雇う顧客のために、メインネットワーク全体でそれらを採用する前に設定します。

    ポートスキャンとファイアウォールを破る方法について、調査を試みることを強くお勧めします。自分自身と支援している家族をよりよく保護できるように、独自のネットワークを作成します。

    これまでに使用し、友人に紹介したリソースがいくつかあります。 Sans情報セキュリティICMPが偵察にどのように使用されるか

    また

    InfoSec InstituteICMP攻撃

    一部の攻撃は実行できなくなりましたが、プログラマーが元の攻撃を再コーディングできたため、新しい形式のSmurfが引き続き機能します。動作とリソースの使用方法を変更します。

    スタックエクスチェンジと一緒にグーグルはあなたの友達です。また、duckduckgo検索エンジンは、グーグルが慎重に除外してウィットを使用する可能性のあるリソースに最適です!

    私は22年間PC技術者であり、10年間ネットワークセキュリティスペシャリストです。現在、ECHとCPTSを選択しており、これらを終えたら攻撃的なセキュリティコースを検討しています。

    これが役立ち、他の人がこのシステムに作成したバックアップを復元するときにこの情報が役立つことを願っています。この問題に関する他のリンクやリソースを見つけたら、この回答を更新します。

    回答

    ICMPをブロックすることは役に立たないだけでなく、ほとんどの場合、有害でもあります。何をしているのか、特に何をしているのかが完全にわからない場合にICMPをブロックしてはならない理由はいくつかあります。はい、icmp pingは、他の人があなたのネットワークを「プロファイリング」するのに役立ちます。しかし、正直に言うと、tcpサービスを開いていると、表示されます。パケットをドロップするだけで表示されます。あなたが間違った方法で応答した場合、あなたは見られます。したがって、重要なサーバーをより安全にするためにネットワークで非表示にする必要があるという理論を信じている場合は、icmpをブロックすると、ホストがさらに明るいターゲットになる可能性が高くなります。 mtuパスの検出、輻輳制御などを破り、サーバーを大衆から際立たせるために、それを間違える方法はたくさんあります。したがって、ナットセルでは、実行する正当な理由がない場合はicmpをブロックしないでください。その後、慎重に実行し、icmpプロトコルの仕様を読んで、自分が何をしているのか、なぜ実行しているのかを理解してください。はい。古いカーネルがあるかどうかわからない場合は、ネットの端でicmpリダイレクトをブロックすることをお勧めします。しかし、別の手では、誰かがとにかくあなたのバグを見つけるカーペットの下にそれらを隠すよりも、サーバーと他のホストを更新する(実際の問題を修正する)方が良いです。

    回答

    プロトコル構造からわかるように、それはすべて、それが使用されているエリアとファイアウォール以降によって異なります。タイプとコードのパラメータに基づいて動作することができ、ファイアウォールを通過するものと通過しないものを決定できます。明らかに、ファイアウォールがICMP Echo要求を受信し、宛先ホストがアクティブであるかどうかを問題なく通知できる場合、ファイアウォールはEchoReplyを通過させることもできる必要があります。ただし、注意してください。ICMPパケットはDPIの対象となる必要があります。つまり、パケットの仕様と一致している必要があります。ICMPパケットが着信/発信ファイアウォールを通過し、ネットワーク内の1つ以上のホストにマルウェアがあった場合。これらのホストは、C & Cサーバーからコマンドを取得し、そのサーバーに情報を盗み出す可能性があります。一般的に、ボーダールーターで使用するのは賢明ではないと思いますが、内部ネットワークの診断にはそうです。

    コメントを残す

    メールアドレスが公開されることはありません。 * が付いている欄は必須項目です