Is het een slecht idee dat een firewall ICMP blokkeert?

Deze vraag is geïnspireerd door dit antwoord dat gedeeltelijk luidt:

Het generieke firewall-manifestbestand eindigt door alles te verwijderen wat ik anders niet zou toestaan (behalve ICMP. Zet ICMP niet uit).

Maar is het echt een goede gewoonte voor een firewall om ICMP toe te staan? Wat zijn de gevolgen voor de veiligheid en zijn er gevallen waarin ICMP moet worden uitgeschakeld?

Opmerkingen

Antwoord

Vergeleken met andere IP-protocollen is ICMP vrij klein, maar het dient wel een groot aantal ongelijksoortige functies. In de kern is ICMP ontworpen als het mechanisme voor foutopsporing, probleemoplossing en foutrapportage voor IP. Dit maakt het waanzinnig waardevol, dus er is veel aandacht nodig om het af te sluiten. Het zou een beetje zijn als >/dev/null 2>&1 overstag gaan naar het einde van al je cron-items.

Meestal als ik met mensen praat over het blokkeren van ICMP, zijn ze echt over ping en traceroute gesproken. Dit vertaalt zich in 3 typen

  • 0 – Echo-antwoord (ping-antwoord)
  • 8 – Echo-verzoek (ping-verzoek)
  • 11 – Time Exceeded

Dat zijn 3 van de 16. Laten we eens kijken naar een paar van de andere beschikbare ICMP-types.

  • 4 – Source Quench (verzonden door een router om een host te vragen zijn transmissies te vertragen)
  • 3 – Destination Unreachable (bestaat uit 16 verschillende soorten berichten, variërend van het melden van een fragmentatieprobleem tot een firewall rapporteren dat een poort is gesloten)

Beide kunnen van onschatbare waarde zijn om ervoor te zorgen dat niet-kwaadwillende hosts correct werken op een netwerk. In feite zijn er twee (waarschijnlijk meer, maar deze zijn voor mij) zeer goede gevallen waarin u niet ICMP wilt beperken.

  • Pad MTU Discovery – We gebruiken een combinatie van de Don “t Fragment-vlag en type 3 code 4 (Destination Unreachable – Fragmentation required, en DF flag set) om de kleinste MTU op het pad tussen de hosts te bepalen. Op deze manier voorkomen we fragmentatie tijdens de verzending.
  • Active Directory vereist dat clients de domeincontrollers pingen om GPOs te verwijderen. Ze gebruiken ping om de “dichtstbijzijnde” controller te bepalen en als er geen enkele reageert, wordt aangenomen dat er geen enkele dichtbij genoeg is. Dus de beleidsupdate gebeurt niet.

Dat wil niet zeggen dat we noodzakelijkerwijs alles open moeten laten zodat de hele wereld het kan zien. Reconnaissance is mogelijk met ICMP en dat is over het algemeen de reden die wordt opgegeven voor het blokkeren. Men kan pings gebruiken om te bepalen of een host daadwerkelijk aan staat, of Time Exceededs (als onderdeel van een traceroute) om netwerkarchitecturen in kaart te brengen, of Rory verbiedt een Redirect (typ 5 code 0) om de standaardroute van een host te wijzigen. / p>

Gezien dit alles, is mijn advies, zoals altijd, een afgemeten en doordachte benadering van uw bescherming. ICMP in zijn geheel blokkeren is waarschijnlijk niet het beste idee, maar door te kiezen en te kiezen wat u blokkeert en van / naar waar krijgt u waarschijnlijk wat u wilt.

Opmerkingen

  • klein detail: hoewel ICMP optioneel is in IPv4, is het vereist voor IPv6 om normaal te werken. De rol van ICMP is veel veranderd. Lichtgewicht lees erover: blogs.cisco.com/security/icmp-and-security-in-ipv6
  • @Mike Oh ja, Ik denk dat ik niet ‘ niet duidelijk was, maar ik had het specifiek over v4. IPv6 is een beest dat zo verschillend is dat we het echt als een compleet ander protocol moeten behandelen bij het ontwerpen en beschermen van v6-netwerken.
  • +1 ” .. . of Rory verhoede … ” Ik lachte eigenlijk hardop.
  • @tylerl: Ik lachte ook bij het schrijven ervan. Toegegeven, ik had wat wijn gedronken en het was 1,5 uur na mijn bedtijd.
  • Source Quench is formeel verouderd ( RFC 6633 ). En is al decennia lang bijna nooit op internet gezien.

Antwoord

ICMP bestaat met een reden, en niet al die reden is ping. Het is het metaprotocol dat wordt gebruikt om controleberichten over het netwerk zelf te communiceren. Bekijk ICMP op Wikipedia om een beter idee te krijgen van wat het is en waarvoor het is.

Andere ICMP-berichten omvatten ook bestemmingshost onbereikbaar, fragmentatie vereist, congestiecontrole, TTL overschreden, IP-protocolfouten en een aantal andere.

Het netwerk werkt zonder ICMP – veerkracht bij pakketuitval is een van de belangrijkste sterke punten van IP – maar het zal langzamer en minder efficiënt werken en zonder het voordeel van deze signalen om u te helpen bij het diagnosticeren en oplossen van problemen .

Beveiligingsproblemen met ICMP zijn meestal de meer vage problemen met het vrijgeven van informatie. Als uw router bijvoorbeeld een ICMP-bericht naar iemand stuurt, weet die persoon dat u een router heeft. Misschien kent de aanvaller u wel. een router hebben, is iets waar u zich zorgen over maakt, of waarschijnlijker niet. Maar beveiligingsonderzoek heeft de neiging zich te vergissen aan de kant van stilte voor de zekerheid, voor het geval dat.

Af en toe is er een ICMP-gerelateerde kwetsbaarheid in de stijl van “ping of death” in een besturingssysteem. Momenteel bestaat er geen in alle reguliere besturingssystemen. Maar nogmaals, beveiligingsadvocaten zijn voorzichtig, voor het geval dat.

Opmerkingen

  • Jij ‘ klopt niet, maar ik ben het met je eens dat gewone gebruikers / beheerders ICMP niet mogen blokkeren. Er zijn meerdere kritieke beveiligingsproblemen met ICMP. Het grootste probleem is het hebben van feedback op controleniveau (ttl-overschreden) die niet alleen door de bestemming wordt verzonden, maar ook door tussenliggende hops.Het kan worden gebruikt voor apparaatvingerafdrukken op basis van kenmerken (initiële TTL, IP-vlaggen en nog belangrijker IP ID) van het ICMP-bericht. Bovendien kunnen ICMP-berichten ook een feedback zijn voor firewall-traversing, en in combinatie met firewalls voor het controleren van TCP-vensters kunt u volgnummer-inferentie-aanvallen uitvoeren.

Antwoord

Om eerlijk te zijn is het slim om een aantal uitgaande ICMPs op zowel router- als softwarefirewallniveau te filteren als een extra beveiligingslaag.

Het is niet relevant om een DoS of DDoS, maar kwaadwillende mensen gebruiken ICMP nog steeds om te proberen zoveel mogelijk informatie over een netwerk op te halen voordat ze proberen het te doorbreken.

Ik zeg niet dat ze ALLEEN ICMP gebruiken, maar dat is een van de weinige pakkettypes die ze gebruiken en afhankelijk van of je sluisdeuren open hebben, kunnen ze in zeer korte tijd veel informatie verkrijgen.

Neem de tijd om te googlen en zoek informatie op over hoe NMAP en een weinig andere programmas gebruiken ICMP als een van de bronnen om informatie te verzamelen en baseer uw filters vervolgens op wat u nodig acht om uzelf te beschermen en uw netwerk.

Zet indien mogelijk een intern testnetwerk op (ik heb persoonlijk een secundaire wifi-router gekocht, een goedkope en heb een secundaire pc als firewall om al mijn router / ipchains / softwarefirewalls te testen instellingen voordat ik ze gebruik in mijn hoofdnetwerk voor mijn huishouden en elke klant die mij inhuurt om hun netwerken te beveiligen.

Ik moedig mensen ten zeerste aan om wat onderzoek te doen naar poortscanning en hoe ze firewalls op hun eigen netwerk zodat ze zichzelf en elk gezin dat ze helpen beter kunnen beschermen.

Hier zijn een paar bronnen die ik heb gebruikt en waar ik vrienden naar heb verwezen. Sans Information Security Hoe ICMP wordt gebruikt voor verkenning

En ook

InfoSec Institute ICMP-aanvallen

Sommige van de aanvallen zijn niet langer levensvatbaar, maar er zijn nieuwere vormen van Smurf die nog steeds werken vanwege de manier waarop de programmeur de oorspronkelijke aanval kon hercoderen en verander hoe het werkt en gebruikt middelen.

Graaf rond en Google is je vriend, samen met Stack Exchange en ook de duckduckgo-zoekmachine is geweldig voor bronnen die Google kan filteren, wees voorzichtig en gebruik je verstand!

Ik ben 22 jaar pc-techneut en 10 jaar netwerkbeveiligingsspecialist. Momenteel zit ik op school voor mijn ECH en mijn CPTS en kijk ik naar offensieve beveiligingscursussen als ik deze heb afgerond.

Ik hoop dat dit helpt en dat anderen deze informatie nuttig vinden als ik back-ups herstel die ik op dit systeem heb gemaakt en ik mijn andere links en bronnen over deze kwestie vind, ik zal dit antwoord bijwerken.

Antwoord

ICMP blokkeren is niet alleen nutteloos, maar in de meeste gevallen ook schadelijk. Er zijn verschillende redenen waarom u ICMP niet zou moeten blokkeren als u niet absoluut zeker weet wat u doet en vooral waarom u dat wel doet. Ja, icmp ping kan anderen helpen om uw netwerk te “profileren”. Maar laten we eerlijk zijn, als u überhaupt een tcp-service heeft, wordt u gezien. Als je gewoon pakketten laat vallen, wordt je gezien. Als u verkeerd reageert, wordt u gezien.Dus als je de theorie gelooft dat je onze belangrijke servers op het netwerk moet verbergen omdat het ze veiliger maakt, dan is het meer mogelijk dat je host een nog slimmer doelwit is als je je icmp blokkeert. Er zijn gewoon talloze manieren om het verkeerd te doen, zodat je het ontdekken van mtu-paden, congestiecontrole enz. Doorbreekt en zelfs je server onderscheidt van de massa. Dus in de notencel, blokkeer je icmp niet als je niet echt een goede reden hebt om het te doen en doe het dan met zorg en lees de icmp protocolspecificaties zodat je begrijpt wat en waarom je doet wat je doet. Ja, het kan een goed idee zijn om icmp-omleiding aan de rand van je net te blokkeren als je niet zeker weet of je oude kernels hebt. Maar aan de andere kant is het gewoon beter om je servers en andere hosts bij te werken (echte problemen op te lossen) dan ze onder een tapijt te verstoppen waar iemand je bugs toch zal vinden.

Antwoord

Zoals je kunt zien aan de protocolstructuur, hangt het allemaal af van het gebied waarin het wordt gebruikt en sinds firewalls kunnen reageren op type- en codeparameters, u kunt beslissen wat u door de firewall wilt laten gaan en wat niet. Het is duidelijk dat als de firewall het ICMP-echo-verzoek ontvangt en u er geen probleem mee hebt om het te laten weten of de bestemmingshost actief is of niet, de firewall ook een echo-antwoord moet kunnen doorlaten. Maar wees voorzichtig: ICMP-pakketten moeten worden onderworpen aan DPI, dat wil zeggen dat ze consistent moeten zijn met de specificaties van het pakket: als een ICMP-pakket door de inkomende / uitgaande firewall is gegaan en er was malware op een of meer hosts in uw netwerk, die hosts zouden commandos kunnen verkrijgen van een C & C-server en informatie naar die server kunnen exfiltreren. Over het algemeen denk ik niet dat het verstandig is om het op grensrouters te gebruiken, maar voor interne netwerkdiagnostiek wel.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *