É uma má ideia um firewall bloquear o ICMP?

Comparado a outros protocolos IP, o ICMP é bastante pequeno, mas atende a um grande número de funções distintas. Em sua essência, o ICMP foi projetado como o mecanismo de depuração, solução de problemas e relatório de erros para IP. Isso o torna extremamente valioso, então é preciso pensar muito para encerrá-lo. Seria um pouco como adicionar >/dev/null 2>&1 ao final de todas as suas entradas do cron.

Na maioria das vezes, quando falo com as pessoas sobre o bloqueio do ICMP, elas estão realmente falando sobre ping e traceroute. Isso se traduz em 3 tipos

• 0 – Resposta de eco (resposta de ping)
• 8 – Solicitação de eco (solicitação de ping)
• 11 – Tempo excedido

São 3 tipos de 16. Vejamos alguns dos outros tipos de ICMP disponíveis.

• 4 – Source Quench (enviado por um roteador para pedir a um host para diminuir suas transmissões)
• 3 – Destino inacessível (consiste em 16 tipos diferentes de mensagens que vão desde relatar um problema de fragmentação até um firewall relatando que uma porta está fechada)

Ambos podem ser inestimáveis para manter hosts não maliciosos operando corretamente em uma rede. Na verdade, existem dois (provavelmente mais, mas estes são os mais óbvios para mim) casos muito bons em que você não deseja restringir o ICMP.

• Caminho MTU Discovery – usamos uma combinação do sinalizador Don “t Fragment e código 4 do tipo 3 (Destino Inacessível – Fragmentação necessária e conjunto de sinalizador DF) para determinar o menor MTU no caminho entre os hosts. Dessa forma, evitamos a fragmentação durante a transmissão.
• O Active Directory exige que os clientes façam ping nos controladores de domínio para obter GPOs. Eles usam ping para determinar o controlador “mais próximo” e, se nenhum responder, presume-se que nenhum esteja perto o suficiente. Portanto, a atualização da política não acontece.

Isso não quer dizer que devamos necessariamente deixar tudo aberto para que todo o mundo veja. O reconhecimento é possível com o ICMP e essa é geralmente a razão dada para o bloqueio. Pode-se usar pings para determinar se um host está realmente ligado, ou Time Exceededs (como parte de um traceroute) para mapear arquiteturas de rede, ou Rory proibir um Redirecionamento (digite 5 código 0) para alterar a rota padrão de um host.

Considerando tudo isso, meu conselho é, como sempre, ter uma abordagem ponderada e cuidadosa para suas proteções. Bloquear o ICMP em sua totalidade provavelmente não é a melhor ideia, mas escolher e escolher o que você bloqueia e de / para de onde provavelmente obterá o que deseja.

Comentários

• pequeno detalhe: Embora o ICMP seja opcional no IPv4, ele é exigido pelo IPv6 para operar normalmente. O papel do ICMP mudou muito. Leitura leve sobre isso: blogs.cisco.com/security/icmp-and-security-in-ipv6
• @Mike Ah, claro, Acho que não estava ‘ claro, mas estava falando especificamente sobre a v4. IPv6 é uma besta diferente o suficiente que realmente precisamos tratá-lo como um protocolo completamente diferente ao projetar e proteger redes v6.
• +1 ” .. .ou Rory proíbe … ” Eu realmente ri alto.
• @tylerl: Eu ri escrevendo também. Concedido, eu tinha bebido um pouco de vinho e passava 1,5 hora da minha hora de dormir.
• O Source Quench foi formalmente descontinuado ( RFC 6633 ). E quase nunca foi visto na Internet por décadas.

O ICMP existe por um motivo, e nem todo esse motivo é ping. É o “meta” protocolo usado para comunicar mensagens de controle sobre a própria rede. Dê uma olhada em ICMP na Wikipedia para ter uma ideia melhor do que é e para que serve.

Outras mensagens ICMP também incluem host de destino inalcançável, fragmentação necessária, controle de congestionamento, TTL excedido, erros de protocolo IP e vários outros.

A rede operará sem ICMP – resiliência em face de quedas de pacotes é um dos principais pontos fortes do IP – mas operará de forma mais lenta, menos eficiente e sem o benefício desses sinais para ajudá-lo a diagnosticar e resolver problemas .

Os problemas de segurança com ICMP tendem a ser os problemas de “divulgação de informações” mais nebulosos. Por exemplo, se o seu roteador enviar uma mensagem ICMP de volta para alguém, então essa pessoa sabe que você tem um roteador. Talvez o invasor conheça você ter um roteador é algo com o qual você está preocupado, ou mais provavelmente não. Mas a pesquisa de segurança tende a errar apenas pelo silêncio para ficar no lado seguro, apenas no caso.

Ocasionalmente, há uma vulnerabilidade do estilo “ping da morte” relacionada ao ICMP em um sistema operacional. Atualmente nenhum existe em qualquer sistema operacional mainstream. Mas, mais uma vez, os defensores da segurança preferem cautela, por precaução.

Comentários

• Você ‘ está errado, mas concordo com você dizendo que usuários / administradores regulares não devem bloquear o ICMP. Existem várias questões críticas de segurança com o ICMP. O principal problema é ter um feedback de nível de controle (ttl-excedido) que não é enviado apenas pelo destino, mas também por saltos intermediários. Ele pode ser usado para impressão digital do dispositivo com base nas características (TTL inicial, sinalizadores de IP e, mais importante, IP ID) da mensagem ICMP. Além disso, as mensagens ICMP também podem ser um feedback para a passagem do firewall e, combinadas com os firewalls de verificação de janela TCP, você pode realizar ataques de inferência de número de sequência.

Para ser honesto, é inteligente filtrar algum ICMP de saída no nível do roteador e no nível do firewall do software como uma camada extra de segurança.

Não é pertinente interromper um DoS ou DDoS, mas pessoas mal-intencionadas ainda usam ICMP para tentar recuperar o máximo possível de informações sobre uma rede antes de tentarem violá-la.

Não estou dizendo que eles usam SOMENTE ICMP, mas esse é um dos poucos tipos de pacote que eles usam e, dependendo se você tiver as comportas abertas, eles podem obter grandes detalhes de informações em muito pouco tempo.

Reserve algum tempo para pesquisar no Google e procurar informações sobre como NMAP e um poucos outros programas utilizam o ICMP como um dos recursos para coletar informações e, em seguida, basear seus filtros no que você acha que é necessário para se proteger e sua rede.

Se possível, configure uma rede de teste interna (eu pessoalmente comprei um roteador wi-fi secundário barato e tenho um pc secundário como firewall para testar todos os meus roteadores / ipchains / firewalls de software configurações antes de empregá-las em minha rede principal para minha casa e qualquer cliente que me contrate para proteger suas redes.

Eu recomendo fortemente que as pessoas tentem e façam algumas pesquisas sobre varredura de portas e como violar firewalls em seus própria rede para que eles possam se proteger melhor e a qualquer família que estejam ajudando.

Aqui estão alguns recursos que usei e recomendei amigos antes. Sans Information Security Como o ICMP é usado para reconhecimento

E também

InfoSec Institute ICMP Attacks

Alguns dos ataques não são mais viáveis, mas existem formas mais novas de Smurf que ainda funcionam por causa de como o programador foi capaz de codificar novamente o ataque original e mude a forma como ele funciona e usa os recursos.

Pesquise e o Google é seu amigo junto com o Stack Exchange e também o mecanismo de pesquisa duckduckgo é maravilhoso para recursos que o Google pode filtrar, apenas seja cauteloso e use sua inteligência!

Sou técnico de informática há 22 anos e especialista em segurança de rede há 10. Atualmente, estou cursando meu ECH e meu CPTS e pretendo fazer cursos de segurança ofensiva quando os terminar.

Espero que isso ajude e outras pessoas achem esta informação útil enquanto eu restauro backups que fiz neste sistema e encontro meus outros links e recursos sobre este assunto, atualizarei esta resposta.

Bloquear ICMP não é apenas inútil, mas na maioria dos casos também é prejudicial. Há vários motivos pelos quais você não deve bloquear o ICMP se não tiver certeza absoluta do que está fazendo e, especialmente, por que está fazendo. Sim, o ping icmp pode ajudar outras pessoas a “traçar o perfil” da sua rede. Mas vamos ser honestos, se você tiver algum serviço tcp aberto, você será visto. Se você simplesmente descartar os pacotes, será visto. Se você responder da maneira errada, você será visto.Portanto, se você acredita na teoria de que deve ocultar nossos servidores importantes na rede porque isso os torna mais seguros, então, quando você bloqueia seu icmp, é mais possível que seu host seja um alvo ainda mais brilhante. Existem várias maneiras de fazer isso errado para que você interrompa a descoberta de caminho mtu, controle de congestionamento, etc. e até mesmo faça seu servidor se destacar da massa. Portanto, na célula de porca, não bloqueie seu icmp se você não tiver realmente um bom motivo para fazê-lo e, em seguida, faça-o com cuidado e leia as especificações do protocolo icmp para que você entenda o que e por que está fazendo o que está fazendo. Sim, pode ser uma boa ideia bloquear o redirecionamento icmp na borda de sua rede se você não tiver certeza se possui kernels antigos. Mas por outro lado, é melhor atualizar seus servidores e outros hosts (consertar problemas reais) do que escondê-los sob o tapete onde alguém encontrará seus bugs de qualquer maneira.

Como você pode ver na estrutura do protocolo, tudo depende da área em que é usado e desde os firewalls são capazes de agir sobre os parâmetros de tipo e código, você pode decidir o que passar pelo firewall ou não. Obviamente, se o firewall receber a solicitação ICMP Echo e você não tiver nenhum problema em informá-lo se o host de destino está ativo ou não, o firewall também deve permitir a passagem de uma resposta de eco. Mas atenção: os pacotes ICMP devem estar sujeitos a DPI, ou seja, devem ser consistentes com as especificações do pacote: Se um pacote ICMP passou pelo firewall de entrada / saída e havia malware em um ou mais hosts dentro da sua rede, esses hosts podem adquirir comandos de um servidor C & C e exfiltrar informações para esse servidor. Em geral, não acho sensato usá-lo em roteadores de fronteira, mas para diagnósticos de rede interna, sim.