Este o idee proastă ca un firewall să blocheze ICMP?

Comparativ cu alte protocoale IP, ICMP este destul de mic, dar servește un număr mare de funcții disparate. ICMP a fost conceput ca mecanism de depanare, depanare și raportare a erorilor pentru IP. Acest lucru îl face extrem de valoros, astfel încât o mulțime de gânduri trebuie să o închidă. Ar fi cam asemănător cu abordarea >/dev/null 2>&1 până la sfârșitul tuturor intrărilor dvs. cron.

De cele mai multe ori, când vorbesc cu oamenii despre blocarea ICMP, ei sunt „re vorbim cu adevărat despre ping și traceroute. Acest lucru se traduce în 3 tipuri

• 0 – Echo Răspuns (răspuns ping)
• 8 – Echo Request (cerere ping)
• 11 – Timpul a depășit

Aceasta este „3 tipuri din 16. Să vedem” câteva alte tipuri de ICMP disponibile.

• 4 – Quench sursă (trimis de un router pentru a cere unei gazde să-i încetinească transmisiile)
• 3 – Destinație neaccesabilă (constă din 16 tipuri diferite de mesaje, de la raportarea unei probleme de fragmentare până la un firewall raportând că un port este închis)

Ambele pot fi de neprețuit pentru menținerea gazdelor non-malware care funcționează corect într-o rețea. De fapt, există două (probabil mai multe, dar acestea sunt cele mai evidente pentru mine) cazuri foarte bune în care nu ”doriți să restricționați ICMP.

• Calea MTU Discovery – Folosim o combinație de steagul Don „t Fragment și codul 3 de tip 4 (Destinație inaccesibilă – este necesară fragmentarea și setul de steag DF) pentru a determina cel mai mic MTU pe calea dintre gazde. Astfel evităm fragmentarea în timpul transmiterii.
• Active Directory necesită clienți care fac ping la controlerele de domeniu pentru a trage în jos GPO-urile. Folosesc ping pentru a determina controlerul „cel mai apropiat” și dacă niciunul nu răspunde, atunci se presupune că niciunul nu este suficient de aproape. Așadar, actualizarea politicii nu se întâmplă.

Asta nu înseamnă că ar trebui să lăsăm în mod necesar totul deschis pentru ca toată lumea să o vadă. Recunoașterea este posibilă cu ICMP și acesta este în general motivul pentru blocare. Se poate folosi pings pentru a determina dacă o gazdă este activă sau dacă timpul depășește (ca parte a unui traseu) pentru a mapa arhitecturile de rețea sau Rory interzice o redirecționare (codul 5 de tip 0) să schimbe ruta implicită a unei gazde. / p>

Având în vedere toate acestea, sfatul meu este, ca întotdeauna, să adoptați o abordare măsurată și atentă a protecțiilor dvs. Blocarea ICMP în întregime nu este probabil cea mai bună idee, dar alegerea și alegerea ce blocați și de la / de la unde vă va oferi probabil ceea ce doriți.

Comentarii

• detalii mici: Deși ICMP este opțional în IPv4, este necesar ca IPv6 să funcționeze normal. Rolul ICMP s-a schimbat foarte mult. Citește ușor despre asta: blogs.cisco.com/security/icmp-and-security-in-ipv6
• @Mike Oh sigur, Cred că nu am fost ‘ clar dar vorbeam în mod specific despre v4. IPv6 este o bestie suficient de diferită încât trebuie să-l tratăm ca pe un protocol complet diferit atunci când proiectăm și protejăm rețele v6.
• +1 ” .. . sau Rory interzice … ” De fapt, am râs cu voce tare.
• @tylerl: Am râs și eu scriind-o. Desigur, am luat ceva vin și a trecut 1,5 ore înainte de culcare.
• Source Quench a fost învechit în mod oficial ( RFC 6633 ). Și nu a mai fost văzut niciodată pe internet de zeci de ani.

ICMP există dintr-un motiv și nu tot acest motiv este ping. Este „protocolul„ meta ”care este utilizat pentru a comunica mesaje de control despre rețeaua în sine. Aruncați o privire la ICMP pe Wikipedia pentru a vă face o idee mai bună despre ce este și la ce servește.

Alte mesaje ICMP includ, de asemenea, gazdă de destinație inaccesibilă, este necesară fragmentarea, controlul congestiei, TTL depășit, erori de protocol IP și multe altele.

Rețeaua va funcționa fără ICMP – rezistența în fața picăturilor de pachete este unul dintre punctele forte ale IP – dar va funcționa mai încet, mai puțin eficient și fără beneficiul acestor semnale pentru a vă ajuta să diagnosticați și să rezolvați problemele .

Problemele de securitate cu ICMP tind să fie problemele mai nebuloase de „divulgare a informațiilor”. De exemplu, dacă routerul dvs. trimite un mesaj ICMP înapoi cuiva, atunci cineva știe că aveți un router. Poate că atacatorul vă cunoaște aveți un router este ceva care vă îngrijorează sau, mai probabil, nu. Dar cercetările de securitate tind să greșească doar din partea tăcerii să fie în siguranță, pentru orice eventualitate.

Ocazional există o vulnerabilitate de tip „ping of death” legată de ICMP într-un sistem de operare. În prezent, nu există niciun sistem de operare mainstream. Dar încă o dată, susținătorii securității greșesc cu precauție, pentru orice eventualitate.

Comentarii

• Tu ‘ greșesc, dar sunt de acord cu faptul că utilizatorii obișnuiți / administratorii nu ar trebui să blocheze ICMP. Există mai multe probleme critice de securitate cu ICMP. Problema principală este de a avea un feedback la nivel de control (depășit ttl) care nu este trimis doar de destinație, ci și de hamei intermediari. Poate fi folosit pentru amprentarea dispozitivelor pe baza caracteristicilor (TTL inițial, steaguri IP și, mai important, IP ID-ul) mesajului ICMP. Mai mult, mesajele ICMP pot fi, de asemenea, un feedback pentru traversarea paravanului de protecție și, combinate cu firewall-urile de verificare a ferestrei TCP, puteți efectua atacuri de deducere a numărului de secvență.

Pentru a fi sincer, este inteligent să filtrați unele ICMP de ieșire atât la nivel de router, cât și la nivel de firewall software ca strat suplimentar de securitate.

Nu este pertinent să opriți un DoS sau DDoS, dar persoanele rău intenționate folosesc în continuare ICMP pentru a încerca să recupereze cât mai multe informații despre o rețea posibil înainte de a încerca să o încalce.

Nu spun că folosesc DOAR ICMP, dar acesta este unul dintre puținele tipurile de pachete pe care le folosesc și, în funcție de dacă aveți deschise porțile de inundare, pot obține un detaliu excelent al informațiilor în foarte puțin timp.

Luați ceva timp pentru a căuta pe Google și căutați informații despre modul în care NMAP și un alte câteva programe utilizează ICMP ca una dintre resursele pentru colectarea informațiilor, apoi își bazează filtrele din ceea ce credeți că este necesar pentru a vă proteja și rețeaua dvs.

Dacă este posibil, configurați o rețea de testare internă (personal am cumpărat un router wifi secundar unul ieftin și am un computer secundar ca firewall pentru a testa toate routerele / ipchain-urile / firewall-urile software setări înainte de a le folosi în rețeaua mea principală pentru gospodăria mea și pentru orice client care mă angajează să-și securizeze rețelele.

Îi încurajez pe oameni să încerce să facă o cercetare cu privire la scanarea porturilor și cum să rupă firewall-urile pe să aibă propria rețea, astfel încât să se poată proteja mai bine pe ei înșiși și pe orice familie pe care o ajută.

Iată câteva resurse pe care le-am folosit și le-am adresat prietenilor anterior. Sans Information Security Cum se utilizează ICMP pentru recunoaștere

Și, de asemenea,

InfoSec Institute ICMP Attacks

Unele dintre atacuri nu mai sunt viabile, dar există forme mai noi de Smurf care funcționează încă din cauza modului în care programatorul a reușit să codifice din nou atacul original și schimbați modul în care funcționează și folosește resursele.

Sapă și Google este prietenul tău împreună cu Stack Exchange și, de asemenea, motorul de căutare duckduckgo este minunat pentru resursele pe care Google le-ar putea filtra doar fii precaut și folosește-ți inteligența!

Sunt tehnician de computer de 22 de ani și specialist în securitate de rețea de 10 de ani. În prezent sunt în școală pentru ECH și CPTS și mă uit la cursuri de securitate ofensivă când le termin.

Sper că acest lucru vă va ajuta și ceilalți vor găsi aceste informații utile pe măsură ce restaurez copiile de rezervă pe care le-am făcut la acest sistem și îmi găsesc celelalte linkuri și resurse pe această temă, voi actualiza acest răspuns.

Blocarea ICMP nu este numai inutilă, dar în majoritatea cazurilor este dăunătoare. Există mai multe motive pentru care nu ar trebui să blocați ICMP dacă nu sunteți absolut sigur de ceea ce faceți și mai ales de ce faceți. Da icmp ping îi poate ajuta pe ceilalți să vă „profileze” rețeaua. Dar să fim sinceri, dacă aveți vreun serviciu tcp deschis, veți fi văzut. Dacă aruncați doar pachete veți fi văzut. Dacă răspundeți greșit, veți fi văzut.Deci, dacă credeți că trebuie să ascundeți serverele noastre importante din rețea, deoarece le face mai sigure, atunci când vă blocați icmp-ul, este mai posibil ca gazda dvs. să fie o țintă și mai strălucitoare. Există doar o mulțime de modalități de a face acest lucru greșit, astfel încât să rupeți descoperirea căii mtu, controlul congestiei etc. și chiar să vă faceți serverul să iasă din masă. Deci, în celula nuci, nu vă blocați icmp-ul dacă nu aveți un motiv foarte bun pentru ao face și apoi faceți-l cu grijă și citiți specificațiile protocolului icmp, astfel încât să înțelegeți ce și de ce faceți ceea ce sunteți. Da, poate fi o idee bună să blocați redirecționarea icmp la marginea rețelei, dacă nu sunteți sigur că aveți nuclee vechi. Dar o altă mână, este mai bine să vă actualizați serverele și alte gazde (să remediați problemele reale) decât să le ascundeți sub covor, unde cineva vă va găsi oricum erorile.

După cum puteți vedea din structura protocolului, totul depinde de zona în care este utilizat și de firewall-uri sunt capabili să acționeze în funcție de parametrii de tip și cod, puteți decide ce să treceți prin firewall și ce nu. În mod clar, dacă firewall-ul primește cererea ICMP Echo și nu aveți nicio problemă să-i anunțați dacă gazda de destinație este activă sau nu, firewall-ul trebuie să poată lăsa să treacă și un Echo Răspuns. Aveți grijă însă: pachetele ICMP trebuie să fie supuse DPI, adică trebuie să fie conforme cu specificațiile pachetului: Dacă un pachet ICMP a trecut prin paravanul de intrare / ieșire și a existat malware pe una sau mai multe gazde din rețeaua dvs. acele gazde ar putea achiziționa comenzi de pe un server C & C și pot filtra informații pe acel server. În general, nu cred că este înțelept să îl folosiți pe routerele de frontieră, dar pentru diagnosticarea rețelei interne, da.