Vraag Waarom uitgaande ICMP blokkeren?


Deze vraag is enigszins gerelateerd aan "Waarom Block Port 22 Outbound?"Ik zie niet in hoe dit een opmerkelijk veiligheidsrisico kan zijn.


7
2017-08-19 02:13


oorsprong


Het blokkeren van uitgaande ICMP blokkeert de traceerroute enz., Zodat het netwerkdiagnostiek zal belemmeren. - Richard


antwoorden:


ICMP outbound en blokkeren ALLEMAAL andere verbindingen vanuit uw omgeving zijn een goed begin voor het bouwen van uw firewall / beveiligingsbeleid.

Maar er zijn veel dingen die u van tevoren moet weten en waarmee rekening moet worden gehouden. Een goed voorbeeld is het blokkeren van alle ICMP-pakketten terwijl sommige andere protocollen, zoals TCP-poort 80 (http), mogelijk problemen met MTU / PMTU veroorzaken. Als u een netwerkverbinding hebt die een inkapseling gebruikt zoals pppoe, GRE, of een van de vele anderen die jij bent ZULLEN tegen een groot aantal moeilijk te identificeren MTU-problemen aanlopen.

Goed om te beginnen met lezen is:


5
2017-08-19 04:15



+1 voor het vermelden van Path MTU Discovery. - James Sneeringer
Dit negeert het beantwoorden van de echte vraag ("waarom?") Door gewoon te stellen dat het "een goed begin" is. Verder is gekoppeld "IMCP staat voor problemen" 404-ing, dus dat heeft geen zin. - ironsam


Beveiliging wordt vaak overwogen in een "zwarte lijst alles, whitelist wat nodig is" context, achteraf op een aluminiumfolie hoed niveau van het beperken van uitgaande verbindingen totdat iemand klaagt. Hoewel het eenvoudig is om te vragen "waarom blokkeren" ... zal een beveiligingsexpert vragen "waarom heb je nodig" ... Dit is de reden waarom een ​​bedrijfsnetwerk zeer restrictief is (zwarte lijst eerst) versus een standaard thuisnetwerk (whitelist alles dat uitgaand is).

Een machine op uw netwerk die werkt op een botnet en bandbreedte biedt voor ICMP PING-saturatie van een host is een realistisch scenario.


7
2017-08-19 02:36





Deze icmp dos-aanvallen waren 10 jaar geleden nuttig. Niemand zal ze nu gebruiken en dit is stom om alle icmp-pakketten te filteren. Boeken die suggereren om alle icmp-pakketten te blokkeren zijn 1) geschreven door domme mensen of 2) geschreven door mensen om uw netwerk hard te maken voor diagnostiek en om u een bedrijf te laten bellen dat het voor u repareert :)

zelfs icmp redirect-berichten zijn niet schadelijk als je alleen maar statische routes hebt ...

dus raad mensen niet aan om het belangrijkste diagnostische protocol van internet uit te schakelen


3
2017-09-20 13:11





Ik denk dat dit geen groot probleem is, maar dit kan worden beschouwd als een praktijk die wordt gebruikt in het "standaardbeleid voor weigering" dat wordt gebruikt in systeembeheer. De reden voor het blokkeren van ICMP is het vermijden van ICMP-DOS-aanvallen tegen een andere host. (Om ethisch te zijn)

ICMP-aanvallen

Cisco kwetsbaar voor ICMP DoS


2
2017-08-19 03:34



+1 ICMP DOS-aanvallen waren niet zo lang geleden een groot probleem. - Doug Luxem
-1: ICMP hier uitzoeken is niet de juiste methode. TCP / UDP / ICMP en alle andere IP-protocollen (iana.org/assignments/protocol-numbers) kan worden gebruikt om DoS-aanvallen te maken onder de juiste omstandigheden. Wat echt nodig is, is het correct filteren van acceptabele pakketten voor de omgeving. - Jeremy Rossi
+1 om ongepast -1 weg te werken. - SirStan
Hoe ethisch is het om een ​​van de belangrijkste diagnostische protocollen van het internet te negeren? ICMP is niet het enige internetprotocol dat wordt blootgesteld aan misbruik via DOS en andere aanvallen (hint: dat zijn ze allemaal). google.com reageert zelfs opent inbound ICMP voor een reden: om een ​​kernprotocol te ondersteunen en diagnostiek mogelijk te maken. - ironsam


Het is bijvoorbeeld mogelijk dat een kwaadaardig stukje software op een aangetast systeem berichten "naat terug" stuurt via valse echo-antwoorden. Dit kan het systeem voor luisteren op afstand nogal wat informatie geven die je niet per se wilt hebben, een klein stukje tegelijk. Alles waar de malware toegang toe heeft, kan zo uit de pijp komen.


1
2017-08-19 02:25



In dat geval moet men zich richten op het verwijderen van de malware in plaats van op de gegevens die het verzendt. - Richard
In dat geval moet men zich ook richten op het verwijderen van de malware .... - squillman


Een andere reden om uitgaande ICMP te blokkeren, is (poort) scanners te proberen te fouilleren. Veel firewalls laten binnenkomende pakketten stilvallen, geweigerd door beveiligingsbeleid (meestal een ACL). Als een pakket echter wordt toegestaan ​​en de bestemmingsapplicatie zelf niet wordt uitgevoerd, retourneren de meeste servers een ICMP onbereikbaar pakket van een bepaald type. Dit verschil in gedrag voor een niet-beschikbare poort kan een aanvaller waardevol inzicht in uw netwerk geven.


1
2017-08-19 04:21



Beveiliging door Obscurity? - habakuk
Obscurity is op zich een slecht beveiligingsmechanisme, maar het kan best nuttig zijn als onderdeel van een bredere beveiligingsstrategie. - James Sneeringer