Czy protokół IPv4 ICMP z niezaufanych interfejsów powinien być blokowany?

23

Rozglądając się wokół, nie byłem w stanie określić najlepszych praktyk dla ICMP na zaporze ogniowej.

Na przykład w przypadku Cisco ASA byłoby bezpieczne i zalecane zezwolenie ICMP na dowolne, jeśli włączona jest inspekcja ICMP. Pozwoliłoby to na takie rzeczy, jak typ 3 nieosiągalny, aby wrócić do klientów.

Adam
źródło

Odpowiedzi:

30

Nie, ICMP nie powinien być blokowany. Jest to ważny protokół sygnalizacyjny. Bez niego Internet nie działa.

PMTUD jest zepsuty, jeśli upuścisz ICMP.

IPv6 nawet nie zaczyna działać bez ICMP, ponieważ rozdzielczość adresów L3 do L2 (ARP w IPV4) działa na szczycie ICMP w IPv6.

Rozwiązywanie problemów również potrwa dłużej, jeśli echa ICMP zostaną usunięte. Niestety często myśli FW ludzi wydają się być „w razie wątpliwości, upuść”.

Korzystasz z FW, ponieważ Twoja sieć wewnętrzna ma usługi niewymagające uwierzytelniania lub niezarządzanych hostów z wrażliwym oprogramowaniem. ICMP tak naprawdę nie jest praktycznym wektorem ataku.

iti
źródło
1
Zgadzam się, że upuszczenie całego ICMP w sieci nie jest dobrym pomysłem. Samo powiedzenie, że ICMPv6 (proto 58) różni się od ICMP (proto 1). Upuszczenie ICMP na zaporze nie wpływa na funkcjonalność IPv6, chyba że ICMPv6 również zostanie wyraźnie upuszczony?
sdaffa23fdsf
Tak, ICMPv6 jest inny. Będzie to zależeć od twojej zapory ogniowej, czy „upuszczenie wszystkich ICMP” obejmuje ICMPv6. Zwykle tak nie jest, reguły ipv6 są odrębne od reguł ipv4.
Czy zaleca się, aby zezwolić na wszystkie ICMP, czy po prostu na typy nieosiągalne, przekroczone w czasie i traceroute, aby wymienić tylko kilka?
generalnetworkerror
1
Osobiście zezwalam na wszystkie, nie słyszałem o wektorze ataku ICMP (ale jestem stronniczy, jestem bardzo anty-FW). Minimalny zestaw zalecany przeze mnie to: miejsce docelowe nieosiągalne, przekroczenie czasu, problem z parametrem, echo, odpowiedź echa, znacznik czasu, odpowiedź znacznika czasu (idealne do pomiaru jednokierunkowego opóźnienia z dokładnością do 1 ms).
ytti