Должен ли IPv4 ICMP от ненадежных интерфейсов быть заблокирован?

23

Осматривая, я не смог определить наилучшую практику для ICMP на брандмауэре.

Например, на Cisco ASA было бы безопасно и рекомендуется разрешить ICMP от любого, если включена проверка ICMP. Это позволило бы таким вещам, как недостижимый тип 3, вернуться к клиентам.

Адам
источник

Ответы:

30

Нет, ICMP не должен быть заблокирован. Это жизненно важный протокол передачи сигналов. Интернет не функционирует без него.

PMTUD не работает, если вы сбросите ICMP.

IPv6 даже не начинает работать без ICMP, поскольку разрешение адресов от L3 до L2 (ARP в IPV4) находится поверх ICMP в IPv6.

Также устранение неполадок займет больше времени, если пропадет эхо-сигнал ICMP. Увы, часто FW люди думают, что «когда сомневаешься, бросай».

Вы используете FW, потому что в вашей внутренней сети есть службы, не требующие авторизации или неуправляемые хосты, на которых работает уязвимое программное обеспечение. ICMP действительно не является практическим вектором атаки.

ytti
источник
1
Я согласен, что сбросить все ICMP в сети не очень хорошая идея. Просто сказать, что ICMPv6 (proto 58) отличается от ICMP (proto 1). Удаление ICMP на брандмауэре не влияет на функциональность IPv6, если ICMPv6 также явно не удален?
sdaffa23fdsf
Да, ICMPv6 отличается. Это будет зависеть от вашего брандмауэра, однако, включает ли ICMPv6 «отбросить все ICMP». Обычно это не так, правила ipv6 отделены от правил ipv4.
Вы рекомендовав весь ICMP разрешаются через или просто тип как unreachables, время превышается, и трассировка , чтобы назвать несколько?
generalnetworkerror
1
Я лично разрешаю им всем, я не слышал о векторе атаки ICMP (но я предвзят, я очень против FW). Минимальный набор, который я бы рекомендовал: пункт назначения недоступен, превышено время, проблема с параметрами, эхо, эхо-ответ, временная метка, временная метка-ответ (отлично подходит для измерения однонаправленной задержки с точностью до 1 мс).
Ytti