iptables | Типы ICMP: какие из них (потенциально) вредны?

8

Я читал, что определенные типы ICMP-пакетов могут быть вредными. Вопросов:

  • Какие и почему?
  • Как мне создать макет набора правил iptables для обработки каждого типа пакета ICMP?
  • Должен ли я ограничить скорость любого из этих типов ICMP-пакетов? И как?

[¹] Типы, о которых я читал: Redirect (5), Timestamp (13) и Address Mask Request (17). Пожалуйста, не учитывайте только это в своем ответе.

Больше информации
Это веб-сервер на VPS с Ubuntu Server.

Цель,
которую я пытаюсь сделать систему более безопасной, снизить риск некоторых D / DoS-атак и общих злоупотреблений.

Связан
ли мой брандмауэр linux с безопасностью?
Почему бы не заблокировать ICMP?

linux networking security iptables icmp ML--
источник

Ответы:

10

Похоже, вы стали жертвой мантры "ICMP IS EVIL".
ICMP НЕ ЗЛО, просто неправильно понято. Печальная реальность заключается в том, что многие администраторы боятся того, чего они не понимают, и поэтому они вытесняют ICMP из своей сетевой вселенной, избегая его на уровне пограничного межсетевого экрана и не давая ему занять свое правильное и правильное место для блага своей сети.

Сказав это, позвольте мне ответить на ваши вопросы:

Какие типы сообщений ICMP могут быть вредными и почему?
Почти все из них.

  • Echoпакеты могут использоваться для прерывания обслуживания (особенно для систем с плохо реализованными стеками IP); При правильном использовании они могут дать информацию о вашей сети.

  • Destination Unreachableможет быть злонамеренно введен; При правильном использовании они могут предоставить информацию о * вашем брандмауэре / структуре маршрутизации или о конкретной машине в вашей сети.

  • Source Quench может быть злонамеренно отправлен, чтобы заставить ваш сервер эффективно сидеть в углу и сосать большой палец.

  • redirect может использоваться как следует из названия.

  • router advertisementи router solicitationзапросы могут использоваться для создания «интересных» топологий трафика (и для облегчения атак MITM), если ваши хосты действительно обращают на них внимание.

  • tracerouteбудет разработано , чтобы дать информацию о топологии СЕТЕВОЙ.

…так далее...

В именах различных сообщений ICMP довольно много деталей , что они способны делать. Тренируй свою врожденную паранойю в придумывая сценарии кошмара :-)

Как мне создать макет набора правил iptables для обработки каждого типа пакета ICMP?
Если нет веских причин возиться с трафиком ICMP, оставьте его в покое!
Разрушение трафика ICMP препятствует надлежащему использованию сообщений ICMP (управление трафиком и устранение неполадок) - это будет скорее разочарованием, чем полезным.

Должен ли я ограничить скорость любого из этих типов ICMP-пакетов? И как?
Это может быть единственным законным исключением из философии «оставь это в покое» - ICMP-сообщения, ограничивающие скорость или пропускную способность, могут помочь вам избежать незаконного использования ICMP-сообщений. FreeBSD поставляется с ICMP Bandwidth / Rate Limiting по умолчанию, и я предполагаю, что Linux имеет аналогичную функциональность.

Ограничение скорости / полосы пропускания гораздо предпочтительнее, чем общее правило брандмауэра, отбрасывающее трафик ICMP: оно по-прежнему позволяет ICMP выполнять свои функции в сети, а также частично смягчает попытки злоупотребления сервером.

Вышеизложенное отражает мнение одного системного администратора, который со своей стороны FREAKIN 'Утомлен наличием сетей устранения неполадок, в которых пропадает весь трафик ICMP. Это раздражает, расстраивает и отнимает больше времени на поиск и устранение проблем. :-)

voretaq7
источник
Но ... но ... Пин смерти следует бояться, до иррациональных уровней! (это плохо, что я мог сказать, кто написал этот ответ после первого абзаца?)
Шейн Мэдден
Действительно, ICMP полезен. Если бы я стал жертвой «ICMP - зло», я бы предпочел заблокировать все и не открывать этот вопрос :) Все, что я хочу, - это некоторая помощь в принятии обоснованного решения. Вы можете быть уверены, что я не собираюсь блокировать их все :)
ML--
@ Шейн Мэдден: --state INVALIDупадет Ping of Death?
ML--
7
@ ML-- Пожалуйста, не беспокойся о пинге смерти. Ни одна ОС этого тысячелетия не уязвима.
Шейн Мэдден
2
@ ML-- Единственный вектор, о котором я буду беспокоиться, - это Source Quench, и вы можете заблокировать это с относительной безнаказанностью (TCP в конечном итоге сам это выяснит). Ping & Traceroute, безусловно, являются утечкой информации, но на практике я не думаю, что это добавляет слишком реальной безопасности вашей среде. Ваш пробег (и требуемый уровень паранойи) может варьироваться (в зависимости от чувствительности ваших данных / среды).
voretaq7
4

Дело не столько в типах, сколько в возможных векторах атаки. Там был довольно эффективный вектор атаки DoS с использованием источника закалки ICMP пакета в TCP / IP стеке много общих Интернетов - хозяина в течение многих лет - и все же это не означает , что исходный закалку ICMP сообщение должно быть отфильтрованы в целом. Как и во всем, что касается сетевой безопасности, сравните преимущества определенного протокола или службы с возможной поверхностью атаки в зависимости от ваших личных приоритетов. Если в ваших сетях есть узлы, которые восприимчивы к вектору атаки через ICMP, вы не можете их исправить и вам не нужны определенные функции, вам, безусловно, следует подумать об их фильтрации.

Для моих администрируемых сетей v4 я считаю безопасным и удобным разрешать ICMP типы 0, 8 (эхо-запрос / ответ), 11 (истек срок действия TTL), 3 (пункт назначения недоступен) и 12 (ошибка заголовка IP) и отбрасывать все остальные.

заместитель Wabbit
источник