Jakie są powody, aby zabronić ICMP na moim serwerze?


11

Instancja EC2 ma domyślnie wyłączone usługi ICMP. Chociaż nie jest dla mnie całkowicie jasne, dlaczego, myślę, że to dlatego, że może to stanowić potencjalne zagrożenie bezpieczeństwa. W tej chwili włączam Odpowiedzi Echo tylko po ponownym uruchomieniu serwera, dzięki czemu mogę sprawdzić, czy jest on uruchomiony, ale kiedy już wszedł w tryb online, wyłączam go ponownie. Czy to konieczne? Jakie są przyczyny ogólnego wyłączenia ICMP?

Odpowiedzi:


18

ICMP składa się z dużej kolekcji poleceń. Wykluczenie wszystkich z nich spowoduje dziwne uszkodzenie sieci.

ICMP pozwala na działanie takich funkcji jak „traceroute” i „ping” (żądanie echa ICMP). Ta część jest więc bardzo przydatna do normalnej diagnostyki. Służy również do przesyłania informacji zwrotnych po uruchomieniu serwera DNS (portu nieosiągalnego), który we współczesnym serwerze DNS może faktycznie pomóc wybrać inny komputer, który będzie szybciej wyszukiwał.

ICMP służy do wykrywania ścieżki MTU. Możliwe, że twój system operacyjny ustawia „DF” (nie fragmentuj) na wysyłanych pakietach TCP. Oczekuje, że otrzyma z powrotem pakiet „wymaganej fragmentacji” ICMP, jeśli coś wzdłuż ścieżki nie obsłuży tego rozmiaru pakietu. Jeśli zablokujesz cały ICMP, twoja maszyna będzie musiała użyć innych mechanizmów rezerwowych, które w zasadzie wykorzystują limit czasu do wykrycia „czarnej dziury” PMTU i nigdy nie będą poprawnie optymalizowane.

Prawdopodobnie istnieje jeszcze kilka dobrych powodów, aby włączyć większość ICMP.

Teraz jako twoje pytanie, dlaczego wyłączyć:

Przyczyny wyłączenia części ICMP to:

  • Ochrona przed robakami w starym stylu, które korzystały z żądania echa ICMP (inaczej ping), aby sprawdzić, czy host żyje, zanim spróbuje go zaatakować. W dzisiejszych czasach nowoczesny robak i tak go wypróbowuje, przez co przestaje być skuteczny.
  • Ukrywanie infrastruktury. Jeśli chcesz to zrobić, zablokuj go na skraju sieci. Nie na każdym komputerze. To po prostu spowoduje, że administrator wyciągnie wszystkie włosy z głowy z frustracji, gdy coś pójdzie nie tak i zawiodą wszystkie zwykłe narzędzia analizy. (W tym przypadku: Amazon może zablokować go na krawędzi chmury).
  • Ataki typu „odmowa usługi” na podstawie ICMP. Traktuj je tak samo jak inne ataki DOS: Limit prędkości.
  • Jedyny prawidłowy: jeśli jesteś w niebezpiecznej sieci, możesz chcieć zablokować lub wyłączyć polecenie zmiany routera. Obfix: używaj swoich serwerów w bezpiecznej sieci.

Zauważ, że istnieją instrukcje „hartowania serwerów”, które zalecają blokowanie ICMP. Mylą się (lub przynajmniej nie są wystarczająco szczegółowe). Należą do tej samej kategorii, co „bezpieczeństwo” sieci bezprzewodowej poprzez filtrowanie adresów MAC lub ukrywanie identyfikatora SSID.


1

Bloki ICMP są wykonywane z kilku powodów, ale głównie w celu ukrycia informacji przed sondami próbującymi zidentyfikować i profilować sieć. Istnieje również kilka rodzajów ataków na routery i publicznie dostępne systemy końcowe, które wykorzystują ruch ICMP jako część exploita.

w twoim przypadku prawdopodobnie możesz zezwolić na reakcje echa, chociaż powoduje to, że zauważysz więcej sond. w dzisiejszych czasach ataki takie jak DDOS oparte na pingach i ataki smurfowe są w dużej mierze złagodzone.

http://en.wikipedia.org/wiki/Denial-of-service_attack#ICMP_flood


0

Sugerowałbym zapobieganie zalewaniu żądań ICMP, używając iptableszamiast blokować je na stałe:

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/minute --limit-burst 100 -j ACCEPT

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.