Чи слід блокувати IPv4 ICMP з ненадійних інтерфейсів?

Шукаючи навколо, я не зміг визначити кращої практики для ICMP на брандмауері.

Наприклад, на Cisco ASA було б безпечно і рекомендується дозволити ICMP з будь-якого, якщо включена перевірка ICMP. Тоді це дозволить зробити такі речі, як недоступність типу 3, повернути їх клієнтам.

ipv4 firewall

— Адам
джерело

Ні, ICMP не слід блокувати. Це життєво важливий протокол сигналізації. Без нього Інтернет не функціонує.

PMTUD порушується, якщо ви кинете ICMP.

IPv6 навіть не починає працювати без ICMP, оскільки роздільна здатність адреси L3 до L2 (ARP в IPV4) їздить поверх ICMP в IPv6.

Також усунення несправностей буде тривати довше, якщо відхилення відлунь ICMP. На жаль, люди з ЖК часто думають, що "коли сумніваєтеся, киньте".

Ви використовуєте FW, оскільки у вашій внутрішній мережі є послуги, які не потребують авторизованих або некерованих хостів, що працюють з уразливим програмним забезпеченням. ICMP насправді не є практичним вектором нападу.

— ytti
джерело

Я погоджуюся, що скасувати всі ICMP в мережі - це не дуже гарна ідея. Просто кажучи, що ICMPv6 (прото 58) відрізняється від ICMP (proto 1). Передача ICMP на брандмауер не впливає на функціональність IPv6, хіба що ICMPv6 також явно не відхиляється?

— sdaffa23fdsf

Так, ICMPv6 відрізняється. Це буде залежати від вашого брандмауера, хоча "скидати всі ICMP" включає ICMPv6. Зазвичай це не так, правила ipv6 є окремими від ipv4.

Чи рекомендуєте ви дозволити всі ICMP дозволити через або просто такі типи, як недоступні, перевищені за часом та traceroute, щоб назвати декілька?

— generalnetworkerror

Я особисто дозволяю їх усім, я не чув про вектор атаки ICMP (але я упереджений, я дуже анти-FW). Мінімальний набір, який я рекомендую, - це недоступне місце призначення, перевищено час, проблема з параметрами, відлуння, ехо-відповідь, часова мітка, часова мітка-відповідь (відмінно підходить для вимірювання однонаправленої затримки з точністю 1 мс).

— ytti