Чому б не заблокувати ICMP?

Я думаю, що у мене майже завершено налаштування iptables в моїй системі CentOS 5.3. Ось мій сценарій ...

# Establish a clean slate
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F # Flush all rules
iptables -X # Delete all chains

# Disable routing. Drop packets if they reach the end of the chain.
iptables -P FORWARD DROP

# Drop all packets with a bad state
iptables -A INPUT -m state --state INVALID -j DROP
# Accept any packets that have something to do with ones we've sent on outbound
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Accept any packets coming or going on localhost (this can be very important)
iptables -A INPUT -i lo -j ACCEPT
# Accept ICMP
iptables -A INPUT -p icmp -j ACCEPT

# Allow ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Allow httpd
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Allow SSL
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# Block all other traffic 
iptables -A INPUT -j DROP

Для контексту ця машина є хостом веб-програми Virtual Private Server.

У попередньому запитанні Лі Б сказав, що мені слід «трохи зафіксувати ICMP». Чому б просто не заблокувати його взагалі? Що було б, якби я це зробив (що б поганого сталося)?

Якщо мені потрібно не блокувати ICMP, як я можу продовжувати блокувати його більше?

ICMP - це спосіб, набагато більше, ніж "traceroute" та "ping". Він використовується для зворотного зв’язку, коли ви запускаєте сервер DNS (порт недоступний), який на сучасному сервері DNS може насправді допомогти вибрати іншу машину для швидшого запиту.

Як було сказано вище, ICMP також використовується для відкриття шляху МТУ. Швидше за все, ваші ОС встановлюють "DF" (не фрагмент) на TCP-пакети, які він надсилає. Він очікує повернення пакету ICMP "потрібна фрагментація", якщо щось по шляху не вдається обробити такий розмір пакету. Якщо ви заблокуєте всі ICMP, вашій машині доведеться використовувати інші механізми резервного копіювання, які в основному використовують тайм-аут, щоб виявити "чорну діру" PMTU і ніколи не буде правильно оптимізуватися.

Крім того, ви повинні запитати себе, чому ви хочете заблокувати ICMP. Що конкретно ви намагаєтесь запобігти тут? Цілком зрозуміло, що ви не розумієте, для чого використовується ICMP, що є досить поширеним явищем. Я був би надзвичайно обережним у блокуванні чогось, чого ви не повністю розумієте.

Щоб зробити це ще складніше дізнатися про це, багато поширених книг про брандмауер говорять про "блокувати ICMP" - зрозуміло, що їхні автори ніколи не читали RFC або не повинні були вирішувати питання, пов'язані з такими порадами. Погана порада заблокувати всі ICMP.

Тепер обмеження швидкості може також нашкодити. Якщо ваша машина зайнята, або навіть якщо її немає, ви можете отримати хороший обсяг ICMP-трафіку. Мій веб-сервер, ймовірно, отримує близько 10-100 пакетів ICMP в хвилину, більшість з яких - це відкриття PMTU. Навіть якщо хтось вирішив напасти на мій сервер з пакетами ICMP якогось типу, це справді не така вже й велика угода. Якщо ваша машина приймає навіть одне TCP-з'єднання (ssh, http, пошта тощо), швидше за все, це більший вектор атаки, ніж неправильно зрозумілий ICMP.

ICMP використовується для діагностичних функцій (наприклад, ping, traceroute) та управління мережею (наприклад, виявлення PMTU). Нерозбірливе блокування ICMP викликає у інших людей всіляку печію, і якщо ви точно не знаєте, чим займаєтесь, вам слід залишити це в спокої.

Я ніколи не розумів, чому люди дивляться на ICMP, як було сказано вище, це коли-небудь викликає головний біль у себе та інших. Ви можете визначити, чи хост працює досить легко і до тих пір, поки він досить обмежений, щоб не використовуватися як DOS, тоді я ніколи не чув жодних вагомих причин блокувати його. (Якщо хтось може придумати причину, будь ласка, опублікуйте)

ви можете просто спробувати обмежити icmp таким чином, що його не можна використовувати як DOS-атаку. але є занадто багато інструментів усунення несправностей, таких як ping, mtr (я забуваю еквівалент Windows), traceroute (tracert), які використовують icmp. відкидати їх цілком просто нерозумно. Це хороший спосіб перевірити, чи працює ваш примірник, навіть якщо ви не можете телефонувати на жодні порти.

--limit 10/second

Ось альтернативна точка зору, в дусі того, що б запропонувала теорія безпеки. Інші плакати мають рацію, що практика безпеки часто є надмірною, але багато з них є хорошою основою.

Теорія безпеки, як правило, полягає в тому, що ви вмикаєте лише те, що вам потрібно. Інші речі (які можуть бути корисні - наприклад, відповіді на пінг) можуть використовуватись зловмисником для розширення вашої системи або, можливо, як вектор атаки для деякої ще вразливості.

Отже, дивлячись на типи повідомлень ICMP, що вам потрібно для нормальної, належної роботи вашої системи?

• echo відповідь (ping) - не так багато
• призначення недоступне - тут багато корисної інформації. Вимкніть це, і ви порушите доступ до свого сервера для деяких клієнтів.
• вихідне гасіння - застаріле з 1995 року і, мабуть, вилучене з хост-реалізацій з (пізніше) 2005 р. tools.ietf.org/html/rfc6633#section-1.
• перенаправлення - майже точно не
• реклама маршрутизатора та клопотання - немає необхідності, якщо ви статично налаштовуєте свої маршрути та можете їх використовувати для DoS. Я б заблокував його, якщо ви не знаєте, що вам це потрібно, і, якщо він вам потрібен, можливо, кодуйте правило, щоб приймати інформацію лише з можливих відомих маршрутизаторів.
• ttl перевищено - не лише для traceroute, повідомляє вам, що ваш трафік не проходить до місця призначення

...і так далі. Якщо ви дійсно хочете зрозуміти це, ознайомтеся з різними типами ICMP і для чого вони призначені. Стаття у Вікіпедії - хороша відправна точка.

На практиці справді потворне перенаправлення; якщо ви хочете зробити щось швидке і корисне, заблокуйте це і дозвольте іншим.

Я додам, що відстеження з'єднання IPtables дозволить відповідне повернення пакетів ICMP для активних з'єднань. Отже, якщо ви виконуєте conntrack, ви повинні мати можливість блокувати більшість вхідних ICMP, поки ви приймаєте пов'язані пакети (перш ніж блокувати ICMP у наборі правил).

Це корисний інструмент діагностики для вирішення проблем з підключенням до мережі.

Це також дозволяє використовувати з'єднання в інших місцях Інтернету, які використовують менші MTU, ніж у вашій мережі. Якщо ви спробуєте надіслати пакет кудись, який занадто великий і його неможливо фрагментарно, пристрій скидає пакет і надсилає необхідний пакет фрагментації ICMP назад відправнику. Якщо ви скинете всі пакети ICMP, ви втратите ці дивні речі, що трапляються у вашій мережі.

Справжнє питання "чому блокувати ICMP?" Що ви отримуєте? Просто мати хороші правила фільтрації на кордоні та перед цінними активами.

ping - хороший інструмент для діагностики, ви дійсно хочете, щоб у вас його було колись. Я використовую ці:

-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT

ви можете також захотіти придушити його.

Сьогодні навіть обмеження пакетів ICMP на стороні сервера може створити головний біль при DDoS-атаках. Атаки в основному здійснюються шляхом надсилання величезних віконних запитів ICMP на один сервер, і якщо сервер намагається відповісти на кожен із них, здогадайтеся, що відбувається?

Головне, що у нас є сервер, що працює з командою, який щодня отримує погані пакети, за два місяці було кілька днів, коли ми мали «вільний час». Ми вже повністю відключили / заблокували відповіді ICMP, у нас немає ні DNS-серверів, ні NTP-серверів, ні поштових серверів, ні FTP-серверів, лише два apache та командна розмова. всі порти, які не потрібні для послуг, вимкнено. Ми плануємо заблокувати навіть ssh та залишити відкритими лише два порти. Сьогодні існує 21 к (!) Постійних заборон.

Ситуація полягає в тому, що зловмисники використовують здебільшого тунелі ICMP, і кілька дійсно цікавих ліній журналів обговорювались із адміністраторами сервера, і вони сказали, що у них є запити на сервер ICMP, тож зловмисники використовували, щоб тунель атакував їх та атакував нас. Звучить дивно, але це правда.

Якщо вам не потрібна діагностика вашого сервера і якщо ви в змозі повністю заблокувати запити або відфільтрувати їх, щоб, наприклад, скинути величезні вікна, зробіть це. Я також пропоную вам повністю заблокувати: Китай, Корея, Таїланд, Туреччина, оскільки більшість IP-адрес надходить саме звідти. У мене були цілі списки цих країн, але майже щодня надходять звідти нові.

Я кажу, що я роблю, якщо ви не згодні - не робіть цього. Просто як це. Удачі

Як мінімум, ви повинні дозволити передавати icmp типи 3 (недоступне місце призначення), 4 (гасіння джерела) та 11 (перевищено час). Усі ці типи використовуються для вирішення проблем із мережею і не повинні їх фільтрувати.

iptables -A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT

(Тип гасіння джерела наразі застарілий, але це не завадить відкрити це)

Я дозволяю ICMP-трафіку з локальної інтрамережі, блокую його з Інтернету. Таким чином мій сервер є майже невидимим в Інтернеті (він відповідає лише на нестандартний порт SSH).

iptables -I INPUT 7 -d 208.180.X.X -p icmp --icmp-type 8  -j DROP
iptables -I INPUT 8 -d 208.180.X.X -p icmp --icmp-type 0  -j DROP
iptables -I INPUT 9 -d 208.180.X.X -p icmp --icmp-type 11 -j DROP

Це вставляє його після встановленого стандартного циклу зворотного зв'язку, білого списку локальної мережі, списку постачальників послуг VOIP та ACCEPT порту SSH. Я дозволяю трафіку, який я хочу, а потім роблю все можливе, щоб сервер був непомітним для решти світу.