Які причини заборонити ICMP на моєму сервері?


9

Екземпляр EC2 забороняє послуги ICMP за замовчуванням. Хоча мені не зовсім зрозуміло чому, я вважаю, що це може бути потенційним ризиком для безпеки. На даний момент я вмикаю Echo Response лише тоді, коли перезавантажую сервер, щоб я міг бачити, чи працює він, але колись він з’явився в Інтернеті, я його знову відключаю. Чи потрібно? Які причини взагалі відключити ICMP?

Відповіді:


17

ICMP складається з великої колекції команд. Якщо заборонити все це, розбийте вашу мережу дивними способами.

ICMP дозволяє працювати на зразок "traceroute" та "ping" (запит ехо-сигналу). Таким чином, ця частина є досить корисною для звичайної діагностики. Він також використовується для зворотного зв’язку, коли ви запускаєте сервер DNS (порт недоступний), який на сучасному сервері DNS може насправді допомогти вибрати іншу машину для швидшого запиту.

ICMP використовується для виявлення шляху MTU. Цілком ймовірно, що ваша ОС встановлює "DF" (не фрагментуйте) на TCP-пакети, які він надсилає. Очікується повернення пакету ICMP "потрібна фрагментація", якщо щось по шляху не вдається обробити такий розмір пакету. Якщо ви заблокуєте всі ICMP, вашій машині доведеться використовувати інші механізми резервного копіювання, які в основному використовують тайм-аут, щоб виявити "чорну діру" PMTU і ніколи не буде правильно оптимізуватися.

Напевно, є ще кілька вагомих причин включити більшість ICMP.

Тепер як ваше питання, чому відключити:

Причини відключення частини ICMP:

  • Захист від черв'яків старого стилю, які використовували ICMP запит ехо (ака ping), щоб дізнатися, чи хост живий, перш ніж намагатися напасти на нього. У наші дні сучасний черв’як намагається це зробити все одно, зробивши це вже не ефективним.
  • Приховування вашої інфраструктури. Якщо ви хочете це зробити, то, будь ласка, заблокуйте це на краю вашої мережі. Не на кожному комп'ютері. Це просто призведе до того, що ваш адміністратор розчарує витягнути все волосся з голови або голови, коли щось піде не так і всі звичайні інструменти аналізу не зможуть. (У цьому випадку: Amazon може заблокувати її на краю хмари).
  • Відмова від атак на обслуговування на основі ICMP. Поводьтеся з ними так само, як і з іншими атаками DOS: Ліміт швидкості.
  • Єдине дійсне: якщо ви перебуваєте в небезпечній мережі, можливо, вам захочеться заблокувати або вимкнути змінити команду маршрутизатора. Примітка: використовуйте ваші сервери в безпечній мережі.

Зауважте, що там є посібники з «загартовування сервера», які радять блокувати ICMP. Вони помиляються (або принаймні недостатньо деталізуються). Вони потрапляють у ту ж категорію, що і бездротова «безпека» через фільтрування MAC або приховування SSID.


Інші відповіді хороші, але ця більш обширна! Дякую!
3к-

1

Блоки ICMP робляться з декількох причин, але в основному для приховування інформації від зондів, що намагаються ідентифікувати та профілювати вашу мережу. Існує також кілька типів атак на маршрутизатори та загальнодоступні кінцеві системи, які використовують трафік ICMP як частину використання.

у вашому випадку ви, ймовірно, можете дозволити ехо-відповіді, хоча це стане причиною того, що вас помітять більше зондів. атаки, такі як DDOS на основі пінгу та атаки "смерфу", значною мірою пом'якшуються в наші дні.

http://en.wikipedia.org/wiki/Denial-of-service_attack#ICMP_flood


0

Найбільший ризик ICMP на сервері, що звертається до Інтернету, - це збільшена площа поверхні для атаки відмови в обслуговуванні (DoS).


0

Я б запропонував запобігти затопленню запитів ICMP, використовуючи iptablesзамість того, щоб постійно блокувати його:

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/minute --limit-burst 100 -j ACCEPT
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.