Güvenilmeyen arayüzlerden gelen IPv4 ICMP engellenmeli mi?


23

Etrafta arama yapmak bir güvenlik duvarında ICMP için en iyi uygulamayı belirleyemedim.

Örneğin, bir Cisco ASA'da, ICMP incelemesi etkinse herhangi birinden ICMP'ye izin verilmesi güvenli olur ve önerilir. Bu daha sonra tip 3 erişilemeyen şeylerin müşterilere geri dönmesini sağlayacaktır.

Yanıtlar:


30

Hayır, ICMP engellenmemelidir. Hayati sinyal protokolü. İnternet onsuz çalışmıyor.

ICMP'yi bırakırsanız PMTUD bozulur.

IPv6, IPv6'da L3 ila L2 adres çözünürlüğü (IPV4'te ARP) sürdüğü için ICMP olmadan çalışmaya bile başlamaz.

Ayrıca ICMP ekoları düşerse sorun giderme daha uzun sürer. Ne yazık ki, sık sık FW insanları düşünce treninin 'şüpheli olduğunda düşme' olduğu görülüyor.

İç ağınızda güvenlik açığı bulunan yazılım çalıştıran kimlik doğrulaması veya yönetilmeyen ana bilgisayarlar gerektirmeyen hizmetler bulunduğundan FW kullanıyorsunuz. ICMP gerçekten pratik bir saldırı vektörü değildir.


1
Tüm ICMP’leri ağda bırakmanın iyi bir fikir olmadığını kabul ediyorum. Sadece ICMPv6'nın (proto 58) ICMP'den (proto 1) farklı olduğunu söylemek. ICMPv6 da açıkça düşürülmediği sürece, güvenlik duvarına ICMP'yi bırakmak IPv6 işlevselliğini etkilemez mi?
sdaffa23fdsf

Evet, ICMPv6 farklı. "Tüm ICMP'leri bırak" ın ICMPv6'yı içermesine rağmen, güvenlik duvarınıza bağlı olacaktır. Genellikle değil, ipv6 kuralları ipv4 kurallarından ayrıdır.

Tüm ICMP’lere erişilemez, zaman aşılmış ve traceroute gibi türler aracılığıyla izin verilebilir mi , yoksa sadece birkaçını belirtmek mi istiyorsunuz?
generalnetworkerror

1
Kişisel olarak hepsine izin veriyorum, ICMP saldırı vektörünü duymadım (önyargılıyım, çok FW karşıtıyım). Tavsiye ederim Minimum set: hedef ulaşılamaz, zaman aşıldı, parametre sorunu, yankı, yankı yanıtı, zaman damgası, zaman damgası yanıtı (1ms hassasiyetinde tek yönlü gecikmeyi ölçmek için harika).
32’de
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.