Sunucumda ICMP'ye izin vermeme nedenleri nelerdir?


11

Bir EC2 Örneği'nin varsayılan olarak devre dışı bırakılmış ICMP hizmetleri vardır. Bana neden tam olarak açık olmasa da, bunun potansiyel bir güvenlik riski olabileceğinden düşünüyorum. Şu anda Yankı Yanıtlarını yalnızca sunucuyu yeniden başlattığımda etkinleştiriyorum, böylece çalışıp çalışmadığını görebiliyorum, ancak çevrimiçi olduğunda bir kez daha devre dışı bırakıyorum. Bu gerekli mi? Genel olarak ICMP'yi devre dışı bırakmanın nedenleri nelerdir?

Yanıtlar:


18

ICMP geniş bir komut koleksiyonundan oluşur. Tüm bunlara izin verilmemesi ağınızı tuhaf yollarla kesecektir.

ICMP, "traceroute" ve "ping" (ICMP echo request) gibi şeylerin çalışmasına izin verir. Böylece bu bölüm normal teşhis için oldukça faydalıdır. Ayrıca, modern bir DNS sunucusunda, daha hızlı sorgulamak için farklı bir makine seçmenize yardımcı olabilecek bir DNS sunucusu (erişilemez bağlantı noktası) çalıştırdığınızda geri bildirim için kullanılır.

Yol MTU keşfi için ICMP kullanılır. Muhtemelen işletim sisteminiz gönderdiği TCP paketlerinde "DF" (parçalanma) setleridir. Yol boyunca bir şey bu paket boyutunu işleyemezse, ICMP "gerekli parçalanma" paketini geri almayı beklemektedir. Tüm ICMP'yi engellerseniz , makineniz temel olarak bir PMTU "karadelik" algılamak için bir zaman aşımı kullanan ve asla doğru şekilde optimize edilmeyen diğer geri dönüş mekanizmalarını kullanmalıdır.

ICMP'nin çoğunu etkinleştirmek için muhtemelen birkaç iyi neden daha vardır.

Şimdi sorunuzu neden devre dışı bırakacağınız:

ICMP'nin bir kısmını devre dışı bırakma nedenleri :

  • Bir ev sahibinin saldırmaya çalışmadan önce hayatta olup olmadığını görmek için ICMP yankı isteğini (aka ping) kullanan eski stil solucanlarından koruma. Günümüzde modern bir solucan zaten deniyor ve artık etkili değil.
  • Altyapınızı gizleme. Bunu yapmak istiyorsanız, lütfen ağınızın kenarında engelleyin. Her bilgisayarda değil. Bu sadece bir şeyler ters gittiğinde ve tüm normal analiz araçları başarısız olduğunda yöneticinizin tüm saçlarını kafasından hayal kırıklığına uğratmasına neden olur. (Bu durumda: Amazon bulutun kenarında engelleyebilir).
  • ICMP'ye dayalı hizmet reddi saldırıları. Bunları diğer DOS saldırılarıyla aynı şekilde işleyin: Hız sınırı.
  • Tek geçerli olan: Güvenli olmayan bir ağdaysanız, yönlendiricinin değişti komutunu engellemek veya devre dışı bırakmak isteyebilirsiniz. Sorun: Sunucularınızı güvenli bir ağda kullanın.

ICMP'yi engellemeyi öneren 'sunucu sertleştirme' el kitaplarının olduğunu unutmayın. Yanlış (ya da en azından yeterince ayrıntılı değil). MAC filtreleme veya SSID'yi gizleme yoluyla kablosuz 'güvenlik' ile aynı kategoriye girerler.


1

ICMP blokları birkaç nedenden dolayı yapılır, ancak çoğunlukla ağınızı tanımlamaya ve profil oluşturmaya çalışan problardan bilgileri gizlemek için. Ayrıca, istismarın bir parçası olarak ICMP trafiğini kullanan yönlendiricilere ve genel olarak erişilebilir son sistemlere yönelik çeşitli saldırı türleri de vardır.

sizin durumunuzda, yankı yanıtlarına izin verebilirsiniz, ancak bu daha fazla prob tarafından fark edilmenize neden olur. ping tabanlı DDOS ve şirine saldırılar gibi saldırılar bugünlerde büyük ölçüde hafifletiliyor.

http://en.wikipedia.org/wiki/Denial-of-service_attack#ICMP_flood


0

Ben iptableskalıcı olarak engellemek yerine kullanarak ICMP istekleri sel önlemek öneriyoruz :

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/minute --limit-burst 100 -j ACCEPT

-1

İnternete dönük bir sunucuda ICMP'nin en büyük riski, Hizmet Reddi (DoS) saldırısının arttığı yüzey alanıdır.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.