Có nên chặn IPv4 ICMP từ các giao diện không tin cậy?

Tìm kiếm xung quanh tôi không thể xác định thực tiễn tốt nhất cho ICMP trên tường lửa.

Ví dụ: trên Cisco ASA, nó có an toàn không và được khuyến nghị cho phép ICMP từ bất kỳ nếu kiểm tra ICMP được bật. Điều này sau đó sẽ cho phép những thứ như loại 3 không thể truy cập được để trả lại cho khách hàng.

ipv4 firewall

— Ađam
nguồn

Không, ICMP không nên bị chặn. Đó là giao thức báo hiệu quan trọng. Internet không hoạt động mà không có nó.

PMTUD bị hỏng nếu bạn thả ICMP.

IPv6 thậm chí không bắt đầu hoạt động mà không có ICMP, vì độ phân giải địa chỉ L3 đến L2 (ARP trong IPV4) đang vượt lên trên ICMP trong IPv6.

Ngoài ra, việc khắc phục sự cố sẽ mất nhiều thời gian hơn nếu tiếng vang ICMP bị hủy. Than ôi thường những người FW đào tạo ý nghĩ dường như là 'khi nghi ngờ, thả'.

Bạn sử dụng FW vì mạng bên trong của bạn có các dịch vụ không yêu cầu xác thực hoặc máy chủ không được quản lý chạy phần mềm dễ bị tấn công. ICMP thực sự không phải là một vector tấn công thực tế.

— ytti
nguồn

Tôi đồng ý bỏ tất cả ICMP trên mạng không phải là một ý tưởng tốt. Chỉ nói ICMPv6 (proto 58) khác với ICMP (proto 1). Việc thả ICMP trên tường lửa không ảnh hưởng đến chức năng IPv6, trừ khi ICMPv6 cũng bị loại bỏ rõ ràng?

— sdaffa23fdsf

Vâng, ICMPv6 là khác nhau. Nó sẽ phụ thuộc vào tường lửa của bạn mặc dù "bỏ tất cả ICMP" có bao gồm ICMPv6 hay không. Thông thường, nó không, các quy tắc ipv6 tách biệt với các quy tắc ipv4.

Bạn có đề xuất rằng tất cả ICMP được cho phép thông qua hoặc chỉ các loại như không thể truy cập, vượt quá thời gian và theo dõi để đặt tên cho một số?

— generalnetworkerror

Cá nhân tôi cho phép tất cả họ, tôi chưa nghe nói về vectơ tấn công ICMP (nhưng tôi thiên vị, tôi rất chống FW). Bộ tối thiểu tôi khuyên dùng là: không thể truy cập đích, vượt quá thời gian, vấn đề tham số, echo, echo-reply, dấu thời gian, dấu thời gian-reply (tuyệt vời để đo độ trễ một chiều ở độ chính xác 1ms).

— ytti