iptables | Các loại ICMP: loại nào (có khả năng) có hại?

8

Tôi đọc được rằng một số loại nhất định của gói ICMP có thể gây hại. Câu hỏi:

  • Cái nào và tại sao?
  • Tôi nên bố trí một quy tắc iptables để xử lý từng loại gói ICMP như thế nào?
  • Tôi có nên đánh giá giới hạn bất kỳ loại gói ICMP nào không? Và làm thế nào?

[¹] Các loại tôi đọc về: Chuyển hướng (5), Dấu thời gian (13) và Yêu cầu mặt nạ địa chỉ (17). Xin đừng xem xét những điều này trên câu trả lời của bạn.

Thông tin thêm
Đó là một máy chủ web trên VPS với Ubuntu Server.

Mục tiêu
tôi đang cố gắng để làm cho hệ thống an toàn hơn, giảm thiểu rủi ro của một số cuộc tấn công D / DoS và lạm dụng chung.

Liên quan
Tường lửa linux của tôi có an toàn không?
Tại sao không chặn ICMP?

linux  networking  security  iptables  icmp 
ML--
nguồn

Câu trả lời:

10

Có vẻ như bạn đang trở thành nạn nhân của câu thần chú "ICMP IS EVIL".
ICMP KHÔNG xấu xa, chỉ đơn thuần là hiểu lầm. Một thực tế đáng buồn là nhiều quản trị viên lo sợ những gì họ không hiểu, và vì vậy họ đã loại ICMP ra khỏi vũ trụ mạng của họ, che giấu nó ở cấp độ tường lửa và ngăn không cho nó đi đúng chỗ và đúng đắn vì lợi ích của mạng của họ.

Đã nói rằng, hãy để tôi giải quyết câu hỏi của bạn:

Những loại tin nhắn ICMP nào có thể gây hại, và tại sao?
Khá nhiều tất cả trong số họ.

  • Echocác gói có thể được sử dụng để phá vỡ các dịch vụ (đặc biệt đối với các hệ thống có ngăn xếp IP được triển khai kém); Được sử dụng hợp pháp họ có thể cung cấp thông tin về mạng của bạn.

  • Destination Unreachablecó thể được tiêm độc hại; Được sử dụng hợp pháp, họ có thể cung cấp thông tin về * cấu trúc tường lửa / định tuyến của bạn hoặc về một máy cụ thể trên mạng của bạn.

  • Source Quench có thể được gửi độc hại để làm cho máy chủ của bạn có hiệu quả ngồi trong một góc và mút ngón tay cái của nó.

  • redirect có thể được sử dụng như tên ngụ ý.

  • router advertisementrouter solicitationcác yêu cầu có thể được sử dụng để tạo các cấu trúc liên kết lưu lượng "thú vị" (và tạo điều kiện cho các cuộc tấn công MITM) nếu máy chủ của bạn thực sự chú ý đến chúng.

  • tracerouteđược thiết kế để cung cấp thông tin cấu trúc mạng.

…Vân vân...

Các tên của các thông điệp ICMP khác nhau khá nhiều chi tiết những gì họ có khả năng làm. Luyện tập chứng hoang tưởng bẩm sinh của bạn trong giấc mơ về những kịch bản ác mộng :-)

Tôi nên bố trí một quy tắc iptables để xử lý từng loại gói ICMP như thế nào?
Không có lý do chính đáng để gây rối với lưu lượng truy cập ICMP, hãy để nó một mình!
Mucking về lưu lượng truy cập ICMP ngăn chặn việc sử dụng thông điệp ICMP thích hợp (quản lý và xử lý sự cố lưu lượng truy cập) - nó sẽ gây khó chịu hơn là hữu ích.

Tôi có nên đánh giá giới hạn bất kỳ loại gói ICMP nào không? Và làm thế nào?
Đây có thể là ngoại lệ hợp pháp duy nhất đối với triết lý "để yên cho địa ngục" - các tin nhắn ICMP giới hạn tốc độ hoặc băng thông có thể hữu ích trong việc giúp bạn tránh sử dụng các tin nhắn ICMP bất hợp pháp. FreeBSD vận chuyển với giới hạn băng thông / tốc độ ICMP theo mặc định và tôi cho rằng Linux có chức năng tương tự.

Giới hạn tỷ lệ / băng thông được ưu tiên hơn nhiều so với quy tắc tường lửa giảm lưu lượng ICMP: Nó vẫn cho phép ICMP phục vụ mục đích của mình trên mạng và cũng giảm nhẹ một phần nỗ lực lạm dụng máy chủ của bạn.

Phần trên đại diện cho ý kiến ​​của một sysadmin, người về phần mình là FREAKIN 'TIRED OF HAVING TO TROUBLESHOOT NETWORERE WHERE ALL ICMP TRAFFIC IS DROPPED - Thật khó chịu, bực bội, và mất nhiều thời gian hơn để tìm và khắc phục sự cố. :-)

voretaq7
nguồn
Nhưng .. nhưng .. Ping of Death đáng sợ, đến mức phi lý! (có tệ không khi tôi có thể nói ai đã viết câu trả lời này sau đoạn đầu tiên?)
Shane Madden
Thật vậy, ICMP là hữu ích. Nếu tôi là nạn nhân của "ICMP là ác quỷ", tôi thà chặn tất cả và không mở câu hỏi này :) Tất cả những gì tôi muốn là một số trợ giúp để đưa ra quyết định sáng suốt. Bạn có thể chắc chắn rằng tôi sẽ không chặn tất cả :)
ML--
@Shane Madden: Sẽ --state INVALIDbỏ Ping of Death?
ML--
7
@ ML-- Xin đừng lo lắng về cái chết của ping. Không có hệ điều hành từ thiên niên kỷ này là dễ bị tổn thương.
Shane Madden
2
@ ML-- Một vectơ mà tôi lo lắng là Source Quench, và bạn có thể chặn nó với sự miễn cưỡng tương đối (TCP cuối cùng sẽ tự tìm ra nó). Ping & Traceroute chắc chắn là rò rỉ thông tin, nhưng trong thực tế tôi không nghĩ rằng nó bổ sung quá nhiều bảo mật thực sự cho môi trường của bạn. Số dặm của bạn (và mức độ hoang tưởng cần thiết) có thể thay đổi (tùy thuộc vào độ nhạy cảm của dữ liệu / môi trường của bạn).
voretaq7
4

Nó không phải là nhiều về các loại hơn các vectơ tấn công có thể. Đã có một vectơ tấn công DoS khá hiệu quả bằng cách sử dụng gói dập tắt nguồn ICMP trong nhiều ngăn xếp TCP / IP của máy chủ internet phổ biến trong nhiều năm - nhưng điều đó không có nghĩa là các thông điệp ICMP giải mã nguồn cần phải được lọc nói chung. Như với mọi thứ trong bảo mật mạng, hãy cân nhắc lợi ích của một giao thức hoặc dịch vụ nhất định đối với bề mặt tấn công có thể dựa trên các ưu tiên cá nhân của bạn . Nếu bạn có máy chủ trong các mạng dễ bị vectơ tấn công thông qua ICMP, bạn không thể sửa chúng và bạn không cần các tính năng cụ thể, bạn chắc chắn nên xem xét việc lọc nó.

Đối với các mạng v4 được quản lý của tôi, tôi thấy vừa an toàn vừa tiện lợi khi cho phép các loại ICMP 0, 8 (yêu cầu / trả lời tiếng vang), 11 (hết hạn sử dụng), 3 (không thể truy cập đích) và 12 (lỗi tiêu đề IP) và bỏ tất cả phần còn lại

the-wợi
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.