Các lý do để không cho phép ICMP trên máy chủ của tôi là gì?


11

Một EC2 Instance có các dịch vụ ICMP bị tắt theo mặc định. Trong khi nó không hoàn toàn rõ ràng với tôi tại sao, tôi nghĩ đó là vì nó có thể là một rủi ro bảo mật tiềm ẩn. Hiện tại tôi chỉ bật Echo Responses khi tôi khởi động lại máy chủ để tôi có thể xem nó có hoạt động hay không, nhưng một khi nó xuất hiện trực tuyến thì tôi lại vô hiệu hóa nó. Có cần thiết không? Những lý do để vô hiệu hóa ICMP nói chung là gì?

Câu trả lời:


18

ICMP bao gồm một tập hợp lớn các lệnh. Không cho phép tất cả những người sẽ phá vỡ mạng của bạn theo những cách lạ.

ICMP cho phép những thứ như "traceroute" và "ping" (yêu cầu tiếng vang ICMP) hoạt động. Do đó, phần đó khá hữu ích cho chẩn đoán bình thường. Nó cũng được sử dụng để phản hồi khi bạn chạy máy chủ DNS (không thể truy cập cổng), trong máy chủ DNS hiện đại, thực sự có thể giúp chọn một máy khác để truy vấn nhanh hơn.

ICMP được sử dụng để khám phá đường dẫn MTU. Có thể hệ điều hành của bạn đặt "DF" (không phân đoạn) trên các gói TCP mà nó gửi. Dự kiến ​​sẽ lấy lại gói "yêu cầu phân mảnh" ICMP nếu có gì đó dọc theo đường dẫn không xử lý được kích thước của gói đó. Nếu bạn chặn tất cả ICMP, máy của bạn sẽ phải sử dụng các cơ chế dự phòng khác, về cơ bản sử dụng thời gian chờ để phát hiện "lỗ đen" PMTU và sẽ không bao giờ tối ưu hóa chính xác.

Có lẽ có một vài lý do tốt để kích hoạt hầu hết ICMP.

Bây giờ là câu hỏi của bạn tại sao để vô hiệu hóa:

Các lý do để vô hiệu hóa một phần của ICMP là:

  • Bảo vệ khỏi những con sâu kiểu cũ đã sử dụng yêu cầu echo ICMP (hay còn gọi là ping) để xem máy chủ có còn sống hay không trước khi cố gắng tấn công nó. Ngày nay, một con sâu hiện đại thử nó bằng mọi cách, làm cho nó không còn hiệu quả.
  • Ẩn cơ sở hạ tầng của bạn. Nếu bạn muốn làm điều này, thì vui lòng chặn nó ở rìa mạng của bạn. Không phải trên mỗi máy tính. Điều đó sẽ chỉ khiến quản trị viên của bạn nhổ hết tóc khỏi đầu trong thất vọng khi có sự cố xảy ra và tất cả các công cụ phân tích bình thường đều thất bại. (Trong trường hợp này: Amazon có thể chặn nó ở rìa của đám mây).
  • Tấn công từ chối dịch vụ dựa trên ICMP. Xử lý chúng giống như các cuộc tấn công DOS khác: Giới hạn tốc độ.
  • Điều duy nhất hợp lệ: Nếu bạn đang ở trong một mạng không an toàn, bạn có thể muốn chặn hoặc vô hiệu hóa bộ định tuyến đã thay đổi lệnh. Obfix: sử dụng máy chủ của bạn trên một mạng an toàn.

Lưu ý rằng có những hướng dẫn 'cứng máy chủ' ngoài kia khuyên bạn nên chặn ICMP. Họ đã sai (hoặc ít nhất là không đủ chi tiết). Chúng thuộc cùng loại với "bảo mật" không dây thông qua lọc MAC hoặc ẩn SSID.


1

Các khối ICMP được thực hiện vì một vài lý do, nhưng chủ yếu là để ẩn thông tin khỏi các đầu dò cố gắng xác định và lập hồ sơ mạng của bạn. Ngoài ra còn có một số loại tấn công vào bộ định tuyến và hệ thống đầu cuối có thể truy cập công khai sử dụng lưu lượng ICMP như một phần của khai thác.

trong trường hợp của bạn, có lẽ bạn có thể cho phép phản hồi tiếng vang, mặc dù điều đó khiến bạn được chú ý bởi nhiều đầu dò hơn. các cuộc tấn công như DDOS dựa trên ping và các cuộc tấn công smurf phần lớn được giảm nhẹ trong những ngày này.

http://en.wikipedia.org/wiki/Denial-of-service_attack#ICMP_flood


0

Tôi sẽ đề nghị ngăn chặn các yêu cầu ICMP bằng cách sử dụng iptablesthay vì chặn vĩnh viễn:

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/minute --limit-burst 100 -j ACCEPT

-1

Nguy cơ lớn nhất của ICMP trên máy chủ phải đối mặt với internet là sự gia tăng diện tích bề mặt đối với cuộc tấn công từ chối dịch vụ (DoS).

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.