Sollte IPv4 ICMP von nicht vertrauenswürdigen Schnittstellen blockiert werden?

23

Durchsuchen Ich konnte nicht die beste Vorgehensweise für ICMP auf einer Firewall ermitteln.

Zum Beispiel wäre es auf einem Cisco ASA sicher und empfehlenswert, ICMP von jedem zuzulassen, wenn die ICMP-Überprüfung aktiviert ist. Dies würde dann ermöglichen, dass Dinge wie Typ 3 nicht erreichbar sind, um es zurück zu den Clients zu schaffen.

Adam
quelle

Antworten:

30

Nein, ICMP sollte nicht blockiert werden. Es ist ein wichtiges Signalprotokoll. Internet funktioniert nicht ohne.

PMTUD ist defekt, wenn Sie ICMP löschen.

IPv6 funktioniert nicht einmal ohne ICMP, da die Adressauflösung von L3 zu L2 (ARP in IPV4) in IPv6 auf ICMP aufbaut.

Die Fehlerbehebung dauert auch länger, wenn ICMP-Echos fallengelassen werden. Leider scheinen die Gedankengänge von FW-Leuten oft "im Zweifelsfall fallen" zu sein.

Sie verwenden FW, weil in Ihrem internen Netzwerk Dienste vorhanden sind, für die keine Authentifizierung oder nicht verwaltete Hosts erforderlich sind, auf denen anfällige Software ausgeführt wird. ICMP ist wirklich kein praktischer Angriffsvektor.

ytti
quelle
1
Ich bin damit einverstanden, dass das Löschen von ICMP im Netzwerk keine gute Idee ist. Nur zu sagen, ICMPv6 (Proto 58) unterscheidet sich von ICMP (Proto 1). Das Löschen von ICMP in der Firewall hat keine Auswirkungen auf die IPv6-Funktionalität, es sei denn, ICMPv6 wird ebenfalls explizit gelöscht.
sdaffa23fdsf
Ja, ICMPv6 ist anders. Es hängt jedoch von Ihrer Firewall ab, ob "Alle ICMP löschen" ICMPv6 enthält. Normalerweise sind IPv6-Regeln nicht mit IPv4-Regeln identisch.
Empfehlen Sie, dass alle ICMPs zugelassen werden, oder geben Sie nur Typen wie "Nicht erreichbar", "Zeitüberschreitung" und "Traceroute" ein, um nur einige zu nennen?
Generalnetworkerror
1
Ich persönlich erlaube ihnen allen, ich habe noch nichts von ICMP-Angriffsvektoren gehört (aber ich bin voreingenommen, ich bin sehr gegen FW). Ich empfehle folgende Mindesteinstellung: Ziel nicht erreichbar, Zeit überschritten, Parameterproblem, Echo, Echoantwort, Zeitstempel, Zeitstempelantwort (ideal zum Messen der unidirektionalen Latenz mit einer Genauigkeit von 1 ms).
Ytti