Warum ausgehende ICMP blockieren?

7

Diese Frage hat etwas mit " Warum Port 22 Outbound blockieren? " Zu tun . Ich sehe nicht ein, wie dies ein bemerkenswertes Sicherheitsrisiko sein kann.

gak
quelle
Durch das Blockieren des ausgehenden ICMP wird die Trace-Route usw. blockiert, sodass die Netzwerkdiagnose behindert wird.
Richard

Antworten:

6

Das Blockieren von ausgehendem ICMP und ALLEN anderen Verbindungen aus Ihrer Umgebung ist ein guter Anfang für die Erstellung Ihrer Firewall- / Sicherheitsrichtlinie.

Aber es gibt viele Dinge, die Sie vorher wissen und berücksichtigen sollten. Ein gutes Beispiel ist das Blockieren aller ICMP-Pakete, während das Zulassen einiger anderer Protokolle wie TCP-Port 80 (http) zu Problemen mit MTU / PMTU führen kann. Wenn Sie eine Netzwerkverbindung verfügen , die eine Verkapselung wie verwendet pppoe , GRE , oder eine der vielen anderen , die Sie WILL in eine große Anzahl von Fest laufen MTU Probleme zu identifizieren.

Ein guter Bereich, um mit dem Lesen zu beginnen, ist:

Jeremy Rossi
quelle
+1 für die Erwähnung von Path MTU Discovery.
James Sneeringer
3
Dies ignoriert die Beantwortung der eigentlichen Frage ("Warum?"), Indem einfach angegeben wird, dass dies "ein guter Anfang" ist. Darüber hinaus ist verknüpftes "IMCP steht für Ärger" 404-ing, das nützt also nichts.
Eisenam
7

Sicherheit wird häufig in einem Kontext "Alles auf die schwarze Liste setzen, Whitelist, was benötigt wird" betrachtet, achtern bis zu einer Ebene, in der ausgehende Verbindungen begrenzt werden, bis sich jemand beschwert. Während es einfach ist zu fragen, warum blockiert wird, wird ein Sicherheitsexperte fragen, warum Sie brauchen. Aus diesem Grund ist ein Unternehmensnetzwerk sehr restriktiv (schwarze Liste zuerst) im Vergleich zu einem Standard-Heimnetzwerk (Whitelist alles ausgehend).

Ein Computer in Ihrem Netzwerk, der in einem Botnetz ausgeführt wird und Bandbreite für die ICMP-PING-Sättigung eines Hosts bereitstellt, ist ein realistisches Szenario.

SirStan
quelle
4

Diese icmp dos-Angriffe waren vor 10 Jahren nützlich. Niemand wird sie jetzt verwenden und das ist eine dumme Sache, um alle icmp-Pakete zu filtern. Bücher, die vorschlagen, alle icmp-Pakete zu blockieren, sind 1) von dummen Leuten geschrieben oder 2) von Leuten geschrieben, um Ihr Netzwerk für die Diagnose zu erschweren und Sie dazu zu bringen, eine Firma anzurufen, die es für Sie repariert :)

Selbst ICMP-Weiterleitungsnachrichten sind nicht schädlich, wenn Sie nur statische Routen haben ...

Bitte raten Sie daher nicht, das Hauptdiagnoseprotokoll des Internets zu deaktivieren

niki
quelle
2

Ich denke, dies ist keine große Sache, aber dies kann als eine Praxis angesehen werden, die in der "Standardverweigerungsrichtlinie" verwendet wird, die in der Systemadministration verwendet wird. Der Grund für das Blockieren von ICMP wäre die Vermeidung von ICMP-DOS-Angriffen gegen einen anderen Host. (Um ethisch zu sein)

ICMP-Angriffe

Cisco ist anfällig für ICMP DoS

Chathuranga Chandrasekara
quelle
+1 ICMP-DOS-Angriffe waren vor nicht allzu langer Zeit eine große Sache.
Doug Luxem
2
-1: ICMP hier herauszuheben ist nicht die richtige Methode. TCP / UDP / ICMP und alle anderen IP-Protokolle ( iana.org/assignments/protocol-numbers ) können verwendet werden, um DoS-Angriffe unter den richtigen Bedingungen zu erstellen. Was wirklich benötigt wird, ist die korrekte Filterung akzeptabler Pakete für die Umgebung.
Jeremy Rossi
+1, um unangemessen -1 auszugleichen.
SirStan
2
Wie ethisch ist es, eines der wichtigsten Diagnoseprotokolle des Internets zu ignorieren? ICMP ist nicht das einzige Internetprotokoll, das über DOS und andere Angriffe missbraucht wird (Hinweis: alle sind es). Die Antwort von google.com öffnet sogar eingehende ICMP aus einem Grund: um ein Kernprotokoll zu unterstützen und Diagnosen zu ermöglichen.
Eisenam
1

Es ist beispielsweise möglich, dass eine böswillige Software auf einem kompromittierten System Nachrichten über gefälschte Echoantworten "nach Hause" sendet. Dies könnte dem Remote-Listening-System eine ganze Reihe von Informationen geben, die Sie nicht unbedingt haben möchten, Stück für Stück. Alles, worauf die Malware Zugriff hat, kann direkt aus der Pipe gehen.

Squillman
quelle
In diesem Fall muss man sich darauf konzentrieren, die Malware zu entfernen und nicht auf die Daten, die sie sendet.
Richard
1
In diesem Fall muss man sich AUCH auf das Entfernen der Malware konzentrieren ...
Squillman
1

Ein weiterer Grund, ausgehende ICMP zu blockieren, besteht darin, Port-Scanner zu folieren (zu versuchen). Viele Firewalls verwerfen eingehende Pakete, die von Sicherheitsrichtlinien (normalerweise eine ACL) abgelehnt wurden, stillschweigend. Wenn jedoch ein Paket zugelassen wird und die Zielanwendung selbst nicht ausgeführt wird, geben die meisten Server ein nicht erreichbares ICMP-Paket eines bestimmten Typs zurück. Dieser Unterschied im Verhalten eines nicht verfügbaren Ports kann einem Angreifer wertvolle Einblicke in Ihr Netzwerk geben.

James Sneeringer
quelle
Sicherheit durch Dunkelheit?
Habakuk
Dunkelheit ist an sich ein schlechter Sicherheitsmechanismus, kann jedoch im Rahmen einer umfassenderen Sicherheitsstrategie durchaus nützlich sein.
James Sneeringer