Diese Frage hat etwas mit " Warum Port 22 Outbound blockieren? " Zu tun . Ich sehe nicht ein, wie dies ein bemerkenswertes Sicherheitsrisiko sein kann.
Durch das Blockieren des ausgehenden ICMP wird die Trace-Route usw. blockiert, sodass die Netzwerkdiagnose behindert wird.
Richard
Antworten:
6
Das Blockieren von ausgehendem ICMP und ALLEN anderen Verbindungen aus Ihrer Umgebung ist ein guter Anfang für die Erstellung Ihrer Firewall- / Sicherheitsrichtlinie.
Aber es gibt viele Dinge, die Sie vorher wissen und berücksichtigen sollten. Ein gutes Beispiel ist das Blockieren aller ICMP-Pakete, während das Zulassen einiger anderer Protokolle wie TCP-Port 80 (http) zu Problemen mit MTU / PMTU führen kann. Wenn Sie eine Netzwerkverbindung verfügen , die eine Verkapselung wie verwendet pppoe , GRE , oder eine der vielen anderen , die Sie WILL in eine große Anzahl von Fest laufen MTU Probleme zu identifizieren.
Ein guter Bereich, um mit dem Lesen zu beginnen, ist:
Dies ignoriert die Beantwortung der eigentlichen Frage ("Warum?"), Indem einfach angegeben wird, dass dies "ein guter Anfang" ist. Darüber hinaus ist verknüpftes "IMCP steht für Ärger" 404-ing, das nützt also nichts.
Eisenam
7
Sicherheit wird häufig in einem Kontext "Alles auf die schwarze Liste setzen, Whitelist, was benötigt wird" betrachtet, achtern bis zu einer Ebene, in der ausgehende Verbindungen begrenzt werden, bis sich jemand beschwert. Während es einfach ist zu fragen, warum blockiert wird, wird ein Sicherheitsexperte fragen, warum Sie brauchen. Aus diesem Grund ist ein Unternehmensnetzwerk sehr restriktiv (schwarze Liste zuerst) im Vergleich zu einem Standard-Heimnetzwerk (Whitelist alles ausgehend).
Ein Computer in Ihrem Netzwerk, der in einem Botnetz ausgeführt wird und Bandbreite für die ICMP-PING-Sättigung eines Hosts bereitstellt, ist ein realistisches Szenario.
Diese icmp dos-Angriffe waren vor 10 Jahren nützlich. Niemand wird sie jetzt verwenden und das ist eine dumme Sache, um alle icmp-Pakete zu filtern. Bücher, die vorschlagen, alle icmp-Pakete zu blockieren, sind 1) von dummen Leuten geschrieben oder 2) von Leuten geschrieben, um Ihr Netzwerk für die Diagnose zu erschweren und Sie dazu zu bringen, eine Firma anzurufen, die es für Sie repariert :)
Selbst ICMP-Weiterleitungsnachrichten sind nicht schädlich, wenn Sie nur statische Routen haben ...
Bitte raten Sie daher nicht, das Hauptdiagnoseprotokoll des Internets zu deaktivieren
Ich denke, dies ist keine große Sache, aber dies kann als eine Praxis angesehen werden, die in der "Standardverweigerungsrichtlinie" verwendet wird, die in der Systemadministration verwendet wird. Der Grund für das Blockieren von ICMP wäre die Vermeidung von ICMP-DOS-Angriffen gegen einen anderen Host. (Um ethisch zu sein)
+1 ICMP-DOS-Angriffe waren vor nicht allzu langer Zeit eine große Sache.
Doug Luxem
2
-1: ICMP hier herauszuheben ist nicht die richtige Methode. TCP / UDP / ICMP und alle anderen IP-Protokolle ( iana.org/assignments/protocol-numbers ) können verwendet werden, um DoS-Angriffe unter den richtigen Bedingungen zu erstellen. Was wirklich benötigt wird, ist die korrekte Filterung akzeptabler Pakete für die Umgebung.
Jeremy Rossi
+1, um unangemessen -1 auszugleichen.
SirStan
2
Wie ethisch ist es, eines der wichtigsten Diagnoseprotokolle des Internets zu ignorieren? ICMP ist nicht das einzige Internetprotokoll, das über DOS und andere Angriffe missbraucht wird (Hinweis: alle sind es). Die Antwort von google.com öffnet sogar eingehende ICMP aus einem Grund: um ein Kernprotokoll zu unterstützen und Diagnosen zu ermöglichen.
Eisenam
1
Es ist beispielsweise möglich, dass eine böswillige Software auf einem kompromittierten System Nachrichten über gefälschte Echoantworten "nach Hause" sendet. Dies könnte dem Remote-Listening-System eine ganze Reihe von Informationen geben, die Sie nicht unbedingt haben möchten, Stück für Stück. Alles, worauf die Malware Zugriff hat, kann direkt aus der Pipe gehen.
In diesem Fall muss man sich darauf konzentrieren, die Malware zu entfernen und nicht auf die Daten, die sie sendet.
Richard
1
In diesem Fall muss man sich AUCH auf das Entfernen der Malware konzentrieren ...
Squillman
1
Ein weiterer Grund, ausgehende ICMP zu blockieren, besteht darin, Port-Scanner zu folieren (zu versuchen). Viele Firewalls verwerfen eingehende Pakete, die von Sicherheitsrichtlinien (normalerweise eine ACL) abgelehnt wurden, stillschweigend. Wenn jedoch ein Paket zugelassen wird und die Zielanwendung selbst nicht ausgeführt wird, geben die meisten Server ein nicht erreichbares ICMP-Paket eines bestimmten Typs zurück. Dieser Unterschied im Verhalten eines nicht verfügbaren Ports kann einem Angreifer wertvolle Einblicke in Ihr Netzwerk geben.
Antworten:
Das Blockieren von ausgehendem ICMP und ALLEN anderen Verbindungen aus Ihrer Umgebung ist ein guter Anfang für die Erstellung Ihrer Firewall- / Sicherheitsrichtlinie.
Aber es gibt viele Dinge, die Sie vorher wissen und berücksichtigen sollten. Ein gutes Beispiel ist das Blockieren aller ICMP-Pakete, während das Zulassen einiger anderer Protokolle wie TCP-Port 80 (http) zu Problemen mit MTU / PMTU führen kann. Wenn Sie eine Netzwerkverbindung verfügen , die eine Verkapselung wie verwendet pppoe , GRE , oder eine der vielen anderen , die Sie WILL in eine große Anzahl von Fest laufen MTU Probleme zu identifizieren.
Ein guter Bereich, um mit dem Lesen zu beginnen, ist:
quelle
Sicherheit wird häufig in einem Kontext "Alles auf die schwarze Liste setzen, Whitelist, was benötigt wird" betrachtet, achtern bis zu einer Ebene, in der ausgehende Verbindungen begrenzt werden, bis sich jemand beschwert. Während es einfach ist zu fragen, warum blockiert wird, wird ein Sicherheitsexperte fragen, warum Sie brauchen. Aus diesem Grund ist ein Unternehmensnetzwerk sehr restriktiv (schwarze Liste zuerst) im Vergleich zu einem Standard-Heimnetzwerk (Whitelist alles ausgehend).
Ein Computer in Ihrem Netzwerk, der in einem Botnetz ausgeführt wird und Bandbreite für die ICMP-PING-Sättigung eines Hosts bereitstellt, ist ein realistisches Szenario.
quelle
Diese icmp dos-Angriffe waren vor 10 Jahren nützlich. Niemand wird sie jetzt verwenden und das ist eine dumme Sache, um alle icmp-Pakete zu filtern. Bücher, die vorschlagen, alle icmp-Pakete zu blockieren, sind 1) von dummen Leuten geschrieben oder 2) von Leuten geschrieben, um Ihr Netzwerk für die Diagnose zu erschweren und Sie dazu zu bringen, eine Firma anzurufen, die es für Sie repariert :)
Selbst ICMP-Weiterleitungsnachrichten sind nicht schädlich, wenn Sie nur statische Routen haben ...
Bitte raten Sie daher nicht, das Hauptdiagnoseprotokoll des Internets zu deaktivieren
quelle
Ich denke, dies ist keine große Sache, aber dies kann als eine Praxis angesehen werden, die in der "Standardverweigerungsrichtlinie" verwendet wird, die in der Systemadministration verwendet wird. Der Grund für das Blockieren von ICMP wäre die Vermeidung von ICMP-DOS-Angriffen gegen einen anderen Host. (Um ethisch zu sein)
ICMP-Angriffe
Cisco ist anfällig für ICMP DoS
quelle
Es ist beispielsweise möglich, dass eine böswillige Software auf einem kompromittierten System Nachrichten über gefälschte Echoantworten "nach Hause" sendet. Dies könnte dem Remote-Listening-System eine ganze Reihe von Informationen geben, die Sie nicht unbedingt haben möchten, Stück für Stück. Alles, worauf die Malware Zugriff hat, kann direkt aus der Pipe gehen.
quelle
Ein weiterer Grund, ausgehende ICMP zu blockieren, besteht darin, Port-Scanner zu folieren (zu versuchen). Viele Firewalls verwerfen eingehende Pakete, die von Sicherheitsrichtlinien (normalerweise eine ACL) abgelehnt wurden, stillschweigend. Wenn jedoch ein Paket zugelassen wird und die Zielanwendung selbst nicht ausgeführt wird, geben die meisten Server ein nicht erreichbares ICMP-Paket eines bestimmten Typs zurück. Dieser Unterschied im Verhalten eines nicht verfügbaren Ports kann einem Angreifer wertvolle Einblicke in Ihr Netzwerk geben.
quelle