L'ICMP IPv4 da interfacce non attendibili dovrebbe essere bloccato?

23

Cercando in giro non sono stato in grado di determinare le migliori pratiche per ICMP su un firewall.

Ad esempio, su un ASA Cisco sarebbe sicuro e consigliato consentire a ICMP di abilitare qualsiasi ispezione ICMP. Ciò consentirebbe quindi a cose come il tipo 3 non raggiungibili di tornare ai client.

ipv4  firewall 
Adamo
fonte

Risposte:

30

No, ICMP non dovrebbe essere bloccato. È un protocollo di segnalazione vitale. Internet non funziona senza di essa.

PMTUD si interrompe se si rilascia ICMP.

IPv6 non inizia nemmeno a funzionare senza ICMP, poiché la risoluzione degli indirizzi da L3 a L2 (ARP in IPV4) si colloca al di sopra di ICMP in IPv6.

Inoltre, la risoluzione dei problemi richiederà più tempo se vengono eliminati gli echo ICMP. Purtroppo spesso la gente del treno di pensiero sembra essere "in caso di dubbio, cadere".

Si utilizza FW perché la rete interna ha servizi che non richiedono host di autenticazione o non gestiti che eseguono software vulnerabile. L'ICMP non è davvero un vettore di attacco pratico.

ytti
fonte
1
Sono d'accordo che abbandonare tutto l'ICMP sulla rete non sia una buona idea. Il solo dire ICMPv6 (proto 58) è diverso da ICMP (proto 1). Il rilascio di ICMP sul firewall non influisce sulla funzionalità IPv6, a meno che anche ICMPv6 non venga esplicitamente eliminato?
sdaffa23fdsf,
Sì, ICMPv6 è diverso. Dipenderà dal tuo firewall anche se "drop all ICMP" include ICMPv6. Di solito, le regole di ipv6 sono separate da quelle di ipv4.
Stai raccomandando che tutto l' ICMP sia autorizzato attraverso o solo tipi come irraggiungibili, superati nel tempo e traceroute per citarne alcuni?
generalnetworkerror
1
Personalmente li permetto tutti, non ho sentito parlare del vettore di attacco ICMP (ma sono di parte, sono molto anti-FW). Il set minimo che consiglierei è: destinazione non raggiungibile, tempo superato, problema con i parametri, eco, eco-risposta, timestamp, timestamp-reply (ottimo per misurare la latenza unidirezionale con precisione di 1ms).
ytti,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.