I messaggi di reindirizzamento ICMP sono davvero dannosi?

8

A causa del potenziale attacco MITM, i messaggi di reindirizzamento ICMP devono essere bloccati. Tuttavia, lo scopo originale del messaggio di reindirizzamento ICMP è informare l'host di un router (o gateway) migliore.

Quindi, c'è un problema di velocità con la disabilitazione dei messaggi di reindirizzamento ICMP sull'host? O è trascurabile?

icmp 
baeharam
fonte
In una rete correttamente configurata, i reindirizzamenti non avvengono e non sono necessari. La stretta osservanza delle regole vedrebbe cadere il pacchetto - mai inoltrare un pacchetto dall'interfaccia su cui è stato ricevuto, ma nessuno lo fa da decenni. I reindirizzamenti non possono essere attendibili, quindi la maggior parte degli host non li onora, quindi la maggior parte degli amministratori configura i propri router per non preoccuparsi di inviarli.
Ricky Beam,

Risposte:

8

ICMP ri-indirizza sono più spesso visto quando si dispone di un host o router Anella stessa sottorete con altri due router B& Ce connettività per entrambi. Considera la seguente rete:

   |__192.168.1.0/24__|
   | |                |
     |
     |   |___192.168.8.0/24__|
     |   | |                 |
     B     C
|____|_____|____|
|       |       |
        A

Aavrà un percorso (molto probabilmente un valore predefinito) che punta a Be Bavrà un percorso più specifico verso un 192.168.8.0/24puntamento a C.

Senza reindirizzamenti ICMP, tutto il traffico da Aa 192.168.8.0/24verrà instradatoA->B->C

Con ICMP re-direct abilitato, Binformerà Ache Cè un hop successivo migliore e che il traffico successivo verrà instradato A->C.

Ovviamente B è un salto in più e, a seconda del tipo di scatola, può introdurre ulteriore latenza.

Disabilitare i reindirizzamenti ICMP e riprogettare la rete per evitare completamente questa situazione sarebbe la soluzione preferita, ad esempio:

   |__192.168.1.0/24__|
   | |                |
     |
     |   |___192.168.8.0/24__|
     |   | |                 |
     B-----C
|____|__________|
|       |       |
        A

(o rimuovi Ccompletamente e appendi 192.168.8.0/24 direttamente B).

Benjamin Dale
fonte
Quindi, ciò che vuoi dire è che la struttura della rete è più importante del reindirizzamento ICMP?
Baeharam,
Il reindirizzamento ICMP indica che è stato configurato un routing non ottimale e cerca di risolverlo - IMO questo è un problema di progettazione
Benjamin Dale,
1
In realtà, la riprogettazione rimuove solo la possibilità di utilizzare un reindirizzamento ICMP per ottimizzare il percorso: tutto ciò che ottieni è un inevitabile percorso A-> B-> C e ritorno (!). Una riprogettazione ottimizzante dovrebbe rimuovere C e collegare la sua sottorete / collegamento a B.
Zac67
Sì, questo mi è successo quando stavo facendo la riprogettazione:) Ma ho pensato che la rimozione di C avrebbe potuto cambiare le cose troppo - a volte C potrebbe essere un requisito inevitabile (provider / NTU di terza parte su un'altra rete ecc.)
Benjamin Dale,
6

Il reindirizzamento ICMP è un residuo di un'era di fiducia, in parte perché le macchine in rete avevano amministratori e BYOD era inimmaginabile.

Ignorare il reindirizzamento sul client significa che continuerà a essere inviato attraverso il gateway meno efficiente. Ciò comporterà un lavoro non necessario da parte di quel router e un traffico non necessario sulla sua interfaccia, riducendo leggermente le prestazioni per tutti coloro che utilizzano quel gateway.

Aumenterà anche la latenza per il client, poiché ogni pacchetto deve fare un salto in più.

Tuttavia, nel caso generale, su una rete moderna entrambi questi "costi" saranno trascurabili.

Il modo ideale per risolvere il problema è aggiungere una route sul client per utilizzare il gateway corretto. Il reindirizzamento ICMP ha fornito un modo perché ciò avvenga automaticamente, ma probabilmente non dovrebbe essere attendibile, ma rimangono un indizio dell'esistenza di un percorso migliore e la loro registrazione consente di prendere in considerazione la possibilità di apportare tale modifica, forse dopo aver consultato gli amministratori di rete.

La riprogettazione della rete è probabilmente la cosa sbagliata da fare.

JCRM
fonte
Assolutamente: a volte la semplicità di configurazione è molto, molto, più importante dell'efficienza dei pacchetti. Ho visto reti in cui tutto il routing era statico, molte rotte "non ottimali", traffico basso, errori di configurazione mai. L'amministratore di rete felice ha mantenuto percorsi statici perfetti sul router centrale e basta. Fai sempre riferimento alle priorità della tua organizzazione. Certamente non riprogettare una rete a meno che non ci sia un problema reale
jonathanjo,
"su una rete moderna entrambi questi" costi "saranno trascurabili" - sì, ma solo fintanto che ci sarà ampia larghezza di banda del collegamento (che potresti includere in "moderno" ;-).
Zac67,
Percorsi statici su host? brivido semplice, sì, ma molto difficile da catturare
Benjamin Dale
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.