Quali sono i motivi per non consentire ICMP sul mio server?


11

Un'istanza EC2 ha i servizi ICMP disabilitati per impostazione predefinita. Anche se non è del tutto chiaro per me perché, penso che sia perché potrebbe essere un potenziale rischio per la sicurezza. Al momento sto abilitando Echo Responses solo quando riavvio il server in modo da poter vedere se è attivo e funzionante, ma una volta online è stato disabilitato di nuovo. È necessario? Quali sono i motivi per disabilitare l'ICMP in generale?

Risposte:


18

ICMP è costituito da una vasta raccolta di comandi. Non consentire tutto ciò interromperà la tua rete in modi strani.

ICMP consente il funzionamento di "traceroute" e "ping" (richiesta di eco ICMP). Quindi quella parte è abbastanza utile per la normale diagnostica. Viene anche utilizzato per il feedback quando si esegue un server DNS (porta non raggiungibile) che, in un moderno server DNS, può effettivamente aiutare a selezionare un altro computer per eseguire query più velocemente.

ICMP viene utilizzato per il rilevamento del percorso MTU. È probabile che il tuo sistema operativo imposta "DF" (non frammentare) sui pacchetti TCP che invia. Si aspetta di ottenere un pacchetto ICMP "frammentazione richiesta" se qualcosa lungo il percorso non riesce a gestire quella dimensione del pacchetto. Se blocchi tutto l' ICMP, la tua macchina dovrà usare altri meccanismi di fallback, che fondamentalmente usano un timeout per rilevare un "buco nero" PMTU e non ottimizzeranno mai correttamente.

Probabilmente ci sono alcuni buoni motivi per abilitare la maggior parte dell'ICMP.

Ora come domanda perché disabilitare:

I motivi per disabilitare parte dell'ICMP sono:

  • Protezione da worm di vecchio stile che utilizzavano la richiesta di eco ICMP (aka ping) per vedere se un host era vivo prima di provare ad attaccarlo. In questi giorni, un moderno worm lo prova comunque, rendendolo non più efficace.
  • Nascondere la tua infrastruttura. Se vuoi farlo, ti preghiamo di bloccarlo ai margini della tua rete. Non su ogni singolo computer. Ciò causerà semplicemente la tua frustrazione al tuo amministratore di estrarre tutti i capelli dalla testa quando qualcosa va storto e tutti i normali strumenti di analisi falliscono. (In questo caso: Amazon potrebbe bloccarlo ai margini del cloud).
  • Attacchi denial of service basati su ICMP. Gestirli come gli altri attacchi DOS: limite di velocità.
  • L'unico valido: se ti trovi su una rete non sicura, potresti voler bloccare o disabilitare il comando del router è cambiato. Obfix: usa i tuoi server su una rete sicura.

Si noti che esistono manuali di "server hardening" che consigliano di bloccare ICMP. Sono sbagliati (o almeno non abbastanza dettagliati). Rientrano nella stessa categoria della "sicurezza" wireless tramite filtro MAC o nascondendo l'SSID.


1

I blocchi ICMP vengono eseguiti per un paio di motivi, ma principalmente per nascondere informazioni alle sonde che tentano di identificare e profilare la rete. Esistono anche diversi tipi di attacchi ai router e ai sistemi terminali accessibili al pubblico che utilizzano il traffico ICMP come parte dell'exploit.

nel tuo caso, puoi probabilmente consentire le risposte dell'eco, sebbene ciò ti faccia notare da più sonde. attacchi come DDOS basati su ping e attacchi di puffi sono ampiamente mitigati in questi giorni.

http://en.wikipedia.org/wiki/Denial-of-service_attack#ICMP_flood


0

Suggerirei di prevenire l'inondazione di richieste ICMP usando iptablesinvece di bloccarlo permanentemente:

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/minute --limit-burst 100 -j ACCEPT

-1

Il più grande rischio di ICMP su un server con connessione a Internet è l'aumento della superficie per l'attacco Denial of Service (DoS).

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.