O ICMP IPv4 de interfaces não confiáveis ​​deve ser bloqueado?

23

Pesquisando ao redor, não consegui determinar a melhor prática para o ICMP em um firewall.

Por exemplo, em um Cisco ASA, seria seguro e recomendado permitir o ICMP de qualquer um se a inspeção do ICMP estiver ativada. Isso permitiria que coisas como o tipo 3 inacessíveis voltassem aos clientes.

Adão
fonte

Respostas:

30

Não, o ICMP não deve ser bloqueado. É um protocolo de sinalização vital. Internet não funciona sem ele.

O PMTUD está quebrado se você deixar cair o ICMP.

O IPv6 nem começa a funcionar sem o ICMP, pois a resolução de endereço de L3 a L2 (ARP no IPV4) está em cima do ICMP no IPv6.

Além disso, a solução de problemas levará mais tempo se os ecos do ICMP forem descartados. Infelizmente, muitas vezes, a linha de pensamento das pessoas do FW parece ser "quando estiver em dúvida, caia".

Você usa o FW porque sua rede interna possui serviços que não exigem hosts de autenticação ou não gerenciados que executam software vulnerável. O ICMP realmente não é um vetor de ataque prático.

ytti
fonte
1
Concordo que largar todo o ICMP na rede não é uma boa ideia. Apenas dizer que o ICMPv6 (proto 58) é diferente do ICMP (proto 1). A eliminação do ICMP no firewall não afeta a funcionalidade do IPv6, a menos que o ICMPv6 também seja explicitamente eliminado?
sdaffa23fdsf
Sim, o ICMPv6 é diferente. Depende do seu firewall, embora a opção "descartar todo o ICMP" inclua o ICMPv6. Geralmente, isso não acontece, as regras do ipv6 são separadas das regras do ipv4.
Você está recomendando que todo o ICMP seja permitido ou apenas tipos como inacessíveis, tempo excedido e traceroute para citar alguns?
generalnetworkerror
1
Pessoalmente, permito todos, não ouvi falar do vetor de ataque do ICMP (mas sou tendencioso, sou muito anti-FW). O conjunto mínimo que eu recomendo é: destino inacessível, tempo excedido, problema de parâmetro, eco, resposta de eco, carimbo de data e hora, resposta de carimbo de data / hora (ótimo para medir latência unidirecional com precisão de 1ms).
ytti