As mensagens de redirecionamento do ICMP são realmente ruins?

8

Devido ao potencial ataque MITM, as mensagens de redirecionamento ICMP devem ser bloqueadas. No entanto, o objetivo original da mensagem de redirecionamento ICMP é informar o host de um roteador (ou gateway) melhor.

Então, há um problema de velocidade com a desativação de mensagens de redirecionamento ICMP no host? Ou é insignificante?

baeharam
fonte
Em uma rede configurada corretamente, os redirecionamentos não acontecem e não são necessários. A aderência estrita às regras deixaria o pacote cair - nunca encaminhe um pacote pela interface em que foi recebido, mas ninguém o faz há décadas. Os redirecionamentos não podem ser confiáveis; portanto, a maioria dos hosts não os respeita; portanto, a maioria dos administradores configura seus roteadores sem incomodá-los.
Ricky feixe

Respostas:

8

ICMP redireciona são mais frequentemente visto quando você tem um host ou roteador Ana mesma sub-rede com dois outros roteadores B& Ce conectividade para ambos. Considere a seguinte rede:

   |__192.168.1.0/24__|
   | |                |
     |
     |   |___192.168.8.0/24__|
     |   | |                 |
     B     C
|____|_____|____|
|       |       |
        A

Aterá uma rota (provavelmente o padrão) apontando para Be Bterá uma rota mais específica para uma rota 192.168.8.0/24para C.

Sem redirecionamentos ICMP, todo o tráfego de Apara 192.168.8.0/24será roteadoA->B->C

Com o redirecionamento do ICMP ativado, Bvocê informará Aque Cé um próximo salto melhor e o tráfego subsequente será roteado A->C.

Obviamente B é um salto extra e, dependendo do tipo de caixa, pode introduzir latência extra.

Desabilitar o redirecionamento de ICMP e redesenhar a rede para evitar essa situação completamente seria a solução preferida, por exemplo:

   |__192.168.1.0/24__|
   | |                |
     |
     |   |___192.168.8.0/24__|
     |   | |                 |
     B-----C
|____|__________|
|       |       |
        A

(ou remova Ccompletamente e desligue 192.168.8.0/24 diretamente B).

Benjamin Dale
fonte
Então, o que você quer dizer é que a estrutura da rede é mais importante que o redirecionamento ICMP?
baeharam
ICMP redirecionamento indica que não é sub-óptima de roteamento configurado e tenta resolver este - IMO este é um problema de criação
Benjamin Dale
11
Na verdade, seu reprojeto apenas remove a possibilidade de usar um redirecionamento ICMP para otimizar a rota - tudo o que você recebe é uma inevitável rota A-> B-> C e vice-versa (!). Um redesign otimização deve remover C e conecte sua sub-rede / link para B.
Zac67
Sim - isso ocorreu quando eu estava realizando o redesenho:) Mas achei que remover C poderia ter mudado muito as coisas - às vezes, C pode ser um requisito inevitável (provedor / NTU de terceira parte para outra rede etc.)
Benjamin Dale
6

O redirecionamento ICMP é um remanescente de uma era de confiança - em parte porque as máquinas em rede tinham administradores e o BYOD era inimaginável.

Ignorar o redirecionamento no cliente significa que ele continuará sendo enviado pelo gateway menos eficiente. Isso levará ao trabalho desnecessário desse roteador e ao tráfego desnecessário em sua interface, reduzindo um pouco o desempenho de todos que usam esse gateway.

Também aumentará a latência para o cliente, pois cada pacote precisa dar um salto extra.

No entanto, no caso geral, em uma rede moderna, esses dois "custos" serão desprezíveis.

A maneira ideal de resolver o problema é adicionar uma rota no cliente para usar o gateway correto. O redirecionamento ICMP forneceu uma maneira de que isso acontecesse automaticamente, mas provavelmente não deveria ser confiável - mas eles continuam sendo uma pista de que existe uma rota melhor, e registrá-los permite que você considere fazer essa alteração, talvez após consultar os administradores da rede.

Redesenhar a rede é provavelmente a coisa errada a fazer.

JCRM
fonte
Absolutamente: Às vezes, a simplicidade da configuração é muito, muito, mais importante que a eficiência de pacotes. Vi redes em que todo o roteamento era estático, muitas rotas "subótimas", tráfego baixo, erros de configuração nunca. O administrador de rede feliz manteve rotas estáticas perfeitas no roteador central e foi isso. Sempre mantenha referência às prioridades da sua própria organização. Certamente não redesenhar uma rede a menos que haja um problema real
jonathanjo
"em uma rede moderna, esses" custos "serão desprezíveis" - sim, mas apenas enquanto houver ampla largura de banda de link (que você pode incluir em "moderno" ;-).
Zac67
Rotas estáticas nos hosts? estremecimento simples, sim, mas muito difícil de captura
Benjamin Dale