Quais são as razões para não permitir o ICMP no meu servidor?

9

Uma Instância do EC2 tem serviços ICMP desabilitados por padrão. Embora não esteja totalmente claro para mim por que, acho que é porque poderia ser um risco de segurança em potencial. No momento, estou ativando o Echo Responses apenas quando estou reiniciando o servidor para que eu possa ver se ele está ativo e funcionando, mas, quando ele ficou on-line, estou desabilitando-o novamente. Isso é necessário? Quais são os motivos para desativar o ICMP em geral?

3k-
fonte

Respostas:

17

ICMP consiste em uma grande coleção de comandos. Não permitindo todos Destes, irá quebrar a sua rede de formas estranhas.

O ICMP permite que coisas como "traceroute" e "ping" (solicitação de eco ICMP) funcionem. Assim, essa parte é bastante útil para diagnósticos normais. Ele também é usado para feedback quando você executa um servidor DNS (porta inacessível) que, em um servidor DNS moderno, pode realmente ajudar a selecionar uma máquina diferente para consulta mais rápida.

O ICMP é usado para a descoberta do caminho MTU. As chances são de seus conjuntos de SO "DF" (não fragmentar) nos pacotes TCP que ele envia. Ele espera obter um pacote ICMP "fragmentation required" de volta se algo ao longo do caminho falhar em lidar com esse tamanho de pacote. Se você bloquear todos ICMP, sua máquina terá que usar outros mecanismos de fallback, que basicamente usam um timeout para detectar um "buraco negro" de PMTU e nunca otimizarão corretamente.

Provavelmente há mais alguns bons motivos para habilitar a maioria do ICMP.

Agora, como sua pergunta por que desativar:

Razões para desativar parte do ICMP são:

  • Proteção contra worms antigos que usavam o pedido de eco ICMP (também conhecido como ping) para ver se um host estava vivo antes de tentar atacá-lo. Hoje em dia, um worm moderno tenta de qualquer maneira, fazendo com que isso não seja mais eficaz.
  • Escondendo sua infraestrutura. Se você quiser fazer isso, por favor, bloqueie-o na borda da sua rede. Não em todos os computadores. Isso fará com que seu administrador puxe todo o cabelo de sua cabeça em frustração quando algo der errado e todas as ferramentas de análise normais falharem. (Neste caso: Amazon poderia bloqueá-lo na borda da nuvem).
  • Ataques de negação de serviço com base no ICMP. Lidar com isso da mesma forma que outros ataques do DOS: limite de taxa.
  • O único válido: Se você estiver em uma rede insegura, talvez queira bloquear ou desativar o comando de mudança do roteador. Obfix: use seus servidores em uma rede segura.

Observe que há manuais de proteção do servidor que recomendam bloquear o ICMP. Eles estão errados (ou pelo menos não detalhado o suficiente). Eles se enquadram na mesma categoria da 'segurança' sem fio via filtragem MAC ou ocultando o SSID.

Hennes
fonte
As outras respostas são boas, mas isso é mais extenso! Obrigado!
3k-
1

Blocos ICMP são feitos por alguns motivos, mas principalmente para ocultar informações de investigações que tentam identificar e fazer o perfil da sua rede. Existem também vários tipos de ataques a roteadores e sistemas finais de acesso público que usam o tráfego ICMP como parte da exploração.

no seu caso, você provavelmente pode permitir respostas de eco, embora isso faça com que você seja notado por mais sondagens. ataques como DDOS baseados em ping e ataques smurf são amplamente mitigados atualmente.

http://en.wikipedia.org/wiki/Denial-of-service_attack#ICMP_flood

Frank Thomas
fonte
0

O maior risco de ICMP em um servidor com acesso à Internet é o aumento da área de superfície para o ataque Denial of Service (DoS).

Deepak Kumar Vasudevan
fonte
0

Eu sugeriria impedir a inundação de solicitações ICMP usando iptables em vez de bloqueá-lo permanentemente:

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/minute --limit-burst 100 -j ACCEPT
linmod77x
fonte