信頼できないインターフェイスからのIPv4 ICMPをブロックする必要がありますか?

23

周りを検索しても、ファイアウォールでのICMPのベストプラクティスを特定できませんでした。

たとえば、Cisco ASAでは、ICMPインスペクションが有効になっている場合、すべてのICMPを許可することが安全であり、推奨されます。これにより、タイプ3の到達不能のようなものがクライアントに戻されるようになります。

ipv4  firewall 
アダム
ソース

回答:

30

いいえ、ICMPをブロックしないでください。これは重要なシグナリングプロトコルです。インターネットはそれなしでは機能しません。

ICMPをドロップすると、PMTUDは壊れます。

L3からL2へのアドレス解決(IPV4のARP)はIPv6のICMPの上に乗っているため、IPv6はICMPなしでも機能し始めません。

また、ICMPエコーがドロップされると、トラブルシューティングに時間がかかります。悲しいかな、FWの人々の一連の思考は、「疑わしいときは落とす」ように見えます。

FWを使用するのは、内部ネットワークに認証を必要としないサービスまたは脆弱なソフトウェアを実行する管理されていないホストがあるためです。ICMPは実際には実用的な攻撃ベクトルではありません。

イッティ
ソース
1
ネットワーク上のすべてのICMPをドロップすることはお勧めできません。ICMPv6(proto 58)と言うのは、ICMP(proto 1)とは異なります。ICMPv6が明示的にドロップされない限り、ファイアウォールでICMPをドロップしてもIPv6機能に影響はありませんか?
sdaffa23fdsf
はい、ICMPv6は異なります。「drop all ICMP」にICMPv6が含まれるかどうかは、ファイアウォールに依存します。通常、そうではなく、ipv6ルールはipv4ルールとは別です。
すべての ICMPを許可するか、到達不能、時間超過、トレースルートなどのタイプだけを許可することをお勧めしますか?
generalnetworkerror
1
私は個人的にそれらすべてを許可し、ICMP攻撃ベクトルについて聞いたことがありません(しかし、私は偏見があり、非常に反FWです)。推奨される最小セットは次のとおりです。宛先到達不能、超過時間、パラメーターの問題、エコー、エコー応答、タイムスタンプ、タイムスタンプ応答(1ミリ秒の精度で単方向レイテンシを測定するのに最適)。
ytti
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.