iptables | ICMPのタイプ:(潜在的に)有害なものはどれですか?

8

特定のタイプのICMPパケットは有害である可能性があることを読みました。質問:

  • どれがなぜですか?
  • 各タイプのICMPパケットを処理するには、iptablesルールセットをどのようにレイアウトすればよいですか?
  • これらのタイプのICMPパケットをレート制限する必要がありますか?そしてどうやって?

[¹]私が読んだタイプ:リダイレクト(5)、タイムスタンプ(13)、アドレスマスクリクエスト(17)。あなたの答えでこれらだけを考えないでください。

詳細
これは、Ubuntu Serverを備えたVPS上のWebサーバーです。


私がシステムをより安全にし、いくつかのD / DoS攻撃と一般的な乱用のリスクを軽減しようとしている目標

関連
Linuxファイアウォールは安全ですか?
ICMPをブロックしないのはなぜですか?

linux  networking  security  iptables  icmp 
ML--
ソース

回答:

10

「ICMP IS EVIL」のマントラの犠牲になったようです。
ICMPはありませ悪、単に誤解します。悲しい現実は、多くの管理者が理解できないことを恐れているため、ICMPをネットワークユニバースからキャストし、それをエッジファイアウォールレベルで排除し、ネットワークの利益のために適切で適切な場所に配置できないようにしていることです。

そうは言っても、あなたの質問に答えさせてください:

有害なICMPメッセージの種類とその理由を教えてください。
それらのほとんどすべて。

  • Echoパケットを使用してサービスを中断できます(特に、IPスタックが適切に実装されていないシステムの場合)。彼らはあなたのネットワークについての情報を提供することができます。

  • Destination Unreachable悪意を持って注入される可能性があります。*ファイアウォール/ルーティング構造、またはネットワーク上の特定のマシンに関する情報を提供することができます。

  • Source Quench 悪意を持って送信され、サーバーが効果的に隅に座って親指を吸い込む可能性があります。

  • redirect 名前が示すように使用できます。

  • router advertisementrouter solicitationホストが実際に注意を払っている場合は、リクエストを使用して「興味深い」トラフィックトポロジを作成(およびMITM攻撃を促進)できます。

  • tracerouteされて設計されたネットワークにトポロジー情報を提供します。

…等...

さまざまなICMPメッセージ名前は、それらが実行できることをかなり詳しく説明しています。悪夢のようなシナリオを夢見て、先天性パラノイアを行使してください:-)

各タイプのICMPパケットを処理するには、iptablesルールセットをどのようにレイアウトすればよいですか?
ICMPトラフィックを混乱させる正当な理由がない場合はそれをそのままにしておきます
ICMPトラフィックをいじくり回すと、ICMPメッセージの適切な使用(トラフィック管理とトラブルシューティング)が妨げられます-役立つよりも苛立たしいでしょう。

これらのタイプのICMPパケットをレート制限する必要がありますか?そしてどうやって?
これは、「そのままにする」という哲学に対する唯一の正当な例外である可能性があります。レートまたは帯域幅を制限するICMPメッセージは、ICMPメッセージの不正な使用を回避するのに役立ちます。FreeBSDにはデフォルトでICMP帯域幅/レート制限が付属しており、Linuxにも同様の機能があると思います。

レート/帯域幅の制限は、ICMPトラフィックをドロップする包括的なファイアウォールルールよりもはるかに望ましいです。それでも、ICMPがネットワークでその目的を果たすことができ、サーバーの悪用の試みも部分的に軽減されます。

上記は、1つのシステム管理者の意見を表しています。彼の側では、すべてのICMPトラフィック取り除かれるトラブルシューティングネットワークを持っているというフリーキンの疲れを感じています。:-)

voretaq7
ソース
しかし..しかし.. Ping of Deathは恐れられ、不合理なレベルに! (最初の段落の後に誰がこの回答を書いたかを私が知ることができるのは悪いことですか?)
シェーン・マッデン
実際、ICMPは便利です。私が「ICMPは悪である」の犠牲者だった場合、私はむしろすべてをブロックし、この質問を開かないようにします:)私が欲しいのは、情報に基づいた決定をするための助けです。あなたは私がそれらすべてをブロックするつもりはないことを確信することができます:)
ML--
@Shane Madden:--state INVALIDPing of Deathをドロップしますか?
ML-- 2011
7
@ ML-- Ping of Deathについて心配しないでください。この千年紀のOSは脆弱ではありません。
シェーンマッデン
2
@ ML--私が心配する1つのベクトルはSource Quenchであり、それを比較的無罪でブロックすることができます(TCPは最終的にそれ自体を理解します)。PingとTracerouteは間違いなく情報漏えいですが、実際にはそれが環境に本当のセキュリティを過度に追加するとは思いません。走行距離(および必要なパラノイアのレベル)は、(データ/環境の感度に応じて)異なる場合があります。
voretaq7
4

タイプについては、可能な攻撃ベクトルほどではありません。何年もの間、多くの一般的なインターネットホストのTCP / IPスタックICMPソースクエンチパケットを使用するかなり効果的なDoS攻撃ベクトルがありました。ネットワークセキュリティのすべてのものと同様に、特定のプロトコルまたはサービスの利点を、個人の優先順位に基づいて、起こり得る攻撃面と比較検討します。ICMPを介した攻撃ベクトルの影響を受けやすいホストがネットワークにある場合、それらを修正することはできず、特定の機能は必要ないので、フィルタリングを検討する必要があります。

管理対象のv4ネットワークでは、ICMPタイプ0、8(エコー要求/応答)、11(TTL期限切れ)、3(宛先到達不能)および12(IPヘッダーエラー)を許可し、すべてをドロップすることが安全かつ便利であることがわかりました残り。

the-wabbit
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.