Por que bloquear o ICMP de saída?

Navegue suas respostas
7

Esta questão está ligeiramente relacionada com " Why Block Port 22 Outbound? ". Não vejo como isso pode ser um risco de segurança notável.

    
por Gerald Kaszuba 19.08.2009 / 04:13

6 respostas

5

Bloqueio de saída ICMP e ALL outras conexões do seu ambiente é um bom começo para criar sua política de firewall / segurança.

Mas há muitas coisas que você deve saber de antemão e levar em conta. Um bom exemplo é quando o bloqueio de todos os pacotes ICMP, enquanto outros protocolos como o tcp port 80 (http), pode levar a problemas com o MTU / PMTU. Se você tiver uma conexão de rede que use um encapsulamento como pppoe , GRE , ou um dos muitos outros que você VAI encontrar em um grande número de problemas difíceis de identificar MTU.

Boa área para começar a ler é:

por 19.08.2009 / 06:15
7

A segurança é frequentemente pensada em um contexto de "lista negra de tudo, de lista de permissões, o que é necessário", depois de um nível mínimo de limitação de conexões de saída até que alguém se queixe. Embora seja fácil perguntar "por que bloquear" ... um especialista em segurança perguntará "por que você precisa" ... É por isso que uma rede corporativa é muito restritiva (primeira lista negra) em comparação a uma rede doméstica padrão (lista branca de tudo). / p>

Uma máquina em sua rede em execução em uma botnet que fornece largura de banda para a saturação ICMP PING de um host é um cenário realista.

    
por 19.08.2009 / 04:36
3

Esses ataques do icmp dos foram úteis 10 anos atrás. Ninguém vai usá-los agora e isso é uma coisa estúpida para filtrar todos os pacotes icmp. Livros que sugerem bloquear todos os pacotes icmp são 1) escrito por pessoas estúpidas ou 2) escrito por pessoas para tornar sua rede difícil para diagnósticos e fazer você ligar para uma empresa que irá consertá-lo para você:)

mesmo as mensagens de redirecionamento icmp não são prejudiciais se você tiver apenas rotas estáticas ...

então, por favor, não aconselhe pessoas a desabilitar o principal protocolo de diagnóstico da internet

    
por 20.09.2012 / 15:11
2

Acho que isso não é grande coisa, mas isso pode ser considerado como uma prática usada na "política de negação padrão" usada na administração de sistemas. O motivo para bloquear o ICMP seria evitar ataques DOS do ICMP contra outro host. (Ser ético)

Ataques ICMP

Cisco vulnerável ao DoS do ICMP

    
por 19.08.2009 / 05:34
1

É possível, por exemplo, que um software malicioso em um sistema comprometido envie mensagens "de volta para casa" por meio de falsas respostas de eco. Isso poderia dar ao sistema de escuta remota um pouco de informação que você não quer necessariamente ter, uma pequena parte de cada vez. Qualquer coisa que o malware tenha acesso pode sair do assunto.

    
por 19.08.2009 / 04:25
1

Outro motivo para bloquear o ICMP de saída é (tentar) remover os scanners de porta. Muitos firewalls descartam silenciosamente pacotes de entrada negados pela política de segurança (geralmente uma ACL). No entanto, se um pacote for permitido e o aplicativo de destino não estiver em execução, a maioria dos servidores retornará um pacote ICMP Inacessível de algum tipo. Essa diferença no comportamento de uma porta indisponível pode fornecer ao invasor informações valiosas sobre sua rede.

    
por 19.08.2009 / 06:21

Tags

Monitoramento do desempenho do servidor Linux Como acelerar adicionando coluna à tabela grande no Sql Server