IPv6 - Permitir solicitações de eco ICMP de entrada

2

Então, recentemente recebemos nosso prefixo / 48 de nosso LIR e começamos a implantá-lo em pequena escala em um laboratório.

O que me pareceu estranho é que sites como o link insistem que você permita solicitações de eco ICMP de entrada. Eu entendo porque você deve permitir a saída do ICMPv6, mas chegando? Mesmo que seja apenas um ping?

Então, minha pergunta é: Além de possíveis ataques DDoS utilizando o ICMP, há alguma desvantagem em permitir solicitações de eco ICMP de entrada?

Eu li o RFC4890 ( link ) mas não consegui encontrar uma resposta definitiva lá.

A.5. ICMPv6 Echo Request and Echo Response

sugere que

It is not thought that there is a significant risk from scanning attacks on a well-designed IPv6 network (see Section 3.2), and so connectivity checks should be allowed by default.

Este ponto ainda é válido, dado que o RFC tem quase 10 anos de idade? Além disso, o RFC não diferencia entre as direções de saída e de entrada.

Sempre achei que a recomendação da v4 era bloquear o ICMP no gateway, mas, novamente, a v6 depende muito do ICMP.

Então, alguma sugestão?

    
por lightxx 14.06.2016 / 11:16

1 resposta

4

Este primeiro bit não é uma resposta direta à sua pergunta. Eu apenas incluo aqui para outras pessoas que não percebem a importância do ICMPv6.

O IPv6 precisa realmente de certos tipos de mensagens ICMP para passar. Os mais importantes são Packet-Too-Big e Parameter-Problem. Se você bloqueá-los, receberá problemas de conectividade.

Além disso, o equivalente IPv6 do ARP é neighbor-discovery, que também usa pacotes ICMP. A configuração automática sem estado faz parte da descoberta do vizinho, portanto, também precisa de ICMP.

No IPv4, há um mal-entendido de que todo o ICMP de entrada deve ser bloqueado, e você pode se safar disso. Com o IPv6, você realmente precisa permitir pelo menos um pouco de ICMP. Dê uma olhada no link , ele contém alguns conselhos realmente bons sobre como filtrar o ICMP sem quebrar o protocolo.

A resposta para sua pergunta O bloqueio de solicitações de eco ICMP de entrada é bom. Eu pessoalmente não faço isso porque permitir que eles tornem a depuração muito mais fácil, mas se você não quiser permitir que eles entrem você não precisa fazê-lo. O principal risco que você corre, se você permitir, é que alguém encontre um endereço estável (não temporário / de privacidade) por exemplo. seu laptop, então eles podem continuar pingando para ver quando ele está ligado. Isso pode ser considerado um risco de privacidade. Eles terão que encontrar um endereço assim antes, porque para conexões de saída ele usará seus endereços de privacidade temporários.

    
por 14.06.2016 / 15:06