Каковы причины запретить ICMP на моем сервере?


11

В экземпляре EC2 по умолчанию отключены службы ICMP. Хотя мне не совсем понятно, почему, я думаю, это потому, что это может быть потенциальной угрозой безопасности. В данный момент я включаю Echo Response только тогда, когда перезагружаю сервер, чтобы видеть, работает ли он, но как только он подключился, я снова отключаю его. Это необходимо? Какие причины отключить ICMP вообще?

Ответы:


18

ICMP состоит из большой коллекции команд. Запрет на все это может привести к поломке вашей сети странным образом.

ICMP позволяет работать таким вещам, как «traceroute» и «ping» (эхо-запрос ICMP). Таким образом, эта часть весьма полезна для нормальной диагностики. Он также используется для обратной связи при запуске DNS-сервера (порт недоступен), который на современном DNS-сервере может фактически помочь выбрать другой компьютер для более быстрого запроса.

ICMP используется для обнаружения MTU пути. Скорее всего, ваша ОС устанавливает "DF" (не фрагментирует) на отправляемых TCP-пакетах. Ожидается, что ICMP-пакет «требуется фрагментация» вернется обратно, если что-то на пути не сможет обработать пакет такого размера. Если вы заблокируете все ICMP, ваша машина должна будет использовать другие резервные механизмы, которые в основном используют тайм-аут для обнаружения «черной дыры» PMTU и никогда не будут правильно оптимизированы.

Вероятно, есть еще несколько веских причин для включения большей части ICMP.

Теперь, как ваш вопрос, почему отключить:

Причины отключения части ICMP:

  • Защита от червей старого стиля, которые использовали эхо-запрос ICMP (он же ping), чтобы увидеть, был ли хост жив, прежде чем пытаться атаковать его. В наши дни современный червь все равно пробует его, делая его уже неэффективным.
  • Сокрытие вашей инфраструктуры. Если вы хотите сделать это, пожалуйста, заблокируйте его на границе вашей сети. Не на каждом компьютере. Это приведет к тому, что ваш администратор в отчаянии выдернет все волосы со своей головы, когда что-то пойдет не так, и все обычные инструменты анализа выйдут из строя. (В этом случае: Amazon может заблокировать его на краю облака).
  • Атаки отказа в обслуживании на основе ICMP. Относитесь к ним так же, как к другим атакам DOS: ограничение скорости.
  • Единственное действительное: если вы находитесь в небезопасной сети, вы можете заблокировать или отключить команду изменил маршрутизатор. Обфикс: используйте свои серверы в безопасной сети.

Обратите внимание, что существуют руководства по усилению защиты серверов, которые советуют блокировать ICMP. Они не правы (или, по крайней мере, недостаточно подробны). Они попадают в ту же категорию, что и беспроводная «безопасность» через фильтрацию MAC или скрытие SSID.


1

Блоки ICMP выполняются по нескольким причинам, но в основном для того, чтобы скрыть информацию от зондов, пытающихся идентифицировать и профилировать вашу сеть. Существует также несколько типов атак на маршрутизаторы и общедоступные конечные системы, которые используют ICMP-трафик как часть эксплойта.

в вашем случае вы, вероятно, можете разрешить эхо-ответы, хотя это заставит вас заметить больше зондов. Такие атаки, как DDOS и Smurf, основанные на пинге, в настоящее время в значительной степени смягчены.

http://en.wikipedia.org/wiki/Denial-of-service_attack#ICMP_flood


0

Я бы предложил предотвратить переполнение ICMP-запросов, используя iptablesвместо постоянной блокировки:

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/minute --limit-burst 100 -j ACCEPT

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.