Haruskah IPv4 ICMP dari antarmuka yang tidak terpercaya diblokir?

23

Mencari di sekitar Saya belum bisa menentukan praktik terbaik untuk ICMP pada firewall.

Sebagai contoh pada Cisco ASA apakah aman dan direkomendasikan untuk mengizinkan ICMP dari apa saja jika inspeksi ICMP diaktifkan. Ini kemudian akan memungkinkan hal-hal seperti tipe 3 yang tidak terjangkau untuk membuatnya kembali ke klien.

Adam
sumber

Jawaban:

30

Tidak, ICMP tidak boleh diblokir. Ini protokol pensinyalan yang vital. Internet tidak berfungsi tanpa itu.

PMTUD rusak jika Anda menjatuhkan ICMP.

IPv6 bahkan tidak mulai bekerja tanpa ICMP, karena resolusi alamat L3 ke L2 (ARP di IPV4) naik di atas ICMP di IPv6.

Pemecahan masalah juga akan memakan waktu lebih lama jika gema ICMP dijatuhkan. Sayangnya sering orang-orang FW yang melatih pemikiran tampaknya 'ketika ragu-ragu, jatuh'.

Anda menggunakan FW karena jaringan di dalam Anda memiliki layanan yang tidak memerlukan auth atau host yang tidak dikelola yang menjalankan perangkat lunak yang rentan. ICMP benar-benar bukan vektor serangan praktis.

ytti
sumber
1
Saya setuju membuang semua ICMP di jaringan bukan ide yang baik. Hanya mengatakan ICMPv6 (proto 58) berbeda dari ICMP (proto 1). Menjatuhkan ICMP di firewall tidak memengaruhi fungsionalitas IPv6, kecuali ICMPv6 juga dihapus secara eksplisit?
sdaffa23fdsf
Ya, ICMPv6 berbeda. Ini akan tergantung pada firewall Anda meskipun apakah "drop all ICMP" termasuk ICMPv6. Biasanya, tidak, aturan ipv6 terpisah dari aturan ipv4.
Apakah Anda merekomendasikan bahwa semua ICMP diizinkan melalui atau hanya jenis seperti tidak terjangkau, melebihi waktu, dan traceroute untuk menyebutkan beberapa?
generalnetworkerror
1
Saya pribadi mengizinkan mereka semua, saya belum pernah mendengar ICMP serangan-vektor (tapi saya bias, saya sangat anti-FW). Set minimum yang saya sarankan adalah: tujuan tidak dapat dijangkau, waktu terlampaui, masalah parameter, gema, gema-balasan, timestamp, timestamp-reply (bagus untuk mengukur latensi searah pada presisi 1ms).
ytti