¿Se debe bloquear el ICMP IPv4 de las interfaces no confiables?

23

Buscando alrededor no he podido determinar la mejor práctica para ICMP en un firewall.

Por ejemplo, en un ASA de Cisco, sería seguro y recomendable permitir ICMP desde cualquiera si la inspección ICMP está habilitada. Esto permitiría cosas como inalcanzables de tipo 3 para volver a los clientes.

Adán
fuente

Respuestas:

30

No, ICMP no debe bloquearse. Es un protocolo de señalización vital. Internet no funciona sin él.

PMTUD se rompe si deja caer ICMP.

IPv6 ni siquiera comienza a funcionar sin ICMP, ya que la resolución de direcciones de L3 a L2 (ARP en IPV4) está montada sobre ICMP en IPv6.

Además, la solución de problemas tomará más tiempo si se eliminan los ecos ICMP. Lamentablemente, el tren de pensamiento de las personas FW parece ser "cuando tenga dudas, deje caer".

Utiliza FW porque su red interna tiene servicios que no requieren autenticación o hosts no administrados que ejecutan software vulnerable. ICMP realmente no es un vector de ataque práctico.

ytti
fuente
1
Estoy de acuerdo en que dejar caer todo ICMP en la red no es una buena idea. Solo decir que ICMPv6 (proto 58) es diferente de ICMP (proto 1). ¿Dejar caer ICMP en el firewall no afecta la funcionalidad de IPv6, a menos que ICMPv6 también se elimine explícitamente?
sdaffa23fdsf
Sí, ICMPv6 es diferente. Sin embargo, dependerá de su firewall si "soltar todo ICMP" incluye ICMPv6. Por lo general, no es así, las reglas de ipv6 son independientes de las de ipv4.
¿Está recomendando que se permita todo ICMP o solo tipos como inalcanzables, tiempo excedido y traceroute, por nombrar algunos?
generalnetworkerror
1
Personalmente los permito a todos, no he oído hablar del vector de ataque ICMP (pero soy parcial, soy muy anti-FW). El conjunto mínimo que recomendaría es: destino inalcanzable, tiempo excedido, problema de parámetros, eco, respuesta de eco, marca de tiempo, respuesta de marca de tiempo (ideal para medir latencia unidireccional con precisión de 1 ms).
ytti