¿Cuáles son las razones para no permitir ICMP en mi servidor?

11

Una instancia EC2 tiene los servicios ICMP deshabilitados de forma predeterminada. Si bien no está totalmente claro para mí por qué, creo que es porque podría ser un riesgo de seguridad potencial. Por el momento, habilito las respuestas de eco solo cuando reinicio el servidor para poder ver si está en funcionamiento, pero una vez que se conectó, lo vuelvo a desactivar. ¿Es necesario? ¿Cuáles son las razones para deshabilitar ICMP en general?

3k-
fuente

Respuestas:

18

ICMP consta de una gran colección de comandos. No permitir todo eso romperá su red de maneras extrañas.

ICMP permite que cosas como "traceroute" y "ping" (solicitud de eco ICMP) funcionen. Por lo tanto, esa parte es bastante útil para el diagnóstico normal. También se usa para comentarios cuando ejecuta un servidor DNS (puerto inalcanzable) que, en un servidor DNS moderno, puede ayudar a seleccionar una máquina diferente para consultar más rápido.

ICMP se utiliza para el descubrimiento de ruta MTU. Lo más probable es que su sistema operativo establezca "DF" (no fragmentar) en los paquetes TCP que envía. Se espera recuperar un paquete de "fragmentación requerida" ICMP si algo a lo largo de la ruta no puede manejar ese tamaño de paquete. Si bloquea todos los ICMP, su máquina tendrá que usar otros mecanismos alternativos, que básicamente usan un tiempo de espera para detectar un "agujero negro" PMTU y nunca se optimizará correctamente.

Probablemente haya algunas buenas razones para habilitar la mayor parte de ICMP.

Ahora como su pregunta por qué deshabilitar:

Las razones para deshabilitar parte de ICMP son:

  • Protección contra gusanos de estilo antiguo que usaban la solicitud de eco ICMP (también conocido como ping) para ver si un host estaba vivo antes de intentar atacarlo. En estos días, un gusano moderno lo intenta de todos modos, por lo que ya no es efectivo.
  • Ocultando su infraestructura. Si desea hacer esto, bloquéelo en el borde de su red. No en todas las computadoras. Eso solo hará que su administrador se quite todo el cabello de la cabeza con frustración cuando algo sale mal y todas las herramientas de análisis normales fallan. (En este caso: Amazon podría bloquearlo en el borde de la nube).
  • Ataques de denegación de servicio basados ​​en ICMP. Manejar estos de la misma manera que otros ataques de DOS: límite de velocidad.
  • El único válido: si está en una red insegura, es posible que desee bloquear o deshabilitar el enrutador que ha cambiado el comando. Obfix: use sus servidores en una red segura.

Tenga en cuenta que existen manuales de "endurecimiento del servidor" que aconsejan bloquear ICMP. Están equivocados (o al menos no lo suficientemente detallados). Caen en la misma categoría que la 'seguridad' inalámbrica a través del filtrado MAC u ocultando el SSID.

Hennes
fuente
1

Los bloques ICMP se realizan por un par de razones, pero principalmente para ocultar información de las sondas que intentan identificar y perfilar su red. También hay varios tipos de ataques contra enrutadores y sistemas finales de acceso público que utilizan el tráfico ICMP como parte de la explotación.

en su caso, es probable que pueda permitir respuestas de eco, aunque eso hace que sea notado por más sondas. Los ataques como el DDOS basado en ping y los ataques de pitufo se mitigan en gran medida en estos días.

http://en.wikipedia.org/wiki/Denial-of-service_attack#ICMP_flood

Frank Thomas
fuente
0

Sugeriría evitar la inundación de solicitudes ICMP mediante el uso en iptableslugar de bloquearlo permanentemente:

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/minute --limit-burst 100 -j ACCEPT
linmod77x
fuente
-1

El mayor riesgo de ICMP en un servidor con conexión a Internet es el aumento de la superficie del ataque de denegación de servicio (DoS).

Deepak Kumar Vasudevan
fuente