Le protocole ICv IPv4 des interfaces non fiables doit-il être bloqué?

23

En cherchant, je n'ai pas pu déterminer la meilleure pratique pour ICMP sur un pare-feu.

Par exemple, sur un Cisco ASA, serait-il sûr et recommandé d'autoriser ICMP à partir de tout si l'inspection ICMP est activée. Cela permettrait alors à des choses comme le type 3 inaccessible de revenir aux clients.

Adam
la source

Réponses:

30

Non, ICMP ne doit pas être bloqué. C'est un protocole de signalisation essentiel. Internet ne fonctionne pas sans lui.

PMTUD est cassé si vous abandonnez ICMP.

IPv6 ne commence même pas à fonctionner sans ICMP, car la résolution d'adresse L3 à L2 (ARP dans IPV4) est au-dessus d'ICMP dans IPv6.

Le dépannage prendra également plus de temps si les échos ICMP sont supprimés. Hélas, le train de pensée des gens FW semble être «en cas de doute, laissez tomber».

Vous utilisez FW car votre réseau interne dispose de services ne nécessitant pas d'authentification ou d'hôtes non gérés exécutant un logiciel vulnérable. ICMP n'est vraiment pas un vecteur d'attaque pratique.

ytti
la source
1
Je suis d'accord que supprimer tous les ICMP sur le réseau n'est pas une bonne idée. Le simple fait de dire ICMPv6 (proto 58) est différent de ICMP (proto 1). La suppression d'ICMP sur le pare-feu n'affecte pas la fonctionnalité IPv6, à moins que ICMPv6 ne soit également explicitement supprimé.
sdaffa23fdsf
Oui, ICMPv6 est différent. Cela dépendra de votre pare-feu, que "supprimer tous les ICMP" inclue ICMPv6. Généralement, ce n'est pas le cas, les règles ipv6 sont distinctes de celles ipv4.
Recommandez-vous que tous les ICMP soient autorisés ou simplement des types comme inaccessibles, dépassés dans le temps et traceroute pour n'en nommer que quelques-uns?
generalnetworkerror
1
Personnellement, je les autorise tous, je n'ai pas entendu parler du vecteur d'attaque ICMP (mais je suis partial, je suis très anti-FW). L'ensemble minimum que je recommanderais est: destination inaccessible, temps dépassé, problème de paramètre, écho, écho-réponse, horodatage, horodatage-réponse (idéal pour mesurer la latence unidirectionnelle avec une précision de 1 ms).
ytti