Les messages de redirection ICMP sont-ils vraiment mauvais?

8

En raison du potentiel d'attaque MITM, les messages de redirection ICMP doivent être bloqués. Cependant, le but initial du message de redirection ICMP est d'informer l'hôte d'un meilleur routeur (ou passerelle).

Ensuite, y a-t-il un problème de vitesse avec la désactivation des messages de redirection ICMP sur l'hôte? Ou est-ce négligeable?

icmp baeharam
la source
Dans un réseau correctement configuré, les redirections ne se produisent pas et ne sont pas nécessaires. Le strict respect des règles entraînerait la perte du paquet - ne transférez jamais un paquet hors de l'interface sur laquelle il a été reçu, mais personne ne l'a fait depuis des décennies. Les redirections ne peuvent pas être approuvées, donc la plupart des hôtes ne les respectent pas, donc la plupart des administrateurs configurent leurs routeurs pour ne pas les envoyer.
Ricky Beam

Réponses:

8

ICMP réoriente sont le plus souvent vu lorsque vous avez un hôte ou d'un routeur Adans le même sous - réseau avec deux autres routeurs Bet Cet la connectivité à la fois. Considérez le réseau suivant:

   |__192.168.1.0/24__|
   | |                |
     |
     |   |___192.168.8.0/24__|
     |   | |                 |
     B     C
|____|_____|____|
|       |       |
        A

Aaura un itinéraire (très probablement par défaut) pointant vers B, et Baura un itinéraire plus spécifique vers un 192.168.8.0/24pointage vers C.

Sans les redirections ICMP, tout le trafic de Aà 192.168.8.0/24sera acheminéA->B->C

Avec la redirection ICMP activée, Binformera Aqu'il Cs'agit d'un meilleur prochain bond et que le trafic suivant sera acheminé A->C.

Évidemment, B est un saut supplémentaire et selon le type de boîte, il peut introduire une latence supplémentaire.

Désactiver les redirections ICMP et repenser le réseau pour éviter complètement cette situation serait la solution préférée, par exemple:

   |__192.168.1.0/24__|
   | |                |
     |
     |   |___192.168.8.0/24__|
     |   | |                 |
     B-----C
|____|__________|
|       |       |
        A

(ou supprimez-le Centièrement et suspendez directement 192.168.8.0/24 B).

Benjamin Dale
la source
Ensuite, ce que vous voulez dire, c'est que la structure du réseau est plus importante que la redirection ICMP?
baeharam
La redirection ICMP indique qu'il y a un routage sous-optimal configuré et essaie de résoudre ce problème - IMO, c'est un problème de conception
Benjamin Dale
1
En fait, votre refonte supprime simplement la possibilité d'utiliser une redirection ICMP pour optimiser l'itinéraire - tout ce que vous obtenez est un itinéraire A-> B-> C inévitable et retour (!). Une refonte optimisante devrait supprimer C et connecter son sous-réseau / lien à B.
Zac67
Oui - cela m'est venu à l'esprit lorsque je faisais la refonte:) Mais je pensais que la suppression de C pourrait avoir trop changé les choses - parfois C pourrait être une exigence inévitable (fournisseur / NTU de troisième partie vers un autre réseau, etc.)
Benjamin Dale
6

La redirection ICMP est un vestige d'une ère de confiance - en partie parce que les machines en réseau avaient des administrateurs et que le BYOD était inimaginable.

Ignorer la redirection sur le client signifie qu'elle continuera d'être envoyée via la passerelle moins efficace. Cela entraînera un travail inutile par ce routeur et un trafic inutile sur son interface, ce qui réduira légèrement les performances de tous ceux qui utilisent cette passerelle.

Cela augmentera également la latence pour le client, car chaque paquet doit prendre un bond supplémentaire.

Cependant, dans le cas général, sur un réseau moderne, ces deux "coûts" seront négligeables.

Le moyen idéal de résoudre le problème consiste à ajouter un itinéraire sur le client pour utiliser la passerelle appropriée. La redirection ICMP a fourni un moyen pour que cela se produise automatiquement, mais ne devrait probablement pas être fiable - mais ils restent un indice qu'un meilleur itinéraire existe, et les enregistrer permet d'envisager d'apporter une telle modification, peut-être après avoir consulté les administrateurs réseau.

La refonte du réseau est probablement la mauvaise chose à faire.

JCRM
la source
Absolument: Parfois, la simplicité de configuration est beaucoup, beaucoup plus importante que l'efficacité des paquets. J'ai vu des réseaux où tout le routage était statique, beaucoup de routes "sous-optimales", un trafic faible, jamais des erreurs de configuration. L'administrateur de réseau heureux a gardé des itinéraires statiques parfaits sur le routeur central et c'est tout. Gardez toujours une référence aux priorités de votre propre organisation. Certainement, ne remodelez pas un réseau à moins qu'il n'y ait un problème réel
jonathanjo
"sur un réseau moderne, ces deux" coûts "seront négligeables" - oui, mais seulement tant qu'il y aura une large bande passante de liaison (que vous pourriez inclure dans "moderne" ;-).
Zac67
Itinéraires statiques sur les hôtes? frisson simple, oui, mais très difficile à capturer
Benjamin Dale