Quelles sont les raisons de refuser ICMP sur mon serveur?

11

Une instance EC2 a des services ICMP désactivés par défaut. Bien que je ne sache pas vraiment pourquoi, je pense que c'est parce que cela pourrait être un risque potentiel pour la sécurité. Pour le moment, je n'active les réponses Echo que lorsque je redémarre le serveur afin que je puisse voir s'il est opérationnel, mais une fois qu'il est en ligne, je le désactive à nouveau. Est-ce nécessaire? Quelles sont les raisons de désactiver ICMP en général?

3k-
la source

Réponses:

18

ICMP se compose d'une grande collection de commandes. Interdire tout cela va briser votre réseau de manière étrange.

ICMP permet à des choses comme "traceroute" et "ping" (demande d'écho ICMP) de fonctionner. Cette partie est donc très utile pour les diagnostics normaux. Il est également utilisé pour les commentaires lorsque vous exécutez un serveur DNS (port inaccessible) qui, dans un serveur DNS moderne, peut réellement aider à sélectionner une machine différente pour interroger plus rapidement.

ICMP est utilisé pour la découverte de MTU de chemin. Il y a de fortes chances que votre système d'exploitation définit "DF" (ne pas fragmenter) sur les paquets TCP qu'il envoie. Il s'attend à récupérer un paquet ICMP "fragmentation requise" si quelque chose le long du chemin ne parvient pas à gérer cette taille de paquet. Si vous bloquez tous les ICMP, votre machine devra utiliser d'autres mécanismes de secours, qui utilisent essentiellement un délai d'attente pour détecter un «trou noir» PMTU et ne seront jamais optimisés correctement.

Il y a probablement quelques bonnes raisons de plus pour activer la plupart d'ICMP.

Maintenant comme votre question pourquoi désactiver:

Les raisons de désactiver une partie d'ICMP sont les suivantes:

  • Protection contre les vers à l'ancienne qui utilisaient la requête d'écho ICMP (aka ping) pour voir si un hôte était vivant avant d'essayer de l'attaquer. De nos jours, un ver moderne l'essaie de toute façon, ce qui ne le rend plus efficace.
  • Cacher votre infrastructure. Si vous souhaitez le faire, veuillez le bloquer en bordure de votre réseau. Pas sur tous les ordinateurs. Cela amènera simplement votre administrateur à retirer tous les cheveux de sa tête de frustration quand quelque chose ne va pas et que tous les outils d'analyse normaux échouent. (Dans ce cas: Amazon pourrait le bloquer au bord du cloud).
  • Attaques par déni de service basées sur ICMP. Traitez-les de la même manière que les autres attaques DOS: Limite de débit.
  • La seule valide: si vous êtes sur un réseau non sécurisé, vous souhaiterez peut-être bloquer ou désactiver la commande du routeur a changé. Obfix: utilisez vos serveurs sur un réseau sécurisé.

Notez qu'il existe des manuels de «durcissement du serveur» qui conseillent de bloquer ICMP. Ils sont faux (ou du moins pas assez détaillés). Ils entrent dans la même catégorie que la «sécurité» sans fil via le filtrage MAC ou le masquage du SSID.

Hennes
la source
1

Les blocs ICMP sont effectués pour plusieurs raisons, mais principalement pour masquer les informations des sondes qui tentent d'identifier et de profiler votre réseau. Il existe également plusieurs types d'attaques contre les routeurs et les systèmes d'extrémité accessibles au public qui utilisent le trafic ICMP dans le cadre de l'exploit.

dans votre cas, vous pouvez probablement autoriser des réponses d'écho, bien que cela vous fasse remarquer par plus de sondes. les attaques comme DDOS basées sur ping et les attaques de schtroumpfs sont largement atténuées de nos jours.

http://en.wikipedia.org/wiki/Denial-of-service_attack#ICMP_flood

Frank Thomas
la source
0

Je suggère d'empêcher l'inondation des requêtes ICMP en utilisant iptablesau lieu de le bloquer de manière permanente:

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/minute --limit-burst 100 -j ACCEPT
linmod77x
la source
-1

Le plus grand risque d'ICMP sur un serveur Internet est l'augmentation de la surface d'attaque par déni de service (DoS).

Deepak Kumar Vasudevan
la source