特定のタイプのICMPパケット¹が有害である可能性があることを読みました。質問:
[¹]私が読んだタイプ:リダイレクト(5)、タイムスタンプ(13)、アドレスマスクリクエスト(17)。 あなたの答えでこれらだけを考慮しないでください。
詳細
これは、Ubuntuサーバーを備えたVPS上のWebサーバーです。
ゴール
システムをより安全にし、一部のD/DoS攻撃や一般的な悪用のリスクを軽減しようとしています。
「ICMP IS EVIL」のマントラの犠牲になっているようですね。
ICMPは[〜#〜]ではない[〜#〜]悪、単に誤解されています。悲しい現実は、多くの管理者が理解できないことを恐れているため、ICMPをネットワークユニバースからキャストし、エッジファイアウォールレベルで回避し、ネットワークの利益のために適切な場所に配置できないようにすることです。
そうは言っても、私はあなたの質問に答えさせてください:
どのタイプのICMPメッセージが有害である可能性があり、その理由は何ですか?
それらのほとんどすべて。
Echo
パケットは、サービスを中断するために使用できます(特に、IPスタックが適切に実装されていないシステムの場合)。合法的に使用すると、ネットワークに関する情報を提供できます。
Destination Unreachable
は悪意を持って注入される可能性があります;合法的に使用すると、ファイアウォール/ルーティング構造に関する情報、またはネットワーク上の特定のマシンに関する情報を提供できます。
Source Quench
は悪意を持って送信され、サーバーを効果的に隅に置き、親指をしゃぶらせる可能性があります。
redirect
は、名前が示すとおりに使用できます。
router advertisement
およびrouter solicitation
リクエストは、ホストが実際にそれらに注意を払っている場合、「興味深い」トラフィックトポロジを作成する(およびMITM攻撃を容易にする)ために使用できます。
traceroute
は設計され、ネットワークトポロジ情報を提供します。
…etc ...
さまざまなICMPメッセージの名前 それらが実行できることの詳細。悪夢のシナリオを夢見て、あなたの生来のパラノイアを行使してください:-)
各タイプのICMPパケットを処理するためにiptablesルールセットをどのようにレイアウトする必要がありますか?
ICMPトラフィックを混乱させる正当な理由がない場合、それをそのままにしておいてください!
ICMPトラフィックをいじくり回すと、ICMPメッセージの適切な使用(トラフィック管理とトラブルシューティング)が妨げられます。これは、役立つというよりも苛立たしいものになります。
これらのタイプのICMPパケットのいずれかをレート制限する必要がありますか?そしてどのように?
これは、「地獄を放っておく」という哲学の唯一の正当な例外である可能性があります。レートまたは帯域幅を制限するICMPメッセージは、ICMPメッセージの不正使用を回避するのに役立ちます。 FreeBSDにはデフォルトで ICMP帯域幅/レート制限 が付属しており、Linuxにも同様の機能があると思います。
レート/帯域幅の制限は、ICMPトラフィックをドロップする包括的なファイアウォールルールよりもはるかに望ましいです。それでも、ICMPがネットワーク上でその目的を果たすことができ、サーバーを悪用する試みを部分的に軽減します。
上記は、あるシステム管理者の意見を表しています。彼の側では、すべてのICMPトラフィックISが削除されたネットワークのトラブルシューティングにうんざりしています-煩わしく、イライラし、問題の発見と修正に時間がかかります。 :-)
可能性のある攻撃ベクトルほどタイプについてではありません。多くの一般的なインターネットホストのTCP/IPスタックで ICMPソースクエンチ パケットを使用するかなり効果的なDoS攻撃ベクトルがありました 何年もの間 -それでもそれはそのソースを意味しません-クエンチICMPメッセージは、一般的にフィルタリングする必要があります。ネットワークセキュリティのすべての場合と同様に、個人の優先順位に基づいて、特定のプロトコルまたはサービスの利点と考えられる攻撃対象領域を比較検討します。ネットワーク内にICMPを介した攻撃ベクトルの影響を受けやすいホストがあり、それらを修正することはできず、特定の機能は必要ない場合は、フィルタリングを検討する必要があります。
管理しているv4ネットワークの場合、ICMPタイプ0、8(エコー要求/応答)、11(TTL期限切れ)、3(宛先に到達できない)、および12(IPヘッダーエラー)を許可し、すべてを削除することが安全で便利であることがわかりました。残り。