PINGのセキュリティリスク?
PINGにはセキュリティ上のリスクがあると言われています。本番ウェブサーバーではPINGを無効にするかブロックすることをお勧めします。一部の research は、確かにセキュリティリスクがあることを示しています。一般に公開されているサーバーでPINGを無効/ブロックするのは一般的な方法ですか?そして、これはtraceroute( wikipedia on security )のようなICMPファミリーの他のメンバーに適用されますか?
ICMPエコープロトコル (通常は "Ping"として知られています)はほとんど無害です。主なセキュリティ関連の問題は次のとおりです。
偽のソースアドレス( "なりすまし")を伴う要求が存在する場合、それらはターゲットマシンに比較的大きなパケットを別のホストに送信させることができます。 Ping応答は対応する要求よりも実質的に大きくないので、乗数効果はないことに注意してください。サービス拒否攻撃のコンテキストで攻撃者に余計な力を与えることはありません。ただし、攻撃者を識別から保護する可能性があります。
名誉あるPing要求は、ネットワークの内部構造に関する情報を生成する可能性があります。ただし、これらはすでに公開されているため、公開されているサーバーには関係ありません。
以前は、一部の広範なTCP/IP実装にセキュリティホールがあり、不正なPingリクエストがマシンをクラッシュさせる可能性がありました( "ping of death" )。しかし、これらは前世紀の間に適切にパッチされ、もはや問題ではなくなりました。
一般に公開されているサーバーでPingを無効にするかブロックすることは一般的な方法ですが、commonであることは、recommendedであることと同じではありません。 www.google.com Pingリクエストに応答します。 www.Microsoft.com ではない。個人的には、すべてのICMPを一般公開サーバーに渡すことをお勧めします。
一部のICMPパケットタイプはブロックされない、特に「宛先に到達できない」ICMPメッセージはブロックされるため、ブロックされる パスMTU検出 症状は、DSLユーザー(PPPoE MTUを1492バイトに制限するレイヤーの後ろ)が、それらのパケットをブロックするWebサイトにアクセスできないことです(ISPが提供するWebプロキシを使用しない限り)。
ICMPにはデータコンポーネントがあります。トンネルを構築するために使用でき、これは単なる理論的なものではなく、実際に利用可能です。 malware ツールキットの一部として複数の異なる研究者によって発見されました。このトピックには著名なハウツーがあることは言うまでもありません。 wiki 、または hackaday についても同様です。
ICMPTXは、ICMPエコーとICMP応答を使用します。 ICMP echo はデータコンポーネントを含んでいるため、必ずしも無害ではありません。データを引き出したり、制御チャネルとして使用したり、(ICMPTXの場合)トンネリングプロトコルとして使用したりできます。
ディストリビューションでの現在の実装、howto、(ICMPTX): http://thomer.com/icmptx/
ペイロード注入にICMPデータ送信を使用する実際の攻撃シナリオ: Open Packet Capture
ICMPTX(2006)と同様の方法によるトロイの木馬のC&Cと流出のためのICMPデータ伝送プロトコルの使用: Network World
攻撃者がICMPを使用して情報を入手したり、データを密かに転送したりできることは事実です。また、ICMPは非常に有用であり、ICMPを無効にすると問題が発生することがよくあります。 Tracerouteは実際にはICMPを使用するため、特定のICMPタイプを許可しないとICMPが機能しなくなります。
質問は、セキュリティと機能の古典的なバランスを強調しており、xのセキュリティを得るためにどれだけの機能を失うかを決定するのはあなた次第です。
1つの推奨事項は、特定のタイプ(最も一般的に使用されるタイプ)のみを許可し、他のすべてを無効にすることです。これが私のiptablesルールです。他はすべてデフォルトで許可されていないため、これらは許可されていることに注意してください。
# Allow incoming ICMP: ping, MTU discovery, TTL expired
/sbin/iptables -A INPUT -i eth0 -p icmp -d $YOURBOX --icmp-type 8/0 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp -d $YOURBOX --icmp-type 3/4 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp -d $YOURBOX --icmp-type 11/0 -j ACCEPT
ICMP増幅(レート制限またはこのトラフィックの拒否)のため、送信エコー応答の方が受信エコー要求よりも危険だと思います。ただし、このトピックを何十年も熟考した後、私はICMPが有用であるよりも危険であると結論付けました。したがって、偽装されている可能性のある送信トラフィックにログオンして、ICMPを双方向でブロックする必要があります。
すべての世界で最も優れているのは、ステートフルであるが望ましくない(TCP接続)である可能性のあるすべてのルートがnullであり、ステートフルであるが許可および/または完全にステートフルでない(UDPデータグラム)場合に再帰ACL(パフォーマンス主導)である一方で、他のIPプロトコルタイプは不要なので、削除します。 IPsec AH/ESPは不要です。代わりにOpenVPN(または同様のもの)を使用してください。
ICMP tracerouteをブロックした後、UDPベースのtracerouteだけでなく、0trace、LFT、およびosstmm_afdツールに見られるようなテクノロジーの概念にも取り組む必要があります。
Nmap XmasスキャンはSnort/Suricataで検出されませんが、SQLiまたはJavaScriptベースの攻撃は(あらゆる方向で)検出されません)、ネットワークとアプリケーションのセキュリティに関連するリスクの重要性を認識する必要があります現代のインフラストラクチャに対する攻撃。あらゆる種類のフットプリントトラフィックを拒否、テスト、および検証する必要があります。これにICMPが含まれない理由はわかりませんが、実際にはICMPが開始または停止しません。
ネットワークのトラブルシューティングには、PingとTracerouteが必要です。最新のファイアウォールとセキュリティツールでは、いずれかのプロトコルが悪意のある方法で正常に使用される可能性はほとんどありません。
1996年には確かに問題でしたが、現在は約20年後の2015年であり、これらをブロックしても、接続とパフォーマンスを解決するためのタイムフレームが劇的に増加するだけです。ティア1/2チームが単純なルーティングとネットワークの問題を特定して修正する機能が損なわれることは、サービス提供の問題であり、提供するネットワークサービスに対する顧客の満足度に影響を与えます。
「pingのセキュリティリスクは何ですか」という主な質問に答える代わりに、「本番環境のWebサーバーでブロック/無効化することは良いアイデアですか?」というサブ質問に答えます
ここでセキュリティと実用性のバランスを見つけることができると思います。通常、サポートスタッフは、特定のノードの待機時間または可用性を確認するときにpingが役立つと考えています。セキュリティスタッフは、このページで概説されているセキュリティ問題の多くを懸念しており、多くの場合「悪者」です。
ホワイトリスト/ブラックリスト形式でPingを無効にすることを検討し、サポートスタッフに知らせてください。コアオーディエンスが特定の地域にいる場合は、pingの機能を IANA IP割り当て に基づいて制限します
サーバーへの最初のアクセス後、悪意のあるソフトウェアは、コマンドアンドコントロールサーバーへの通信手段としてpingプロトコルを使用できます。例として、pingプロトコルを使用したリバースシェル: https://github.com/inquisb/icmpsh