IPv4 ICMP จากอินเทอร์เฟซที่ไม่น่าเชื่อถือควรถูกบล็อกหรือไม่

การค้นหารอบ ๆ ฉันไม่สามารถระบุวิธีปฏิบัติที่ดีที่สุดสำหรับ ICMP บนไฟร์วอลล์

ตัวอย่างเช่นใน Cisco ASA จะปลอดภัยและแนะนำให้อนุญาตให้ ICMP จากใด ๆ หากเปิดใช้งานการตรวจสอบ ICMP สิ่งนี้จะอนุญาตให้สิ่งต่าง ๆ เช่นประเภทที่ 3 ไม่สามารถเข้าถึงได้เพื่อให้ลูกค้ากลับมาได้

ipv4 firewall

— อาดัม
แหล่งที่มา

ไม่ ICMP ไม่ควรถูกบล็อก มันเป็นโปรโตคอลการส่งสัญญาณที่สำคัญ อินเทอร์เน็ตไม่ทำงานหากไม่มี

PMTUD ใช้งานไม่ได้ถ้าคุณดรอป ICMP

IPv6 ไม่ได้เริ่มทำงานโดยไม่มี ICMP เนื่องจากการแก้ปัญหาที่อยู่ L3 ถึง L2 (ARP ใน IPV4) กำลังขี่อยู่บนสุดของ ICMP ใน IPv6

การแก้ไขปัญหาจะใช้เวลานานขึ้นถ้า ICMP echos หลุด อนิจจาบ่อยครั้งที่คน FW ฝึกความคิดดูเหมือนจะ 'เมื่อมีข้อสงสัยลดลง'

คุณใช้ FW เนื่องจากเครือข่ายภายในของคุณมีบริการที่ไม่ต้องการการตรวจสอบสิทธิ์หรือโฮสต์ที่ไม่มีการจัดการซึ่งใช้ซอฟต์แวร์ที่มีช่องโหว่ ICMP นั้นไม่ใช่เวคเตอร์การโจมตีที่ใช้งานได้จริง

— ytti
แหล่งที่มา

ฉันตกลงที่จะทิ้ง ICMP ทั้งหมดในเครือข่ายไม่ใช่ความคิดที่ดี เพียงแค่พูดว่า ICMPv6 (proto 58) นั้นแตกต่างจาก ICMP (proto 1) การทิ้ง ICMP บนไฟร์วอลล์ไม่ส่งผลต่อการทำงานของ IPv6 เว้นแต่ว่า ICMPv6 จะถูกทิ้งอย่างชัดเจนเช่นกัน?

— sdaffa23fdsf

ใช่ ICMPv6 นั้นแตกต่างกัน มันจะขึ้นอยู่กับไฟร์วอลล์ของคุณว่า "ปล่อย ICMP ทั้งหมด" รวมถึง ICMPv6 หรือไม่ โดยปกติจะไม่กฎ ipv6 แยกจากกฎ ipv4

คุณแนะนำให้ICMP ทั้งหมดได้รับอนุญาตผ่านหรือเพียงแค่พิมพ์เช่นไม่สามารถเข้าถึงได้เกินเวลาและ traceroute เพื่อตั้งชื่อไม่กี่คน?

— generalnetworkerror

ฉันอนุญาตให้พวกเขาทั้งหมดฉันไม่เคยได้ยินการโจมตีของเวกเตอร์ ICMP (แต่ฉันลำเอียงฉันต่อต้าน FW มาก) ชุดต่ำสุดที่ฉันแนะนำคือ: ปลายทางไม่สามารถเข้าถึง, เกินเวลา, ปัญหาเกี่ยวกับพารามิเตอร์, echo, echo-reply, timestamp, timestamp-reply (เหมาะสำหรับการวัด latency ทิศทางเดียวที่ความแม่นยำ 1ms)

— ytti