ทำไมไม่บล็อก ICMP

ฉันคิดว่าฉันเกือบจะติดตั้ง iptables เสร็จแล้วในระบบ CentOS 5.3 ของฉัน นี่คือสคริปต์ของฉัน ...

# Establish a clean slate
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F # Flush all rules
iptables -X # Delete all chains

# Disable routing. Drop packets if they reach the end of the chain.
iptables -P FORWARD DROP

# Drop all packets with a bad state
iptables -A INPUT -m state --state INVALID -j DROP
# Accept any packets that have something to do with ones we've sent on outbound
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Accept any packets coming or going on localhost (this can be very important)
iptables -A INPUT -i lo -j ACCEPT
# Accept ICMP
iptables -A INPUT -p icmp -j ACCEPT

# Allow ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Allow httpd
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Allow SSL
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# Block all other traffic 
iptables -A INPUT -j DROP

สำหรับบริบทเครื่องนี้เป็นโฮสต์ของแอปเว็บเซิร์ฟเวอร์ส่วนตัวเสมือน

ในคำถามก่อนหน้านี้ Lee B กล่าวว่าฉันควร "ล็อค ICMP อีกเล็กน้อย" ทำไมไม่บล็อกมันทั้งหมด? จะเกิดอะไรขึ้นถ้าฉันทำเช่นนั้น (สิ่งเลวร้ายจะเกิดขึ้น)

ถ้าฉันไม่ต้องการบล็อค ICMP ฉันจะล็อคมันลงอีกได้ยังไง?

ICMP เป็นวิธีทางมากกว่า "traceroute" และ "ping" มันใช้สำหรับข้อเสนอแนะเมื่อคุณเรียกใช้เซิร์ฟเวอร์ DNS (พอร์ตที่เข้าไม่ถึง) ซึ่งในเซิร์ฟเวอร์ DNS ที่ทันสมัยอาจช่วยเลือกเครื่องที่แตกต่างกันเพื่อสืบค้นได้เร็วขึ้น

ICMP ยังเป็นไปตามที่กล่าวไว้ข้างต้นซึ่งใช้สำหรับการค้นพบพา ธ MTU โอกาสที่ระบบปฏิบัติการของคุณจะตั้งค่า "DF" (ไม่ต้องแยกส่วน) บนแพ็กเก็ต TCP ที่ส่ง คาดว่าจะได้รับแพ็คเก็ต ICMP "การกระจายตัวที่จำเป็น" กลับหากบางสิ่งในเส้นทางล้มเหลวในการจัดการขนาดของแพ็คเก็ตนั้น หากคุณบล็อก ICMP ทั้งหมดเครื่องของคุณจะต้องใช้กลไกทางเลือกอื่นซึ่งโดยทั่วไปจะใช้การหมดเวลาเพื่อตรวจหา PMTU "หลุมดำ" และจะไม่ปรับให้เหมาะสมอย่างถูกต้อง

นอกจากนี้คุณควรถามตัวเองว่าทำไมคุณจึงต้องการบล็อก ICMP คุณพยายามป้องกันที่นี่โดยเฉพาะสิ่งใด ค่อนข้างชัดเจนว่าคุณไม่เข้าใจว่าจะใช้ ICMP แบบใดซึ่งค่อนข้างธรรมดา ฉันจะระมัดระวังอย่างมากในการบล็อกบางสิ่งที่คุณไม่เข้าใจ

เพื่อให้ยากยิ่งขึ้นในการเรียนรู้เกี่ยวกับเรื่องนี้หนังสือไฟร์วอลล์ทั่วไปจำนวนมากจึงกล่าวว่า "บล็อค ICMP" - เป็นที่ชัดเจนว่าผู้เขียนไม่เคยอ่าน RFC หรือต้องแก้ปัญหาโดยรอบคำแนะนำดังกล่าว เป็นคำแนะนำที่ไม่ดีในการบล็อก ICMP ทั้งหมด

ตอนนี้อัตรา จำกัด มันยังสามารถทำร้าย หากเครื่องของคุณไม่ว่างหรือไม่เครื่องคุณสามารถรับปริมาณการใช้งาน ICMP ได้เป็นอย่างดี เว็บเซิร์ฟเวอร์ของฉันอาจได้รับแพ็คเก็ต ICMP ประมาณ 10-100 ต่อนาทีซึ่งส่วนใหญ่เป็นการค้นพบ PMTU แม้ว่าใครบางคนเลือกที่จะโจมตีเซิร์ฟเวอร์ของฉันด้วยแพ็คเก็ต ICMP บางประเภทมันไม่ได้เป็นเรื่องใหญ่ หากเครื่องของคุณยอมรับการเชื่อมต่อ TCP หนึ่งครั้ง (ssh, http, mail และอื่น ๆ ) โอกาสที่จะเป็นเวคเตอร์การโจมตีที่ใหญ่กว่า ICMP ที่เข้าใจผิดที่เคยเกิดขึ้น

ICMP ใช้สำหรับช่วงการวินิจฉัย (เช่น ping, traceroute) และการควบคุมเครือข่าย (เช่นการค้นหา PMTU) การปิดกั้นการใช้ ICMP อย่างไม่เจาะจงทำให้ผู้อื่นอิจฉาริษยาทุกประเภทและถ้าคุณไม่ทราบว่าคุณกำลังทำอะไรอยู่คุณควรปล่อยให้อยู่คนเดียว

ฉันไม่เคยเข้าใจเลยว่าทำไมผู้คนถึงเลือก ICMP ดังที่ได้กล่าวไว้ข้างต้นมันทำให้เกิดอาการปวดหัวกับตัวเองและคนอื่น ๆ เท่านั้น คุณสามารถระบุได้ว่าโฮสต์นั้นใช้งานได้ง่ายเพียงพอหรือไม่และตราบใดที่มีข้อ จำกัด เพียงพอที่จะไม่ใช้เป็น DOS จากนั้นฉันไม่เคยได้ยินเหตุผลที่น่าสนใจใด ๆ มาปิดกั้น (ถ้ามีคนมาด้วยเหตุผลกรุณาโพสต์)

คุณสามารถลอง จำกัด icmp ด้วยวิธีนี้ไม่สามารถใช้เป็นการโจมตี DOS ได้ แต่มีวิธีการแก้ไขปัญหาเครื่องมือมากเกินไปเช่น ping, mtr (ฉันลืม windows เทียบเท่า), traceroute (tracert) ที่ใช้ icmp การปล่อยพวกมันทั้งหมดนั้นเป็นเพียงเรื่องโง่เขลา เป็นวิธีที่ดีในการตรวจสอบว่าอินสแตนซ์ของคุณทำงานถึงแม้ว่าคุณจะไม่สามารถ telnet บนพอร์ตใด ๆ

--limit 10/second

นี่คือมุมมองทางเลือกในจิตวิญญาณของทฤษฎีความปลอดภัยที่จะแนะนำ โปสเตอร์อื่น ๆ นั้นถูกต้องที่การปฏิบัติด้านความปลอดภัยนั้นมักจะไม่ได้ผล

ทฤษฎีความปลอดภัยโดยทั่วไปแล้วคุณจะเปิดใช้งานเฉพาะสิ่งที่คุณต้องการ สิ่งอื่น ๆ (ซึ่งอาจมีประโยชน์ - เช่นการตอบสนองต่อการ ping) สามารถถูกใช้โดยผู้โจมตีเพื่อกำหนดขอบเขตระบบของคุณหรืออาจเป็นเวกเตอร์การโจมตีสำหรับช่องโหว่ที่ยังไม่ถูกค้นพบ

ดังนั้นเมื่อดูที่ประเภทข้อความ ICMP คุณต้องการอะไรในการทำงานปกติของระบบของคุณ

• echo reply (ping) - ไม่มาก
• ปลายทางไม่สามารถเข้าถึงได้ - มีข้อมูลที่เป็นประโยชน์มากมายในที่นี่ ปิดใช้งานสิ่งนี้และคุณจะไม่สามารถเข้าถึงเซิร์ฟเวอร์ของคุณสำหรับลูกค้าบางราย
• ดับต้นฉบับ - เลิกใช้ตั้งแต่ปี 1995 และเห็นได้ชัดว่าถูกลบออกจากการใช้งานโฮสต์ตั้งแต่ (ล่าสุด) 2005. tools.ietf.org/html/rfc6633#section-1
• เปลี่ยนเส้นทาง - เกือบจะไม่แน่นอน
• โฆษณาเราเตอร์ & การชักชวน - ไม่จำเป็นถ้าคุณกำหนดค่าเส้นทางของคุณแบบคงที่และสามารถใช้สำหรับ DoS ฉันจะบล็อกมันเว้นแต่คุณจะรู้ว่าคุณต้องการมันและถ้าคุณต้องการมันอาจจะรหัสกฎเพื่อรับข้อมูลจากเราเตอร์ที่รู้จักเท่านั้น
• ttl เกิน - ไม่เพียง แต่สำหรับ traceroute บอกคุณปริมาณการเข้าชมของคุณไม่ได้รับการผ่านไปยังปลายทาง

... และต่อไป หากคุณต้องการที่จะเข้าใจสิ่งนี้จริงๆไปเรียนรู้เกี่ยวกับประเภท ICMP ต่างๆและสิ่งที่พวกเขามีไว้สำหรับ บทความวิกิพีเดียเป็นจุดเริ่มต้นที่ดี

ในทางปฏิบัติสิ่งที่น่าเกลียดที่สุดก็คือการเปลี่ยนเส้นทาง หากคุณต้องการทำอะไรที่รวดเร็วและมีประโยชน์ให้บล็อกสิ่งนั้นและปล่อยให้ส่วนที่เหลือ

ฉันจะเพิ่มว่าการติดตามการเชื่อมต่อ IPtables จะอนุญาตให้ส่งคืนแพ็กเก็ต ICMP ที่เหมาะสมสำหรับการเชื่อมต่อที่ใช้งานอยู่ ดังนั้นหากคุณกำลังใช้งาน conntrack คุณควรจะสามารถบล็อกขาเข้า ICMP ส่วนใหญ่ได้ตราบใดที่คุณยอมรับแพ็กเก็ตที่เกี่ยวข้อง (ก่อนที่คุณจะบล็อก ICMP ในชุดกฎของคุณ)

เป็นเครื่องมือวินิจฉัยที่มีประโยชน์สำหรับการแก้ไขปัญหาการเชื่อมต่อเครือข่าย

นอกจากนี้ยังช่วยให้คุณใช้การเชื่อมต่อที่อื่นบนอินเทอร์เน็ตที่ใช้ MTU ขนาดเล็กกว่าที่อยู่ในเครือข่ายของคุณ หากคุณพยายามส่งแพ็คเก็ตที่ใดที่มีขนาดใหญ่เกินไปและไม่สามารถแยกส่วนได้อุปกรณ์จะส่งแพ็กเก็ตและส่งการกระจายตัวของ ICMP ที่ต้องการแพ็กเก็ตกลับไปยังผู้ส่ง หากคุณวางแพ็กเก็ต ICMP ทั้งหมดคุณจะสูญเสียสิ่งเหล่านั้นและสิ่งประหลาดเกิดขึ้นในเครือข่ายของคุณ

คำถามจริงคือ "เหตุใดจึงต้องบล็อก ICMP" คุณได้อะไร มีกฎการกรองที่ดีที่ชายแดนของคุณและอยู่ข้างหน้าทรัพย์สินที่มีค่าของคุณ

ping เป็นเครื่องมือวิเคราะห์ที่ดีคุณจะหวังได้ในสักวัน ฉันใช้สิ่งเหล่านี้:

-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT

คุณอาจต้องการเค้นมันด้วย

ทุกวันนี้แม้แต่การ จำกัด แพ็คเก็ต ICMP ในฝั่งเซิร์ฟเวอร์สามารถสร้างอาการปวดหัวจากการโจมตี DDoS การโจมตีส่วนใหญ่ทำโดยการส่งคำขอ ICMP แบบหน้าต่างขนาดใหญ่ไปยังเซิร์ฟเวอร์เดียวและหากเซิร์ฟเวอร์พยายามตอบกลับแต่ละเซิร์ฟเวอร์ให้เดาว่าจะเกิดอะไรขึ้น

สิ่งสำคัญที่เรามีเซิร์ฟเวอร์ teamspeak ที่ได้รับแพ็คเก็ตที่ไม่ดีทุกวันมีสองสามวันในสองเดือนที่เรามี "อิสระ" สิ่งที่เราทำคือปิดการใช้งานอย่างสมบูรณ์ / ถูกบล็อค ICMP responces, เราไม่มีเซิร์ฟเวอร์ DNS บนเซิร์ฟเวอร์, ไม่มีเซิร์ฟเวอร์ NTP, ไม่มีเซิร์ฟเวอร์เมล, ไม่มีเซิร์ฟเวอร์ FTP, เพียงสอง Apache และ Teampeak พอร์ตทั้งหมดที่ไม่จำเป็นสำหรับบริการปิดอยู่ เราวางแผนที่จะบล็อกแม้แต่ ssh และเปิดพอร์ตเพียงสองพอร์ต วันนี้มีเรย์แบนถาวร 21k (!)

สถานการณ์คือผู้โจมตีใช้อุโมงค์ ICMP เป็นส่วนใหญ่และมีการพูดคุยกับผู้ดูแลระบบเซิร์ฟเวอร์ที่น่าสนใจน้อยมากและพวกเขาบอกว่าพวกเขามีคำขอ ICMP ของเซิร์ฟเวอร์อยู่ดังนั้นผู้โจมตีจึงใช้ช่องอุโมงค์โจมตีและโจมตีเรา ฟังดูแปลก แต่นั่นจริง

หากคุณไม่ต้องการการวินิจฉัยของเซิร์ฟเวอร์ของคุณและหากคุณสามารถปิดกั้นคำขอหรือกรองพวกเขาเพื่อปล่อยหน้าต่างขนาดใหญ่ให้ทำเช่นนั้นได้ ฉันขอแนะนำให้คุณบล็อกอย่างสมบูรณ์: จีนเกาหลีไทยตุรกีเนื่องจากที่อยู่ IP ส่วนใหญ่มาจากที่นั่น ฉันมีรายชื่อทั้งหมดของประเทศเหล่านี้ แต่เกือบทุกวันจะมีรายการใหม่จากที่นั่น

ฉันพูดในสิ่งที่ฉันทำถ้าคุณไม่เห็นด้วย - อย่าทำ เรียบง่ายเหมือนที่ โชคดี

อย่างน้อยที่สุดคุณควรอนุญาตให้ผ่านประเภท icmp 3 (เข้าถึงไม่ได้ปลายทาง), 4 (ดับแหล่งที่มา) และ 11 (เกินเวลา) ประเภทเหล่านี้ใช้เพื่อจัดการกับปัญหาเครือข่ายและไม่ควรถูกกรอง

iptables -A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT

(ประเภทการดับแหล่งที่มาเลิกใช้แล้วในขณะนี้ แต่จะไม่ทำให้การเปิดนี้เสียหาย)

ฉันอนุญาตการรับส่งข้อมูล ICMP จากอินทราเน็ตท้องถิ่นบล็อกจากอินเทอร์เน็ต ด้วยวิธีนี้เซิร์ฟเวอร์ของฉันเป็นทั้งหมด แต่มองไม่เห็นออนไลน์ (ตอบสนองเฉพาะพอร์ต SSH ที่ไม่ใช่มาตรฐาน)

iptables -I INPUT 7 -d 208.180.X.X -p icmp --icmp-type 8  -j DROP
iptables -I INPUT 8 -d 208.180.X.X -p icmp --icmp-type 0  -j DROP
iptables -I INPUT 9 -d 208.180.X.X -p icmp --icmp-type 11 -j DROP

สิ่งนี้จะแทรกเข้าไปหลังจากวนลูปแบ็คมาตรฐานก่อตั้งขึ้นในรายการที่อนุญาตของ LAN รายการที่อนุญาตของผู้ให้บริการ VOIP และ ACCEPT ของพอร์ต SSH ฉันอนุญาตการรับส่งข้อมูลที่ต้องการและทำอย่างดีที่สุดเพื่อไม่ให้เซิร์ฟเวอร์มองไม่เห็นในส่วนอื่น ๆ ของโลก