सवाल आईसीएमपी क्यों नहीं रोकें?


मुझे लगता है कि मेरे पास मेरे आईपीटीबल्स सेटअप लगभग मेरे CentOS 5.3 सिस्टम पर पूरा है। मेरी स्क्रिप्ट यहाँ है ...

# Establish a clean slate
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F # Flush all rules
iptables -X # Delete all chains

# Disable routing. Drop packets if they reach the end of the chain.
iptables -P FORWARD DROP

# Drop all packets with a bad state
iptables -A INPUT -m state --state INVALID -j DROP
# Accept any packets that have something to do with ones we've sent on outbound
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Accept any packets coming or going on localhost (this can be very important)
iptables -A INPUT -i lo -j ACCEPT
# Accept ICMP
iptables -A INPUT -p icmp -j ACCEPT

# Allow ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Allow httpd
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Allow SSL
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# Block all other traffic 
iptables -A INPUT -j DROP

संदर्भ के लिए, यह मशीन वर्चुअल प्राइवेट सर्वर वेब ऐप होस्ट है।

में पिछले सवाल, ली बी ने कहा कि मुझे "आईसीएमपी को थोड़ा और बंद करना चाहिए।" इसे पूरी तरह से क्यों न रोकें? क्या होगा यदि मैंने ऐसा किया (क्या बुरी चीज होगी)?

अगर मुझे आईसीएमपी को अवरुद्ध करने की ज़रूरत नहीं है, तो मैं इसे और अधिक लॉक करने के बारे में कैसे जा सकता हूं?


50
2017-11-15 20:15


मूल


iptables -A INPUT -j DROP <गलत (राय) आपको नीति को iptables -P INPUT DROP पर सेट करना चाहिए जो मूल रूप से डिफ़ॉल्ट सेट करने जैसा ही है। डेफॉल्ट द्वारा डेनी। - xenoterracide
आईसीएमपी को ब्लॉक करना बुरा विचार क्यों है: security.stackexchange.com/a/22713/485 - Rory Alsop


जवाब:


आईसीएमपी रास्ता है, "traceroute" और "पिंग" से अधिक रास्ता। जब आप एक DNS सर्वर (पोर्ट अप्राप्य) चलाते हैं तो प्रतिक्रिया के लिए इसका उपयोग किया जाता है, जो कि एक आधुनिक DNS सर्वर में, वास्तव में तेज़ी से क्वेरी करने के लिए एक अलग मशीन का चयन करने में मदद कर सकता है।

जैसा कि उपर्युक्त उल्लेख किया गया है, आईसीएमपी भी एमटीयू खोज के लिए उपयोग किया जाता है। संभावना है कि आपके ओएस सेट किए गए टीसीपी पैकेट पर "डीएफ" (खंड नहीं है) सेट करें। यह एक आईसीएमपी "विखंडन आवश्यक" पैकेट वापस पाने की उम्मीद कर रहा है यदि पथ के साथ कुछ पैकेट के आकार को संभालने में विफल रहता है। यदि आप सभी आईसीएमपी को अवरुद्ध करते हैं, तो आपकी मशीन को अन्य फ़ॉलबैक तंत्र का उपयोग करना होगा, जो मूल रूप से पीएमटीयू "ब्लैक होल" का पता लगाने के लिए टाइमआउट का उपयोग करते हैं और कभी भी सही ढंग से अनुकूलन नहीं करेंगे।

इसके अतिरिक्त, आपको खुद से पूछना चाहिए कि आप आईसीएमपी को क्यों ब्लॉक करना चाहते हैं। आप विशेष रूप से यहां रोकने की कोशिश कर रहे हैं? यह बहुत स्पष्ट है कि आप समझ नहीं पाते कि आईसीएमपी का क्या उपयोग किया जाता है, जो कि आम है। मैं उस चीज़ को अवरुद्ध करने में बेहद सतर्क रहूंगा जिसे आप पूरी तरह समझ नहीं पाते हैं।

इसके बारे में जानने के लिए और भी कठिन बनाने के लिए, कई सामान्य फ़ायरवॉल किताबें "ब्लॉक आईसीएमपी" कहती हैं - यह स्पष्ट है कि उनके लेखकों ने आरएफसी कभी नहीं पढ़ा है या ऐसी सलाह के आसपास के मुद्दों को हल करना है। सभी आईसीएमपी को अवरुद्ध करना बुरा सलाह है।

अब, सीमित करने की दर भी चोट पहुंचा सकती है। यदि आपकी मशीन व्यस्त है, या यहां तक ​​कि यदि यह नहीं है, तो आप आईसीएमपी यातायात की एक अच्छी राशि प्राप्त कर सकते हैं। मेरा वेब सर्वर शायद प्रति मिनट लगभग 10-100 आईसीएमपी पैकेट प्राप्त करता है, जिनमें से अधिकांश पीएमटीयू खोज है। यहां तक ​​कि अगर किसी ने किसी प्रकार के आईसीएमपी पैकेट के साथ अपने सर्वर पर हमला करना चुना है, तो यह वास्तव में एक सौदा का बड़ा नहीं है। यदि आपकी मशीन एक टीसीपी कनेक्शन (एसएसएच, एचटीएमएल, मेल इत्यादि) को भी स्वीकार करती है तो संभावना है कि आईसीएमपी कभी गलत समझा जाएगा कि यह एक बड़ा हमला वेक्टर है।


112
2017-11-15 20:56



यह बेहतर नहीं कहा जा सका। +1 - Massimo
वहाँ है एक आईसीएमपी का प्रकार कर सकते हैं हानिकारक हो redirect प्रकार। वह है केवल आईसीएमपी प्रकार आपको कभी अवरुद्ध करने पर विचार करना चाहिए। - Hubert Kario
@ हबर्ट यह बहुत उपयोगी होगा यदि आप अवरुद्ध करने पर अधिक सलाह से लिंक कर सकते हैं redirect। अब मैं समझता हूं कि मुझे इसे समझना चाहिए, लेकिन मैं बेहतर नहीं हूं - अभी भी एक या दूसरे तरीके का फैसला नहीं कर सकता :) क्या यह जोखिम है या नहीं? - RomanSt
आईसीएमपी संदेश को रीडायरेक्ट होस्ट को बताता है (राउटर को उन्हें कभी स्वीकार नहीं करना चाहिए) कि ऐसा और सबनेट या होस्ट एक अलग गेटवे (आमतौर पर एक तेज राउटर द्वारा) पर उपलब्ध होता है। आरएफसी 1122 कहता है कि कम से कम यही है। - Hubert Kario
मेरा मानना ​​है कि लिनक्स पर डिफ़ॉल्ट रूप से रीडायरेक्ट को नजरअंदाज कर दिया जाता है। लेकिन हाँ, उसे फ़िल्टर करने के लिए बेहतर है। - Fox


आईसीएमपी का प्रयोग नैदानिक ​​(जैसे पिंग, ट्रैसरआउट) और नेटवर्क नियंत्रण (जैसे पीएमटीयू खोज) कार्यों के लिए किया जाता है। आईसीएमपी की अंधाधुंध अवरोध अन्य लोगों को दिल की धड़कन के सभी प्रकार का कारण बनता है, और जब तक कि आप वास्तव में नहीं जानते कि आप क्या कर रहे हैं, आपको इसे अकेला छोड़ देना चाहिए।


25
2017-11-15 20:29





मैंने कभी नहीं समझा है कि लोग आईसीएमपी क्यों देखते हैं, जैसा कि ऊपर बताया गया है, केवल सिरदर्द स्वयं और अन्य लोगों के कारण होता है। आप यह निर्धारित कर सकते हैं कि कोई मेजबान आसानी से पर्याप्त है और जब तक यह पर्याप्त सीमित है क्योंकि डीओएस के रूप में उपयोग नहीं किया जाता है तो मैंने इसे अवरुद्ध करने के लिए किसी भी आकर्षक कारणों को कभी नहीं सुना है। (अगर कोई कारण के साथ आ सकता है तो कृपया पोस्ट करें)


14
2017-11-15 20:37



यह सूचना सुरक्षा की पंथ का हिस्सा है। सुरक्षा लोगों को लगता है कि उन्हें चीजों को औचित्य देने की आवश्यकता नहीं है, क्योंकि केवल प्राणियों को सुरक्षा प्रभावों को संभवतः समझ नहीं सकता है। दूसरी ओर, नेटवर्क और सिस्टम व्यवस्थापक सिरदर्द को सादे आलस्य के लिए जिम्मेदार ठहराया जा सकता है। आखिरकार, अगर व्यवस्थापक जानते थे कि क्या हो रहा था, चीजें कभी नहीं तोड़ेंगी ... - duffbeer703
यह अनिवार्य रूप से इसके लिए निदान उपकरण को मारने के लिए मेरे लिए अजीब लगता है; जैसा कि एक हमलावर में दिलचस्पी रखने वाली जानकारी संभवतः यह मान ली जा सकती है कि मशीन पर चलने पर आपके पास कोई अन्य सेवा है। आपका अधिकार; यह बहुत "पंथ" लगता है, बस सवाल मत करो। - Antitribu
मैंने कभी नहीं समझा है कि क्यों फ़ायरवॉल किताबों के लेखकों को पूरी तरह से याद आती है कि आईसीएमपी "पिंग" और "ट्रैसरआउट" से कहीं अधिक है और फिर भी किताबें और ब्लॉग और हाउ-टूस सभी कहते हैं "ब्लॉक आईसीएमपी।" - Michael Graff
इसके स्तर और स्तर, आपका जवाब सही ढंग से मतदान किया गया था, अच्छी तरह से रखा। अधिकांशतः मुझे पता है कि यह अवरुद्ध होने पर आप कभी भी बता सकते हैं कि अंतःक्रियात्मक चीजों के साथ क्या गलत हो रहा है, खासकर जब रास्ते में कई आईसीएमपी ब्लॉक हैं। - Antitribu


आप बस आईसीएमपी को सीमित करने की कोशिश कर सकते हैं जिस तरह से इसे डीओएस हमले के रूप में उपयोग नहीं किया जा सकता है। लेकिन वहाँ बहुत सारे समस्या निवारण उपकरण हैं जैसे पिंग, एमआरटी (मैं विंडोज़ समकक्ष भूल जाता हूं), ट्रैसरआउट (ट्रैकर्ट), जो आईसीएमपी का उपयोग करते हैं। उन्हें पूरी तरह से छोड़ना सिर्फ मूर्ख है। यह जांचने का एक अच्छा तरीका है कि आपका उदाहरण ऊपर है या नहीं, भले ही आप किसी भी बंदरगाह पर टेलनेट नहीं कर सकते।

--limit 10/second
आपके आईसीएमपी नियमों के लिए शायद एक सभ्य सीमा है कि कंप्यूटर वास्तव में कितना संभाल सकता है।


8
2017-11-15 20:28





सुरक्षा सिद्धांत का सुझाव देने की भावना में, वैकल्पिक दृष्टिकोण यहां दिया गया है। अन्य पोस्टर सही हैं कि सुरक्षा अभ्यास अक्सर अति उत्साही होता है, लेकिन इसमें से अधिक के लिए एक अच्छा आधार है।

सुरक्षा सिद्धांत आम तौर पर है कि आप केवल वही सक्षम करते हैं जो आपको चाहिए। अन्य चीजें (जो उपयोगी हो सकती हैं - उदाहरण के लिए, पिंग प्रतिक्रियाएं) का उपयोग किसी हमलावर द्वारा आपके सिस्टम को समाप्त करने के लिए किया जा सकता है, या संभवतः कुछ खोजी जाने वाली भेद्यता के लिए हमले वेक्टर के रूप में किया जा सकता है।

तो, आईसीएमपी संदेश प्रकारों को देखते हुए, आपको अपने सिस्टम के सामान्य, उचित संचालन के लिए क्या चाहिए?

  • गूंज उत्तर (पिंग) - इतना नहीं
  • गंतव्य पहुंच योग्य नहीं - यहां बहुत उपयोगी जानकारी है। इसे अक्षम करें और आप कुछ ग्राहकों के लिए अपने सर्वर तक पहुंच तोड़ देंगे।
  • स्रोत क्वेंच - 1 99 5 से बहिष्कृत, और स्पष्ट रूप से 2005 (नवीनतम में) मेजबान कार्यान्वयन से हटा दिया गया। tools.ietf.org/html/rfc6633#section-1।
  • पुनर्निर्देशन - लगभग निश्चित रूप से नहीं
  • राउटर विज्ञापन और आग्रह - यदि आप अपने मार्गों को स्थाई रूप से कॉन्फ़िगर करते हैं, तो कोई आवश्यकता नहीं है, और डीओएस के लिए इसका उपयोग किया जा सकता है। मैं इसे तब तक अवरुद्ध कर दूंगा जब तक कि आपको पता न हो कि आपको इसकी आवश्यकता है, और यदि आपको इसकी आवश्यकता है, तो शायद संभावित ज्ञात राउटर से जानकारी स्वीकार करने के लिए एक नियम कोड करें।
  • टीटीएल पार हो गया - न केवल ट्रैसरआउट के लिए, आपको बताता है कि आपका यातायात अपने गंतव्य तक नहीं जा रहा है

...और इसी तरह। यदि आप वास्तव में इसे समझना चाहते हैं, तो विभिन्न आईसीएमपी प्रकारों और उनके लिए क्या हैं, इसके बारे में जानें। विकिपीडिया लेख एक अच्छा प्रारंभिक बिंदु है।

अभ्यास में, वास्तव में बदसूरत एक पुनर्निर्देशित है; अगर आप कुछ त्वरित और उपयोगी करना चाहते हैं, तो उसे अवरुद्ध करें और बाकी को अनुमति दें।

मैं जोड़ूंगा कि आईपीटीबल्स कनेक्शन ट्रैकिंग सक्रिय कनेक्शन के लिए उपयुक्त रिटर्न आईसीएमपी पैकेट की अनुमति देगी। इसलिए यदि आप कॉनट्रैक चला रहे हैं, तो आप अधिकतर आईसीएमपी इनबाउंड को अवरुद्ध करने में सक्षम होना चाहिए, जब तक आप संबंधित पैकेट स्वीकार कर रहे हों (इससे पहले कि आप अपने नियम में आईसीएमपी को ब्लॉक करें)।


6
2017-12-07 16:32



असल में स्रोत क्वेंच को 1 99 5 से हटा दिया गया है, और स्पष्ट रूप से 2005 के बाद से मेजबान कार्यान्वयन से हटा दिया गया है :)। tools.ietf.org/html/rfc6633#section-1। - sourcejedi
जवाब अद्यतन, धन्यवाद। अगर मैं थोड़ा कठिन सोचता तो मुझे याद होता कि, दुह। - Dan Pritts
मुझे लगता है कि पीएमटीयू खोज के लिए आईसीएमपी पिंग की आवश्यकता है (जो कई ब्राउज़रों और औजारों का उपयोग करते हैं)। इसे अस्वीकार करना आपके उपयोगकर्ताओं के लिए असंगत होना है। पिंग का प्रयोग कई नैदानिक ​​उद्देश्यों के लिए भी किया जाता है, और अधिकांश बड़े खिलाड़ी इसे अनुमति देते हैं। इसके अलावा, इसे अस्वीकार करने में थोड़ा सा लाभ है। - jjmontes
पीएमटीयू खोज के लिए इको (पिंग) पैकेट की आवश्यकता नहीं है। पीएमटीयू की खोज आउटगोइंग पैकेट्स पर डू फ्रैगमेंट (डीएफ) बिट सेट करके की जाती है, और आईसीएमपी गंतव्य पर पहुंचने योग्य नहीं है - छोटे लिंक एमटीयू के साथ राउटर से वापस आने वाले फ्रैगमेंटेशन आवश्यक संदेश। पिंग निदान उद्देश्यों के लिए निश्चित रूप से उपयोगी है लेकिन यह नेटवर्क पुनर्जागरण और संभावित रूप से डीओएस के लिए भी उपयोगी है। आप सभी के लिए और मुझे पता है कि लिनक्स में आईसीएमपी स्टैक में एक गुप्त रिमोट-रूट बग है। यदि आपका मानक "क्या मुझे इसकी ज़रूरत है" तो जवाब "नहीं" है। - Dan Pritts
(ध्यान दें कि मैंने जवाब में लिखा है कि गंतव्य पहुंचने योग्य संदेशों को अवरुद्ध करने से चीजें तोड़ जाएंगी। पीएमटीयू की खोज वास्तव में मैं क्या सोच रहा था। :) - Dan Pritts


नेटवर्क कनेक्टिविटी मुद्दों को हल करने के लिए यह एक उपयोगी निदान उपकरण है।

यह आपको इंटरनेट पर कहीं और कनेक्शन का उपयोग करने की अनुमति देता है जो आपके नेटवर्क पर छोटे एमटीयू का उपयोग करता है। यदि आप कहीं भी एक पैकेट भेजने की कोशिश करते हैं जो बहुत बड़ा है और इसे खंडित नहीं किया जा सकता है, तो डिवाइस पैकेट को छोड़ देता है और प्रेषक को वापस आईसीएमपी विखंडन आवश्यक पैकेट भेजता है। यदि आप सभी आईसीएमपी पैकेट छोड़ देते हैं, तो आप उन नेटवर्क को खो देते हैं और अजीब चीजें आपके नेटवर्क पर होती हैं।

वास्तविक सवाल यह है कि "आईसीएमपी क्यों ब्लॉक करें?" आपको क्या फायदा होता है? बस अपनी सीमा पर और अपनी मूल्यवान संपत्तियों के सामने अच्छे फ़िल्टरिंग नियम हैं।


4
2017-11-15 20:37





पिंग एक अच्छा निदान उपकरण है, आप वास्तव में चाहते हैं कि आप इसे किसी दिन किया था। मैं इनका उपयोग कर रहा हूं:

-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT

आप इसे थ्रॉटल भी करना चाहेंगे।


3
2017-11-15 20:19



दूसरों ने जो कुछ बताया है, उसके लिए यह अपर्याप्त है (आईसीएमपी सिर्फ पिंग से ज्यादा रास्ता है)। आपको चुनिंदा ब्लॉक करना चाहिए विशिष्ट, संभावित रूप से हानिकारक आईसीएमपी संदेश, और अन्य नियंत्रण संदेशों को अनचाहे के माध्यम से अनुमति देते हैं। - voretaq7


आजकल सर्वर पक्ष में आईसीएमपी पैकेट को सीमित करने से डीडीओएस हमलों पर सिरदर्द पैदा हो सकता है। एक सर्वर पर विशाल खिड़की आईसीएमपी अनुरोध भेजकर ज्यादातर हमले किए जाते हैं और यदि सर्वर प्रत्येक को इसका जवाब देने का प्रयास कर रहा है, तो अनुमान लगाएं कि क्या होता है?

मुख्य बात यह है कि हमारे पास एक टीमपीक सर्वर है जो हर दिन खराब पैकेट पाता है, दो महीने में कुछ दिन थे कि हमारे पास कुछ "फ्रीटाइम" था। हमने जो किया है वह पूरी तरह से अक्षम / अवरुद्ध आईसीएमपी responces है, हमारे पास सर्वर पर कोई DNS सर्वर नहीं है, कोई एनटीपी सर्वर नहीं, कोई मेल सर्वर नहीं, कोई एफ़टीपी सर्वर नहीं, केवल दो अपाचे और टीमपीक है। सेवाओं के लिए अनचाहे सभी बंदरगाह बंद हैं। हम एसएसएच को भी अवरुद्ध करने और केवल दो बंदरगाहों को छोड़ने की योजना बना रहे हैं। आज 21k (!) स्थायी प्रतिबंध है।

स्थिति यह है कि हमलावर ज्यादातर आईसीएमपी सुरंगों का उपयोग करते हैं और कुछ वास्तव में दिलचस्प लॉग लाइनों पर सर्वर प्रशासकों के साथ चर्चा की गई थी और उन्होंने कहा कि उनके पास सर्वर आईसीएमपी अनुरोध हैं, इसलिए हमलावरों ने हमले को सुरंग करने के लिए इस्तेमाल किया और हमें हमला किया। अजीब लगता है लेकिन यह सच है।

यदि आपको अपने सर्वर के निदान की आवश्यकता नहीं है और यदि आप अनुरोधों को पूरी तरह से अवरुद्ध करने में सक्षम हैं या उदाहरण के लिए विशाल विंडो ड्रॉप करने के लिए फ़िल्टर करते हैं तो इसे करें। मैं आपको पूरी तरह से ब्लॉक करने का सुझाव देता हूं: चीन, कोरिया, थाईलैंड, तुर्की क्योंकि अधिकांश आईपी पते वहां से आते हैं। मेरे पास इन देशों की पूरी इननेटम सूचियां थीं लेकिन लगभग हर दिन वहां से कुछ नए लोग आते हैं।

मैं कहता हूं कि मैं क्या करता हूं, अगर आप सहमत नहीं हैं - ऐसा मत करो। इतना ही आसान। सौभाग्य


2
2017-12-10 06:52