Mi è stato detto che PING presenta un rischio per la sicurezza, ed è una buona idea disabilitare / bloccarlo sui server Web di produzione. Alcuni ricerca mi dicono che esistono effettivamente rischi per la sicurezza. È prassi comune disabilitare / bloccare PING su server visibili pubblicamente? E questo vale per altri membri della famiglia ICMP, come traceroute ( wikipedia sulla sicurezza )?
Il protocollo Echo ICMP (generalmente noto come "Ping") è per lo più innocuo. I suoi principali problemi relativi alla sicurezza sono:
In presenza di richieste con un indirizzo di origine falso ("spoofing"), possono far sì che una macchina di destinazione invii pacchetti relativamente grandi a un altro host. Si noti che una risposta Ping non è sostanzialmente più grande della richiesta corrispondente, quindi non vi è alcun effetto moltiplicatore: non darà più potere all'attaccante nel contesto di un attacco denial of service. Tuttavia, potrebbe proteggere l'attaccante dall'identificazione.
La richiesta Ping onorata può fornire informazioni sulla struttura interna di una rete. Questo non è rilevante per i server visibili pubblicamente, tuttavia, dal momento che sono già pubblicamente visibili.
C'erano dei buchi di sicurezza in alcune implementazioni TCP / IP diffuse, in cui una richiesta Ping malformata poteva mandare in crash una macchina (il "ping of death" ). Ma questi sono stati debitamente rattoppati durante il secolo precedente e non sono più un problema.
È pratica comune disattivare o bloccare Ping su server visibili pubblicamente, ma essere comune non è lo stesso di raccomandato . www.google.com risponde alle richieste Ping; www.microsoft.com no. Personalmente, consiglierei di lasciare che tutto l'ICMP passi per server visibili pubblicamente.
Alcuni tipi di pacchetti ICMP NON DEVONO essere bloccati, in particolare il messaggio ICMP "destinazione irraggiungibile", perché bloccando quello si rompe percorso Rilevazione MTU , i sintomi sono che gli utenti DSL (dietro un livello PPPoE che limita MTU a 1492 byte) non possono accedere ai siti Web che bloccano tali pacchetti (a meno che non utilizzino il proxy Web fornito dal proprio ISP).
ICMP ha un componente dati ad esso. Può essere usato per costruire tunnel, e questa non è solo una teoria, è disponibile in natura. È stato trovato da diversi ricercatori come parte di malware toolkit. Per non parlare di un howto di spicco su questo argomento, per non parlare della wiki , o del metaltech
ICMPTX utilizza l'eco ICMP e la risposta ICMP. ICMP echo non è sempre innocuo, dal momento che contiene un componente di dati, può essere un esfiltrazione di dati o utilizzato come canale di controllo o utilizzato (nel caso di ICMPTX) come protocollo di tunneling.
Attuale impianto in distribuzione, con howto, (ICMPTX): link
Scenario di attacco reale che utilizza la trasmissione di dati ICMP per l'iniezione del carico utile: Apri Packet Capture
Uso di un protocollo di trasmissione dati ICMP tramite metodi simili a ICMPTX (2006) per trojan C & C ed Exfiltration: Network World
È vero che ICMP può essere utilizzato dagli aggressori per ottenere informazioni, trasportare i dati in modo nascosto, ecc. È anche vero che ICMP è estremamente utile e che disabilitarlo può spesso causare problemi. Traceroute utilizza infatti ICMP, quindi non consentire l'uso di alcuni tipi di ICMP.
La domanda evidenzia il classico equilibrio tra sicurezza e funzionalità, e spetta a te determinare quante funzionalità sei disposto a perdere per ottenere x quantità di sicurezza.
Un consiglio è di consentire solo alcuni tipi (il più usato) e di disabilitare tutti gli altri. Ecco le mie regole di iptables. Tieni presente che questi sono consentiti perché tutto il resto non è consentito per impostazione predefinita.
# Allow incoming ICMP: ping, MTU discovery, TTL expired
/sbin/iptables -A INPUT -i eth0 -p icmp -d $YOURBOX --icmp-type 8/0 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp -d $YOURBOX --icmp-type 3/4 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp -d $YOURBOX --icmp-type 11/0 -j ACCEPT
Penso che la risposta all'eco in uscita sia più pericolosa della richiesta di echo in entrata a causa dell'amplificazione ICMP (limite di velocità o negazione di questo traffico). Tuttavia, dopo decenni di riflessioni su questo argomento, ho concluso che ICMP è più pericoloso che utile, e quindi dovrebbe essere bloccato in entrambe le direzioni, con accesso al traffico in uscita potenzialmente contraffatto.
Il meglio di tutti i mondi è route null su tutto ciò che potrebbe essere stateful-but-unwanted (connessioni TCP) e ACL riflessivi (prestazioni guidate) per qualsiasi stato, ma permessi e / o non completamente-stateful (datagrammi UDP ), mentre la rimozione di altri tipi di protocollo IP, in quanto non necessari. IPsec AH / ESP non è necessario, utilizzare invece OpenVPN (o simile).
Dopo aver bloccato il traceroute ICMP, devi anche fare i conti con traceroute basato su UDP, così come concetti tecnologici come quelli trovati negli strumenti 0trace, LFT e osstmm_afd.
Anche se le scansioni Nmas Xmas non vengono rilevate da Snort / Suricata, per non parlare degli attacchi basati su SQLi o Javascript (in qualsiasi direzione), dobbiamo riconoscere l'importanza dei rischi legati agli attacchi alla sicurezza delle applicazioni e delle reti contro l'infrastruttura moderna. Dovremmo negare, testare e verificare qualsiasi tipo di traffico di footprinting e non vedo perché questo non includa ICMP, ma in realtà non si avvia o non si ferma qui.
Ping e Traceroute sono necessari per la risoluzione dei problemi delle reti. Con i firewall moderni e gli strumenti di sicurezza ce n'è pochissimo, e confinante con la possibilità inesistente che il protocollo venga usato con successo in modo malevolo.
Nel 1996, era sicuramente un problema, ma ora è il 2015 a quasi 20 anni di distanza, e il blocco di questi porta solo a tempi notevolmente aumentati per risolvere connettività e prestazioni. La paralisi della capacità dei team di livello 1/2 di identificare e risolvere problemi di routing e rete semplici è un problema di erogazione dei servizi che influisce sulla soddisfazione dei clienti con qualsiasi servizio di rete fornito.
-Chris
Invece di rispondere alla domanda principale di "quali sono i rischi per la sicurezza del ping", risponderò alla tua sotto-domanda "È una buona idea bloccare / disabilitare i server Web di produzione"
Penso che possiamo trovare un equilibrio tra sicurezza e utilità qui. Il personale di supporto in genere trova utile il ping quando verifica la latenza o la disponibilità di un determinato nodo. Lo staff di sicurezza è preoccupato per molti dei problemi di sicurezza descritti in questa pagina e sono spesso i "cattivi".
Perché non prendere in considerazione la disattivazione di Ping in un formato lista bianca / lista nera e renderlo noto al personale di supporto. Se il tuo pubblico principale si trova in una determinata area geografica, limita la possibilità di eseguire il ping in base a allocazione IP IANA