Esiste il rischio di consentire i pacchetti di ping * out * attraverso un firewall

Naviga le tue risposte
4

La società per cui lavoro attualmente non consente le richieste di out tramite il firewall, per "motivi di sicurezza" e sono sconcertato sul motivo per cui questa è una preoccupazione.

Prima di indirizzarmi a (ad esempio) questa domanda , nota che I ' Non sto parlando di rispondere per eseguire il ping delle richieste effettuate al di fuori della rete. Sto parlando di eseguire il ping dall'interno della rete aziendale.

Quindi, ad esempio, stavo cercando di risolvere un problema di rete su una macchina virtuale Linux e (ingenuamente) ipotizzavo che il ping di google.com mi dicesse se avevo qualsiasi connettività a tutti ( mtr non è stato installato su questa VM, o avrei usato quello), e tutti i segni indicavano qualche problema di rete, o modifica la configurazione del server proxy che in precedenza ero stato in grado di passare (usando cntlm ).

C'è davvero un motivo legittimo per impedire ai tuoi utenti di eseguire il ping all'esterno dei server?

    
posta iconoclast 05.07.2012 - 22:30
fonte

3 risposte

5

Se stai permettendo richieste echo ICMP (tipo 8, codice 0), allora presumibilmente permetterete che le risposte echo ICMP (tipo 0, codice 0) siano nuovamente incluse. Le risposte echo ICMP possono essere usate per la mappatura inversa di un rete di destinazione, anche quando è presente un dispositivo di filtraggio (come un firewall sul perimetro). Questo è un vecchio attacco e i firewall moderni possono bloccarlo facilmente (supponendo che siano configurati correttamente).

L'attacco Smurf DDOS prima sfrutta una rete intermedia che risponderà per trasmettere un messaggio icmp e, a sua volta, invia IMCP echo richieste a una vittima successiva.

Ecco un white paper sugli attacchi ICMP: è vecchio ma ancora valido e contiene buone informazioni.

Le comunicazioni C & C sono già ben trattate sopra, ma ecco un altro vecchio articolo su canali nascosti che mostrano alcuni esempi, in particolare sull'uso da parte di Loki delle richieste e delle risposte di eco.

È anche possibile usare ptunnel per impostare una connessione TCP usando richieste e risposte echo ICMP, bypassando così le altre restrizioni del firewall (se hai permesso alle richieste ICMP di uscire e rispondere). Nei test precedenti, questa connessione è stata affidabile e resiliente.

    
risposta data 06.07.2012 - 11:10
fonte
3

Alcuni che vengono in mente:

  • Protezione dagli attacchi (ad esempio un DDOS ICMP di base) proveniente da computer compromessi all'interno dell'azienda.
  • Impedire alle macchine compromesse di annunciare facilmente la propria presenza su C & C
  • Come parte di un criterio "rifiuto predefinito" per consentire solo esplicitamente il traffico. Questo ti dà una postura di massima sicurezza, ad un costo elevato per comodità.

Sono sicuro che ce ne sono altri, ma perché non chiedi loro solo l'obiettivo di quella particolare misura di sicurezza?

    
risposta data 06.07.2012 - 02:52
fonte
3

Alcuni malintenzionati potrebbero utilizzare i pacchetti ICMP in uscita per inviare dati dalla macchina vittima, maggiori informazioni sul canale Covert.

    
risposta data 06.07.2012 - 04:00
fonte

Leggi altre domande sui tag

L'utente root ha lasciato abilitato in Mac OS X un rischio per la sicurezza? Non è sufficiente microtime () o mt_rand () per reimpostare la password?