신뢰할 수없는 인터페이스의 IPv4 ICMP를 차단해야합니까?

23

주변에서 검색 한 결과 방화벽에서 ICMP의 모범 사례를 확인할 수 없었습니다.

예를 들어 Cisco ASA에서는 ICMP 검사가 활성화 된 경우 ICMP를 허용하는 것이 안전하고 권장됩니다. 그러면 유형 3 도달 불가능과 같은 항목을 클라이언트로 되돌릴 수 있습니다.

ipv4  firewall 
아담
소스

답변:

30

ICMP를 차단해서는 안됩니다. 중요한 신호 프로토콜입니다. 인터넷이 없으면 인터넷이 작동하지 않습니다.

ICMP를 삭제하면 PMTUD가 손상됩니다.

L3에서 L2 주소 확인 (IPV4의 ARP)이 IPv6의 ICMP를 넘어서고 있기 때문에 IPv6은 ICMP 없이도 작동하지 않습니다.

ICMP 에코가 끊어지면 문제 해결에 시간이 오래 걸립니다. 아아 종종 FW 사람들의 생각의 기차는 '의심 할 때 떨어질 것'으로 보인다.

내부 네트워크에 취약한 소프트웨어를 실행하는 인증 또는 관리되지 않는 호스트가 필요없는 서비스가 있으므로 FW를 사용합니다. ICMP는 실제로 실제 공격 경로가 아닙니다.

이티
소스
1
네트워크에서 모든 ICMP를 삭제하는 것은 좋지 않습니다. ICMPv6 (프로토 58) 만 말하는 것은 ICMP (프로토 1)와 다릅니다. 방화벽에서 ICMP를 삭제하면 ICMPv6도 명시 적으로 삭제되지 않는 한 IPv6 기능에 영향을 미치지 않습니다.
sdaffa23fdsf
예, ICMPv6이 다릅니다. "모든 ICMP 삭제"에 ICMPv6이 포함되어 있는지 여부는 방화벽에 따라 다릅니다. 일반적으로 ipv6 규칙은 ipv4 규칙과 분리되지 않습니다.
모든 ICMP를 통해 도달 할 수없는, 시간 초과 및 추적 경로와 같은 유형을 통해 허용하거나 일부 유형을 지정하는 것이 좋습니다 .
generalnetworkerror
1
나는 개인적으로 그들 모두를 허용하지만 ICMP 공격 벡터에 대해 들어 보지 못했습니다 (그러나 나는 편견입니다. 권장되는 최소 설정은 도달 할 수없는 대상, 시간 초과, 매개 변수 문제, 에코, 에코 응답, 타임 스탬프, 타임 스탬프 응답 (1ms 정밀도에서 단방향 대기 시간 측정에 적합)입니다.
ytti
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.