iptables | ICMP의 종류 : 어느 것이 (잠재적으로) 유해합니까?

ICMP 패킷의 특정 유형 ¹이 해로울 수 있다는 것을 읽었습니다. 질문 :

어느 것과 왜?
각 유형의 ICMP 패킷을 처리하기 위해 iptables 규칙 세트를 어떻게 배치해야합니까?
이러한 유형의 ICMP 패킷을 속도 제한해야합니까? 그리고 어떻게?

[¹] 내가 읽은 유형 : 리디렉션 (5), 타임 스탬프 (13) 및 주소 마스크 요청 (17). 답에 이것들을 고려하지 마십시오.

추가 정보
Ubuntu Server가있는 VPS의 웹 서버입니다.

시스템을보다 안전하게 만들고자하는 목표 는 일부 D / DoS 공격 및 일반적인 악용의 위험을 완화합니다.

— ML--
소스

"ICMP IS EVIL"만트라에 희생되는 것 같습니다.
ICMP는 하지 악, 단지 오해. 슬픈 사실은 많은 관리자들이 자신이 이해하지 못하는 것을 두려워하여 ICMP를 네트워크 유니버스에서 전송하여 에지 방화벽 수준에서 축소하고 네트워크의 이익을 위해 올바른 장소를 찾지 못하게하는 것입니다.

그 말을하면서 여러분의 질문에 답해 드리겠습니다.

어떤 유형의 ICMP 메시지가 유해 할 수 있으며 그 이유는 무엇입니까?
그들 모두 거의.

Echo패킷은 서비스를 방해하는 데 사용될 수 있습니다 (특히 IP 스택이 잘못 구현 된 시스템의 경우). 합법적으로 사용하면 네트워크에 대한 정보를 제공 할 수 있습니다.
Destination Unreachable악의적으로 주입 될 수 있습니다. 합법적으로 사용하면 방화벽 / 라우팅 구조 또는 네트워크의 특정 시스템에 대한 정보를 제공 할 수 있습니다.
Source Quench 서버가 효과적으로 구석에 앉아서 엄지 손가락을 빨도록 악의적으로 전송 될 수 있습니다.
redirect 이름에서 알 수 있듯이 사용할 수 있습니다.
router advertisement및 router solicitation요청은 "흥미로운"트래픽 토폴로지를 생성 (및 MITM 공격을 용이하게) 그들에게 당신의 호스트가 실제로 관심을 지불하면 사용할 수 있습니다.
traceroute되는 디자인 네트워크를 토폴로지 정보를 제공 할 수 있습니다.

…기타...

다양한 ICMP 메시지 의 이름은 그들이 할 수있는 일을 거의 자세히 설명합니다. 악몽 시나리오를 꿈꾸며 타고난 편집증을 행사하십시오 :-)

각 유형의 ICMP 패킷을 처리하기 위해 iptables 규칙 세트를 어떻게 배치해야합니까?
ICMP 트래픽을 망칠만한 충분한 이유가 없다면, 그냥 내버려 두십시오!
ICMP 트래픽을 다루는 것은 ICMP 메시지의 적절한 사용을 방해합니다 (트래픽 관리 및 문제 해결). 도움이되는 것보다 더 실망 할 것입니다.

이러한 유형의 ICMP 패킷을 속도 제한해야합니까? 그리고 어떻게?
이것은 "지옥 만 남길"철학에 대한 유일한 예외 일 수 있습니다. 속도 또는 대역폭 제한 ICMP 메시지는 ICMP 메시지의 불법적 인 사용을 피하는 데 도움이 될 수 있습니다. FreeBSD 는 기본적 으로 ICMP Bandwidth / Rate Limiting 과 함께 제공되며 Linux는 비슷한 기능을 가지고 있다고 가정합니다.

ICMP 트래픽을 삭제하는 블랭킷 방화벽 규칙보다 속도 / 대역폭 제한이 훨씬 바람직합니다. ICMP가 여전히 네트워크에서 ICMP의 목적을 달성 할 수있게하고 서버 악용 시도를 부분적으로 완화합니다.

위의 내용은 한 시스템 관리자의 의견이며, 모든 ICMP 트래픽이 발생하는 곳에서 문제를 해결하는 데 어려움을 겪고있는 sysadmin의 의견을 나타냅니다 . :-)

— voretaq7
소스

그러나 .. 그러나 .. 죽음 의 핑은 비이성적 인 수준으로 두려워해야합니다! (나는 첫 번째 단락 후이 답을 쓴 말할 수 있다는 나쁜 그것을인가?)

— 셰인 매든

실제로 ICMP가 유용합니다. 만약 내가 "ICMP is evil"의 희생자라면, 나는 모든 것을 차단하고이 질문을 열지 않을 것이다. :) 내가 원하는 것은 정보에 입각 한 결정을 내리는 데 도움이된다. 당신은 내가 그들 모두를 차단하지 않을 것이라고 확신 할 수 있습니다 :)

— ML--

@Shane Madden : --state INVALIDPing of Death를 떨어 뜨리겠습니까?

— ML--

@ ML-- 죽음의 핑에 대해 걱정하지 마십시오. 이 밀레니엄의 OS는 취약하지 않습니다.

— Shane Madden

@ ML-- 내가 걱정할 벡터는이다 Source Quench. 그리고 상대 불명예로 차단할 수있다 (TCP는 결국 스스로 알아낼 것이다). Ping & Traceroute는 확실히 정보 유출이지만 실제로는 환경에 너무 많은 보안을 제공한다고 생각하지 않습니다. 마일리지 (및 필요한 편집증 수준)는 다를 수 있습니다 (데이터 / 환경의 민감도에 따라 다름).

— voretaq7

가능한 공격 경로보다 유형에 관한 것이 아닙니다. 수년 동안 많은 일반적인 인터넷 호스트의 TCP / IP 스택에서 ICMP 소스 퀀치 패킷을 사용하는 다소 효과적인 DoS 공격 경로 가 있었지만 소스 퀀치 ICMP 메시지를 일반적으로 필터링해야한다는 의미는 아닙니다. 네트워크 보안의 모든 것과 마찬가지로 개인 우선 순위 에 따라 가능한 공격 영역에 대해 특정 프로토콜 또는 서비스의 이점을 평가하십시오 . ICMP를 통해 공격 경로에 영향을받는 호스트가 네트워크에있는 경우이를 수정할 수 없으며 특정 기능이 필요하지 않은 경우 반드시 필터링해야합니다.

관리되는 v4 네트워크의 경우 ICMP 유형 0, 8 (에코 요청 / 응답), 11 (TTL 만료), 3 (대상에 도달 할 수 없음) 및 12 (IP 헤더 오류)를 허용하고 모두 삭제하는 것이 안전하고 편리하다는 것을 알았습니다. 나머지.

— 토끼
소스