Das ICMP-Echo-Protokoll (normalerweise als "Ping" bekannt) ist größtenteils harmlos. Die wichtigsten sicherheitsrelevanten Probleme sind:

• Bei Anforderungen mit einer gefälschten Quelladresse ("Spoofing") kann ein Zielcomputer relativ große Pakete an einen anderen Host senden . Beachten Sie, dass eine Ping-Antwort nicht wesentlich größer als die entsprechende Anforderung ist, sodass dort kein Multiplikatoreffekt auftritt: Sie gibt dem Angreifer im Rahmen eines Denial-of-Service-Angriffs keine zusätzliche Leistung. Dies kann den Angreifer jedoch vor Identifikation schützen.

• Eine geehrte Ping-Anforderung kann Informationen über die interne Struktur eines Netzwerks liefern. Dies ist jedoch für öffentlich sichtbare Server nicht relevant, da diese bereits öffentlich sichtbar sind.

• In einigen weit verbreiteten TCP / IP-Implementierungen gab es Sicherheitslücken, bei denen ein fehlerhafter Ping auftrat Anfrage könnte eine Maschine zum Absturz bringen (der "Ping of Death"). Diese wurden jedoch im letzten Jahrhundert ordnungsgemäß gepatcht und sind kein Problem mehr.

Es ist üblich, Ping auf öffentlich sichtbaren Servern zu deaktivieren oder zu blockieren - aber common ist nicht dasselbe wie empfohlen . www.google.com antwortet auf Ping-Anfragen; www.microsoft.com nicht. Persönlich würde ich empfehlen, alle ICMPs für öffentlich sichtbare Server passieren zu lassen.

Einige ICMP-Pakettypen DÜRFEN NICHT blockiert werden, insbesondere die ICMP-Nachricht "Ziel nicht erreichbar", da dies blockiert wird Man unterbricht die Pfad-MTU-Erkennung. Die Symptome sind, dass DSL-Benutzer (hinter einer PPPoE-Schicht, die die MTU auf 1492 Byte beschränkt) nicht auf Websites zugreifen können, die diese Pakete blockieren (es sei denn, sie verwenden den von ihrem ISP bereitgestellten Web-Proxy). .

ICMP enthält eine Datenkomponente. Es kann verwendet werden, um Tunnel zu bauen, und dies ist nicht nur eine theoretische Sache, es ist in freier Wildbahn verfügbar. Es wurde von mehreren verschiedenen Forschern als Teil von Malware -Toolkits gefunden. Ganz zu schweigen davon, dass es zu diesem Thema ein prominentes Howto gibt, ganz zu schweigen vom Wiki oder dem Hackaday

. ICMPTX verwendet das ICMP-Echo und die ICMP-Antwort . ICMP Echo ist nicht immer harmlos, da es eine Datenkomponente enthält, Daten exfiltrieren oder als Steuerkanal oder (im Fall von ICMPTX) als Tunnelprotokoll verwendet werden kann / p>

Aktuelle Implementierung in die Verteilung mit Howto (ICMPTX): http://thomer.com/icmptx/

Reales Angriffsszenario mit ICMP-Datenübertragung für Nutzlastinjektion: Open Packet Capture

Verwendung eines ICMP-Datenübertragungsprotokolls über ähnliche Methoden wie ICMPTX (2006) für Trojaner C&C und Exfiltration: Network World

Es ist richtig, dass ICMP von Angreifern verwendet werden kann, um Informationen zu erhalten, Daten verdeckt zu transportieren usw. Es ist auch wahr, dass ICMP äußerst nützlich ist und dass das Deaktivieren häufig Probleme verursachen kann. Traceroute verwendet tatsächlich ICMP. Wenn Sie also bestimmte ICMP-Typen nicht zulassen, wird es beschädigt.

Die Frage hebt das klassische Gleichgewicht zwischen Sicherheit und Funktionalität hervor, und es liegt an Ihnen, zu bestimmen, wie viel Funktionalität Sie verlieren möchten um x Sicherheit zu erhalten.

Eine Empfehlung besteht darin, nur bestimmte Typen (die am häufigsten verwendeten) zuzulassen und alle anderen zu deaktivieren. Hier sind meine iptables-Regeln. Beachten Sie, dass diese zulässig sind, da alles andere standardmäßig nicht zulässig ist.

  # Eingehenden ICMP zulassen: Ping, MTU-Erkennung, TTL abgelaufen / sbin / iptables -A INPUT -i eth0 -p icmp -d $ YOURBOX --icmp-Typ 8/0 -j ACCEPT / sbin / iptables -A INPUT -i eth0 -p icmp -d $ YOURBOX --icmp-Typ 3/4 -j ACCEPT / sbin / iptables -A INPUT -i eth0 -p icmp -d $ YOURBOX --icmp-type 11/0 -j AKZEPTIEREN  

Ich denke, dass ausgehende Echoantworten aufgrund der ICMP-Verstärkung gefährlicher sind als eingehende Echoanforderungen (entweder Ratenbegrenzung oder Verweigerung dieses Datenverkehrs). Nach jahrzehntelangem Nachdenken über dieses Thema bin ich jedoch zu dem Schluss gekommen, dass ICMP eher gefährlich als nützlich ist und daher in beide Richtungen blockiert werden sollte, um potenziell gefälschten ausgehenden Verkehr anzumelden.

Das Beste von Alle Welten sind Nullrouten für alles, was zustandsbehaftet, aber unerwünscht (TCP-Verbindungen) und reflexive ACLs (leistungsgesteuert) für alle zustandsbehafteten, aber zulässigen und / oder nicht vollständig zustandsbehafteten (UDP-Datagramme) sein kann, während andere entfernt werden IP-Protokolltypen, da diese nicht erforderlich sind. IPsec AH / ESP ist nicht erforderlich. Verwenden Sie stattdessen OpenVPN (oder ähnliches).

Nachdem Sie die ICMP-Traceroute blockiert haben, müssen Sie sich auch mit UDP-basierter Traceroute sowie mit Technologiekonzepten wie den in der 0trace-, LFT- und osstmm_afd-Tools.

Auch wenn Nmap Xmas-Scans nicht von Snort / Suricata erfasst werden, geschweige denn von SQLi- oder Javascript-basierten Angriffen (in jede Richtung), müssen wir die Bedeutung von Risiken erkennen gebunden an Netzwerk- und Anwendungssicherheitsangriffe gegen moderne Infrastruktur. Wir sollten jede Art von Footprint-Verkehr ablehnen, testen und verifizieren - und ich verstehe nicht, warum dies ICMP nicht einschließen würde, aber es startet oder stoppt dort wirklich nicht

Ping und Traceroute sind zur Fehlerbehebung in Netzwerken erforderlich. Mit modernen Firewalls und Sicherheitstools gibt es nur sehr wenig und grenzt an die nicht vorhandene Chance, dass eines der beiden Protokolle auf böswillige Weise erfolgreich verwendet wird.

1996 war es sicher ein Problem, aber es ist jetzt 2015, fast 20 Jahre später, und das Blockieren dieser führt nur zu dramatisch verlängerten Zeitrahmen, um Konnektivität und Leistung zu lösen. Die Fähigkeit von Tier-1/2-Teams, einfache Routing- und Netzwerkprobleme zu identifizieren und zu beheben, ist ein Problem bei der Bereitstellung von Diensten, das sich auf die Zufriedenheit der Kunden mit den von Ihnen bereitgestellten Netzwerkdiensten auswirkt.

Anstatt die Hauptfrage "Was sind die Sicherheitsrisiken von Ping?" zu beantworten, beantworte ich Ihre Unterfrage "Ist es eine gute Idee, auf Produktionswebservern zu blockieren / zu deaktivieren"

Ich denke, wir können hier ein Gleichgewicht zwischen Sicherheit und Nutzen finden. Support-Mitarbeiter finden Ping im Allgemeinen nützlich, wenn sie die Latenz oder Verfügbarkeit eines bestimmten Knotens überprüfen. Sicherheitspersonal ist besorgt über viele der auf dieser Seite beschriebenen Sicherheitsprobleme und häufig die "Bösen".

Deaktivieren Sie Ping in einem Whitelist- / Blacklist-Format und teilen Sie dies Ihrem Support mit Mitarbeiter. Wenn sich Ihre Kerngruppe in einer bestimmten geografischen Region befindet, beschränken Sie die Ping-Fähigkeit basierend auf der IANA-IP-Zuweisung

Nach einem ersten Zugriff auf Ihren Server kann eine schädliche Software das Ping-Protokoll als Kommunikationsmittel zu ihrem Befehls- und Steuerungsserver verwenden. Als Beispiel eine Reverse Shell mit dem Ping-Protokoll: https://github.com/inquisb/icmpsh

In "Anforderung für Internet-Hosts" gibt eine angesehene Behörde, die für die Standardisierung der ICMP-, TCP-, IP- und anderer Protokolle verantwortlich ist, die IETF an, dass Hosts auf ICMP-Anfragen antworten sollen. Die Praxis ist also nicht nur sicher, sondern wird auch als obligatorisch für die Einhaltung ihrer Standards angesehen:

Jeder Host MUSS eine ICMP-Echo-Serverfunktion implementieren, die Echo-Anforderungen empfängt und entsprechende Echo-Antworten sendet. Ein Host SOLLTE auch eine Schnittstelle auf Anwendungsebene zum Senden einer Echoanforderung und zum Empfangen einer Echoantwort zu Diagnosezwecken implementieren.

In der Standard-IETF-Sprache MUSS MUSS bedeuten, dass "das Element absolut ist Anforderung der Spezifikation. " Zwar SOLLTE dies bedeuten, dass "unter bestimmten Umständen gültige Gründe vorliegen können, um dieses Element zu ignorieren, aber die vollständigen Auswirkungen sollten verstanden werden"

Dies bedeutet, dass ein Server auf eine ICMP-Echoabfrage antworten muss, dies jedoch möglicherweise nicht Stellen Sie eine Benutzeroberfläche für sie bereit.

Das Dokument bezieht sich auf eine ausführliche Debatte, die vor dem Datum der Redaktion 1989 stattfand:

"Diese neutrale Bestimmung resultiert aus einer Leidenschaft Debatten zwischen Personen, die der Meinung sind, dass ICMP-Echo an eine Broadcast-Adresse eine wertvolle Diagnosefunktion bietet, und Personen, die der Ansicht sind, dass ein Missbrauch dieser Funktion zu leicht zu Paketstürmen führen kann. "

Auch nach neueren ( 2010) Diskussionen über theoretische Angriffe durch ICMP auf RFC 5927 hat die IETF die ICMP-ECHO-Antworten immer noch nicht von einem MUSS auf ein MUSS herabgestuft. Das Ziel dieses RFC sind Anbieter und Implementierer von ICMP und TCP, nicht Verbraucher. Die im schlimmsten Fall beschriebenen Szenarien sind eine Verschlechterung des Dienstes.

Kurz gesagt, ICMP ist sicher. Das Deaktivieren wird nicht empfohlen.

Wenn Sie die Schultern der Riesen respektieren, auf denen Sie stehen, respektieren Sie deren Entscheidung und vermeiden Abweichungen von der Konvention.