it-swarm-eu.dev

Bezpečnostní riziko PING?

Bylo mi řečeno, že PING představuje bezpečnostní riziko a je dobré jej zakázat/blokovat na produkčních webových serverech. Někteří výzkum mi říká, že skutečně existují bezpečnostní rizika. Je běžnou praxí zakázat/blokovat PING na veřejně viditelných serverech? A vztahuje se to na ostatní členy rodiny ICMP, jako je traceroute ( wikipedia on security )?

47
Mr. Jefferson

protokol ICMP Echo (obvykle známý jako "Ping") je většinou neškodný. Mezi hlavní problémy související s bezpečností patří:

  • V přítomnosti žádostí s falešnou zdrojovou adresou („spoofing“) mohou cílový stroj poslat relativně velké pakety jinému hostiteli. Povšimněte si, že odpověď Ping není podstatně větší než odpovídající žádost, takže zde není multiplikační efekt: nedá útočníkovi v souvislosti s útokem odmítnutí služby další moc. Může však chránit útočníka před identifikací.

  • Honoured Ping request může poskytnout informace o vnitřní struktuře sítě. To však není relevantní pro veřejně viditelné servery, protože jsou již veřejně viditelné.

  • V některých rozšířených implementacích TCP/IP se vyskytovaly bezpečnostní díry, kde by nesprávně tvarovaný požadavek Ping mohl poškodit počítač ( "ping of death" ). Během minulého století však byly tyto záplaty řádně opraveny a již se netýkají.

Je běžnou praxí zakázat nebo blokovat Ping na veřejně viditelných serverech - ale být společné není stejné jako být doporučeno. www.google.com odpovídá na požadavky Ping; www.Microsoft.com ne. Osobně bych doporučil nechat všechny ICMP předávat veřejně viditelné servery.

Některé typy paketů ICMP MUSÍ NENÍ být zablokovány, zejména zpráva ICMP „cílové nedostupné“, protože blokování toho zlomení nalezení MTU cesty , příznaky jsou uživatelé DSL (za PPPoE vrstva, která omezuje MTU na 1492 bajtů) nemůže získat přístup k webům, které tyto pakety blokují (pokud nepoužívají webový proxy poskytovaný jejich poskytovatelem internetových služeb).

61
Thomas Pornin

ICMP obsahuje datovou komponentu. Může být použit k výstavbě tunelů, a nejde jen o teorii, ale o divočinu. Bylo zjištěno několika různými vědci jako součást sady nástrojů malware . Nemluvě o tom, že na toto téma je prominentní howto, nemluvě o wiki nebo hackaday

ICMPTX používá ICMP echo a ICMP odpověď. ICMP echo není vždy neškodný, protože obsahuje datovou komponentu, může to být exfiltrační data nebo může být použit jako kontrolní kanál, nebo může být použit (v případě ICMPTX) jako tunelovací protokol.

Aktuální implementace v distribuci, s howto, (ICMPTX): http://thomer.com/icmptx/

Skutečný útokový scénář využívající přenos dat ICMP pro vstřikování užitečného zatížení: Open Packet Capture

Použití protokolu přenosu dat ICMP podobnými metodami jako ICMPTX (2006) pro trojan C&C a exfiltraci: Network World

19
Ori

Je pravda, že ICMP mohou útočníci použít k získání informací, přenosu dat tajně atd. Je také pravda, že ICMP je nesmírně užitečná a že jeho deaktivace může často způsobit problémy. Traceroute ve skutečnosti používá ICMP, takže zakázání určitých typů ICMP jej zlomí.

Tato otázka zdůrazňuje klasickou rovnováhu mezi bezpečností a funkčností a je na vás, abyste určili, kolik funkcí jste ochotni ztratit, abyste získali x množství bezpečnosti.

Jedním z doporučení je povolit pouze určité typy (nejčastěji používané) a zakázat všechny ostatní. Zde jsou moje pravidla iptables. Mějte na paměti, že jsou povoleny, protože ve výchozím nastavení je zakázáno všechno ostatní.

 # Allow incoming ICMP: ping, MTU discovery, TTL expired
/sbin/iptables -A INPUT -i eth0 -p icmp -d $YOURBOX --icmp-type 8/0 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp -d $YOURBOX --icmp-type 3/4 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp -d $YOURBOX --icmp-type 11/0 -j ACCEPT
9
Daniel Miessler

Myslím, že odpověď na odchozí echo je nebezpečnější než žádost o příchozí echo kvůli zesílení ICMP (buď rychlostní limit, nebo tento provoz odmítnout). Po desetiletích přemýšlení nad tímto tématem jsem však dospěl k závěru, že ICMP je nebezpečnější než užitečný, a proto by měl být blokován v obou směrech, přičemž by se mělo zaznamenávat potenciálně spoofed outbound traffic.

Nejlepší ze všech světů jsou nulové cesty ke všemu, co by mohlo být stavově-ale-nechtěné (připojení TCP) a reflexivní ACL (výkonem řízené) pro cokoli stavově-ale-povolených a/nebo ne-plně-stavových (UDP datagramy), zatímco odstranění dalších typů protokolů IP, protože jsou zbytečné. IPsec AH/ESP není nutný, místo toho použijte OpenVPN (nebo podobný).

Poté, co jste zablokovali ICMP traceroute, musíte také bojovat s tracerouty založenými na UDP a technologickými koncepty, jako jsou nástroje 0trace, LFT a osstmm_afd.

I když i Nmap Vánoční testy nejsou snímány Snortem/Suricatou, natož útoky založené na SQLi nebo Javascriptu (v jakémkoli směru), musíme si uvědomit význam rizik spojených s bezpečností sítí a aplikací útoky proti moderní infrastruktuře. Měli bychom popírat, testovat a ověřovat jakýkoli druh footprintingového provozu - a nechápu, proč by to nezahrnovalo ICMP, ale ve skutečnosti se tam nezačne nebo nezastaví.

7
atdre

Ping a Traceroute jsou vyžadovány pro odstraňování problémů se sítěmi. S moderními firewally a bezpečnostními nástroji je velmi málo a hraničí s neexistující pravděpodobností úspěšného použití obou protokolů nebezpečným způsobem.

V roce 1996 to byl jistě problém, ale nyní je to téměř o 20 let později a jejich blokování vede pouze k dramaticky zvýšeným časovým rámcům k vyřešení připojení a výkonu. Schopnost týmů úrovně 1/2 identifikovat a opravit jednoduché směrování a problémy se sítí je problém s poskytováním služeb, který ovlivňuje spokojenost zákazníka s jakýmkoli síťovým službami, které poskytujete.

6

Namísto odpovědi na primární otázku „jaká jsou bezpečnostní rizika pingu“ odpovím na vaši dílčí otázku „Je to dobrý nápad blokovat/deaktivovat na produkčních webových serverech“

Myslím, že zde můžeme najít rovnováhu mezi bezpečností a užitečností. Pracovníci podpory obecně považují ping za užitečný při kontrole latence nebo dostupnosti určitého uzlu. Bezpečnostní pracovníci se obávají mnoha bezpečnostních problémů nastíněných na této stránce a často se jedná o „padouchy“.

Proč neuvažovat o deaktivaci Ping ve formátu whitelist/blacklist a informujte o tom své podpůrné pracovníky. Pokud se vaše hlavní publikum nachází v určité geografické oblasti, omezte možnost pingu na základě přidělování IP IANA

4

Po počátečním přístupu na váš server může škodlivý software použít protokol ping jako způsob komunikace se svým příkazovým a řídicím serverem. Například reverzní Shell používající pingový protokol: https://github.com/inquisb/icmpsh

0
Furkan Turan