it-swarm.dev

Rischio per la sicurezza di PING?

Mi è stato detto che PING presenta un rischio per la sicurezza ed è una buona idea disabilitarlo/bloccarlo sui server Web di produzione. Alcuni ricerca mi dicono che ci sono davvero rischi per la sicurezza. È pratica comune disabilitare/bloccare il PING su server visibili pubblicamente? E questo vale per altri membri della famiglia ICMP, come traceroute ( wikipedia on security )?

47
Mr. Jefferson

ICMP Echo protocol (di solito noto come "Ping") è per lo più innocuo. I principali problemi relativi alla sicurezza sono:

  • In presenza di richieste con un indirizzo di origine falso ("spoofing"), possono fare in modo che una macchina target invii pacchetti relativamente grandi a un altro host. Si noti che una risposta Ping non è sostanzialmente più grande della richiesta corrispondente, quindi non vi è alcun effetto moltiplicatore: non darà ulteriore potere all'attaccante nel contesto di un attacco denial of service. Tuttavia, potrebbe proteggere l'attaccante dall'identificazione.

  • Una richiesta di ping onorata può fornire informazioni sulla struttura interna di una rete. Questo non è rilevante per i server visibili pubblicamente, tuttavia, poiché quelli sono già pubblicamente visibili.

  • In passato c'erano alcune falle di sicurezza in alcune diffuse implementazioni TCP/IP, in cui una richiesta Ping non valida poteva mandare in crash una macchina (il "ping of death" ). Ma questi sono stati debitamente rattoppati durante il secolo precedente e non destano più preoccupazione.

È pratica comune disabilitare o bloccare il ping su server visibili pubblicamente, ma essere comune non equivale a essere consigliato. www.google.com risponde alle richieste di ping; www.Microsoft.com non. Personalmente, consiglierei di lasciare passare tutto l'ICMP ai server visibili pubblicamente.

Alcuni tipi di pacchetti ICMP NON DEVONO essere bloccati , in particolare il messaggio ICMP "irraggiungibile di destinazione", poiché il blocco si interrompe percorso MTU discovery , i sintomi sono che gli utenti DSL (dietro uno strato PPPoE che limita MTU a 1492 byte) non possono accedere a siti Web che bloccano quei pacchetti (a meno che non utilizzino il proxy Web fornito dal proprio ISP).

61
Thomas Pornin

ICMP ha un componente dati. Può essere usato per costruire tunnel, e questa non è solo una cosa teorica, è disponibile in natura. È stato trovato da diversi ricercatori come parti di malware toolkit. Per non parlare di un importante howto su questo argomento, per non parlare del wiki , o del hackaday

ICMPTX utilizza l'eco ICMP e la risposta ICMP. ICMP echo non è sempre innocuo, poiché contiene un componente di dati, può essere esfiltrato o utilizzato come canale di controllo o utilizzato (nel caso di ICMPTX) come protocollo di tunneling.

Attuale implementazione nella distribuzione, con howto, (ICMPTX): http://thomer.com/icmptx/

Scenario di attacco reale utilizzando la trasmissione dei dati ICMP per l'iniezione del payload: Open Packet Capture

Utilizzo di un protocollo di trasmissione dati ICMP tramite metodi simili a ICMPTX (2006) per trojan C&C ed Exfiltration: Network World

19
Ori

È vero che l'ICMP può essere utilizzato dagli aggressori per ottenere informazioni, trasportare i dati di nascosto, ecc. È anche vero che l'ICMP è estremamente utile e che disabilitarlo può spesso causare problemi. Traceroute utilizza infatti ICMP, quindi la disattivazione di determinati tipi ICMP lo interromperà.

La domanda evidenzia il classico equilibrio tra sicurezza e funzionalità e spetta a te determinare quanta funzionalità sei disposto a perdere per guadagnare x quantità di sicurezza.

Una raccomandazione è di consentire solo alcuni tipi (i più comunemente usati) e disabilitare tutti gli altri. Ecco le mie regole di iptables. Tieni presente che questi sono consentiti perché tutto il resto è vietato per impostazione predefinita.

 # Allow incoming ICMP: ping, MTU discovery, TTL expired
/sbin/iptables -A INPUT -i eth0 -p icmp -d $YOURBOX --icmp-type 8/0 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp -d $YOURBOX --icmp-type 3/4 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp -d $YOURBOX --icmp-type 11/0 -j ACCEPT
9
Daniel Miessler

Penso che la risposta dell'eco in uscita sia più pericolosa della richiesta di eco in entrata a causa dell'amplificazione dell'ICMP (limite di velocità o rifiuto di questo traffico). Tuttavia, dopo decenni di riflessione su questo argomento, ho concluso che l'ICMP è più pericoloso che utile, e quindi dovrebbe essere bloccato in entrambe le direzioni, con l'accesso al traffico in uscita potenzialmente contraffatto.

Il migliore di tutti i mondi sono rotte nulle su tutto ciò che potrebbe essere stateful-but-indesidered (connessioni TCP) e ACL riflessivi (performance driven) per tutto ciò che è stato-ma-permesso e/o non completamente-stateful (datagrammi UDP), mentre rimozione di altri tipi di protocollo IP, in quanto non necessari. IPsec AH/ESP non è necessario, utilizzare invece OpenVPN (o simile).

Dopo aver bloccato il traceroute ICMP, devi anche fare i conti con traceroute basato su UDP, nonché con concetti tecnologici come quelli trovati negli strumenti 0trace, LFT e osstmm_afd.

Mentre even Nmap le scansioni di Natale non vengono rilevate da Snort/Suricata, per non parlare degli attacchi basati su SQLi o Javascript (in qualsiasi direzione), dobbiamo riconoscere l'importanza dei rischi legati alla sicurezza della rete e delle applicazioni attacchi contro le infrastrutture moderne. Dovremmo negare, testare e verificare qualsiasi tipo di traffico di footprint - e non vedo perché questo non includa ICMP ma in realtà non si avvia o si ferma qui.

7
atdre

Ping e Traceroute sono necessari per la risoluzione dei problemi delle reti. Con i firewall moderni e gli strumenti di sicurezza, c'è ben poco e al limite delle possibilità inesistenti di utilizzare con successo entrambi i protocolli in modo dannoso.

Nel 1996, sicuramente era un problema, ma è il 2015 quasi 20 anni dopo, e il blocco di questi porta solo a tempi notevolmente più lunghi per risolvere la connettività e le prestazioni. Paralizzare la capacità dei team di livello 1/2 di identificare e risolvere semplici problemi di routing e di rete è un problema di erogazione del servizio che incide sulla soddisfazione del cliente con qualsiasi servizio di rete fornito.

6

Invece di rispondere alla domanda principale di "quali sono i rischi per la sicurezza del ping", risponderò alla tua sottointerrogazione "È una buona idea bloccare/disabilitare i server Web di produzione"

Penso che qui possiamo trovare un equilibrio tra sicurezza e utilità. Il personale di supporto in genere trova utile il ping quando controlla la latenza o la disponibilità di un determinato nodo. Il personale di sicurezza è preoccupato per molti dei problemi di sicurezza descritti in questa pagina e spesso sono i "cattivi".

Perché non considerare la disabilitazione del ping in un formato whitelist/blacklist e farlo conoscere al personale di supporto. Se il tuo pubblico principale si trova in una determinata area geografica, limita la possibilità di eseguire il ping in base a allocazione IP IANA

4

Dopo un accesso iniziale al server, un software dannoso può utilizzare il protocollo ping come mezzo di comunicazione con il suo server di comando e controllo. Ad esempio, una Shell inversa che utilizza il protocollo ping: https://github.com/inquisb/icmpsh

0
Furkan Turan