Risque de sécurité de permettre aux paquets de "destination inaccessibles" ICMP sur AWS
Si je configurais un VPC AWS Amazon AWS, devrais-je explicitement permettre aux paquets ICMP "Destination inaccessible" entrant? Je veux que le pare-feu VPC bloque tout par défaut, cependant cela signifie-t-il que cela (potentiellement) enfreint les choses pour le trafic DSL? Le pare-feu d'état indique-t-il ces paquets, alors que les ACL utilisées sur les sous-réseaux VPC, car il est apatride, n'est-ce pas?
Je suppose que ma question principale est Pourquoi n'est-ce pas une règle par défaut si elle est sûre? - La réponse actuelle de la marque dit ICMPTX n'est pas une menace réelle sur un réseau que vous avez le contrôle de.
Dans la réponse de Thomas Pornin sur risque de sécurité de ping Il déclare:
Certains types de paquets ICMP ne doivent pas être bloqués, en particulier le message ICMP "de destination inaccessible", car il ne fait que bloquer que l'on brise la découverte de MTU, les symptômes étant que les utilisateurs DSL (derrière un PPPoE couche limitant le MTU à 1492 octets) ne peut pas accéder à des sites Web qui bloquent ces paquets (à moins qu'ils n'utilisent le proxy Web fourni par leur fournisseur de services Internet).
Dans quelle mesure les règles par défaut sont-elles susceptibles de casser des choses si bloquez la "destination inaccessible" ICMP, comme le souligne Thomas? Le temps et les efforts doivent-ils être dépensés pour les autoriser explicitement à ceux-ci sur chaque VPC et Subnet Firewall et Règle ACL?
J'ai trouvé cet article intéressant sur le sujet :
Il y a quelques causes courantes de ne pas pouvoir obtenir les réponses ICMP nécessaires au travail de PMTUD [Path MTU Discovery]. Les administrateurs de réseau excessives configureront leurs pare-feu pour supprimer tout ICMP puisque certains messages ICMP sont considérés comme des menaces de sécurité. Les routeurs sont parfois configurés avec PMTUD désactivé et supprimeront ainsi le paquet sans envoyer le message ICMP requis.
Si le blocage ICMP est si courant sur AWS et d'autres fournisseurs d'hébergement de nuages et de non-cloud, pourquoi ne voyons-nous pas plus de problèmes de trou noir? Si ce n'est pas un problème répandu, et beaucoup de gens sont sur DSL à l'aide de PPOE, il semble judicieux de la laisser bloquée comme par défaut.
Le "risque" général de Ping s'inquiète de quelqu'un qui utilise le protocole ICMP pour exfiltrer des données ou des logiciels malveillants de contrôle. Je pense que plusieurs fois, il a été handicapé comme un "Je ne sais pas pourquoi j'en ai besoin, je vais donc désactiver la mentalité". C'est pourquoi il est devenu la règle par défaut. Bien que ce soient à la fois des préoccupations réelles valables si vous êtes toujours dans la mentalité "J'ai un périmètre" (par opposition à ", j'ai une sécurité de données, l'identité est donc mon périmètre"), ces mêmes préoccupations s'appliquent à toutes = port/protocole pouvant aller entrer et sortir. ICMP a été choisi dans IPv4 parce que pendant que cela était agréable d'avoir, de ne pas l'avoir surtout seulement des administrateurs de réseau ennuyés.
Dans IPv6, permettant à ICMP n'est pas seulement la valeur par défaut mais requise pour plusieurs raisons telles que la fragmentation ne se produisant que sur la source (avec ICMP envoiant un message de type 2 à l'hôte), SLAAC et NDP sont également des messages ICMP.
Il y a Aucun risque associé à une désactivation [~ # ~] sortante [~ # ~] Des paquets inaccessibles de destination. Regardons pourquoi: votre machine fait une détermination que quelque chose ne peut pas être atteint [~ # ~] de [~ # ~] Votre machine: " Quelle est la signification de ce que vous êtes bloquent explicitement ? " Cisco suggère Blocking Destination Destinagables, car un attaquant peut amener votre machine à envoyer à plusieurs reprises des messages pouvant submerger votre équipement. Considérez l'attaque suivante:
Attacker (2.3.4.5) --> (spoofs 8.8.8.8) --> your server (N amount of times)
Your server --> destination unreachable --> 8.8.8.8
Sur le [~ # ~] sortant [~ # ~ # ~] côté de l'équation, quel but ce VPC servit-il? Par exemple, si le VPC a une connexion spécifique: point A <-> VPC Quelle différence fait-il si tout le reste est bloqué? C'est quelque chose que vous pouvez répondre. Tout commence par quel est le but de la VPC, qui et comment faut-il se connecter (à partir de).
Généralement, vous souhaitez éviter de créer trop de règles, il devient lourd de gérer, donc une règle plus appropriée serait quelque chose comme:
allow -- icmp messages (all) -- from.my.trusted.blocks
deny -- icmp messages -- all
Cela garantit que toutes les connexions que vous spécifiez seront en mesure de recevoir des messages pour un dépannage éventuel, tout en niant tout le reste. Deux règles par rapport aux dizaines | centaines.