it-swarm-vi.com

Rủi ro bảo mật của PING?

Tôi đã được thông báo rằng PING có rủi ro bảo mật và nên tắt/chặn nó trên các máy chủ web sản xuất. Một số nghiên cứ cho tôi biết rằng thực sự có rủi ro bảo mật. Có phải là thông lệ để vô hiệu hóa/chặn PING trên các máy chủ hiển thị công khai? Và điều này có áp dụng cho các thành viên khác trong gia đình ICMP, như traceroute ( wikipedia về bảo mật ) không?

47
Mr. Jefferson

giao thức ICMP Echo (thường được gọi là "Ping") hầu như vô hại. Các vấn đề chính liên quan đến bảo mật của nó là:

  • Khi có các yêu cầu có địa chỉ nguồn giả ("giả mạo"), họ có thể khiến một máy mục tiêu gửi các gói tương đối lớn đến một Máy chủ khác. Lưu ý rằng phản hồi Ping không lớn hơn yêu cầu tương ứng, do đó không có hiệu ứng số nhân ở đó: nó sẽ không cung cấp thêm sức mạnh cho kẻ tấn công trong bối cảnh tấn công từ chối dịch vụ. Nó có thể bảo vệ kẻ tấn công chống lại nhận dạng, mặc dù.

  • Yêu cầu Ping được vinh danh có thể mang lại thông tin về cấu trúc bên trong của mạng. Tuy nhiên, điều này không liên quan đến các máy chủ hiển thị công khai, vì những máy chủ này đã hiển thị công khai.

  • Đã từng có lỗ hổng bảo mật trong một số triển khai TCP/IP phổ biến, trong đó yêu cầu Ping không đúng định dạng có thể làm sập máy ( "ping of death" ). Nhưng những điều này đã được vá một cách hợp lệ trong thế kỷ trước, và không còn là mối lo ngại nữa.

Đó là thực tế phổ biến để vô hiệu hóa hoặc chặn Ping trên các máy chủ hiển thị công khai - nhưng là chung không giống như là được khuyến nghị. www.google.com đáp ứng yêu cầu Ping; www.Microsoft.com không làm. Cá nhân, tôi khuyên bạn nên để tất cả ICMP vượt qua cho các máy chủ hiển thị công khai.

Một số loại gói ICMP PHẢI KHÔNG bị chặn, đặc biệt là thông báo ICMP "không thể truy cập đích", vì chặn một lần phá vỡ phát hiện đường dẫn MT , các triệu chứng là người dùng DSL (đằng sau lớp PPPoE giới hạn MTU đến 1492 byte) không thể truy cập các trang web chặn các gói đó (trừ khi họ sử dụng proxy Web do ISP cung cấp).

61
Thomas Pornin

ICMP có một thành phần dữ liệu cho nó. Nó có thể được sử dụng để xây dựng các đường hầm, và đây không chỉ là một lý thuyết, nó có sẵn trong tự nhiên. Nó được tìm thấy bởi một số nhà nghiên cứu khác nhau như là một phần của phần mềm độc hại bộ công cụ. Chưa kể có một hướng dẫn nổi bật về chủ đề này, không đề cập đến wiki hoặc hackaday

ICMPTX sử dụng phản hồi ICMP echo và ICMP. ICMP echo không phải lúc nào cũng vô hại, vì nó chứa thành phần dữ liệu, nó có thể được lọc dữ liệu hoặc được sử dụng làm kênh điều khiển hoặc được sử dụng (trong trường hợp ICMPTX) làm giao thức đường hầm.

Ý nghĩa hiện tại trong phân phối, với howto, (ICMPTX): http://thomer.com/icmptx/

Kịch bản tấn công thực sự bằng cách sử dụng truyền dữ liệu ICMP để tiêm tải trọng: Chụp gói mở

Sử dụng giao thức truyền dữ liệu ICMP thông qua các phương thức tương tự ICMPTX (2006) cho trojan C & C và Exfiltration: Thế giới mạng

19
Ori

Đúng là ICMP có thể được sử dụng bởi những kẻ tấn công để lấy thông tin, vận chuyển dữ liệu một cách tình cờ, v.v ... Cũng đúng là ICMP cực kỳ hữu ích và việc vô hiệu hóa nó thường có thể gây ra vấn đề. Traceroute thực tế sử dụng ICMP, do đó không cho phép một số loại ICMP nhất định sẽ phá vỡ nó.

Câu hỏi nêu bật sự cân bằng cổ điển của bảo mật và chức năng, và tùy thuộc vào bạn để xác định số lượng chức năng bạn sẵn sàng mất để có được x lượng bảo mật.

Một khuyến nghị là chỉ cho phép một số loại nhất định (được sử dụng phổ biến nhất) và vô hiệu hóa tất cả các loại khác. Dưới đây là quy tắc iptables của tôi. Hãy nhớ rằng những thứ này được cho phép bởi vì mọi thứ khác không được phép theo mặc định.

 # Allow incoming ICMP: ping, MTU discovery, TTL expired
/sbin/iptables -A INPUT -i eth0 -p icmp -d $YOURBOX --icmp-type 8/0 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp -d $YOURBOX --icmp-type 3/4 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp -d $YOURBOX --icmp-type 11/0 -j ACCEPT
9
Daniel Miessler

Tôi nghĩ rằng phản hồi tiếng vang bên ngoài nguy hiểm hơn yêu cầu tiếng vang trong nước do khuếch đại ICMP (giới hạn tốc độ hoặc từ chối lưu lượng này). Tuy nhiên, sau nhiều thập kỷ cân nhắc chủ đề này - tôi đã kết luận rằng ICMP nguy hiểm hơn là hữu ích, và do đó, nó nên bị chặn theo cả hai hướng, với việc đăng nhập vào lưu lượng truy cập bên ngoài có khả năng bị giả mạo.

Điểm tốt nhất của tất cả các thế giới là các tuyến không có giá trị trên tất cả mọi thứ có thể là trạng thái nhưng không mong muốn (kết nối TCP) và ACL phản xạ (điều khiển hiệu suất) cho bất kỳ trạng thái nào nhưng được cho phép và/hoặc không hoàn toàn (trạng thái UDP), trong khi loại bỏ các loại giao thức IP khác, vì chúng không cần thiết. IPsec AH/ESP là không cần thiết, thay vào đó hãy sử dụng OpenVPN (hoặc tương tự).

Sau khi bạn đã chặn ICMP traceroute, bạn cũng cần phải tham gia vào traceroute dựa trên UDP, cũng như các khái niệm công nghệ như được tìm thấy trong các công cụ 0trace, LFT và osstmm_afd.

Mặc dù Nmap Xmas không được quét bởi Snort/Suricata, nhưng hãy để các cuộc tấn công dựa trên SQLi hoặc Javascript (theo bất kỳ hướng nào), chúng tôi cần nhận ra tầm quan trọng của các rủi ro liên quan đến bảo mật ứng dụng và mạng Chúng ta nên từ chối, kiểm tra và xác minh bất kỳ loại lưu lượng truy cập dấu chân nào - và tôi không hiểu tại sao điều này sẽ không bao gồm ICMP nhưng thực sự nó không bắt đầu hoặc dừng ở đó.

7
atdre

Ping và Traceroute được yêu cầu để khắc phục sự cố mạng. Với tường lửa hiện đại và các công cụ bảo mật có rất ít và giáp với cơ hội không tồn tại của một trong hai giao thức được sử dụng thành công theo cách độc hại.

Năm 1996, chắc chắn đó là một vấn đề, nhưng bây giờ là năm 2015 gần 20 năm sau, và việc chặn những điều này chỉ dẫn đến các khung thời gian tăng lên đáng kể để giải quyết kết nối và hiệu suất. Làm tê liệt khả năng của các nhóm cấp 1/2 để xác định và khắc phục các sự cố mạng và định tuyến đơn giản là vấn đề cung cấp dịch vụ ảnh hưởng đến sự hài lòng của khách hàng với bất kỳ dịch vụ mạng nào bạn cung cấp.

6
Christopher Alfred

Thay vì trả lời câu hỏi chính về "rủi ro bảo mật của ping là gì", tôi sẽ trả lời câu hỏi phụ của bạn về "Có nên chặn/vô hiệu hóa trên các máy chủ web sản xuất không"

Tôi nghĩ rằng chúng ta có thể tìm thấy một sự cân bằng giữa bảo mật và tiện ích ở đây. Nhân viên hỗ trợ thường thấy ping hữu ích khi kiểm tra độ trễ hoặc tính khả dụng của một nút nhất định. Nhân viên an ninh lo ngại về nhiều vấn đề bảo mật được nêu trong trang này và thường là "kẻ xấu".

Tại sao không xem xét việc vô hiệu hóa Ping theo định dạng danh sách trắng/danh sách đen và làm cho nhân viên hỗ trợ của bạn biết điều đó. Nếu đối tượng cốt lõi của bạn ở một khu vực địa lý nhất định, hãy giới hạn khả năng ping dựa trên phân bổ IP IANA

4
goodguys_activate

Sau khi truy cập ban đầu vào máy chủ của bạn, một phần mềm độc hại có thể sử dụng giao thức ping như một cách liên lạc với máy chủ chỉ huy và kiểm soát của nó. Ví dụ: Shell ngược sử dụng giao thức ping: https://github.com/inquisb/icmpsh

0
Furkan Turan