Diese Frage hat etwas mit " Warum Port 22 Outbound blockieren? " Zu tun . Ich sehe nicht ein, wie dies ein bemerkenswertes Sicherheitsrisiko sein kann.
Antworten:
Das Blockieren von ausgehendem ICMP und ALLEN anderen Verbindungen aus Ihrer Umgebung ist ein guter Anfang für die Erstellung Ihrer Firewall- / Sicherheitsrichtlinie.
Aber es gibt viele Dinge, die Sie vorher wissen und berücksichtigen sollten. Ein gutes Beispiel ist das Blockieren aller ICMP-Pakete, während das Zulassen einiger anderer Protokolle wie TCP-Port 80 (http) zu Problemen mit MTU / PMTU führen kann. Wenn Sie eine Netzwerkverbindung verfügen , die eine Verkapselung wie verwendet pppoe , GRE , oder eine der vielen anderen , die Sie WILL in eine große Anzahl von Fest laufen MTU Probleme zu identifizieren.
Ein guter Bereich, um mit dem Lesen zu beginnen, ist:
Sicherheit wird häufig in einem Kontext "Alles auf die schwarze Liste setzen, Whitelist, was benötigt wird" betrachtet, achtern bis zu einer Ebene, in der ausgehende Verbindungen begrenzt werden, bis sich jemand beschwert. Während es einfach ist zu fragen, warum blockiert wird, wird ein Sicherheitsexperte fragen, warum Sie brauchen. Aus diesem Grund ist ein Unternehmensnetzwerk sehr restriktiv (schwarze Liste zuerst) im Vergleich zu einem Standard-Heimnetzwerk (Whitelist alles ausgehend).
Ein Computer in Ihrem Netzwerk, der in einem Botnetz ausgeführt wird und Bandbreite für die ICMP-PING-Sättigung eines Hosts bereitstellt, ist ein realistisches Szenario.
Diese icmp dos-Angriffe waren vor 10 Jahren nützlich. Niemand wird sie jetzt verwenden und das ist eine dumme Sache, um alle icmp-Pakete zu filtern. Bücher, die vorschlagen, alle icmp-Pakete zu blockieren, sind 1) von dummen Leuten geschrieben oder 2) von Leuten geschrieben, um Ihr Netzwerk für die Diagnose zu erschweren und Sie dazu zu bringen, eine Firma anzurufen, die es für Sie repariert :)
Selbst ICMP-Weiterleitungsnachrichten sind nicht schädlich, wenn Sie nur statische Routen haben ...
Bitte raten Sie daher nicht, das Hauptdiagnoseprotokoll des Internets zu deaktivieren
Ich denke, dies ist keine große Sache, aber dies kann als eine Praxis angesehen werden, die in der "Standardverweigerungsrichtlinie" verwendet wird, die in der Systemadministration verwendet wird. Der Grund für das Blockieren von ICMP wäre die Vermeidung von ICMP-DOS-Angriffen gegen einen anderen Host. (Um ethisch zu sein)
Es ist beispielsweise möglich, dass eine böswillige Software auf einem kompromittierten System Nachrichten über gefälschte Echoantworten "nach Hause" sendet. Dies könnte dem Remote-Listening-System eine ganze Reihe von Informationen geben, die Sie nicht unbedingt haben möchten, Stück für Stück. Alles, worauf die Malware Zugriff hat, kann direkt aus der Pipe gehen.
Ein weiterer Grund, ausgehende ICMP zu blockieren, besteht darin, Port-Scanner zu folieren (zu versuchen). Viele Firewalls verwerfen eingehende Pakete, die von Sicherheitsrichtlinien (normalerweise eine ACL) abgelehnt wurden, stillschweigend. Wenn jedoch ein Paket zugelassen wird und die Zielanwendung selbst nicht ausgeführt wird, geben die meisten Server ein nicht erreichbares ICMP-Paket eines bestimmten Typs zurück. Dieser Unterschied im Verhalten eines nicht verfügbaren Ports kann einem Angreifer wertvolle Einblicke in Ihr Netzwerk geben.