it-swarm-tr.com

PING'in güvenlik riski var mı?

Bana PING'in bir güvenlik riski sunduğu söylendi ve bunu üretim web sunucularında devre dışı bırakmak/engellemek iyi bir fikir. Bazı araştırma bana gerçekten güvenlik riskleri olduğunu söylüyor. Herkese görünür sunucularda PING'i devre dışı bırakmak/engellemek yaygın bir uygulamadır mı? Ve bu traceroute ( güvenlik hakkında wikipedia ) gibi ICMP ailesinin diğer üyeleri için de geçerli mi?

47
Mr. Jefferson

ICMP Echo protokolü (genellikle "Ping" olarak bilinir) çoğunlukla zararsızdır. Güvenlikle ilgili temel sorunları şunlardır:

  • Sahte kaynak adresli ("kimlik sahtekarlığı") istekleri olduğunda, bir hedef makinenin başka bir Ana Bilgisayara nispeten büyük paketler göndermesini sağlayabilirler. Ping yanıtının karşılık gelen istekten önemli ölçüde daha büyük olmadığını unutmayın, bu nedenle burada çarpan etkisi yoktur: saldırgana hizmet reddi saldırısı bağlamında fazladan güç vermeyecektir. Yine de saldırganı tanımlamaya karşı koruyabilir.

  • Onurlandırılmış Ping isteği, bir ağın iç yapısı hakkında bilgi verebilir. Bununla birlikte, bu herkes tarafından görülebilir olan sunucular için geçerli değildir.

  • Bazı yaygın TCP/IP uygulamalarında, hatalı biçimlendirilmiş bir Ping isteğinin bir makineyi kilitleyebileceği güvenlik açıkları vardı ( "ölüm pingi" ). Ancak bunlar önceki yüzyılda usulüne uygun şekilde yamalı ve artık endişe verici değil.

Genel olarak görünen sunucularda Ping'i devre dışı bırakmak veya engellemek yaygın bir uygulamadır - ancak ortak olmak önerilir olmakla aynı şey değildir. www.google.com Ping isteklerine yanıt verir; www.Microsoft.com değil. Şahsen, tüm ICMP'nin herkes tarafından görülebilir sunucular için geçmesine izin vermenizi öneririm.

Bazı ICMP paket türleri , özellikle "hedefe ulaşılamaz" ICMP iletisini bloke ETMEMELİDİR , çünkü birinin engellenmesi yol MTU bulma , DSL kullanıcılarının (bir PPPoE katmanının arkasında) bu paketleri engelleyen Web sitelerine (ISS'leri tarafından sağlanan Web proxy'sini kullanmadığı sürece) erişemediği belirtileridir.

61
Thomas Pornin

ICMP'nin bir veri bileşeni vardır. Tünel inşa etmek için kullanılabilir ve bu sadece teorik bir şey değildir, vahşi doğada mevcuttur. Birkaç farklı araştırmacı tarafından malware toolkits'in bir parçası olarak bulundu. Bu konuda önemli bir howto'dan bahsetmiyorum, wiki veya hackaday

ICMPTX, ICMP yankısını ve ICMP yanıtını kullanır. ICMP echo her zaman zararsız değildir, çünkü bir veri bileşeni içerdiğinden, verileri genişletebilir veya bir kontrol kanalı olarak kullanılabilir veya bir tünel protokolü olarak kullanılabilir (ICMPTX durumunda).

Dağıtımdaki mevcut alıştırma, nasıl yapılır, (ICMPTX): http://thomer.com/icmptx/

Yük enjeksiyonu için ICMP veri iletimini kullanan gerçek saldırı senaryosu: Open Packet Capture

Truva C&C ve Exfiltrasyon için ICMPTX'e (2006) benzer yöntemlerle ICMP veri iletim protokolünün kullanımı: Network World

19
Ori

ICMP'nin saldırganlar tarafından bilgi elde etmek, verileri gizli bir şekilde taşımak vb. İçin kullanılabileceği doğrudur. ICMP'nin son derece yararlı olduğu ve devre dışı bırakılmasının genellikle sorunlara neden olabileceği de doğrudur. Traceroute aslında ICMP kullanır, bu nedenle belirli ICMP türlerine izin verilmemesi onu kırar.

Soru, klasik güvenlik ve işlevsellik dengesini vurgular ve x miktarda güvenlik elde etmek için ne kadar işlevsellik kaybetmek istediğinizi belirlemek size kalmıştır.

Bir öneri, yalnızca belirli türlere (en yaygın olarak kullanılan) izin vermek ve diğerlerini devre dışı bırakmaktır. İşte benim iptables kurallarım. Bunlara izin verildiğini unutmayın, çünkü diğer her şeye varsayılan olarak izin verilmez.

 # Allow incoming ICMP: ping, MTU discovery, TTL expired
/sbin/iptables -A INPUT -i eth0 -p icmp -d $YOURBOX --icmp-type 8/0 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp -d $YOURBOX --icmp-type 3/4 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp -d $YOURBOX --icmp-type 11/0 -j ACCEPT
9
Daniel Miessler

Giden yankı yanıtının ICMP amplifikasyonu (hız sınırı veya bu trafiği reddetme) nedeniyle gelen yankı isteğinden daha tehlikeli olduğunu düşünüyorum. Bununla birlikte, onlarca yıl boyunca bu konuyu düşünerek - ICMP'nin faydalı olmaktan daha tehlikeli olduğu ve bu nedenle her iki yönde de engellenmesi gerektiği ve potansiyel olarak sahte giden trafiğe giriş yapılması gerektiği sonucuna vardım.

Tüm dünyaların en iyisi, durum bilgisi olan ancak izin verilen ve/veya tamamen durum bilgisi olmayan (UDP datagramları) için durum bilgisi olan ancak istenmeyen (TCP bağlantıları) ve dönüşlü ACL'ler (performans odaklı) üzerindeki her şeyde sıfır yoludur. gereksiz olduğu için diğer IP protokol türlerinin kaldırılması. IPsec AH/ESP gerekli değildir, bunun yerine OpenVPN (veya benzeri) kullanın.

ICMP traceroute'u engelledikten sonra, UDP tabanlı traceroute'un yanı sıra 0trace, LFT ve osstmm_afd araçlarında bulunanlar gibi teknoloji kavramlarıyla da uğraşmanız gerekir.

Nmap Xmas taramaları bile SQLi veya Javascript tabanlı saldırılar (herhangi bir yönde) Snort/Suricata tarafından alınmasa da, ağ ve uygulama güvenliğine bağlı risklerin önemini kabul etmeliyiz Her türlü ayak izi trafiğini inkar etmeli, test etmeli ve doğrulamalıyız - ve bunun neden ICMP'yi içermediğini anlamıyorum ama gerçekten orada başlamıyor veya bitmiyor.

7
atdre

Ağ sorunlarını gidermek için Ping ve Traceroute gereklidir. Modern güvenlik duvarları ve güvenlik araçları ile çok az şey vardır ve her iki protokolün de kötü niyetli bir şekilde başarılı bir şekilde kullanılma şansı yoktur.

1996'da, bunun bir sorun olduğundan emin, ancak şimdi neredeyse 20 yıl sonra 2015 ve bunları engellemek yalnızca bağlantıyı ve performansı çözmek için önemli ölçüde artmış zaman çerçevelerine yol açıyor. Seviye 1/2 ekiplerin basit yönlendirme ve ağ sorunlarını belirleme ve çözme yeteneğini sakatlamak, sağladığınız ağ hizmetlerinden müşterinin memnuniyetini etkileyen bir hizmet dağıtım sorunudur.

6

"Ping'in güvenlik riskleri nelerdir" ana sorusunu cevaplamak yerine, "Üretim web sunucularında engelleme/devre dışı bırakma iyi bir fikir mi?"

Bence burada güvenlik ve kamu hizmeti arasında bir denge bulabiliriz. Destek personeli genellikle belirli bir düğümün gecikmesini veya kullanılabilirliğini kontrol ederken ping'i yararlı bulur. Güvenlik personeli, bu sayfada belirtilen güvenlik sorunlarının çoğundan endişe duymaktadır ve genellikle "kötü adamlar" dır.

Ping'i neden beyaz liste/kara liste biçiminde devre dışı bırakmayı düşünmeyin ve bunu destek personelinize bildirin. Ana kitleniz belirli bir coğrafi bölgede bulunuyorsa, ping özelliğini IANA IP ayırma

4

Sunucunuza ilk kez eriştikten sonra, kötü amaçlı bir yazılım ping protokolünü komut ve kontrol sunucusuyla iletişim kurmak için kullanabilir. Örnek olarak, ping protokolü kullanan bir ters Shell: https://github.com/inquisb/icmpsh

0
Furkan Turan