Должен ли IPv4 ICMP от ненадежных интерфейсов блокироваться?

Поиск вокруг Я не смог определить наилучшую практику для ICMP на брандмауэре.

Например, в Cisco ASA было бы безопасно и рекомендовано разрешить ICMP, если ICMP-проверка включена. Это позволило бы таким вещам, как недостижимые для 3-го типа, вернуть клиентов.

23 голоса | спросил Adam 26 J0000006Europe/Moscow 2013, 17:24:44

1 ответ


30

Нет, ICMP не должен блокироваться. Это важный протокол сигнализации. Интернет не работает без него.

PMTUD не работает, если вы отбрасываете ICMP.

IPv6 даже не начинает работать без ICMP, поскольку разрешение адреса L3-L2 (ARP в IPV4) работает поверх ICMP в IPv6.

Также устранение неполадок займет больше времени, если ICMP-эхо-файлы будут удалены. Увы, часто люди с мышлением FW кажутся «когда есть сомнения, падают».

Вы используете FW, потому что ваша внутренняя сеть имеет службы, не требующие авторизации или неуправляемых хостов, работающих под управлением уязвимого программного обеспечения. ICMP действительно не практический вектор атаки.

ответил ytti 26 J0000006Europe/Moscow 2013, 17:27:32

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132