LINUX.ORG.RU
ФорумAdmin

Так-ли страшен icmp?

 ,


0

2

В литературе по настройке безопасности сетей, очень любят писать, что icmp мега-опасен т.к. можно подменять маршруты и получать информацию о локалке. Но icmp был разработан давно и как я понимаю не все ОС поддерживают то что в нем реализовано(или поддержка выключена).

Собственно вопрос: безопасно-ли открывать весь icmp трафик или лучше оставлять разрешенным сообщения: echo, dest. unreachable, param. problem, time exx.?

Deleted

Могу сказать точно - бить по голове нужно тех админов, которые пинги закрывают!

У меня все.

dvrts ★★★
()
Ответ на: комментарий от dvrts

Да хрен с ними, с пингами. ICMP используют всякие действительно нужные штуки типа pmtu discovery.

melkor217 ★★★★★
()
Ответ на: комментарий от dvrts

Это ещё с чего? Ничего что новые Windows их тоже не умеют если ты не из ихней подсети..? Всех по голове бить теперь?

DALDON ★★★★★
()

«Подменять» маршруты могут только маршрутизирующие устройства (если не рассматривать атаки со спуфингом). Если у вас с ними что-то не так, то «подмена» ими маршрута — это наименьшее из того, о чем вам следует беспокоиться. У ICMP есть ряд явно нужных опций, которые должны быть разрешены, запрещать остальные или нет частное дело каждого, имхо. На мой взгляд, есть масса гораздо более насущных проблем, которые требуют внимания.

astupnikov
()

Я советую весь закрывать. А главное - пинг закрыть, чтобы школодудосеры не могли понять точно когда ты «слетел» от их «атаки», а когда нет. Это для них главное.

Если держишь ресурс, тогда полностью ICMP закрывать смысла нет. IPTables вообще штука хорошая, но если захотят задудосить, то сделают это. Проксирование - более серьёзное решение.

ring0kill
()
Ответ на: комментарий от DALDON

ихней

Что-что?

ихней

facepalm.png
Есть слово «их». Нет слов «ихней», «ёёшней», «евошней», «еенной», «евонной» и т.п. Сложно понять, да?

ring0kill
()
Ответ на: комментарий от ring0kill

Я советую весь закрывать.

Вот где настоящий faicepalm!

DALDON ★★★★★
()
Ответ на: комментарий от ring0kill

Я советую весь закрывать. А главное - пинг закрыть, чтобы школодудосеры не могли понять точно когда ты «слетел» от их «атаки», а когда нет.

Что им мешает с этой целью пытаться установить соединение по какому-нибудь из портов?

anonymous
()
Ответ на: комментарий от anonymous

Отсутствие знаний и опыта.
Многие из них даже не знают о том, что блокировка пинга icmp != закрытые порты. У них схема такая:
1. Узнаем IP.
2. Открываем cmd или check-host.net / 2ip / etc.
3. Посылаем icmp запросы до IP. 4. Атакуем со Stresser / Booter - сервисов нужный IP до того момента, пока icmp запросы не перестанут отправляться. ??? PROFIT!
Если же запросы не идут, то такой школокулхацкер в обиде, ибо не может узнать точно «слетел» ли или нет. Считает такой IP «под защитой».

ring0kill
()
Ответ на: комментарий от ring0kill

4. Атакуем со Stresser / Booter - сервисов нужный IP до того момента, пока icmp запросы не перестанут отправляться. ??? PROFIT!

И что это даст?
1) Я видел серваки которые отвечали на icmp, но из за досса они больше лежали чем стояли
2) И что как только сервер перестанет отвечать на icmp его можно оставлять? А ничего что он в себя придёт и будет дальше работать?

snaf ★★★★★
()
Последнее исправление: snaf (всего исправлений: 1)

Никогда не блокировал icmp вообще. Брат жив.

trancefer ★★
()

Так-ли страшен icmp?

Нет.

Deleted
()
Ответ на: комментарий от ring0kill

Да ну, это предрассудки какие-то. Я вот ставлю себя на место кулхацкера - мне бы и в голову не пришло пинговать атакуемый сайт. Атаку ведь проводят не против машины, а против сервиса, который она предоставляет - значит надо контролировать как сервис лёг, и пофиг на то, как она пингуется.

С другой стороны, при ограничении трафика, наверное, можно так испинговать хост, что у него лимит трафика будет исчерпан и провайдер его просто отрубит от сети.. Но тут файрвол на хосту уже ничем не поможет, да и по ХТТП проще заливать объёмы.

anonymous
()
Ответ на: комментарий от ring0kill

Ладно, ладно, не тяфкай как уличный пёс на велосипидистов, иди закрой у себя весь icmp, и сиди потом, тупняки коннектов лови.

И откуда только у девушек берётся столько агрессии... Не понимаю. :(

DALDON ★★★★★
()
Последнее исправление: DALDON (всего исправлений: 1)
Ответ на: комментарий от ring0kill

Это для них главное

Это же лучше через брайзер смотреть.

anonymous
()

Блокируй только ICMP redirects, делов то.

anonymous_sama ★★★★★
()

Что за литература то такая? Нигде кроме хабра таких советов не видел. Ты высеры этих даунов за литературу считаешь?

entefeed ☆☆☆
()
Ответ на: комментарий от dvrts

бить по голове нужно тех админов, которые пинги закрывают!

Админы - фиг с ними. Их крокодилы. А вот производителям ПО и железа, где это по-умолчанию, отрывать надо руки немедленно.

AS ★★★★★
()
Ответ на: комментарий от DALDON

Ничего что новые Windows их тоже не умеют если ты не из ихней
подсети..? Всех по голове бить теперь?

Этих - первую очередь. В MS дебилы сидят конченные. Они свою ОС хомячкам продают, ХОМЯЧКМ ! Как разбираться с их проблемами ? И icmp echo на больших пакетах хоть качество канала можно проверить, загрузив его до пложенного лимита, а когда закрыто, то что ? Людей на выезд слать ? Зато файрвол...

Вот про «не из ихней подсети» - это где так ? Неужели хоть чуть-чуть одумались ?

AS ★★★★★
()
Ответ на: комментарий от ring0kill

Я советую весь закрывать.

Дельный совет. Впрочем, смотрю, тебе сказали уже. Могу лучше дать - кабель оторви совсем. :-)

AS ★★★★★
()
Ответ на: комментарий от AS

Вот про «не из ихней подсети» - это где так ? Неужели хоть чуть-чуть одумались ?

Ты знаешь, спорить не буду, может я и не прав, может они всё блокируют. У меня стойкое ощущение, что из своей подсети, на ping отвечает вроде Windows7. Но могу ошибаться.

В MS дебилы сидят конченные.

Боюсь, что у этих дебилов есть за плечами мировой опыт, и он показывает, что пользы от закрытия того или иного, больше, чем вреда. Вот и закрывают. Не вижу тут маркетинга.

DALDON ★★★★★
()
Ответ на: комментарий от entefeed

Пока, никто, ничего лучше не предложил, если не считать Попова Дениса, и его BolgenOS, конечно.

DALDON ★★★★★
()
Последнее исправление: DALDON (всего исправлений: 1)
Ответ на: комментарий от DALDON

Боюсь, что у этих дебилов есть за плечами мировой опыт,

По производсту говна. Это да. :-)

и он показывает, что пользы от закрытия того или иного, больше, чем вреда.

Ранние винды можно было завалить атакой через icmp, но это надо в консерватории править, а не закрываться файрволом спустя десятилетие, не находишь ? :-) Не помню, как оно называлось, отложилось про теардроп, но это другая штука (сейчас погуглил, освежил в памяти), с icmp не связанная.

Такя штука ещё есть: http://en.wikipedia.org/wiki/Smurf_attack
Но для этого не надо всё закрывать, надо просто не отвечать на icmp, приходящий на броадкастный адрес. В общем, всё решаемо, если думать головой, а не другими местами.

AS ★★★★★
()
Ответ на: комментарий от AS

Боюсь, что все, абсолютно все твои доводы, померкнут перед тем, что Windows инсталляций 89 процентов, 10 процентов MacOS, 1 процент Linux - если рассматривать рабочие места. Так, что ты можешь говорить всё что угодно, но что есть, то есть... Взять тот-же Linux - там даже нету никакого антивируса. Вот так пойдёт оно в массы если - будет сразу полный ад и треш, уж не говоря про то, что популярные дистрибутивы имеют по-умолчанию вообще выключенный firewall. Windows XP - уже в прошлом, а современные версии Windows из коробки комплектуются firewall - относительно вменяемым, и антивирусом, так же хоть сколько-нибудь вменяемым.

DALDON ★★★★★
()
Ответ на: комментарий от DALDON

померкнут перед тем, что Windows инсталляций 89 процентов

Мириады мух не могут ошибаться, знаю-знаю. :-)

Взять тот-же Linux - там даже нету никакого антивируса.

Начнём с того, что ClamAV таки есть. И DrWeb/KAV разное. А продолжим тем, что жизнь заразы в Linux имеет свою специфику, которая позволяет её плодиться, в основном, в виде скриптов в домашних каталогах. Ну и в кэшах браузеров, что, согласись, обуславливает простые способы для удаления оной.

уж не говоря про то, что популярные дистрибутивы имеют
по-умолчанию вообще выключенный firewall.

А зачем нужен файрвол, если все сервисы, так же, отключены ? Вот будешь сервисы поднимать, тогда начинай их прикрывать, если это необходимо. Файрвол нужен тогда, когда у тебя кто-то порты слушает, или у тебя роутер, и за тебя пройти можно.

а современные версии Windows из коробки комплектуются firewall - относительно вменяемым,

Только вот с невменяемыми настройками по-умолчанию.

AS ★★★★★
()
Ответ на: комментарий от AS

Начнём с того, что ClamAV таки есть. И DrWeb/KAV разное.

А ты не в курсе, кстати, оно уже умеет ловить именно вирусы для Linux, а не для Windows?

А зачем нужен файрвол, если все сервисы, так же, отключены ?

Я думаю, что ребята из MS, имеют опыт промышленной эксплуатации Windows в промышленных масштабах, и огромных корпорациях. Наверно они пришли к тому, что таки да: firewall нужен, по-умолчанию всякому. Как бы нелепо это не звучало. :)

DALDON ★★★★★
()
Ответ на: комментарий от DALDON

А ты не в курсе, кстати, оно уже умеет ловить именно вирусы для Linux, а не для Windows ?

Оно ловит по сигнатуре. Кто же виноват, что традиционных вин/дос вирусов в Linux на столько мало, что можно считать, что нет ? По крайней мере, в дикой природе. А черви-руткиты - это, как раз, то, о чём я написал, что руками выковыривается элементарно.

Я думаю, что ребята из MS, имеют опыт промышленной эксплуатации Windows

Я не уверен, что мой опыт хуже качеством. Думаю, даже, очень сильно наоборот. А есть люди с опытом и ещё побольше. Но не ребятам из MS учить, нет. ;-)

Наверно они пришли к тому, что таки да: firewall нужен

Он должен быть, потому как может оказаться нужен. А начальная настройка должна делаться именно исходя из наличия сервисов, подлежащих защите. Они дошли до необходимости наличия файрвола, на минуточку, лет через 20, как это стало реально нужно. Но дошли так, что лучше бы уж не доходили.

AS ★★★★★
()
Ответ на: комментарий от DALDON

Ключевое слово - «в корпорациях». В сетке с AD дефолтные настройки файрвола никого не волнуют, они всё равно переписываются прикатившимися из GPO.

А вот у домашнего пользователя MS делает «как удобнее». В итоге закрытые пинги и чтобы открыть доступ к вещам, которые должны работать «из коробки» (типа PSexec или RDP) приходится поразвлекаться с правкой реестра и прочими плохо документированными вещами.

sometyx
()
Ответ на: комментарий от sometyx

Ключевое слово - «в корпорациях». В сетке с AD дефолтные настройки файрвола никого не волнуют, они всё равно переписываются прикатившимися из GPO.

Именно.

А вот у домашнего пользователя MS делает «как удобнее». В итоге закрытые пинги и чтобы открыть доступ к вещам, которые должны работать «из коробки» (типа PSexec или RDP)...

Тут деление на ноль. 99,9 процентам домашнего пользователя это не нужно.

DALDON ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.