[FUGSPBR] Ainda sobre filtrar ICMP ...

Ricardo Bueno da Silva rbueno em ccuec.unicamp.br
Sex Nov 23 15:08:40 BRST 2001 

Pessoall,

estava acompanhando na lista o assunto sobre filtrar ICMP.

Sei que isso nao e' diretamente relacionado ao FreeBSD, mas vale
para qualquer SO e equipamento. 

Coincidentemente uma discussao parecida esta rolando na lista do
GTER-CG. Apos acompanhar as duas discussoes e ler um documento do
SNAC/NSA (System and Network Attack Center/National Security Agency)
e a RFC 1122, acredito que uma dica pode ser util:

    Nao e' aconselhavel bloquear todas mensagens de ICMP no seu
    filtro. Bloqueando "Parameter Problem" e "Source Quench", por
    exemplo, voce estara perdendo informacoes importantes sobre
    a conexao, o que pode acarretar num mal aproveitamento dos
    recursos da sua rede.


O documento do SNAC da dicas legais do que bloquear:

Trafego ICMP Inbound:
 liberar Echo Reply (tipo 0)
         Destination Unreachable (tipo 3)
         Source Quench (tipo 4)
         Time Exceeded (tipo 11)
         Parameter Problem (tipo 12)
 bloquear demais tipos de ICMP

Trafego ICMP Outbound:
 liberar Echo Reply (tipo 0)
         Source Quench (tipo 4)
         Echo Request (tipo 8)
         Parameter Problem (tipo 12)

Existe uma divisao de opinioes quanto a liberar o "Echo Request" (tipo 8)
no trafego inbound. Segundo a RFC 1122, todo host conectado a Internet
deve implementar ECHO REQUEST/ECHO REPLY.  Isso nos leva a interpretacoes:
"deve implementar mas nao significa que tenho que liberar...  ou
 se deve implementar entao tem que usar...". E' complicado...

Existem alguns ataques de DOS que se aproveitam da possibilidade
de utilizar o Echo Resquest. Mas, na minha opiniao, se seu SO pode tratar 
isso de maneira que consiga impedir um DOS de ICMP (como o FreeBSD faz com
o ICMP_BANDLIM), vale a pena liberar o ECHO REQUEST tambem.

Fora essa falta de entendimento com relacao ao ECHO REQUEST , as demais
dicas dadas podem ser bem-vindas a muitos. 

Espero ter colaborado.

Abracos,
Ricardo Bueno

-- 
_______________________________________________________________________
 Ricardo Bueno da Silva                e-mail: rbueno em ccuec.unicamp.br
 Centro de Computacao - CCUEC                  Fone: (0xx19) 3788-2200
 Universidade Estadual de Campinas - UNICAMP    Fax: (0xx19) 3289-2577

----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.

Mais detalhes sobre a lista de discussão freebsd