[FUGSPBR] Ainda sobre filtrar ICMP ...

Ronan Lucio ronan em melim.com.br
Sex Nov 23 15:28:25 BRST 2001 

Daeh Ricardo,

Com certeza a sua colocação está correta, também acho
interessante barrar o icmp 17 (address mask request), aos
IP´s externos à rede.

Não se deve barrar todos os pacotes ICMP pois eles
são muito úteis, inclusive para controle de tráfego, barrando-os,
o link estará sujeito à alguns comportamentos estranhos,
principalmente quando o mesmo estiver congestionado ou
fazendo alguma negociação com outro hosta congestionado.

Quanto a barrar ICMP Echo Request, eu particularmente,
acho interessante, pelo menos para os IP´s externos à rede.

E lembrem-se, ICMP não tem nada haver com PING, o
ping só é um aplicatico que se utilizada do protocolo ICMP
para obter os resultados inerentes a sua finalidade assim
como o navegador utiliza o TCP.

[]´s

Ronan Lucio
Melim Internet Provider

> Pessoall,
>
> estava acompanhando na lista o assunto sobre filtrar ICMP.
>
> Sei que isso nao e' diretamente relacionado ao FreeBSD, mas vale
> para qualquer SO e equipamento.
>
> Coincidentemente uma discussao parecida esta rolando na lista do
> GTER-CG. Apos acompanhar as duas discussoes e ler um documento do
> SNAC/NSA (System and Network Attack Center/National Security Agency)
> e a RFC 1122, acredito que uma dica pode ser util:
>
>     Nao e' aconselhavel bloquear todas mensagens de ICMP no seu
>     filtro. Bloqueando "Parameter Problem" e "Source Quench", por
>     exemplo, voce estara perdendo informacoes importantes sobre
>     a conexao, o que pode acarretar num mal aproveitamento dos
>     recursos da sua rede.
>
>
> O documento do SNAC da dicas legais do que bloquear:
>
> Trafego ICMP Inbound:
>  liberar Echo Reply (tipo 0)
>          Destination Unreachable (tipo 3)
>          Source Quench (tipo 4)
>          Time Exceeded (tipo 11)
>          Parameter Problem (tipo 12)
>  bloquear demais tipos de ICMP
>
> Trafego ICMP Outbound:
>  liberar Echo Reply (tipo 0)
>          Source Quench (tipo 4)
>          Echo Request (tipo 8)
>          Parameter Problem (tipo 12)
>
> Existe uma divisao de opinioes quanto a liberar o "Echo Request" (tipo 8)
> no trafego inbound. Segundo a RFC 1122, todo host conectado a Internet
> deve implementar ECHO REQUEST/ECHO REPLY.  Isso nos leva a interpretacoes:
> "deve implementar mas nao significa que tenho que liberar...  ou
>  se deve implementar entao tem que usar...". E' complicado...
>
> Existem alguns ataques de DOS que se aproveitam da possibilidade
> de utilizar o Echo Resquest. Mas, na minha opiniao, se seu SO pode tratar
> isso de maneira que consiga impedir um DOS de ICMP (como o FreeBSD faz com
> o ICMP_BANDLIM), vale a pena liberar o ECHO REQUEST tambem.
>
> Fora essa falta de entendimento com relacao ao ECHO REQUEST , as demais
> dicas dadas podem ser bem-vindas a muitos.
>
> Espero ter colaborado.
>
> Abracos,
> Ricardo Bueno
>
> --
> _______________________________________________________________________
>  Ricardo Bueno da Silva                e-mail: rbueno em ccuec.unicamp.br
>  Centro de Computacao - CCUEC                  Fone: (0xx19) 3788-2200
>  Universidade Estadual de Campinas - UNICAMP    Fax: (0xx19) 3289-2577
>
> ----
> Para sair da lista envie um e-mail para majordomo em fugspbr.org
> com as palavras "unsubscribe fugspbr" no corpo da mensagem.
>
>

----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.

Mais detalhes sobre a lista de discussão freebsd