[FUGSPBR] Ainda sobre filtrar ICMP ...

Marcio F. Silva marcio em tre-df.gov.br
Sex Nov 23 16:26:16 BRST 2001


    Bem, ja que tocaram nesse assunto, gostaria de tirar uma duvida...

    Existe um servidor HP-UX que eu pingo de qualquer estacao Ruindows
(microsoft), e dah "Source Quench", mas de qualquer outro *UNix o ping
acontece normalmente... Essa mensagem acarreta em alguma perda de dados numa
transmissao ?! O HP-UX tras isso como default ?? Gostaria de mais
informacoes sobre essa resposta de ping.


    Abracos...

    Marcio


----- Original Message -----
From: "Ricardo Bueno da Silva" <rbueno em ccuec.unicamp.br>
To: <fugspbr em fugspbr.org>
Sent: Friday, November 23, 2001 2:08 PM
Subject: [FUGSPBR] Ainda sobre filtrar ICMP ...


> Pessoall,
>
> estava acompanhando na lista o assunto sobre filtrar ICMP.
>
> Sei que isso nao e' diretamente relacionado ao FreeBSD, mas vale
> para qualquer SO e equipamento.
>
> Coincidentemente uma discussao parecida esta rolando na lista do
> GTER-CG. Apos acompanhar as duas discussoes e ler um documento do
> SNAC/NSA (System and Network Attack Center/National Security Agency)
> e a RFC 1122, acredito que uma dica pode ser util:
>
>     Nao e' aconselhavel bloquear todas mensagens de ICMP no seu
>     filtro. Bloqueando "Parameter Problem" e "Source Quench", por
>     exemplo, voce estara perdendo informacoes importantes sobre
>     a conexao, o que pode acarretar num mal aproveitamento dos
>     recursos da sua rede.
>
>
> O documento do SNAC da dicas legais do que bloquear:
>
> Trafego ICMP Inbound:
>  liberar Echo Reply (tipo 0)
>          Destination Unreachable (tipo 3)
>          Source Quench (tipo 4)
>          Time Exceeded (tipo 11)
>          Parameter Problem (tipo 12)
>  bloquear demais tipos de ICMP
>
> Trafego ICMP Outbound:
>  liberar Echo Reply (tipo 0)
>          Source Quench (tipo 4)
>          Echo Request (tipo 8)
>          Parameter Problem (tipo 12)
>
> Existe uma divisao de opinioes quanto a liberar o "Echo Request" (tipo 8)
> no trafego inbound. Segundo a RFC 1122, todo host conectado a Internet
> deve implementar ECHO REQUEST/ECHO REPLY.  Isso nos leva a interpretacoes:
> "deve implementar mas nao significa que tenho que liberar...  ou
>  se deve implementar entao tem que usar...". E' complicado...
>
> Existem alguns ataques de DOS que se aproveitam da possibilidade
> de utilizar o Echo Resquest. Mas, na minha opiniao, se seu SO pode tratar
> isso de maneira que consiga impedir um DOS de ICMP (como o FreeBSD faz com
> o ICMP_BANDLIM), vale a pena liberar o ECHO REQUEST tambem.
>
> Fora essa falta de entendimento com relacao ao ECHO REQUEST , as demais
> dicas dadas podem ser bem-vindas a muitos.
>
> Espero ter colaborado.
>
> Abracos,
> Ricardo Bueno
>
> --
> _______________________________________________________________________
>  Ricardo Bueno da Silva                e-mail: rbueno em ccuec.unicamp.br
>  Centro de Computacao - CCUEC                  Fone: (0xx19) 3788-2200
>  Universidade Estadual de Campinas - UNICAMP    Fax: (0xx19) 3289-2577
>
> ----
> Para sair da lista envie um e-mail para majordomo em fugspbr.org
> com as palavras "unsubscribe fugspbr" no corpo da mensagem.

----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.



Mais detalhes sobre a lista de discussão freebsd