Fie blocarea problemei securității traficului icmp - 14 octeți

ICMP este marcul de discordie

Mulți administratori de rețea cred că mesajele de control firewall (Internet de Control Message Protocol (ICMP) protocol este un risc de securitate și, prin urmare, ar trebui să fie întotdeauna blocate la firewall-ul. Este adevărat că protocolul are unele probleme de securitate asociate, iar acea parte trebuie să fie blocate cereri Dar aceasta nu este o scuză pentru a bloca tot traficul ICMP!

Traficul ICMP are multe funcții importante; care sunt utile pentru depanare, altele sunt necesare pentru funcționarea corectă a rețelei. Iată câteva părți importante ale protocolului ICMP pe care ar trebui să le cunoașteți. Ar trebui să vă gândiți cum să le transmiteți în mod optim prin rețeaua dvs.

Apel Echo și răspuns Echo

IPv4 - Cerere de Echo (Type8, Code0) și răspuns Echo (Type0, Code0)
IPv6 - solicitare Echo (Type128, Code0) și răspuns Echo (Type129, Code0)

Știm cu toții că ping-ul. Este unul dintre primele instrumente de depanare. Da, dacă activați echipament de procesare a dvs. pachetele ICMP, aceasta înseamnă că gazda este acum disponibil pentru a detecta, dar nu și serverul web nu este de a asculta pe portul 80, și nu trimite un răspuns la solicitările clienților? Desigur, blocați și aceste solicitări, dacă într-adevăr doriți să aveți DMZ-ul la marginea rețelei. Dar blocarea traficului ICMP în rețeaua dvs., nu pentru a consolida protecția, pe de altă parte a obține sistemul inutil proces complex de depanare ( „Verificați vă rugăm să revocată în cazul în care poarta de acces la cererile de rețea?“ „Nu, dar că nu am supărat pentru că am făcut nimic nu va spune! ").

Rețineți că puteți permite și transmiterea cererilor într-o anumită direcție; de exemplu, configurați echipamentul astfel încât solicitările Echo din rețeaua dvs. să meargă la Internet și răspunsurile Echo de pe Internet în rețeaua dvs., dar nu invers.

Este necesară fragmentarea pachetelor (IPv4) / pachetul este prea mare (IPv6)

IPv4 - (Type3, Code4)
IPv6 - (Type2, Code0)

Nu fragmentați - ICMP nu va funcționa!

Transferul de pachete IPv4-bit cu nu fragmenta (cele mai multe dintre ele!) Sau IPv6-pachet (amintiți-vă că nu există nici o fragmentare a routere IPv6), care sunt prea mari pentru a fi trimise prin intermediul interfeței, va cauza router-ul va renunța la pachetul și forma sursa de transmitere a răspuns cu următoarea ICMP-eroare: Necesită fragmentare (fragmentarea Necesar), orice pachet prea mare (pachet prea mare). În cazul în care răspunsurile la aceste erori nu vor fi în măsură să se întoarcă la expeditor, acesta va interpreta absența unui răspuns afirmativ la livrarea de pachete ACK (Confirmare) de la receptor ca suprasarcină / pierderea și sursa pentru retransmisia pachetelor care va fi scăzut.

Fie blocarea problemei securității traficului icmp - 14 octeți

Este dificil să se identifice cauza acestei probleme și de a rezolva rapid, proces de schimb TCP-strângere de mână (TCP-strângere de mână) funcționează în mod corespunzător, deoarece implică pachete mici, dar de îndată ce există un transfer de masă a sesiunii de date atârnă ca o sursă de transmisie nu primește nici un mesaj de eroare.

Explorarea căii de livrare a pachetelor

RFC 4821 a fost conceput pentru a ajuta participanții să transfere traficul de pe rețea pentru a obține în jurul valorii de această problemă prin utilizarea de cercetare pachet de cale (Path MTU Discovery (PLPMTUD). Standard poate detecta cantitatea maximă de date (Maximum Transmission Unit (MTU). Care pot fi transmise de protocol într-o iterație, prin creșterea treptată dimensiunea maximă a blocului de date utile (dimensiunea maximă a segmentului (MSS). în scopul de a găsi maximul posibil fără fragmentare pachete de trecere de la emițător la receptor. Acest y funcțional enshaet în funcție de primirea în timp util a unei mesaje de control de răspuns de eroare Gateway Protocol (Internet de Control Message Protocol (ICMP) și este disponibil în cele mai multe dispozitive stivă de rețea și sisteme de operare client. Din păcate, nu este la fel de eficace ca datele imediate ale cantității maxime posibile de transmitere Permiteți acestor mesaje ICMP să se întoarcă la sursă, bine?

Timpul de transmitere a pachetelor depășit

IPv4 - (Type11, Code0)
IPv6 - (Type3, Code0)

Traceroute este un instrument foarte util pentru depanarea conexiunilor de rețea între două gazde, detaliind fiecare pas al drumului.

Fie blocarea problemei securității traficului icmp - 14 octeți

NDP și SLAAC (IPv6)

Solicitarea ruterului (RS) (Type133, Code0)
Anunțul publicitar (RA) (Type134, Code0)
Vecinătate Solicitare (NS) (Type135, Code0)
Publicitatea vecinilor (NA) (Type136, Code0)
Redirecționare (Tip137, Code0)

Aceste cinci tipuri de mesaje ICMP nu ar trebui să fie blocate în interiorul rețelei dvs. (nu luăm în considerare perimetrul exterior), astfel încât protocolul de transfer de date IP să funcționeze corect.

Câteva cuvinte despre limita de viteză

Deși mesajele ICMP, similare cu cele descrise în articol, pot fi foarte utile, rețineți că generarea tuturor acestor mesaje necesită timp CPU pe routerul dvs. și generează trafic. Chiar te aștepți să primești 1000 de pingi pe secundă prin firewall-ul în situația obișnuită? Va fi acesta considerat trafic normal? Probabil că nu. Limitați lățimea de bandă a rețelei pentru aceste tipuri de trafic ICMP după cum doriți; Acest pas vă poate ajuta să vă protejați rețeaua.

Citiți, explorați și înțelegeți

Având în vedere că discuția pe tema "blocarea sau blocarea" pachetelor ICMP duce întotdeauna la confuzie, la dispute și dezacorduri, propun să continuu să studiez singur acest subiect. Pe această pagină am citat o mulțime de referințe, cred că pentru o înțelegere mai completă a problemei, ar trebui să vă petreceți timpul când le citiți. Și alegeți în cunoștință de cauză ce funcționează cel mai bine pentru rețeaua dvs.

Timp de mai mult de 10 ani, am ajutat companiile, cunoscuții și prietenii să construiască rețele de calculatoare și să configureze sisteme și aplicații pentru o interacțiune rapidă și de înaltă calitate.

Citiți de asemenea

Fie blocarea problemei securității traficului icmp - 14 octeți

Fie blocarea problemei securității traficului icmp - 14 octeți

Fie blocarea problemei securității traficului icmp - 14 octeți

Articole similare