it-swarm-id.com

Risiko keamanan PING?

Saya telah diberitahu bahwa PING menghadirkan risiko keamanan, dan merupakan ide bagus untuk menonaktifkan/memblokirnya di server web produksi. Beberapa penelitian memberi tahu saya bahwa memang ada risiko keamanan. Apakah praktik umum untuk menonaktifkan/memblokir PING pada server yang terlihat oleh publik? Dan apakah ini berlaku untuk anggota lain dari keluarga ICMP, seperti traceroute ( wikipedia tentang keamanan )?

47
Mr. Jefferson

The ICMP Echo protocol (biasanya dikenal sebagai "Ping") sebagian besar tidak berbahaya. Masalah terkait keamanan utamanya adalah:

  • Jika ada permintaan dengan alamat sumber palsu ("spoofing"), mereka dapat membuat mesin target mengirim paket yang relatif besar ke Host lain. Perhatikan bahwa respons Ping tidak secara substansial lebih besar dari permintaan yang sesuai, sehingga tidak ada efek pengganda di sana: tidak akan memberikan kekuatan ekstra kepada penyerang dalam konteks penolakan serangan layanan. Ini mungkin melindungi penyerang dari identifikasi.

  • Permintaan Ping yang terhormat dapat menghasilkan informasi tentang struktur internal jaringan. Ini tidak relevan dengan server yang terlihat secara publik, karena itu sudah terlihat secara publik.

  • Dulu ada lubang keamanan dalam beberapa implementasi TCP/IP yang tersebar luas, di mana permintaan Ping yang salah dapat menyebabkan crash mesin ( "ping of death" ). Tapi ini sepatutnya ditambal selama abad sebelumnya, dan tidak lagi menjadi perhatian.

Merupakan praktik umum untuk menonaktifkan atau memblokir Ping pada server yang terlihat secara publik - tetapi menjadi umum tidak sama dengan menjadi disarankan. www.google.com merespons permintaan Ping; www.Microsoft.com tidak. Secara pribadi, saya akan merekomendasikan membiarkan semua ICMP lulus untuk server yang terlihat secara publik.

Beberapa jenis paket ICMP TIDAK HARUS diblokir, khususnya pesan ICMP "destination unreachable", karena memblokir salah satu yang rusak path MTU discovery , gejala adalah bahwa pengguna DSL (di belakang lapisan PPPoE yang membatasi MTU hingga 1492 bytes) tidak dapat mengakses situs Web yang memblokir paket-paket itu (kecuali jika mereka menggunakan proxy Web yang disediakan oleh ISP mereka).

61
Thomas Pornin

ICMP memiliki komponen data untuk itu. Ini dapat digunakan untuk membangun terowongan, dan ini bukan hanya teori, ini tersedia di alam liar. Telah ditemukan oleh beberapa peneliti berbeda sebagai bagian dari malware toolkit. Belum lagi ada howto yang menonjol tentang topik ini, belum lagi wiki , atau hackaday

ICMPTX menggunakan gema ICMP dan balasan ICMP. ICMP echo tidak selalu tidak berbahaya, karena mengandung komponen data, dapat berupa exfiltrating data atau digunakan sebagai saluran kontrol, atau digunakan (dalam kasus ICMPTX) sebagai protokol tunneling.

Penekanan saat ini dalam distribusi, dengan howto, (ICMPTX): http://thomer.com/icmptx/

Skenario serangan nyata menggunakan transmisi data ICMP untuk injeksi payload: Open Packet Capture

Penggunaan protokol transmisi data ICMP melalui metode serupa dengan ICMPTX (2006) untuk trojan C&C dan Exfiltration: Network World

19
Ori

Memang benar bahwa ICMP dapat digunakan oleh penyerang untuk mendapatkan informasi, mengangkut data secara diam-diam, dll. Memang benar bahwa ICMP sangat berguna, dan menonaktifkannya seringkali dapat menyebabkan masalah. Traceroute memang menggunakan ICMP, jadi melarang jenis ICMP tertentu akan merusaknya.

Pertanyaannya menyoroti keseimbangan klasik antara keamanan dan fungsionalitas, dan terserah kepada Anda untuk menentukan berapa banyak fungsionalitas yang Anda ingin kehilangan untuk mendapatkan x jumlah keamanan.

Satu rekomendasi adalah mengizinkan hanya tipe tertentu (yang paling umum digunakan), dan menonaktifkan yang lainnya. Ini aturan iptables saya. Perlu diingat bahwa ini diperbolehkan karena segala sesuatu yang lain tidak diizinkan secara default.

 # Allow incoming ICMP: ping, MTU discovery, TTL expired
/sbin/iptables -A INPUT -i eth0 -p icmp -d $YOURBOX --icmp-type 8/0 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp -d $YOURBOX --icmp-type 3/4 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp -d $YOURBOX --icmp-type 11/0 -j ACCEPT
9
Daniel Miessler

Saya pikir bahwa balasan gema keluar lebih berbahaya daripada permintaan gema masuk karena amplifikasi ICMP (baik tingkat tarif atau menolak lalu lintas ini). Namun, setelah beberapa dekade merenungkan topik ini - saya telah menyimpulkan bahwa ICMP lebih berbahaya daripada berguna, dan karenanya harus diblokir di kedua arah, dengan penebangan pada lalu lintas keluar yang berpotensi palsu.

Yang terbaik dari semua dunia adalah rute nol pada segala hal yang bisa menjadi stateful-but-tak diinginkan (koneksi TCP) dan ACL refleksif (didorong kinerja) untuk apa pun stateful-tetapi-diizinkan dan/atau tidak sepenuhnya stateful (datagram UDP), sementara penghapusan jenis protokol IP lainnya, karena mereka tidak perlu. IPsec AH/ESP tidak perlu, gunakan OpenVPN (atau yang serupa) sebagai gantinya.

Setelah Anda memblokir ICMP traceroute, Anda juga perlu bersaing dengan traceroute berbasis UDP, serta konsep teknologi seperti yang ditemukan di alat 0trace, LFT, dan osstmm_afd.

Walaupun bahkan Nmap Pemindaian Xmas tidak diambil oleh Snort/Suricata, apalagi serangan berbasis SQLi atau Javascript (ke segala arah), kita perlu mengenali pentingnya risiko yang terkait dengan keamanan jaringan dan aplikasi serangan terhadap infrastruktur modern. Kita harus menyangkal, menguji, dan memverifikasi lalu lintas jejak apa pun - dan saya tidak melihat mengapa ini tidak termasuk ICMP tetapi sebenarnya itu tidak memulai atau berhenti di sana.

7
atdre

Ping dan Traceroute diperlukan untuk memecahkan masalah jaringan. Dengan firewall modern, dan alat-alat keamanan sangat sedikit, dan berbatasan dengan kemungkinan tidak ada protokol yang berhasil digunakan dengan cara jahat.

Pada tahun 1996, tentu itu adalah masalah, tetapi sekarang tahun 2015 hampir 20 tahun kemudian, dan memblokir ini hanya menyebabkan peningkatan kerangka waktu secara dramatis untuk menyelesaikan konektivitas dan kinerja. Melumpuhkan kemampuan tim 1/2 tier untuk mengidentifikasi dan memperbaiki masalah rute dan jaringan yang sederhana adalah masalah pengiriman layanan yang berdampak pada kepuasan pelanggan dengan layanan jaringan apa pun yang Anda berikan.

6

Alih-alih menjawab pertanyaan utama "apa risiko keamanan ping", saya akan menjawab sub-pertanyaan Anda tentang "Apakah itu ide yang baik untuk memblokir/menonaktifkan server web produksi"

Saya pikir kita dapat menemukan keseimbangan antara keamanan dan utilitas di sini. Staf pendukung umumnya menganggap ping bermanfaat ketika memeriksa latensi atau ketersediaan node tertentu. Staf keamanan prihatin dengan banyak masalah keamanan yang diuraikan dalam halaman ini, dan seringkali merupakan "orang jahat".

Mengapa tidak mempertimbangkan menonaktifkan Ping dalam format daftar putih/daftar hitam, dan beri tahu staf dukungan Anda. Jika audiens inti Anda berada di wilayah geografis tertentu, batasi kemampuan untuk melakukan ping berdasarkan alokasi IP IANA

4

Setelah akses awal ke server Anda, perangkat lunak berbahaya dapat menggunakan protokol ping sebagai cara komunikasi ke perintah dan server kontrolnya. Sebagai contoh, Shell terbalik menggunakan protokol ping: https://github.com/inquisb/icmpsh

0
Furkan Turan