Требуемые типы ICMP для туннеля IPSec?

584
Lapsio

У меня есть туннель IPSec, настроенный между 2 маршрутизаторами. Раньше все работало нормально, однако недавно я ужесточил политику в IDS и начал получать предупреждения о том, что код 1 ICMP типа 11 отправляется с одного маршрутизатора на другой.

Что означает превышение времени в контексте IPSec, безопасно ли, какие другие типы / коды ICMP следует разрешить для правильной работы IPSec?

0
Я думаю, что это проблема производительности, процессор в более слабом маршрутизаторе увеличен до 100%. После отключения одной из подключенных рабочих станций, которая генерировала большую часть трафика, маршрутизатор прекратил генерировать пакеты _Time exceeded_. Lapsio 6 лет назад 0

1 ответ на вопрос

1
Spiff

Большинство сообщений о превышении времени получены от кого-то, кто запускает traceroute. Кроме того, это может указывать на несколько относительно редких вещей, например, у вас есть цикл маршрутизации, или у вас есть машина со слишком низким значением TTL по умолчанию, или у вас действительно есть слишком длинный маршрут, который не является циклом.

В общем, не блокируйте сообщения ICMP. Это ошибка новичка, которую постоянно делают новые администраторы брандмауэра. ICMP важен не только для проверки связи, и, если вы заблокируете его, вы нарушите обнаружение MTU и множество других вещей.

Я не блокирую все ICMP - я передаю эхо и обнаружение MTU. Вот почему я спрашиваю, какие типы "хорошо". Я предпочитаю белый список, чем черный. Я видел много профессиональных, защищенных, производственных систем безопасности, которые блокировали ICMP. Также есть известные атаки на _some_ типы ICMP Lapsio 6 лет назад 0
Я настоятельно рекомендую вам занести в черный список только те типы ICMP, которые, как вы знаете, все еще активно атакуют их. Существует много мифологии среди администраторов брандмауэров неспециалистов, рекомендующих блокировать протоколы только потому, что одна реализация в одной ОС имела уязвимость, исправленную 20 лет назад. Или потому что он представляет самые незначительные утечки информации. Но когда эти протоколы являются управляющими сообщениями Интернета, это не мудрый подход. Spiff 6 лет назад 0
Блокировка ICMP нецелесообразна, когда сеть находится в разработке. Но в статической сети, где эти сообщения ICMP на самом деле не должны появляться во время нормальной работы, их блокировка на fw и генерация предупреждений помогают в обнаружении аномалий в сети. Как я уже сказал, это перегрузка маршрутизатора. Без этих предупреждений IDS я, вероятно, не заметил бы, что ЦП маршрутизатора перегружен во время доступа к сетевому хранилищу. Фактически, большинство сообщений ICMP никогда не должно генерироваться в правильно работающей сети. Последствия для безопасности очевидны - и я говорю не о реальных подвигах, а о признании среды, например. пинг развертки Lapsio 6 лет назад 0

Похожие вопросы