¿Existe algún riesgo al permitir que los paquetes ping salgan * a través de un firewall?

4

La empresa en la que estoy trabajando actualmente no permite solicitudes de ping hacia fuera a través de su firewall, por "razones de seguridad" y estoy desconcertado de por qué esto es una preocupación.

Antes de dirigirme a (por ejemplo) esta pregunta , tenga en cuenta que ' No estoy hablando de responder a las solicitudes de ping realizadas desde fuera de la red. Estoy hablando de hacer ping desde dentro de la red corporativa.

Así, por ejemplo, estaba intentando resolver un problema de red en una máquina virtual de Linux, y (ingenuamente) asumí que hacer ping en google.com me diría si tuviera alguna conectividad con alguna ( mtr no se instaló en esta máquina virtual, o lo habría usado), y todas las señales apuntaban a algún problema de red, o un cambio en la configuración del servidor proxy que anteriormente había podido obtener (usando cntlm ).

¿Existe realmente una razón legítima para evitar que sus propios usuarios hagan ping a servidores externos?

    
pregunta iconoclast 05.07.2012 - 22:30
fuente

3 respuestas

5

Si está permitiendo solicitudes de eco ICMP (tipo 8, código 0), entonces presumiblemente estará permitiendo respuestas de eco ICMP (tipo 0, código 0) nuevamente. Las respuestas de eco ICMP se pueden usar para el mapeo inverso de un red de destino, incluso cuando hay un dispositivo de filtrado (como un firewall en el perímetro). Sin embargo, este es un ataque antiguo y los firewalls modernos pueden bloquearlo fácilmente (suponiendo que estén configurados correctamente).

El Smurf DDOS attack explota por primera vez una red intermedia que responderá al mensaje icmp de difusión y, a su vez, envía IMCP. Hacer peticiones de eco a una víctima posterior.

Aquí hay un white paper sobre los ataques ICMP: es antiguo pero sigue siendo válido y contiene buena información.

Las comunicaciones de

C & C ya están bien cubiertas anteriormente, pero aquí hay otra paper anterior en canales encubiertos que muestra algunos ejemplos, específicamente sobre el uso de las solicitudes y respuestas de eco de Loki.

También es posible utilizar ptunnel para configurar una conexión TCP utilizando las solicitudes y respuestas de eco ICMP. por lo tanto, omite otras restricciones de firewall (si ha permitido que ICMP solicite y responda). En pruebas anteriores, esta conexión ha sido confiable y resistente.

    
respondido por el Mark Hillick 06.07.2012 - 11:10
fuente
3

Algunos que vienen a la mente:

  • Protección contra ataques (digamos, un ICMP DDOS básico) provenientes de máquinas comprometidas dentro de la compañía.
  • Evitar que las máquinas comprometidas anuncien fácilmente su presencia en C & C
  • Como parte de una política de "denegación predeterminada" para permitir únicamente el tráfico explícitamente. Esto le brinda una postura de seguridad muy alta, con un alto costo para la conveniencia.

Estoy seguro de que hay otros, pero ¿por qué no les pregunta el objetivo de esa medida de seguridad en particular?

    
respondido por el scuzzy-delta 06.07.2012 - 02:52
fuente
3

Algunos atacantes pueden usar paquetes ICMP salientes para enviar datos fuera de la máquina víctima, lea más sobre el canal secreto.

    
respondido por el Hamza Al-sbaihi 06.07.2012 - 04:00
fuente

Lea otras preguntas en las etiquetas