Si configuro una VPC de Amazon AWS, ¿debo permitir explícitamente que los paquetes de "destino inalcanzable" de ICMP entren? Quiero que el firewall VPC bloquee todo de forma predeterminada, sin embargo, ¿esto significa que (potencialmente) rompe las cosas para el tráfico DSL? ¿El firewall con estado permite que estos paquetes vuelvan a entrar, mientras que las ACL utilizadas en las subredes VPC, debido a que son sin estado, no lo hacen?
Supongo que mi pregunta principal es ¿por qué no es esta una regla predeterminada si es segura? : la respuesta actual de Mark dice que ICMPTX no es una amenaza real en una red que tiene control.
En la respuesta de Thomas Pornin en riesgo de seguridad de PING , afirma:
Algunos tipos de paquetes ICMP NO DEBEN ser bloqueados, en particular el mensaje ICMP de "destino inalcanzable", ya que al bloquear esa ruta se rompe el descubrimiento de MTU, los síntomas son que los usuarios de DSL (detrás de una capa PPPoE que restringe la MTU a 1492 bytes) no pueden acceder Sitios web que bloquean esos paquetes (a menos que utilicen el proxy web proporcionado por su ISP).
¿Qué probabilidades hay de que las reglas predeterminadas rompan cosas si se bloquea el "destino inalcanzable" de ICMP como señala Thomas? ¿Debería dedicarse tiempo y esfuerzo para permitirlos explícitamente en cada VPC y subred de subred y reglas de ACL?
Encontré este interesante artículo sobre el tema :
Existen algunas causas comunes para no poder obtener las respuestas ICMP necesarias para que PMTUD [Path MTU Discovery] funcione. Los administradores de red demasiado entusiastas configurarán sus cortafuegos para eliminar todos los ICMP, ya que ciertos mensajes de ICMP se consideran amenazas de seguridad. Los enrutadores a veces se configuran (mal) con PMTUD desactivado y, por lo tanto, simplemente eliminarán el paquete sin enviar el mensaje ICMP requerido.
Si el bloqueo de ICMP es tan común en AWS y otros proveedores de alojamiento en la nube y no en la nube, ¿por qué no vemos más problemas de agujeros negros? Si no es un problema generalizado, y muchas personas están usando DSL usando PPoE, parece sensato dejarlo bloqueado como predeterminado.