Me han dicho que PING presenta un riesgo de seguridad, y es una buena idea desactivarlo / bloquearlo en los servidores web de producción. Algunas research me dicen que existen riesgos de seguridad. ¿Es una práctica común deshabilitar / bloquear PING en servidores visibles públicamente? ¿Y esto se aplica a otros miembros de la familia ICMP, como traceroute ( wikipedia on security )?
El ICMP Echo protocol (generalmente conocido como "Ping") es casi inofensivo. Sus principales problemas relacionados con la seguridad son:
En presencia de solicitudes con una dirección de origen falsa ("spoofing"), pueden hacer que una máquina de destino envíe paquetes relativamente grandes a otro host. Tenga en cuenta que una respuesta de ping no es sustancialmente mayor que la solicitud correspondiente, por lo que no hay un efecto multiplicador allí: no le dará poder adicional al atacante en el contexto de un ataque de denegación de servicio. Sin embargo, podría proteger al atacante contra la identificación.
La solicitud de Ping Honorable puede proporcionar información sobre la estructura interna de una red. Sin embargo, esto no es relevante para servidores visibles públicamente, ya que estos ya son visibles públicamente.
Solía haber agujeros de seguridad en algunas implementaciones TCP / IP extendidas, donde una solicitud de Ping con formato incorrecto podría bloquear una máquina (la "ping de la muerte" ). Pero estos fueron debidamente parcheados durante el siglo anterior, y ya no son una preocupación.
Es una práctica común deshabilitar o bloquear Ping en servidores visibles públicamente, pero común no es lo mismo que recomendado . www.google.com responde a las solicitudes de ping; www.microsoft.com no lo hace. Personalmente, recomendaría dejar pasar a todos los ICMP para servidores visibles públicamente.
Algunos tipos de paquetes ICMP NO DEBEN estar bloqueados, en particular el mensaje ICMP de "destino inalcanzable", porque el bloqueo de uno rompe path MTU discovery , los síntomas son que los usuarios de DSL (detrás de una capa PPPoE que restringe MTU a 1492 bytes) no pueden acceder a los sitios web que bloquean esos paquetes (a menos que utilicen el proxy web proporcionado por su ISP).
ICMP tiene un componente de datos. Puede usarse para construir túneles, y esto no es solo una cuestión teórica, está disponible en la naturaleza. Varios investigadores diferentes lo han encontrado como parte de malware juegos de herramientas. Por no mencionar que hay una guía destacada sobre este tema, por no mencionar el wiki , o el hackaday
ICMPTX utiliza el eco ICMP y la respuesta ICMP. ICMP echo no siempre es inofensivo, ya que contiene un componente de datos, puede ser datos exfiltrados o se utiliza como un canal de control, o se utiliza (en el caso de ICMPTX) como un protocolo de tunelización.
Implementación actual en la distribución, con howto, (ICMPTX): enlace
Escenario de ataque real mediante la transmisión de datos ICMP para la inyección de carga útil: Open Packet Capture
Uso de un protocolo de transmisión de datos ICMP a través de métodos similares a ICMPTX (2006) para troyanos C & C y Exfiltración: Network World
Es cierto que los atacantes pueden utilizar ICMP para obtener información, transportar datos de forma encubierta, etc. También es cierto que ICMP es extremadamente útil y que deshabilitarlo a menudo puede causar problemas. Traceroute, de hecho, utiliza ICMP, por lo que deshabilitar ciertos tipos de ICMP lo romperá.
La pregunta resalta el equilibrio clásico entre seguridad y funcionalidad, y depende de usted determinar cuánta funcionalidad está dispuesto a perder para obtener x cantidad de seguridad.
Una recomendación es permitir solo ciertos tipos (los más utilizados) y desactivar todos los demás. Aquí están mis reglas de iptables. Tenga en cuenta que están permitidos porque todo lo demás no está permitido de forma predeterminada.
# Allow incoming ICMP: ping, MTU discovery, TTL expired
/sbin/iptables -A INPUT -i eth0 -p icmp -d $YOURBOX --icmp-type 8/0 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp -d $YOURBOX --icmp-type 3/4 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp -d $YOURBOX --icmp-type 11/0 -j ACCEPT
Creo que la respuesta de eco saliente es más peligrosa que la solicitud de eco entrante debido a la amplificación ICMP (ya sea límite de velocidad o denegación de este tráfico). Sin embargo, después de décadas de reflexionar sobre este tema, he llegado a la conclusión de que ICMP es más peligroso que útil y, por lo tanto, debería bloquearse en ambas direcciones, con el inicio de sesión en el tráfico saliente potencialmente falsificado.
El mejor de todos los mundos son las rutas nulas en todo lo que podría ser un estado pero no deseado (conexiones TCP) y las ACL reflexivas (basadas en el rendimiento) para cualquier cosa con estado pero no permitido y / o sin estado (datagramas UDP) ), mientras que la eliminación de otros tipos de protocolo IP, ya que son innecesarios. IPsec AH / ESP no es necesario, use OpenVPN (o similar) en su lugar.
Después de bloquear el traceroute de ICMP, también debe enfrentarse con el traceroute basado en UDP, así como los conceptos de tecnología como los que se encuentran en las herramientas 0trace, LFT y osstmm_afd.
Si bien los escaneos de Nmap Xmas no son recogidos por Snort / Suricata, por no hablar de los ataques basados en SQLi o Javascript (en cualquier dirección), debemos reconocer la importancia de los riesgos relacionados con los ataques de seguridad de redes y aplicaciones contra la infraestructura moderna. Deberíamos negar, probar y verificar cualquier tipo de tráfico de huellas, y no veo por qué esto no incluiría ICMP, pero en realidad no comienza ni se detiene allí.
Ping y Traceroute son necesarios para solucionar problemas de redes. Con los firewalls modernos y las herramientas de seguridad, hay muy poco, y casi no existe la posibilidad de que cualquiera de los dos protocolos se use con éxito de una manera maliciosa.
En 1996, seguro que era un problema, pero ahora es 2015, casi 20 años después, y el bloqueo de estos solo lleva a un aumento espectacular de los marcos de tiempo para resolver la conectividad y el rendimiento. La limitación de la capacidad de los equipos de nivel 1/2 para identificar y solucionar problemas de enrutamiento y red simples es un problema de entrega del servicio que afecta la satisfacción del cliente con cualquier servicio de red que proporcione.
-Chris
En lugar de responder a la pregunta principal de "cuáles son los riesgos de seguridad del ping", responderé a la subpregunta de "¿Es una buena idea bloquear / deshabilitar en los servidores web de producción"
Creo que podemos encontrar un equilibrio entre seguridad y utilidad aquí. Por lo general, el personal de soporte técnico encuentra útil el ping al verificar la latencia o la disponibilidad de un determinado nodo. El personal de seguridad está preocupado por muchos de los problemas de seguridad descritos en esta página y, a menudo, son los "tipos malos".
¿Por qué no considerar deshabilitar Ping en un formato de lista blanca / lista negra, y darlo a conocer a su personal de soporte? Si su audiencia principal está en una determinada región geográfica, limite la capacidad de hacer ping en función de asignación de IP de la IANA