Erforderliche ICMP-Typen für IPSec-Tunnel?

791
Lapsio

Ich habe einen IPSec-Tunnel zwischen 2 Routern eingerichtet. Früher funktionierte es einwandfrei, aber vor kurzem habe ich die Richtlinien in IDS verhärtet, und ich bekam Benachrichtigungen über ICMP Type 11-Code 1, der von einem Router an einen anderen gesendet wurde.

Was bedeutet Zeitüberschreitung im Zusammenhang mit IPSec? Ist es sicher? Welche anderen ICMP-Typen / -Codes sollten für den ordnungsgemäßen IPSec-Betrieb zugelassen werden?

0
Ich denke, es ist ein Leistungsproblem, die CPU im schwächeren Router ist zu 100% maximal. Nach dem Deaktivieren einer der verbundenen Arbeitsstationen, die den Großteil des Datenverkehrs generierte, wurde die Erzeugung von Paketen mit _Time überschritten_ gestoppt. Lapsio vor 7 Jahren 0

1 Antwort auf die Frage

1
Spiff

Die meiste Zeitüberschreitungsnachrichten stammen von jemandem, der Traceroute ausführt. Abgesehen davon könnte dies auf ein paar relativ seltene Dinge hindeuten, z. B. eine Routing-Schleife, eine Maschine mit einem zu niedrigen Standard-TTL-Wert oder tatsächlich eine zu lange Route, die keine Schleife ist.

Blockieren Sie im Allgemeinen keine ICMP-Nachrichten. Es ist ein Anfängerfehler, den neue Firewall-Administratoren ständig machen. ICMP ist für viel mehr als nur Ping von entscheidender Bedeutung. Wenn Sie es blockieren, brechen Sie die MTU-Erkennung und eine Reihe anderer Dinge ab.

Ich blockiere nicht alle ICMPs - ich passiere Echo und MTU-Entdeckung. Deshalb frage ich, welche Typen "okay" sind. Ich ziehe das Whitelisting dem Blacklisting vor. Ich habe viele professionelle, gehärtete Produktionssicherheitssysteme gesehen, die ICMP blockiert haben. Es gibt auch bekannte Angriffe auf _some_-ICMP-Typen Lapsio vor 7 Jahren 0
Es wird dringend empfohlen, dass Sie nur diejenigen ICMP-Typen auf die schwarze Liste setzen, von denen Sie wissen, dass sie noch aktive Angriffe gegen sie haben. Es gibt viele Mythologien unter Laien-Firewall-Administratoren, die Blockierungsprotokolle empfehlen, nur weil eine Implementierung auf einem Betriebssystem einen Exploit hatte, der vor 20 Jahren gepatcht wurde. Oder weil es die geringsten Informationslecks darstellt. Wenn diese Protokolle jedoch die Kontrollmeldungen des Internets sind, ist dies kein vernünftiger Ansatz. Spiff vor 7 Jahren 0
Das Blockieren von ICMP ist nicht sinnvoll, wenn sich das Netzwerk in der Entwicklung befindet. Bei einem statischen Netzwerk, bei dem diese ICMP-Nachrichten während des normalen Betriebs eigentlich nicht auftreten sollten, hilft das Blockieren bei fw und das Generieren von Alarmen bei der Erkennung von Netzwerkanomalien. Wie gesagt, diesmal ist der Router überlastet. Ohne diese IDS-Warnungen würde ich wahrscheinlich nicht bemerken, dass die CPU des Routers beim Zugriff auf den Netzwerkspeicher überschritten wird. Tatsächlich sollten die meisten ICMP-Nachrichten niemals in einem ordnungsgemäß funktionierenden Netzwerk generiert werden. Die Auswirkungen auf die Sicherheit sind offensichtlich - und ich spreche nicht von tatsächlichen Exploits, sondern von der Erkennung von Umgebungen wie z. Ping-Sweep Lapsio vor 7 Jahren 0

Verwandte Probleme