[GTER] RES: Bloqueio de ICMP e Fragmentação (was: " " )

Danton Nunes danton at inexo.com.br
Mon Apr 5 14:16:45 -03 2004


On Sun, 4 Apr 2004, Aristeu Gil Alves Jr wrote:

> Olá a todos.
> 
> Talvez seja OT, mas lá vai...
> 
> Acredito que uma postura restritiva é o que está sendo aplicado. Apenas os
> protocolos e aplicações passíveis de controle trafegariam na rede: quanto
> mais simples, melhor...

ICMP é um protocolo de sinalização e uma de suas aplicações é determinar o
efetivo MTU de um caminho. Concordo que há algumas funções de ICMP que podem
ser bloqueados, mas bloquear simultaneamente ICMP/Fragmentation Needed e
pacotes fragmentados implica em excluir dos serviços clientes perfeitamente
válidos e sem um pingo de más intenções.

detectores de intrusão pdem ser programados para perceber pacotes de ICMP mal
formados, sinal de ataque por esse caminho.

É dificílimo diagnosticar o problema de serviço indisponível em sites que
adotam essa política paranóico-suicida, pois o que se verifica na prática é
que certas aplicações (mormente https, em sites de alguns bancos) não
funcionam e você não entende por que. Curiosamente em outros bancos, que são
menos nóicos ou mais racionais, a aplicação funciona!

> Pacotes fragmentados, além de DOS, é possível ocultação através de segmentos
> sobrepostos. Estes casos, acredito, são de mais fácil controle em firewall,
> mas se é possível eliminar, tiro fora.
> 
> O que o pessoal acha ?

pacotes fragmentados são parte do protocolo e deveriam ser tratados de acordo.
e nesse ponto o ICMP é extremamente útil.

há várias situações em que fragmentação no meio do caminho é interessante e
nem sempre é possível faze-la de modo transparente (com túnel de ip não
fragmentado sobre ip fragmentado). não há por que excluir os clientes que
venham por esses caminhos dos serviços. duas situações me ocorrem: redes
wireless na presença de ruído se comportam melhor com MTU reduzido e duas
linhas seriais paralelas tem latência menor com MTU/2. há outras situações em
que vale a pena ter MTUs gigantescos, por exemplo, enlaces de satélite, e aí
os pacotes serão fragmentados para cair nos 1500 octetos tradicionais.

o melhor é entender melhor o funcionamento do ICMP, programar seu detector de
intrusão para pacotes ICMP mal formados e deixar passar algumas das funções do
ICMP. Note que esses pacotes não precisam em geral ser roteados para os
servidores protegidos, podem ser gerados/respondidos pelo próprio firewall.

danton




More information about the gter mailing list