[GTER] RES: Bloqueio de ICMP e Fragmentação (was: " " )

[Aristeu Gil Alves Jr]

>> Olá a todos.
>>
>> Talvez seja OT, mas lá vai...
>>
>> Acredito que uma postura restritiva é o que está sendo aplicado. Apenas
os
>> protocolos e aplicações passíveis de controle trafegariam na rede: quanto
>> mais simples, melhor...
>
>ICMP é um protocolo de sinalização e uma de suas aplicações é determinar o
>efetivo MTU de um caminho. Concordo que há algumas funções de ICMP que
podem
>ser bloqueados, mas bloquear simultaneamente ICMP/Fragmentation Needed e
>pacotes fragmentados implica em excluir dos serviços clientes perfeitamente
>válidos e sem um pingo de más intenções.
>
>detectores de intrusão pdem ser programados para perceber pacotes de ICMP
mal
>formados, sinal de ataque por esse caminho.
>
>É dificílimo diagnosticar o problema de serviço indisponível em sites que
>adotam essa política paranóico-suicida, pois o que se verifica na prática é
>que certas aplicações (mormente https, em sites de alguns bancos) não
>funcionam e você não entende por que. Curiosamente em outros bancos, que
são
>menos nóicos ou mais racionais, a aplicação funciona!
>
>> Pacotes fragmentados, além de DOS, é possível ocultação através de
segmentos
>> sobrepostos. Estes casos, acredito, são de mais fácil controle em
firewall,
>> mas se é possível eliminar, tiro fora.
>>
>> O que o pessoal acha ?
>
>pacotes fragmentados são parte do protocolo e deveriam ser tratados de
acordo.
>e nesse ponto o ICMP é extremamente útil.
>
>há várias situações em que fragmentação no meio do caminho é interessante e
>nem sempre é possível faze-la de modo transparente (com túnel de ip não
>fragmentado sobre ip fragmentado). não há por que excluir os clientes que
>venham por esses caminhos dos serviços. duas situações me ocorrem: redes
>wireless na presença de ruído se comportam melhor com MTU reduzido e duas
>linhas seriais paralelas tem latência menor com MTU/2. há outras situações
em
>que vale a pena ter MTUs gigantescos, por exemplo, enlaces de satélite, e
aí
>os pacotes serão fragmentados para cair nos 1500 octetos tradicionais.

>o melhor é entender melhor o funcionamento do ICMP, programar seu detector
de
>intrusão para pacotes ICMP mal formados e deixar passar algumas das funções
do
>ICMP. Note que esses pacotes não precisam em geral ser roteados para os
>servidores protegidos, podem ser gerados/respondidos pelo próprio firewall.

Não quero travar uma guerra de tecnologia vs segurança. Se seu ambiente e de
seus clientes necessitam, se consegues controlar com eficiência tais
pacotes, por favor, use fragmentação. Existem outras alternativas. Uma seria
utilizar um proxy multihomed no final de seus canais. Existem proxys para
diversos tipos de aplicações, logo, ache algum que preencha suas
necessidades.

Talvez a solução REAL do seu problema e de seus clientes esteja no IPV6, que
resolve todo esse problema de fragmentação de forma eficiente e segura: opta
pelo menor MTU da rota e não fragmenta os pacotes. Sabe-se que este vai ser
o futuro da internet, logo, vais perder a possibilidade de trafegar com
estes grandes pacotes e perder este desempenho defendido. Cabe lembrar que a
retirada de pacotes fragmentados do IPV6 foi em busca de mitigar a alta
degradação deste tipo de pacote nos roteadores. E agora, vamos brigar com o
IETF ?!! Por favor, algum guru me corrija se estiver errado, pois estou sem
referência no momento.

Existem muitos outros pacotes ICMP (creio que não preciso listar ;)) que são
importantes para utilização da internet(IPV4 ou IPV6), assim como todos os
outros protocolos da mesma. A utilização irrestrita destes dentro de um
provedor, onde há a utilização de diversas tecnologias pelos diversos
clientes, seja imprescindível. _Mas_ em ambientes críticos, que não precisam
de certo protocolo ou característica, ficam sem. Uma boa referência é
Building Internet Firewalls (um clássico) - isso está lá, não inventei.

A discussão anterior foi generalizada, assim como foi esta, na questão de
pacotes ICMP. Acredito na utilização de ICMP, assim como acredito na
utilização de pacotes fragmentados. No entanto, caso não precise, descarto.
Faça isto também. Cada empresa tem seu ambiente crítico; cada uma sabe o
valor de suas informações e quem são seus clientes. GENERALIZAR, sim, é um
erro...
Caso sua base de clientes seja grande o suficiente para modificar a política
de segurança do banco, para auxiliá-lo a melhorar o desempenho de sua rede,
entre em contato com eles, talvez eles ajudem.

[]´s
--aristeu