[GTER] Indisponibilidade no TIC?

Nelio Souza Santos Filho - PLANAE nssantos at planae.com.br
Mon Mar 21 16:47:58 -03 2005


Caro Fabio,

Existem diversos tipos de aplicacoes para um firewall, e servicos 
disponiveis na Internet.

Bloquear ICMP pode nao ser interessante para um ISP, mas para grandes 
empresas privadas, por exemplo, trata-se de uma questao de seguranca.

Firewalls eficientes em empresas privadas, bloqueiam todo e qualquer 
tipo de trafego que nao seja explicitamente permitido.

Segue abaixo alguns exemplos de motivos que levam alguns administradores 
de redes a bloquear os pacotes ICMP:

1.) as funcoes basicas do ICMP nao sao usuais no dia a dia, exceto os 
tipos 0 -> request e 8 -> echo reply.

2.) as outras opcoes do ICMP geralmente dao fruto a ataques de negacao 
de servico. Ataques antigos, jah protegidos pelos sistemas operacionais 
atuais, mas que geram trafego. Ex: nuke, ssping, icmpflood e outros 
inumeros, utilizam base icmp.

A principal utilidade do ICMP dentro das empresas corporativas, eh saber 
se as maquinas esta UP ou DOWN, mas isto nao eh interessante estar 
disponivel para pessoas na Internet, que podem se aproveitar deste tipo 
de informacao, para saber se um determinado tipo de exploit funciona ou nao.

Ex: ao executar um ataque a um host remoto, pode se utilizar do ping 
(atraves de outra rede), para certificar se o Host ficou DOWN ou nao.


Dentro das caracteristicas comuns e usuais, em empresas corporativas, o 
padrao tem sido fechado para pacotes do tipo ICMP. Porem provedores de 
acesso e ISP teem adotado como padrao aberto a estes pacotes.


Espero ter-lhe ajudado a entender porque alguns administradores utilizam 
o padrao fechado para este tipo de pacote, que muitas vezes soh 
interessa a rede interna.

Ok?

Um grande abraco,

-- 

Nelio Souza Santos Filho
Depto. Pesquisa e Desenvolvimento
Planae - Tecnologia da Informacao
Fone/Fax: +55 14 2106-3515
http://www.planae.com.br





Lao DanTong wrote:
> On Mon, 21 Mar 2005, Fabio Oliveira wrote:
> 
>> Pessoal,
>> tomar cuidado que no TIC tem fw pra todo lado bloqueando traceroute e 
>> ping.
> 
> 
> bloquear ping e outras formas de ICMP é uma das coisas mais estúpidas 
> que se pode fazer com um firewall.
> -- 
> gter list    https://eng.registro.br/mailman/listinfo/gter
> 
> 




More information about the gter mailing list