[GTER] Indisponibilidade no TIC?

Antonio Carlos Pina apina at infolink.com.br
Mon Mar 21 18:02:36 -03 2005


Caro,

Com o ICMP desligado, suas conexões TCP não funcionarão bem em redes com MTU
diferente, por exemplo, que exigem fragmentação de pacotes.

As tentativas de conexão que não forem bem sucedidas poderão demorar MUITO
para retornarem "sem sucesso" sem um "host unreachable" por exemplo.

Como o nome diz, o ICMP é para controle de mensagens na Internet. Bloqueá-lo
é como bloquear UDP, por exemplo, alegando o problema do pacote forjado.

Grato,
Pina


----- Original Message ----- 
From: "Nelio Souza Santos Filho - PLANAE" <nssantos at planae.com.br>
To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
<gter at eng.registro.br>
Sent: Monday, March 21, 2005 4:47 PM
Subject: Re: [GTER] Indisponibilidade no TIC?


>
> Caro Fabio,
>
> Existem diversos tipos de aplicacoes para um firewall, e servicos
> disponiveis na Internet.
>
> Bloquear ICMP pode nao ser interessante para um ISP, mas para grandes
> empresas privadas, por exemplo, trata-se de uma questao de seguranca.
>
> Firewalls eficientes em empresas privadas, bloqueiam todo e qualquer
> tipo de trafego que nao seja explicitamente permitido.
>
> Segue abaixo alguns exemplos de motivos que levam alguns administradores
> de redes a bloquear os pacotes ICMP:
>
> 1.) as funcoes basicas do ICMP nao sao usuais no dia a dia, exceto os
> tipos 0 -> request e 8 -> echo reply.
>
> 2.) as outras opcoes do ICMP geralmente dao fruto a ataques de negacao
> de servico. Ataques antigos, jah protegidos pelos sistemas operacionais
> atuais, mas que geram trafego. Ex: nuke, ssping, icmpflood e outros
> inumeros, utilizam base icmp.
>
> A principal utilidade do ICMP dentro das empresas corporativas, eh saber
> se as maquinas esta UP ou DOWN, mas isto nao eh interessante estar
> disponivel para pessoas na Internet, que podem se aproveitar deste tipo
> de informacao, para saber se um determinado tipo de exploit funciona ou
nao.
>
> Ex: ao executar um ataque a um host remoto, pode se utilizar do ping
> (atraves de outra rede), para certificar se o Host ficou DOWN ou nao.
>
>
> Dentro das caracteristicas comuns e usuais, em empresas corporativas, o
> padrao tem sido fechado para pacotes do tipo ICMP. Porem provedores de
> acesso e ISP teem adotado como padrao aberto a estes pacotes.
>
>
> Espero ter-lhe ajudado a entender porque alguns administradores utilizam
> o padrao fechado para este tipo de pacote, que muitas vezes soh
> interessa a rede interna.
>
> Ok?
>
> Um grande abraco,
>
> -- 
>
> Nelio Souza Santos Filho
> Depto. Pesquisa e Desenvolvimento
> Planae - Tecnologia da Informacao
> Fone/Fax: +55 14 2106-3515
> http://www.planae.com.br
>
>
>
>
>
> Lao DanTong wrote:
> > On Mon, 21 Mar 2005, Fabio Oliveira wrote:
> >
> >> Pessoal,
> >> tomar cuidado que no TIC tem fw pra todo lado bloqueando traceroute e
> >> ping.
> >
> >
> > bloquear ping e outras formas de ICMP é uma das coisas mais estúpidas
> > que se pode fazer com um firewall.
> > -- 
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> >
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
> -- 
> No virus found in this incoming message.
> Checked by AVG Anti-Virus.
> Version: 7.0.308 / Virus Database: 266.8.0 - Release Date: 21/03/2005
>
>




More information about the gter mailing list