[GTER] filtragem arbitrária de ICMP = burrice

[Lao DanTong]

On Mon, 21 Mar 2005, Nelio Souza Santos Filho - PLANAE wrote:

> Bloquear ICMP pode nao ser interessante para um ISP, mas para grandes 
> empresas privadas, por exemplo, trata-se de uma questao de seguranca.

há poucas coisas menos seguras do que protocolos não funcionando. suponha que 
voce iniba "mtu path discovery" por que bloqueou o icmp, o que acontece? voce 
vai rejeitar como ataque de fragmentação pacotes perfeitamente válidos que 
apenas tiveram a infelicidade de passar por um trecho de rede cujo MTU não era 
o tradicional de 1500 octetos. isso não é segurança, é burrice.

> Firewalls eficientes em empresas privadas, bloqueiam todo e qualquer tipo de 
> trafego que nao seja explicitamente permitido.

aí precisa entender o que é o "tráfego permitido". IP, para funcionar direito, 
PRECISA do ICMP, então se IP é tráfego permitido - e se não for, pode ir 
plantar batatas que dá mais certo - ICMP também tem que ser. OK, pode ser 
seletivo nas funções de ICMP, mas, repito, é estupidez bloquear ICMP 
indistintamente.

> Segue abaixo alguns exemplos de motivos que levam alguns administradores de 
> redes a bloquear os pacotes ICMP:
> 
> 1.) as funcoes basicas do ICMP nao sao usuais no dia a dia, exceto os tipos 
> 0 -> request e 8 -> echo reply.

ERRADO!

> 2.) as outras opcoes do ICMP geralmente dao fruto a ataques de negacao de 
> servico. Ataques antigos, jah protegidos pelos sistemas operacionais atuais, 
> mas que geram trafego. Ex: nuke, ssping, icmpflood e outros inumeros, 
> utilizam base icmp.

podem usar UDP, podem usar TCP, podem usar qualquer coisa. se pensar assim, 
computador seguro é computador desligado.

> A principal utilidade do ICMP dentro das empresas corporativas, eh saber se 
> as maquinas esta UP ou DOWN, mas isto nao eh interessante estar disponivel 
> para pessoas na Internet, que podem se aproveitar deste tipo de informacao, 
> para saber se um determinado tipo de exploit funciona ou nao.

bem, quem pensa assim, é melhor voltar para a escola. Além disso se o cara é 
paranóico mesmo vai usar um firewall com zona desmilitarizada ou do tipo "belt 
and suspenders" em que a Internet só vê front-ends bobões (bastiões) enquando 
quem presta o serviço propriamente está quietinho numa rede desconectada da 
internet.

além disso, hoje em dia o grande problema de segurança está na camada de 
aplicação, não lá embaixo.

> Ex: ao executar um ataque a um host remoto, pode se utilizar do ping 
> (atraves de outra rede), para certificar se o Host ficou DOWN ou nao.

puxa! se for um servidor de nomes eu tentaria um udp pela porta 53...