Re: [GTER] filtragem arbitrária de ICMP = burrice

[Andre Gustavo de Carvalho Albuquerque]

On Mon, 21 Mar 2005 20:53:51 -0300 (BRT), Lao DanTong
<danton at inexo.com.br> wrote:
> On Mon, 21 Mar 2005, Nelio Souza Santos Filho - PLANAE wrote:
> 
> > Bloquear ICMP pode nao ser interessante para um ISP, mas para grandes
> > empresas privadas, por exemplo, trata-se de uma questao de seguranca.
> 
> há poucas coisas menos seguras do que protocolos não funcionando. 
> suponha que voce iniba "mtu path discovery" por que bloqueou o icmp, 
> o que acontece? voce vai rejeitar como ataque de fragmentação 
> pacotes perfeitamente válidos que apenas tiveram a infelicidade de 
> passar por um trecho de rede cujo MTU não era
> o tradicional de 1500 octetos. isso não é segurança, é burrice.

Sim, ainda mais considerando que a pessoa que fez isso não analisou de
fato as consequências do ato.

1. O pacote icmp tipo 3 (dest unreachable) código 4 (frag needed but
df bit is set) é enviado com o header ip + 8 bytes do datagrama
original, logo, mecanismos de inspeção stateful poderiam deixar
passar, se identificasse este pacote icmp como parte de um flow já
permitido.

2. Se o indivíduo acha que de fato esse tipo de pacote não interessa,
então desabilite PMTU-D em seus servidores, configurando-os para
enviar os pacotes IP com DF bit = 0. Simples e funcionaria pros casos
citados.

O que vem ocorrendo é que temos encontrado cada vez mais produtos no
mercado que tem uma opção de configuração do tipo "ignore o bit DF". É
um chute no s*co de quem teve a preocupação de elaborar um mecanismo
como o PMTU-D, mas acaba sendo uma questão de sobrevivência para os
provedores de serviço que ouvem: na tua rede não funciona, mas nas dos
teus concorrentes funciona.

Não precisa dizer que nenhuma explicação vai demover o cliente de
achar que a culpa é na tua rede.

Acho que existe um grupo estudando alternativas ao PMTU-D, não
utilizando o ICMP... Vamos ver se vinga.

Gustavo Albuquerque