Вредные советы (или по мотивам чтения и ужина)

[furrry]

Как выяснилось, не одну меня беспокоит диверсия, проводимая под видом "повышения защищенности сети". Должна признаться, сама лично грешна - принимала участие. В частности, распространяла ересь о том, что среди прочих настоятельно рекомендуемых к указанию на всех интерфейсах маршутизаторов команд ("no ip redirects", "no ip proxy-arp", "no ip directed-broadcast" etc) должна быть команда "no ip unreachables".
И только на старости лет до меня дошло, что своими же руками толкала людей на пагубную тропу войны с PMTUD. В современных условиях, когда половина тех, кому следовало бы - не знает, что такое PMTUD, а половина оставшихся просто фильтрует все ICMP без разбора - мы совершали натуральное преступление. Не знаю, оправдывает ли нас то, что мы не ведали, что творили - думать все ж такие надо. И что бы намим не добавить аргументов к команде?

Comments

[ex-ivlad.livejournal.com]

Страшно сказать, но http://www.nsa.gov/snac/routers/C4-040R-02.pdf советует ровно тоже самое на странице 76, в то время, как в http://www.cisco.com/en/US/docs/solutions/Enterprise/Security/Baseline_Security/securbase.pdf я ничего такого поиском не нашел.

Это ж какой повод написать письмо в NSA! ;) Нельзя упустить. [Удаляется, напевая "Hello, NSA, I just call you to say..."]

[furry.livejournal.com]

http://www.cisco.com/en/US/docs/ios/12_3/feature/guide/ftatosec.html

http://www.cisco.com/en/US/docs/solutions/Enterprise/Branch/E_B_SDC1.html
говорит, что
" Under each interface in a device, IP redirects, IP unreachables, and IP proxy-ARP should be disabled."
Далее лень искать - но спорим, что если ты пройдешься по презентациям с networkers (тебе до них ближе ;-) - то найдешь что-то в том же духе?

[ex-ivlad.livejournal.com]

тебя в CC: письма поставить? ;)

[furry.livejournal.com]

Непременно! ;-)

[furry.livejournal.com]

Я просто все никак поверить не могу - мы только сейчас это заметили? Ну т.е. я еще три недели назад, но думала, что все ж таки оно не все ICMP отрубает, а проверить негде было. И только приведенная ссылка подтвердила мои опасения..

[ex-ivlad.livejournal.com]

у меня тоже мелькнула мысль, что ICMP 3/4 можно было б из списка дропаемых удалить... но, видимо, нет.

[furry.livejournal.com]

Кажется, это в тему завтрашнего Мишкиного доклада ;)

[furry.livejournal.com]

Я пойду в кружок ;-)

[iskatel.livejournal.com]

>>а из второй половины - 50% просто фильтруют все ICMP

угу, популярная мера.

[cdplayer.livejournal.com]

Бляяя.. А ведь и правда! (пошёл проверять конфиг на домашней цыске) :)

[cdplayer.livejournal.com]

Стояло, родимое. Правда, только на внешнем интерфейсе (откуда тоже теперь убрал).

[furry.livejournal.com]

"Я сама офигела"(с). Больше всего от того, что моя догадка подтвердилась и что мы это только сейчас заметили. "Рутман, где твоя голова?"(c)

[cdplayer.livejournal.com]

Гррр.. Пока ехал одну станцию после закрытия лаптопа, понял, что как раз на внешнем интерфейсе no ip unre можно оставить (ибо там переход из маленького mtu в большой). Полез включать обратно. :)

[furry.livejournal.com]

Ну понятно, что в довольно большом числе сценариев PMTUD при "no ip unreach" не ломается. Проблема в том, что я не видела оговорки "подумайте над вопросами MTU, прежде чем" - набор команд подается как BCP без комментариев...;-((
Ну и вообще, конечно, идеологически правильнее явно задавать разрешенные типы ICMP. Потому что все ж таки служебный полезный протокол и некоторые рудименты не повод его игнорировать.

[cdplayer.livejournal.com]

Согласен.

[b-a-t.livejournal.com]

От тебя, Жень, такого не ожидал...

Тема не раскрыта, конечно, но - http://blog.bat.ru/2008/07/icmp.html

[furry.livejournal.com]

Прости, чего именно ты не ожидал? Что я на автомате скопирую рекомендации любимого вендора не увидев всех последствий и не задумавшись о том, что там выключаются ВСЕ ICMP? ну да, неправа. Про то и постинг ;-)

Сходила по ссылке. Я знаю, какие именно типы ICMP следует разрешать и в acl я их явно разрешаю.

[furry.livejournal.com]

Кстати, что-то я туплю. types 0 & 8 - удобно для troubleshooting'a, но я что-то не припомню *необходимости* в них.

[lesnix.livejournal.com]

По-моему, стремление к no ip unreachables вызвано естественным желанием избавить свою железку от необходимости посылать ICMP destination unreachable в случае сканирования твоих диапазонов. Весьма оправданное, надо сказать, желание. То, что топорным способо этого делать не стоит, очевидно, посему идеологически выверенные более продуманные товарищи (tarantul) давно рекомендовали делать, например
ip icmp rate-limit unreachable 2000.
А на icmp unreach fragmentation needed эта команда как раз не распространяется. Вот как-то так, думается, наиболее правильно :)

[furry.livejournal.com]

Ну понятно, что rate limit вообще хорошая штука. я-то больше всего удивлена тем, что только сейчас задумалась о последствиях рекламируемого "no ip unreach" и "auto-secure"