furrry: (Crazy)
Jen ([personal profile] furrry) wrote2008-10-15 11:50 pm
  • Add Memory
  • Share This Entry
  • Current Mood: shocked
Entry tags:

Вредные советы (или по мотивам чтения и ужина)

Как выяснилось, не одну меня беспокоит диверсия, проводимая под видом "повышения защищенности сети". Должна признаться, сама лично грешна - принимала участие. В частности, распространяла ересь о том, что среди прочих настоятельно рекомендуемых к указанию на всех интерфейсах маршутизаторов команд ("no ip redirects", "no ip proxy-arp", "no ip directed-broadcast" etc) должна быть команда "no ip unreachables".
И только на старости лет до меня дошло, что своими же руками толкала людей на пагубную тропу войны с PMTUD. В современных условиях, когда половина тех, кому следовало бы - не знает, что такое PMTUD, а половина оставшихся просто фильтрует все ICMP без разбора - мы совершали натуральное преступление. Не знаю, оправдывает ли нас то, что мы не ведали, что творили - думать все ж такие надо. И что бы намим не добавить аргументов к команде?
Threaded | Top-Level Comments Only

[identity profile] ex-ivlad.livejournal.com 2008-10-15 08:22 pm (UTC)(link)
Страшно сказать, но http://www.nsa.gov/snac/routers/C4-040R-02.pdf советует ровно тоже самое на странице 76, в то время, как в http://www.cisco.com/en/US/docs/solutions/Enterprise/Security/Baseline_Security/securbase.pdf я ничего такого поиском не нашел.

Это ж какой повод написать письмо в NSA! ;) Нельзя упустить. [Удаляется, напевая "Hello, NSA, I just call you to say..."]

[identity profile] furry.livejournal.com 2008-10-15 08:30 pm (UTC)(link)
http://www.cisco.com/en/US/docs/ios/12_3/feature/guide/ftatosec.html

http://www.cisco.com/en/US/docs/solutions/Enterprise/Branch/E_B_SDC1.html
говорит, что
" Under each interface in a device, IP redirects, IP unreachables, and IP proxy-ARP should be disabled."
Далее лень искать - но спорим, что если ты пройдешься по презентациям с networkers (тебе до них ближе ;-) - то найдешь что-то в том же духе?

[identity profile] ex-ivlad.livejournal.com 2008-10-15 08:35 pm (UTC)(link)
тебя в CC: письма поставить? ;)

[identity profile] furry.livejournal.com 2008-10-15 08:37 pm (UTC)(link)
Непременно! ;-)

[identity profile] iskatel.livejournal.com 2008-10-15 08:40 pm (UTC)(link)
>>а из второй половины - 50% просто фильтруют все ICMP

угу, популярная мера.

[identity profile] furry.livejournal.com 2008-10-15 08:43 pm (UTC)(link)
Я просто все никак поверить не могу - мы только сейчас это заметили? Ну т.е. я еще три недели назад, но думала, что все ж таки оно не все ICMP отрубает, а проверить негде было. И только приведенная ссылка подтвердила мои опасения..

[identity profile] cdplayer.livejournal.com 2008-10-15 08:57 pm (UTC)(link)
Бляяя.. А ведь и правда! (пошёл проверять конфиг на домашней цыске) :)

[identity profile] cdplayer.livejournal.com 2008-10-15 08:59 pm (UTC)(link)
Стояло, родимое. Правда, только на внешнем интерфейсе (откуда тоже теперь убрал).

[identity profile] ex-ivlad.livejournal.com 2008-10-15 09:06 pm (UTC)(link)
у меня тоже мелькнула мысль, что ICMP 3/4 можно было б из списка дропаемых удалить... но, видимо, нет.

[identity profile] furry.livejournal.com 2008-10-15 09:07 pm (UTC)(link)
"Я сама офигела"(с). Больше всего от того, что моя догадка подтвердилась и что мы это только сейчас заметили. "Рутман, где твоя голова?"(c)

[identity profile] furry.livejournal.com 2008-10-15 09:09 pm (UTC)(link)
Кажется, это в тему завтрашнего Мишкиного доклада ;)

[identity profile] cdplayer.livejournal.com 2008-10-15 09:16 pm (UTC)(link)
Гррр.. Пока ехал одну станцию после закрытия лаптопа, понял, что как раз на внешнем интерфейсе no ip unre можно оставить (ибо там переход из маленького mtu в большой). Полез включать обратно. :)

[identity profile] b-a-t.livejournal.com 2008-10-15 09:18 pm (UTC)(link)
От тебя, Жень, такого не ожидал...

Тема не раскрыта, конечно, но - http://blog.bat.ru/2008/07/icmp.html

[identity profile] furry.livejournal.com 2008-10-15 09:22 pm (UTC)(link)
Прости, чего именно ты не ожидал? Что я на автомате скопирую рекомендации любимого вендора не увидев всех последствий и не задумавшись о том, что там выключаются ВСЕ ICMP? ну да, неправа. Про то и постинг ;-)

Сходила по ссылке. Я знаю, какие именно типы ICMP следует разрешать и в acl я их явно разрешаю.

[identity profile] furry.livejournal.com 2008-10-15 09:25 pm (UTC)(link)
Ну понятно, что в довольно большом числе сценариев PMTUD при "no ip unreach" не ломается. Проблема в том, что я не видела оговорки "подумайте над вопросами MTU, прежде чем" - набор команд подается как BCP без комментариев...;-((
Ну и вообще, конечно, идеологически правильнее явно задавать разрешенные типы ICMP. Потому что все ж таки служебный полезный протокол и некоторые рудименты не повод его игнорировать.

[identity profile] furry.livejournal.com 2008-10-15 09:32 pm (UTC)(link)
Кстати, что-то я туплю. types 0 & 8 - удобно для troubleshooting'a, но я что-то не припомню *необходимости* в них.

[identity profile] cdplayer.livejournal.com 2008-10-15 09:35 pm (UTC)(link)
Согласен.

[identity profile] furry.livejournal.com 2008-10-15 09:46 pm (UTC)(link)
Я пойду в кружок ;-)

[identity profile] lesnix.livejournal.com 2008-10-17 09:10 pm (UTC)(link)
По-моему, стремление к no ip unreachables вызвано естественным желанием избавить свою железку от необходимости посылать ICMP destination unreachable в случае сканирования твоих диапазонов. Весьма оправданное, надо сказать, желание. То, что топорным способо этого делать не стоит, очевидно, посему идеологически выверенные более продуманные товарищи ([livejournal.com profile] tarantul) давно рекомендовали делать, например
ip icmp rate-limit unreachable 2000.
А на icmp unreach fragmentation needed эта команда как раз не распространяется. Вот как-то так, думается, наиболее правильно :)

[identity profile] furry.livejournal.com 2008-10-21 09:17 pm (UTC)(link)
Ну понятно, что rate limit вообще хорошая штука. я-то больше всего удивлена тем, что только сейчас задумалась о последствиях рекламируемого "no ip unreach" и "auto-secure"
Threaded | Top-Level Comments Only