furrry: (Crazy)
Jen ([personal profile] furrry) wrote2008-10-15 11:50 pm
  • Add Memory
  • Share This Entry
  • Current Mood: shocked
Entry tags:

Вредные советы (или по мотивам чтения и ужина)

Как выяснилось, не одну меня беспокоит диверсия, проводимая под видом "повышения защищенности сети". Должна признаться, сама лично грешна - принимала участие. В частности, распространяла ересь о том, что среди прочих настоятельно рекомендуемых к указанию на всех интерфейсах маршутизаторов команд ("no ip redirects", "no ip proxy-arp", "no ip directed-broadcast" etc) должна быть команда "no ip unreachables".
И только на старости лет до меня дошло, что своими же руками толкала людей на пагубную тропу войны с PMTUD. В современных условиях, когда половина тех, кому следовало бы - не знает, что такое PMTUD, а половина оставшихся просто фильтрует все ICMP без разбора - мы совершали натуральное преступление. Не знаю, оправдывает ли нас то, что мы не ведали, что творили - думать все ж такие надо. И что бы намим не добавить аргументов к команде?
Threaded | Flat

[identity profile] ex-ivlad.livejournal.com 2008-10-15 08:22 pm (UTC)(link)
Страшно сказать, но http://www.nsa.gov/snac/routers/C4-040R-02.pdf советует ровно тоже самое на странице 76, в то время, как в http://www.cisco.com/en/US/docs/solutions/Enterprise/Security/Baseline_Security/securbase.pdf я ничего такого поиском не нашел.

Это ж какой повод написать письмо в NSA! ;) Нельзя упустить. [Удаляется, напевая "Hello, NSA, I just call you to say..."]

[identity profile] iskatel.livejournal.com 2008-10-15 08:40 pm (UTC)(link)
>>а из второй половины - 50% просто фильтруют все ICMP

угу, популярная мера.

[identity profile] cdplayer.livejournal.com 2008-10-15 08:57 pm (UTC)(link)
Бляяя.. А ведь и правда! (пошёл проверять конфиг на домашней цыске) :)

[identity profile] b-a-t.livejournal.com 2008-10-15 09:18 pm (UTC)(link)
От тебя, Жень, такого не ожидал...

Тема не раскрыта, конечно, но - http://blog.bat.ru/2008/07/icmp.html

[identity profile] lesnix.livejournal.com 2008-10-17 09:10 pm (UTC)(link)
По-моему, стремление к no ip unreachables вызвано естественным желанием избавить свою железку от необходимости посылать ICMP destination unreachable в случае сканирования твоих диапазонов. Весьма оправданное, надо сказать, желание. То, что топорным способо этого делать не стоит, очевидно, посему идеологически выверенные более продуманные товарищи ([livejournal.com profile] tarantul) давно рекомендовали делать, например
ip icmp rate-limit unreachable 2000.
А на icmp unreach fragmentation needed эта команда как раз не распространяется. Вот как-то так, думается, наиболее правильно :)
Threaded | Flat