AbcLinuxu:/ Blogy / Kacířské myšlenky / Ze života / ICMP - nikoli pro srandu králíkům

ICMP - nikoli pro srandu králíkům

11.5.2005 21:22 | Přečteno: 2723× | Ze života

Už jsem zase slyšel o zbytečnosti používání ICMP, včetně doporučení všechen ICMP provoz na firewallu zablokovat. Kdy už "odborníci" začnou přemýšlet...

Někdy, když slyším nebo čtu doporučení týkající se počítačové bezpečnosti, nevím, jestli se mám smát, brečet, anebo autorovi rad jemně prakticky naznačit, co mu nebozí uživatelé provedou. Spousta "bezpečnostních" doporučení totiž nadělá víc škody než užitku.

Jedním z typických příkladů tohoto druhu je poměrně často slýchaná rada, že by se měl zablokovat veškerý ICMP provoz. To je samozřejmě hovadina z nejhorších. Kdyby si autor takové rady aspoň přečetl třeba RFC 792 (a pokud možno ho i pochopil), snad by mluvil jinak. ICMP má pro provoz sítě dost závažný význam.

Je zajímavé, že kdekdo ví, že klasický ping využívá právě ICMP. Z toho také pramení zdůvodnění: "Nějakej blbej ping nebudeš potřebovat. A navíc nikdo nebude pingovat tebe, to je strašně důležitý." Ale to, že ICMP slouží především k signalizaci různých síťových problémů, asi ani netuší. A tak když se bude prohlížeč nekonečně dlouho a bez jakékoli odezvy zkoušet připojit na server, který je zrovna odstavený, bude proklínáno všechno (prohlížeč, OS, síť atd.), jen ne pravý viník.

Typické je také to, že ti, kdo dávají takové rady na "superzabezpečení počítače", mají na tom svém rootovské/adminovské heslo nastavené na "root" nebo "admin", dávno známé bezpečnostní díry nechávají nezazáplatované a v počítači jim nezřídka řádí několik červů či trojanů.

Tiskni Sdílej:

Komentáře

Vložit další komentář

On i ten ping je velmi užitečná věc, blokovače bych od sítě odpojoval štípačkama

Copak toho není dost?

11.5.2005 21:31 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: To už je tak

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

U serverů bych o tom vůbec nediskutoval, u běžných desktopů to není životně důležité - i když i tam se funkčnost pingu hodí.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

11.5.2005 21:35 VícNežNic | skóre: 42 | blog: Spáleniště | Ne dost daleko
Rozbalit Rozbalit vše Re: To už je tak

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

No, není, ale nevidím žádný přínos v blokování pingu, vidím ovšem přínos v něm samotném a jeho použití.

Pamatuju si na knihu Linux, hacking bez tajemství, kde části o firewallu byly hádkou mezi autory a překladatelem, který ve svých poznámkách pod čarou neustále kritizoval nesmyslnost blokování pingu a ICMP obecně. Je fakt, že zrovna firewally tam byly odfláknuté.

Copak toho není dost?

11.5.2005 21:40 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: To už je tak

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Běž se zeptat někoho na SH/blk9, kde jsem pár lidí odpojil, když měli zakázaný ping na desktopu. Docházely nám IP adresy a když se jejich počítač jevil jako dlouhodobě neaktivní, prostě jsem mu odebral IP a měl smolíka

-- Nezdar není hanbou, hanbou je strach z pokusu.

je pochopitelně přejmenovat roota

(a nechat si tam děravé sshčko...)

12.5.2005 11:10 Michal Kubeček
Rozbalit Rozbalit vše Re: Základem bezpečnosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ale hlavně musí být na jiném portu než 22, to je naprostý základ. Pak může být klidně děravé a hesla triviální, ale je to "fpoho"… :-)

12.5.2005 14:40 anon123 | skóre: 35 | blog: ganomi
Rozbalit Rozbalit vše Re: Základem bezpečnosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Je opravdu nutne prejmenovat root? Nestaci jen zakazat aby se nemohl pripojit vzdalene? Dale bych se zeptal, jak takovou operaci provest, aby to nemelo nasledek na sambu atd. Nebo proste staci jen v passwd zmenit root na neco jineho?

12.5.2005 14:51 Michal Kubeček
Rozbalit Rozbalit vše Re: Základem bezpečnosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ach jo. To se dalo čekat, že někdo nepochopí, že si děláme legraci… :-(

12.5.2005 15:09 kavol | skóre: 28
Rozbalit Rozbalit vše Re: Základem bezpečnosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Vy jste si snad nepřepsal v /etc/passwd & /etc/shadow root na toor (případně avatar) a nezměnil jeho UID na 0x29A? už Vás letím hacknout

12.5.2005 16:00 podlesh | skóre: 38 | Freiburg im Breisgau
Rozbalit Rozbalit vše Re: Základem bezpečnosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ja pouzivam zasadne "parez".

12.5.2005 16:38 Michal Kubeček
Rozbalit Rozbalit vše Re: Základem bezpečnosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Byl to vtip, rozumíte? Vtip. Přejmenovávání roota a spouštění SSH na jiném portu jsou zcela nesmyslné akce, které vypadají strašně profesionálně, ale se zabezpečením systému nemají ve skutečnosti nic společného. Proto jsme si z nich dělali legraci…

12.5.2005 18:13 anon123 | skóre: 35 | blog: ganomi
Rozbalit Rozbalit vše Re: Základem bezpečnosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

No me se to zdalo jako nesmyslne, proto jsem zareagoval, jak to delam ja. Ale jist jsem si nebyl. Tak daleko v linuxu jeste nejsem.

Ale popravde jsem o tom premyslel. Kazdy vi, ze root existuje, tak vyzkousi hned ten. Je to vubec mozne prejmenovat root? Jake by byly nasledky? Zas tak velky nesmysl by to nebyl ne? Ale prakticky asi ano.

12.5.2005 18:40 Michal Marek (twofish) | skóre: 55 | blog: { display: blog; } | Praha
Rozbalit Rozbalit vše Re: Základem bezpečnosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

a) Některé skripty rozlišují roota od ne-roota tak, že testují výstup whoami (grep -r 'whoami.*root' ${PATH//:/ }), takže následky by asi byly. Navíc by asi bylo potřeba buď patchnout su, nebo si napsat vlastní nss modul, který by zjistil, jak se tento týden root vlastně jmenuje (když už chci něco utajit, tak to nenechám ve world-readable /etc/passwd).

b) Proti uhodnutelnému heslu roota nepomůže ani svěcená voda...

c) Když mám díru třeba v sshd, tak je jedno, jestli běží pod uživatelem 'root' nebo 'tidpolwic<' -- zlým hochům stačí, že běží s uid 0. To samé platí o chybách v jádře (viz třeba dnešní zprávičky).

12.5.2005 18:43 Michal Kubeček
Rozbalit Rozbalit vše Re: Základem bezpečnosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Možné to je, jméno důležité není, jen jeho UID (nula). Ale k ničemu to není. Občas se ale může hodit zavést druhého uživatele s UID 0 (fakticky je to ale jen druhé jméno pro stejného uživatele), např. pokud počítač spravují dva lidé, ale nechcete, aby používali společné heslo.

13.5.2005 22:24 jmeno
Rozbalit Rozbalit vše Re: Základem bezpečnosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Nemyslim ze presunout ssh na jiny port nema zadny prinos. Porty co jsou hodne vysoko malokdo skenuje a pak az nekdo najde chybu v ssh, tak mas velkou sanci, ze nebudes v crackerskejch db a stihnes driv zaplatovat nez oni utocit.

Sam to ale nedelam, raci omezuju ssh jen na vybrany IP.

A icmp teda zakazuju uplne bezne, i kdyz reci o tom jaka je to blbost posloucham x let

#povoli jen potrebne ICMP zpravy
iptables -A INPUT -p ICMP --icmp-type 0 -j ACCEPT
iptables -A INPUT -p ICMP --icmp-type 3 -j ACCEPT
iptables -A INPUT -p ICMP --icmp-type 8 -j ACCEPT
iptables -A INPUT -p ICMP --icmp-type 11 -j ACCEPT

Kdyztak nad tim premyslim, zkuste si schvalne zapnout Windowsovskej firewall a zkuste si na ten pocitac pingnout ))

12.5.2005 14:17 anon123 | skóre: 35 | blog: ganomi
Rozbalit Rozbalit vše Re: ICMP

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Nechte si ty vylevy na Winy pro sebe. Kdyz to s nima neumite, tak to nedavejte alespon najevo. Me oba systemy slouzi a velice dobre.

12.5.2005 14:54 Michal Kubeček
Rozbalit Rozbalit vše Re: ICMP

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Když slouží tak dobře, pokuste se nám nějak rozumně vysvětlit, proč defaultní nastavení způsobí nekorektní chování systému…

12.5.2005 15:03 kavol | skóre: 28
Rozbalit Rozbalit vše Re: ICMP

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

to přece není (zatím, afaik) default, ten firewall ve woknech musíte ručně zapnout, to je potom jasná vina uživatele, že jej před zapnutím nezkonfiguruje tak, aby se to chovalo korektně

12.5.2005 16:14 FiJi
Rozbalit Rozbalit vše Re: ICMP

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

V XP SP2 je to default, ne? A např. Kerio taky IMHO defaultně ICMP filtruje.

12.5.2005 16:25 anon123 | skóre: 35 | blog: ganomi
Rozbalit Rozbalit vše Re: ICMP

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Klidne vam odpovim, i kdyz uz jste odpoved dostal. Ja mam zkusenost, a verte mi ze mi to vzdy hne zluci, ze kdyz instaluju novou masinu do domeny a zadam po instalaci - firewall nepouzivat, ze se mi i tak zapne. Jinak vim, ze si to muzu nastavit defaultne v policy. Ale proste to jen tak zminuju. Spis se to zapina samo, nez vypina samo.

Navic jak je to u linuxu? Rekl bych, ze s bezpecnosti u linuxu po instalaci je to i horsi. Ale tomu zase jeste tak nerozumim. Jen tak odhaduji na zaklade mych skusenosti.

Z toho vseho vypliva, ze se vse proste musi nejak nastavit, aby to fungovalo. Pokud se to nastavi, tak je to ok. Jak Linux, tak Windows. Problem je v tom, ze Linux malo kdo chce. Hlavne se to neda nasadit v prostredi kde se pracuje s ucetnictvim, a dalsimi podobnymi programy, protoze to nikdo z firem nepodporuje. Jedine plus Linuxu je cena. Proste kdyz by se to nasadilo, tak cena za licence rapidne klesa. My mame mame vsude Unix firewally s postakem a proxy, ale zbytek jsou Win. Je to skoda, ale proste ty windows makaj. Dobre mame spyware, ale virusy nemame a spyware odstranime kazdy mesic. Alespon mame co delat

U win serveru je potiz hlavne pri updatech. To se vzdy bojime, jestli se to rozjede, hlavne kdyz je tam take Veritas. Ted jsem ale prisel na Arkeia zalohovaci soft pro Linux, ale zalohuje i win servery, tak ho chci vyzkouset. Ale z obrazku to vypada, oproti veritasu, jako omalovky v porovnani s photoshopem. Uvidime. Podle me, i kdyz to bude funkcni, tak to stejne nikdo od nas z firmy neprijme.

12.5.2005 16:36 Michal Kubeček
Rozbalit Rozbalit vše Re: ICMP

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Rekl bych, ze s bezpecnosti u linuxu po instalaci je to i horsi. Ale tomu zase jeste tak nerozumim.

Když víte, že tomu nerozumíte, tak raději nic neříkejte… Místo toho se raději podívejte, jak je to s povolenými službami a nastavením firewallu při defaultní instalaci SuSE 9.3, které jste před chvílí tak strhal…

Z toho vseho vypliva

Plynout, ne plivat…

12.5.2005 18:15 anon123 | skóre: 35 | blog: ganomi
Rozbalit Rozbalit vše Re: ICMP

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

SuSE ano, ale co treba jine distra?

12.5.2005 18:16 anon123 | skóre: 35 | blog: ganomi
Rozbalit Rozbalit vše Re: ICMP

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

SuSE ano, ale co treba jine distra? Navic Windows davaji volbu hned po instalaci, pred prvnim log-inem

12.5.2005 18:17 anon123 | skóre: 35 | blog: ganomi
Rozbalit Rozbalit vše Re: ICMP

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

SuSE ano, ale co treba jine distra? Navic Windows davaji volbu hned po instalaci, pred prvnim log-inem.

A jinak, jsem nesmeroval na to co je vice bezpecne nebo mene, ale na to, ze se to prosto musi nastavit. Nekde je to tak a nekde jinak.

12.5.2005 18:45 Michal Kubeček
Rozbalit Rozbalit vše Re: ICMP

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Většina současných distribucí (aspoň těch rozumnějších :-) ) nepovoluje defaultně nic, nanejvýš MTA na lokální smyčce a SSH. Dřív (druhá půlka devadesátých let) to pravda, bývalo jinak, ale to je minulost…

12.5.2005 19:15 kavol | skóre: 28
Rozbalit Rozbalit vše Re: ICMP

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

SuSE ano, ale co treba jine distra? Navic Windows davaji volbu hned po instalaci, pred prvnim log-inem.

hm, před prvním loginem? - nebylo by to účelnější před inicializací síťového rozhraní? - nebo všechny ty virečky a červíci snad čekají, než se uživatel zaloguje?

(možná jen blbě kecám, wokna jsem už dlouho neviděl instalovat, možná to "před prvním loginem" je opravdu před inicializací sítě? - ale moc tomu nevěřím, vím, že podobný problém, jako se líčí v blogu, má spousta lidí, a to že aby mohli stáhnout SP, musí se připojit k síti, a když se připojí k síti, tak bez SP jdou wokna do kytek asi tak za desetinu času, než se jim všechny záplaty stihnou stáhnout ...)

A jinak, jsem nesmeroval na to co je vice bezpecne nebo mene, ale na to, ze se to prosto musi nastavit. Nekde je to tak a nekde jinak.

a není lepší, když je defaultní nastavení v souladu se standardy a použitelné beze změn (je-li to možné)?

12.5.2005 19:23 kavol | skóre: 28
Rozbalit Rozbalit vše Re: ICMP

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

"jako se líčí v blogu" - vypadl mi odkaz, pardon

12.5.2005 16:41 Michal Kubeček
Rozbalit Rozbalit vše Re: ICMP

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Navíc řeč nebyla o tom, který systém je bezpečnější. Řeč byla o tom, že windowsí firewall (je-li zapnut) defaultně zakazuje ICMP echo, což je nastavení, které porušuje standardy.

12.5.2005 18:19 FiJi
Rozbalit Rozbalit vše Re: ICMP

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Já tedy když nainstaluju Linux, tak mi tam neběží žádná síťová služba, takže mi tam firewall nechybí. Ve Windows se "žádná síťová služba" realizuje asi jen vytažením síťového kabelu

13.5.2005 23:49 Jarek Šeděnka
Rozbalit Rozbalit vše Re: ICMP

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

nebo je treba muzete povypinat v nastaveni Sluzeb

Dalsi takova "chytra" rada je dropovani vsech packetu, ktere smeruji na zakazane porty. Alespon u portu 113(ident) by mel server bud odpovedet nebo poslat "connection refused".

Zakladem bezpecnosti prece neni firewall, ale neexploitovatelna aplikace a dostatecne silna hesla.

12.5.2005 20:18 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Re: Nezbyva nic nez souhlasit

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Nesmysl. Základ bezpečnosti je, že žádný základ bezpečnosti není.

Zabezpečení musí být vrstevnaté a bezpečné musejí být všechny části. Mít nějaký úžasný ,základ bezpečnosti`, který když se posere, tak se sesype všechno, je typický amatérský přístup.

12.5.2005 20:26 Michal Kubeček
Rozbalit Rozbalit vše Re: Nezbyva nic nez souhlasit

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Nejdůležitějším bezpečnostním opatřením je nepustit k tomu lidi. Nejslabším článkem je zásadně uživatel… :-)

12.5.2005 20:29 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Nezbyva nic nez souhlasit

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

"Základem bezpečnosti" jsou 4 pravidla:

1. Princip minimality práv - uživatel nebo proces smí mít jen taková práva, která nezbytně potřebuje. Pokud někdy potřebuje větší, po skončení této potřeby se práva musí opět snížit.
2. Princip odepření přístupu - implicitní reakce služby musí být vždy odepření (zákaz). Teprve pak se povolují jednotlivá použití.
3. Princip nedůvěry - žádným informacím nelze věřit. Je třeba počítat s tím, že cokoliv může být podvržené, pozměněné apod.
4. Princip bezpečného zotavení - dojde-li k výjimečné situaci, musí se systém/program zotavit tak, aby nepovolil neoprávněné použití služby apod.

Když se tato pravidla dodržují (samozřejmě společně s dalšími bezpečnostními pravidly, týkajícími se např. hesel nebo okamžité aplikace patchů), je možnost napadení výrazně snížena.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

12.5.2005 21:18 kavol | skóre: 28
Rozbalit Rozbalit vše Re: Nezbyva nic nez souhlasit

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Princip odepření přístupu - implicitní reakce služby musí být vždy odepření (zákaz). Teprve pak se povolují jednotlivá použití.

ano, to je obzvlášť vypečený bod :-/

Dobrý den.

Dovolte, abych se představil. Jmenuji se Ivo a jsem provozovatelem serveru seznam.cz Nedávno jsem si v logu všimnul, že se na port 80 mojeho serveru pokoušel připojit počítač z IP adresy, která by dle našeho detektivního oddělení měla patřit Vaší firmě. To mě vede k důvodnému předpokladu, že byste rád využíval služeb našeho serveru. Pokud tomu tak skutečně je, prosím odešlete na adresu naší firmy notářsky ověřený certifikát o vlastnictví inkriminované IP adresy spolu s žádostí o povolení přístupu na standardizovaném formuláři ISVT-befelemepesseveze. Připomínám, že chcete-li využívat i jiných služeb, než http, jmenovitě https, smtp a pop3, je potřeba pro každou vyplnit samostatný formulář; naopak osvědčení o IP adrese stačí poslat jednou.

Na spolupráci se těší ...

p.s. veškerá podobnost se skutečností je čistě nezáměrná a náhodná, autor tohoto textu se zříká jakékoliv zodpovědnosti, (c) kavol 2005 - all your penízky are belong to U.S.

13.5.2005 07:20 Vojta Koukal | skóre: 1
Rozbalit Rozbalit vše Bezpecnost

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Kdyz uz se tu mluvi o "bezpecnem" PC tak to exituje pouze kilometr zakopany pod zemi a bez jakykoliv site.Jinak si proste bezpecne PC nedovedu predstavit, ne v dnesni dobe....

13.5.2005 09:14 kavol | skóre: 28
Rozbalit Rozbalit vše Re: Bezpecnost

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

... a bez jakykoliv site.

pochopitelně je míněna i ta elektrická napájecí, že

jinak zapomněl jste na kontejner (takový, do jakého se dává radioaktivní odpad), zamaskování místa zakopání a likvidaci všech svědků

12.5.2005 20:20 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše WinXP firewall

Odpovědět | Sbalit | Link | Blokovat | Admin

Windowsí firewall se chová dost podivně. Nedávno jsem potřebovat na počítači s WinXP spustit FTP server. Otevřel jsem tedy porty 20 a 21. Přenos FTP příkazů (přes port 21) fungoval, data v pasivním režimu (port 20) ale nikoliv. Zkusil jsem všechno možné, ale nerozchodil jsem to. Jediné řešení bylo buď použít aktivní režim FTP anebo úplně odstavit firewall.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

12.5.2005 23:13 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: WinXP firewall

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Zdravim

Windowsi firewall funguje jednoduse tak ze udela maskaradu. Takze problem je na svete. Staci se podivat na zmenenou IP adresu.

Zdenek

www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf

12.5.2005 23:46 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: WinXP firewall

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

No FUJ!

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

Založit nové vlákno • Nahoru