iptables | আইসিএমপির প্রকার: কোনটি (সম্ভাব্য) ক্ষতিকারক?

8

আমি পড়েছি যে নির্দিষ্ট ধরণের আইসিএমপি প্যাকেটগুলি ক্ষতিকারক হতে পারে। প্রশ্নাবলী:

  • কোনটি এবং কেন?
  • আইসিএমপি প্যাকেটের প্রতিটি ধরণের হ্যান্ডেল করার জন্য কীভাবে আমি আইপিটিবেলস রুলসেট লেআউট করব?
  • এই ধরণের আইসিএমপি প্যাকেটগুলির কি আমার রেট-সীমাবদ্ধ করা উচিত? এবং কিভাবে?

[¹] আমি যে ধরণের সম্পর্কে পড়ি সেগুলি: পুনর্নির্দেশ (5), টাইমস্ট্যাম্প (13) এবং ঠিকানা মাস্ক অনুরোধ (17)। আপনার উত্তরের জন্য দয়া করে এগুলি বিবেচনা করবেন না।

আরও তথ্য
এটি উবুন্টু সার্ভার সহ একটি ভিপিএসে একটি ওয়েব সার্ভার।


আমি যে লক্ষ্যটি সিস্টেমটিকে নিরাপদ করার চেষ্টা করছি, কিছু ডি / ডস আক্রমণ এবং সাধারণ নির্যাতনের ঝুঁকি হ্রাস করতে পারি।

সম্পর্কিত
কি আমার লিনাক্স ফায়ারওয়াল নিরাপদ?
আইসিএমপি কে ব্লক করবেন না কেন?

linux  networking  security  iptables  icmp 
ML--
সূত্র

উত্তর:

10

দেখে মনে হচ্ছে আপনি "আইসিএমপি ইস ইভিএল" মন্ত্রটির শিকার হচ্ছেন।
আইসিএমপি নয় মন্দ , কেবল ভুল বোঝাবুঝি। দুঃখজনক বাস্তবতা হ'ল অনেক প্রশাসকরা যা বুঝতে পারে না তা ভয় পায় এবং তাই তারা আইসিএমপিটিকে তাদের নেটওয়ার্ক ইউনিভার্স থেকে ফেলে দেয়, এটিকে প্রান্তের ফায়ারওয়াল স্তরে ফেলে দেয় এবং তাদের নেটওয়ার্কের সুবিধার জন্য এটি সঠিক এবং যথাযথ স্থান নিতে বাধা দেয়।

এটি বলার পরে, আমাকে আপনার প্রশ্নগুলির সমাধান করতে দাও:

কোন ধরণের আইসিএমপি বার্তা ক্ষতিকারক হতে পারে এবং কেন?
খুব সুন্দর তাদের সব।

  • Echoপ্যাকেটগুলি পরিষেবাগুলিকে ব্যাহত করতে ব্যবহার করা যেতে পারে (বিশেষত খারাপভাবে প্রয়োগ করা আইপি স্ট্যাক সহ সিস্টেমগুলির জন্য); বৈধভাবে ব্যবহৃত তারা আপনার নেটওয়ার্ক সম্পর্কে তথ্য দিতে পারে।

  • Destination Unreachableদূষিতভাবে ইনজেকশন দেওয়া যেতে পারে; বৈধভাবে ব্যবহার করা হলে তারা * আপনার ফায়ারওয়াল / রাউটিং কাঠামো বা আপনার নেটওয়ার্কের কোনও নির্দিষ্ট মেশিন সম্পর্কে তথ্য দিতে পারে।

  • Source Quench আপনার সার্ভারকে কার্যকরভাবে একটি কোণে বসতে এবং এর থাম্বটি স্তন্যপান করার জন্য দূষিতভাবে পাঠানো যেতে পারে।

  • redirect নামটি প্রকাশিত হিসাবে ব্যবহার করা যেতে পারে।

  • router advertisementএবং router solicitationঅনুরোধগুলি "আকর্ষণীয়" ট্র্যাফিক টোপোলজগুলি তৈরি করতে ব্যবহার করা যেতে পারে (এবং এমআইটিএম আক্রমণগুলি সহজতর করে) যদি আপনার হোস্টগুলি আসলে তাদের দিকে মনোযোগ দেয়।

  • tracerouteনেটওয়ার্ক টপোলজির তথ্য দেওয়ার জন্য ডিজাইন করা হয়েছে

... ইত্যাদি ...

বিভিন্ন ICMP বার্তা নাম প্রায় কাছাকাছি বিস্তারিত তারা কি করছেন করতে সক্ষম। দুঃস্বপ্নের দৃশ্যগুলি দেখার জন্য আপনার জন্মগত প্যারানিয়াটি অনুশীলন করুন :-)

আইসিএমপি প্যাকেটের প্রতিটি ধরণের হ্যান্ডেল করার জন্য কীভাবে আমি আইপিটিবেলস রুলসেট লেআউট করব?
আইসিএমপি ট্র্যাফিকের সাথে ঝামেলা করার কোনও ভাল কারণ অনুপস্থিত, এটিকে একা ছেড়ে দিন!
আইসিএমপি ট্র্যাফিকের সাথে উপভোগ করা আইসিএমপি বার্তাগুলির যথাযথ ব্যবহারগুলিতে বাধা দেয় (ট্র্যাফিক পরিচালনা এবং সমস্যা সমাধান) - এটি সহায়তার চেয়ে হতাশাব্যঞ্জক হবে।

এই ধরণের আইসিএমপি প্যাকেটগুলির কি আমার রেট-সীমাবদ্ধ করা উচিত? এবং কিভাবে?
দর্শনের জন্য "এটিকে একা ছেড়ে দিন" - এর একমাত্র বৈধ ব্যতিক্রম হতে পারে - রেট- বা ব্যান্ডউইথ-সীমাবদ্ধ আইসিএমপি বার্তাগুলি আপনাকে আইসিএমপি বার্তাগুলির অবৈধ ব্যবহারগুলি এড়াতে সহায়তা করতে সহায়ক হতে পারে। আইসিএমপি ব্যান্ডউইথ / রেট সীমাবদ্ধকরণ সহ ফ্রিবিএসডি জাহাজ করে ডিফল্টরূপে, এবং আমি ধরে নিই যে লিনাক্সের অনুরূপ কার্যকারিতা রয়েছে।

রেট / ব্যান্ডউইথ সীমাবদ্ধতা কম্বল ফায়ারওয়াল নিয়মের আইসিএমপি ট্র্যাফিক ছাড়ার চেয়ে বেশি পছন্দনীয়: এটি আইসিএমপিটিকে নেটওয়ার্কে তার উদ্দেশ্যটি সম্পাদনের অনুমতি দেয় এবং আপনার সার্ভারটির অপব্যবহারের আংশিকতাও প্রশমিত করে।

উপরেরটি একজন সিসাদমিনের মতামত উপস্থাপন করে, যিনি তাঁর অংশ হিসাবে সমস্ত আইসিএমপি ট্র্যাফিক বিস্ফোরিত হয়ে ট্র্যাব্লুশট নেটওয়াক্সের ট্র্যাজিংয়ের হতাশ - এটি বিরক্তিকর, হতাশাব্যঞ্জক এবং সমস্যাগুলি খুঁজে পেতে এবং সমাধান করতে আরও বেশি সময় নেয়। :-)

voretaq7
সূত্র
তবে .. তবে .. মৃত্যুর পিংকে ভয় পাওয়ার দরকার, অযৌক্তিক স্তরে! (প্রথম অনুচ্ছেদের পরে কে এই উত্তরটি লিখেছিল তা কি আমি খারাপ বলতে পারি?)
শেন ম্যাডেন
আসলে, আইসিএমপি দরকারী। আমি যদি "আইসিএমপি অশুভ" এর শিকার হয়ে থাকি তবে আমি বরং সমস্তটি ব্লক করে এই প্রশ্নটি খুলি না :) আমি যা চাই তা হল একটি অবগত সিদ্ধান্ত নিতে কিছুটা সহায়তা। আপনি নিশ্চিত হতে পারেন যে আমি তাদের সকলকে ব্লক করব না :)
এমএল
@ শেন ম্যাডেন: --state INVALIDমৃত্যুর পিং ফেলে দেবেন ?
এমএল--
7
@ এমএল - দয়া করে মৃত্যুর পিং সম্পর্কে চিন্তা করবেন না। এই সহস্রাব্দ থেকে কোনও ওএস ঝুঁকিপূর্ণ নয়।
শেন ম্যাডেন
2
@ এমএল-- যে ভেক্টর সম্পর্কে আমি উদ্বিগ্ন ছিল তা হ'ল Source Quenchএবং আপনি আপেক্ষিক দায়মুক্তি দিয়ে এটি ব্লক করতে পারেন (টিসিপি এটি শেষ পর্যন্ত নিজেই খুঁজে বের করবে)। পিং এবং ট্রেস্রোয়েট অবশ্যই তথ্য ফাঁস, তবে বাস্তবে আমার মনে হয় না এটি আপনার পরিবেশে খুব বেশি সত্যিকারের সুরক্ষা যুক্ত করেছে। আপনার মাইলেজ (এবং প্যারানোয়ার প্রয়োজনীয় স্তরের) বিভিন্ন হতে পারে (আপনার ডেটা / পরিবেশের সংবেদনশীলতার উপর নির্ভর করে)।
voretaq7
4

এটি সম্ভাব্য আক্রমণকারী ভেক্টরগুলির চেয়ে প্রকারের বিষয়ে খুব বেশি নয়। অনেক সাধারণ ইন্টারনেট হোস্টের টিসিপি / আইপি স্ট্যাকগুলিতে বহু বছর ধরে আইসিএমপি সোর্স কোঞ্চ প্যাকেট ব্যবহার করে একটি ডস অ্যাটাক ভেক্টর ব্যবহার করা হয়েছে - এবং এখনও এর অর্থ এই নয় যে উত্স-নিবন্ধ আইসিএমপি বার্তাগুলি সাধারণভাবে ফিল্টার করা দরকার। নেটওয়ার্ক সুরক্ষার সমস্ত কিছুর মতোই, আপনার ব্যক্তিগত অগ্রাধিকারের ভিত্তিতে সম্ভাব্য আক্রমণ পৃষ্ঠের বিরুদ্ধে কোনও নির্দিষ্ট প্রোটোকল বা পরিষেবার সুবিধার বিষয়টি বিবেচনা করুন । যদি আপনার নেটওয়ার্কগুলিতে হোস্ট থাকে যা আইসিএমপি-এর মাধ্যমে আক্রমণকারী ভেক্টরের কাছে সংবেদনশীল, আপনি সেগুলি ঠিক করতে পারবেন না এবং আপনার নির্দিষ্ট বৈশিষ্ট্যগুলির প্রয়োজন নেই, আপনাকে অবশ্যই এটি ফিল্টারিংয়ের বিষয়টি বিবেচনা করা উচিত।

আমার পরিচালিত ভি 4 নেটওয়ার্কগুলির জন্য আমি আইসিএমপি প্রকার 0, 8 (প্রতিধ্বনি অনুরোধ / উত্তর), 11 (টিটিএল মেয়াদোত্তীর্ণ), 3 (গন্তব্য অপরিশোধনযোগ্য) এবং 12 (আইপি শিরোনাম ত্রুটি) এবং সমস্তগুলি ফেলে দেওয়ার অনুমতি দেওয়া নিরাপদ এবং সুবিধাজনক উভয়ই পেয়েছি অবশিষ্ট.

-wabbit
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.