IPv6 - разрешить входящие ICMP-эхо-запросы

Question

IPv6 - разрешить входящие ICMP-эхо-запросы

Итак, мы недавно получили наш префикс /48 от нашего LIR и начали его мелкое развертывание в лаборатории.

Что показалось мне странным, так это то, что такие сайты, как http://ipv6-test.com/ настаивают на том, чтобы вы разрешали входящие запросы ICMP Echo. Я понимаю, почему вы должны разрешить ICMPv6 исходящий, но входящий? Даже если это просто пинг?

Итак, мой вопрос: кроме возможных DDoS-атак с использованием ICMP, есть ли недостатки в разрешении входящих ICMP-эхо-запросов?

Я прочитал RFC4890 ( https://www.ietf.org/rfc/rfc4890.txt), но не смог найти там однозначного ответа.

А.5. Эхо-запрос ICMPv6 и эхо-ответ

предполагает, что

Не считается, что существует значительный риск от сканирования атак в хорошо спроектированной сети IPv6 (см. Раздел 3.2), и поэтому проверки подключения должны быть разрешены по умолчанию.

Этот пункт все еще действителен, учитывая, что RFC почти 10 лет? Кроме того, RFC не различает исходящие и входящие направления.

Я всегда чувствовал, что для v4 рекомендуется блокировать ICMP на шлюзе, но опять же, v6 сильно зависит от ICMP.

Итак, есть предложения?

6

ipv6 icmp icmpv6

Источник

lightxx 14 июн '16 в 09:16

1 ответ

Решение

Другие вопросы по тегам ipv6 icmp icmpv6

Sander Steffann 14 июн '16 в 13:06 2016-06-14 13:06 · Accepted Answer · 2016-06-14 13:06

Этот первый бит не является прямым ответом на ваш вопрос. Я просто включил его сюда для тех, кто не осознает важность ICMPv6.

IPv6 действительно нуждается в определенных типах сообщений ICMP, чтобы пройти. Наиболее важными из них являются пакет-слишком большой и параметр-проблема. Если вы заблокируете их, у вас возникнут проблемы с подключением.

Также: IPv6-эквивалент ARP - это обнаружение соседей, которое также использует ICMP-пакеты. Автоматическая конфигурация без сохранения состояния является частью обнаружения соседей, поэтому также требуется ICMP.

В IPv4 есть недоразумение, что все входящие ICMP должны быть заблокированы, и вы можете избежать неприятностей. С IPv6 вам действительно нужно разрешить хотя бы немного ICMP. Взгляните на https://tools.ietf.org/html/rfc4890, он содержит несколько действительно полезных советов о том, как фильтровать ICMP без нарушения протокола.

Ответ на ваш вопрос Блокировка входящих ICMP-эхо-запросов - это нормально. Лично я этого не делаю, потому что их разрешение делает отладку намного проще, но если вы не хотите их допускать, вам не нужно. Основной риск, с которым вы рискуете, если вы разрешаете им входить, состоит в том, что если кто-то найдет стабильный (не временный / конфиденциальный) адрес, например, для вашего ноутбука, он может продолжать проверять его, чтобы увидеть, когда он включен. Это может считаться риском для конфиденциальности. Сначала им нужно будет найти такой адрес, потому что для исходящих подключений он будет использовать временные адреса конфиденциальности.