Hlavní navigace

Filtrování ICMPv6

21. 6. 2007
Doba čtení: 3 minuty

Sdílet

 Autor: 29
Pracovní skupina IETF v6ops, která se zabývá praktickými otázkami provozování IPv6 sítí, má za sebou plodné jaro. Během dubna a května vydala čtyři RFC dokumenty, většinou orientované na bezpečnost sítě.

V minulém článku jsem rozebíral RFC 4864 zaměřené na dosažení některých pozitivních stránek NATu pomocí prostředků IPv6. Dnes se podívejme na RFC 4890, jež doporučuje, jaká pravidla stanovit na firewallu pro filtrování ICMPv6.

Stručně připomenu, že ICMP je základní internetový servisní protokol sloužící pro přenos různých režijních zpráv. Jeho prostřednictvím jsou oznamovány chyby, testována spojení či vyměňovány různé informace. V porovnání s IPv4 došlo v nové verzi protokolu k jeho rozhojnění a využití pro celou řadu nových doprovodných mechanismů (jako je automatická konfigurace, podpora mobility či přeadresování sítě). To znemožňuje jednoduchou adaptaci stávajících pravidel používaných pro ICMPv4.

Dokument v první části shrnuje základní informace o ICMP a typy útoků, k nimž je využíváno. Lze je rozdělit zhruba do čtyř skupin. DoS útoky se jednoduše snaží zahltit příjemce hromadou ICMP požadavků, takže mu nezbývají síly na rozumnou komunikaci. Ovšem řada současných zařízení umožňuje omezit maximální počet ICMP požadavků za sekundu, kterým se budou věnovat. Druhou skupinu představují průzkumníci, kteří sondují koncové sítě a vyhledávají cíle pro své útoky. Ti ale mají v IPv6 tvrdý chlebíček –vzhledem k obludnému adresnímu rozsahu je plošné prohledávání v podstatě nemožné. Třetí skupina útoků míří na konkrétní mechanismy a snaží se podvrhnout zprávy o přesměrování datagramů či přeadresování sítě. Skupina čtvrtá, nejkreativnější a nejhůře zachytitelná, využívá ICMP jako nosič svých vlastních informací. Například vir může poslat informace z napadeného počítače svému autorovi v těle ping paketu či jako obsah (fiktivní) chybové zprávy.

S přihlédnutím k významu a možné zneužitelnosti jednotlivých typů ICMP zpráv je autoři zařadili do jedné z následujících kategorií:

  1. Zpráva musí firewallem projít, jinak bude narušena funkce některých mechanismů IPv6 (v tabulce níže označeno propustit!).
  2. Pokud správce nemá velmi dobrý důvod k opačnému nastavení, měl by firewall zprávu propustit (označeno propustit).
  3. Zpráva má ve specifikacích definováno zpracování, které vede k jejímu zahození (či zpracování), netřeba ji ošetřovat ve firewallu, jen pokud byste se chtěli pojistit (označeno netřeba).
  4. Je otázkou místní politiky a rozhodnutí správce, zda zprávy propouštět či blokovat (označeno rozhodnout).
  5. Zpráva by neměla firewallem projít (označeno zahodit).

Doporučení obsažená v RFC 4890 shrnuje následující tabulka. Je uspořádána vzestupně podle čísel identifikujících typy jednotlivých ICMP zpráv. U některých z nich jsou navíc uvedeny kódy rozlišující jejich podtypy. Závěrečné dva sloupce obsahují doporučené zacházení se zprávami daného typu. To se liší v závislosti na tom, zda je ICMP zpráva tranzitní (je adresována jinému stroji a firewallem jen prochází), nebo lokální, tedy adresovaná přímo některému rozhraní firewallu.

Podle mínění autorů by firewall měl být nastaven takto:

Nastavení firewallu

Za povšimnutí stojí například důrazný požadavek na propouštění pingu (Echo Request a Response), který je některými mechanismy IPv6 vyžadován a zároveň kvůli neúčinnosti plošného skenování sítí klesá míra jeho zneužitelnosti. Právě skenování je důvodem, proč někteří správci IPv4 sítí ping zakazují.

BRAND24

Pokud se vám to zdá poněkud složité, máte naprostou pravdu. Konfigurace linuxového Netfilteru vycházející z těchto doporučení, která je přílohou dokumentu, měří bezmála 200 řádků (bez komentářů a prázdných řádků). Bezpečnost zkrátka má svou cenu.

Jeden z autorů textu se podílel i na prezentaci obsahující souhrn bezpečnostních otázek kolem IPv6, kterou též vřele doporučuji vaší pozornosti. IPv6 má pověst protokolu, který nebývá příliš zabezpečován – správci sítí jsou rádi, když jim vůbec funguje. Jak je vidět, tento přístup se začíná měnit.

Staráte se o zabezpečení své IPv6 sítě?

Byl pro vás článek přínosný?

Autor článku

Autor dělá nepořádek v příslovích, protože sítě nejen dělá, ale i učí a dokonce také řídí. Působí na Ústavu nových technologií a aplikované informatiky na Technické univerzitě v Liberci. Píše knihy.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).