IPv6 - Разрешить входящие эхо-запросы ICMP
Итак, мы недавно получили префикс / 48 от нашего LIR и начали мелкомасштабно. развертывание его в лаборатории.
Что показалось мне странным, так это то, что сайты вроде http://ipv6-test.com/ настаивают на том, чтобы вы разрешали входящие запросы ICMP Echo. Я понимаю, почему вы должны разрешать исходящие ICMPv6, но входящие? Даже если это просто пинг?
Итак, Мой вопрос: помимо возможных DDoS-атак с использованием ICMP, есть ли какие-либо недостатки в разрешении входящих эхо-запросов ICMP?
Я прочитал RFC4890 ( https://www.ietf.org/rfc/rfc4890.txt ), но не нашел там однозначного ответа.
A.5. ICMPv6 Echo Request и Echo Response
предполагает, что
Не считается, что сканирование представляет значительный риск. атаки на хорошо спроектированную сеть IPv6 (см. раздел 3.2), и поэтому Проверки подключения должны быть разрешены по умолчанию.
Это все еще актуально, учитывая, что RFC почти 10 лет? Кроме того, RFC не делает различий между исходящим и входящим направлениями.
Я всегда чувствовал, что рекомендация для v4 заключалась в блокировке ICMP на шлюзе, но опять же, v6 в значительной степени полагается на ICMP.
Итак, какие-нибудь предложения?
Этот первый бит не является прямым ответом на ваш вопрос. Я просто включаю его сюда для тех, кто не понимает важности ICMPv6.
IPv6 действительно нуждается в определенных типах ICMP-сообщений, чтобы пройти через него. Самые важные из них - Packet-Too-Big и Parameter-Problem. Если вы их заблокируете, то у вас возникнут проблемы с соединением.
Также: IPv6 эквивалент ARP - это обнаружение по соседству, в котором также используются ICMP-пакеты. Автоматическая настройка без номера - это часть соседнего обнаружения, поэтому также требуется ICMP.
В IPv4 есть недоразумение, что все входящие ICMP должны быть заблокированы, и вам это сойдет с рук. С IPv6 вам действительно нужно разрешить хотя бы какой-нибудь ICMP. Взгляните на https://tools.ietf.org/html/rfc4890, он содержит несколько действительно хороших советов о том, как фильтровать ICMP без нарушения протокола.
Ответ на ваш вопрос. Блокирование входящих ICMP эхо-запросов нормально. Лично я этого не делаю, потому что позволяя им отлаживаться намного проще, но если Вы не хотите их впускать, то и не нужно. Основной риск, с которым вы сталкиваетесь, если вы разрешите им войти, заключается в том, что если кто-то найдет стабильный (не временный/приватный) адрес, например, для вашего ноутбука, то он может продолжать пинговать его, чтобы посмотреть, когда он включится. Это может рассматриваться как риск для частной жизни. Однако сначала им придется найти такой адрес, потому что для исходящих подключений он будет использовать свои временные конфиденциальные адреса.
.