ICMP wysokie porty

Wiadomość

Andzio · #1

Witam

Jestem posiadaczem routera Cisco 1721, IOS Version 12.4(7a)
Nie wiem co oznaczają takie wysokie porty protokołu ICMP (jak na listingu poniżej)?
Czy jest to niebezpieczne i czy da się to zablokować?

Cisco1721#sh ip nat trans icmp
Pro Inside global Inside local Outside local Outside global
icmp xxx.xxx.131.203:2184257940 192.168.145.12:2184257940 213.248.96.173:2184257744 213.248.96.173:2184257744
icmp xxx.xxx.131.203:2184257940 192.168.145.12:2184257940 213.248.96.173:2184257936 213.248.96.173:2184257936
icmp xxx.xxx.131.134:2184257940 192.168.145.65:2184257940 80.91.250.113:2184257936 80.91.250.113:2184257936
icmp xxx.xxx.131.134:2184257940 192.168.145.65:2184257940 80.91.250.113:2184365952 80.91.250.113:2184365952
Cisco1721#

Z góry dziękuję za pomoc

przemek · #2

Nie ma czegoś takiego jak port ICMP

a to o czym mówisz to:

Kod: Zaznacz cały

    Pro   Inside global         Inside local        Outside local       Outside global
    icmp  10.10.10.3:24320      172.16.0.1:24320    172.17.1.2:24320    172.17.1.2:24320

Note the number 24320 in the translation table above. It is the ICMP ident value included in the ICMP header of the IP datagram

Nie jest to niebezpieczne. Jest normalne.
Da się zablokować - możesz nie natować ICMP

przemek · #3

(btw. wrzuaj wyniki poleceń np w tag code, tak to strasznie nieczytelne jest)

ale biorąc pod uwage, że icmp identyfier jest 16 bitowy.. to jednak nie jest normalne

Andzio · #4

owy jestem i się uczę poprawnie pisać posty. Z góry przepraszam na błędy edytorskie

Zablokowanie całego ICMP wiąże się z tym, że przestaną chodzić takie usługi jak ping i traceroute. Niewiem co jeszcze zostanie wyłączone?

Cały czas zastanawiam się czy jest jakaś możliwość, żeby to odfitrować tylko te dziwne tanslacje?

Zawsze jest jeszcze możliwość wybrania się do klientów, którzy mają takie NAT-owanie, ale nie do końca wiem gdzie szukać na ich kompach. Nie wiem czy ta sytuacja nie jest związana z korzystaniem z emula, bo na tych IP jest dużo translacji na 4662 TCP i 4672 UDP?

pjeter · #5

Andzio pisze:Zablokowanie całego ICMP wiąże się z tym, że przestaną chodzić takie usługi jak ping i traceroute. Niewiem co jeszcze zostanie wyłączone?

Co jeszcze ? Niewiele, tylko przestanie dzialac czesc aplikacji, i czesc komunikacji z niektorymi sieciami, ot co. ;)

ICMP nie wolno "wylaczac". Jak sama nazwa wskazuje jest to control protocol. Przestanie dzialac PMTUD, aplikacje nie dowiedza sie ze wysylaja cos na zamkniety port... i wiele innych mechanizmow, z ktorych wszyscy korzystaja codziennie za pomoca ICMP i o nich nie wiedza. Skutki b. nieprzyjemnie - wrecz tragiczne dla sieci wew.

Zostaw tego NATa w spokoju, bo zrobisz sobie kuku. ;) To nie numer portu, ICMP nie ma portow. Jak juz napisal przemek - przeczytaj dokladnie. Jest to normalne zachowanie.
Jesli juz chcesz filtrowac to zrob to na ACLach - trzeba tylko wiedziec co zostawic, a co wyfiltrowac, a to nie byla tresc pytania :)

Jesli tego ruchu jest niewiele - w ogole sie tym nie przejmuj.
Jesli jest wiecej - mozna podejrzewac np. jakis tunneling http://tinyurl.com/pwzus , http://tinyurl.com/8o723 , wtedy rate-limit na ICMP wystarczy i to jest znacznie lepsze rozwiazanie niz filtracja.

PJ

kktm · #6

Andzio pisze: Zablokowanie całego ICMP wiąże się z tym, że przestaną chodzić takie usługi jak ping i traceroute. Niewiem co jeszcze zostanie wyłączone?

Cały czas zastanawiam się czy jest jakaś możliwość, żeby to odfitrować tylko te dziwne tanslacje?

Jako pierwsza cegielka do twojej aclki filtrujacej ruch z internetu polecam na poczatek (oczywiscie to tylko dla samego icmp).

Kod: Zaznacz cały



interface Serial1/0
 ip address X.X.X.X
 ip access-group ACL_OUTSIDE in
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no cdp enable
 ip nat outside

ip access-list extended ACL_OUTSIDE 
 permit icmp any host X.X.X.X echo-reply
 permit icmp any host X.X.X.X parameter-problem
 permit icmp any host X.X.X.X packet-too-big
 permit icmp any host X.X.X.X source-quench
 deny   icmp any any

pjeter · #7

No i jeszcze podstawowe:
time-exceeded
unreachable

PJ

Andzio · #8

Będę mógł sprawdzić tą ACL-kę dopiero w przyszły poniedziałek, ale jak tylko spróbuję to poinformuję o efektach. Tak czy inaczej dziękuję za podpowiedzi

kktm · #9

pjeter pisze:No i jeszcze podstawowe:
time-exceeded
unreachable

PJ

No tu zalezy jaka ma byc siec. Zgodnie z zaleceniami very secure network

, to wycinamy.
Ta acl jest z jakiegos kursu security cisco- sam jej nie wymyslilem ale ja pamietam do dnia dzisiejszego

Zgodze sie jednak z toba ze ograniczanie pingow przynosi wiecej szkod niz pozytku.
Zalezy jaka siec, jaka topologia itp, itd

Jedynym atakiem na te typy komunikatow icmp (moge sie mylic- poprawcie jak co) moze byc (d)dos, wiec sugerowany przez ciebie ratelimiting na icmp jest dobrym rozwiazaniem w wiekszosci przypadkow.

sebu · #10

kktm pisze:
Jedynym atakiem na te typy komunikatow icmp (moge sie mylic- poprawcie jak co) moze byc (d)dos

to dla scislosci dodajmy jeszcze reconnaissance attacks do listy

Andzio · #11

Witam ponownie

Zrobilem ACL-kę tak jak w postach powyżej (nie mogłem czekać całego tygodnia).
Poniższa ACL-ka została dodana do interfejsu wejściowego jako in (ip access-group 100 in)

Kod: Zaznacz cały

Cisco1721#sh access-list
Standard IP access list 1
    10 permit 192.168.145.0, wildcard bits 0.0.0.255
Extended IP access list 100
    10 deny udp any any range 1026 1027 (9 matches)
    20 deny udp any any range 135 netbios-ss (24 matches)
    30 deny udp any any eq 445
    40 deny tcp any any range 1026 1027
    50 deny tcp any any range 135 139 (264 matches)
    60 deny tcp any any eq 445 (282 matches)
    70 permit icmp any 192.168.145.0 0.0.0.255 echo-reply
    80 permit icmp any 192.168.145.0 0.0.0.255 parameter-problem
    90 permit icmp any 192.168.145.0 0.0.0.255 packet-too-big
    100 permit icmp any 192.168.145.0 0.0.0.255 source-quench
    110 permit icmp any 192.168.145.0 0.0.0.255 time-exceeded
    120 permit icmp any 192.168.145.0 0.0.0.255 unreachable
    130 deny icmp any any (2840 matches)
    140 permit ip any any (196173 matches)

I problem nadal jest:

Kod: Zaznacz cały

Cisco1721#sh ip nat trans icmp
Pro Inside global      Inside local       Outside local      Outside global
icmp 82.160.131.203:512 192.168.145.12:512 86.61.39.6:512    86.61.39.6:512
icmp 82.160.131.203:512 192.168.145.12:512 193.138.137.58:512 193.138.137.58:512
icmp 82.160.131.205:2189274484 192.168.145.14:2189274484 124.61.216.26:218927259
2 124.61.216.26:2189272592
icmp 82.160.131.205:2189274484 192.168.145.14:2189274484 200.176.57.101:21892725
92 200.176.57.101:2189272592
icmp 82.160.131.249:30723 192.168.145.58:30723 194.95.249.23:30723 194.95.249.23
:30723
icmp 82.160.131.138:2189274484 192.168.145.69:2189274484 82.10.218.157:218927259
2 82.10.218.157:2189272592

Mimo że icmp jest zablokowane oprócz: echo-reply, parameter-problem, packet-too-big, source-quench, time-exceeded, unreachable. Trochę to dziwne.
Później dodawałem też identyczną ACL-kę do tego interfejscu jako out i też nic z tego

Jak ktoś ma jakiś pomysł i go chętnie przetestuję.
Pozdrawiam wszystkich zainteresowanych tematem i dziękuję za już okazaną pomoc.

kktm · #12

sebu pisze:
kktm pisze:
Jedynym atakiem na te typy komunikatow icmp (moge sie mylic- poprawcie jak co) moze byc (d)dos
to dla scislosci dodajmy jeszcze reconnaissance attacks do listy

Wiec proponuje do rate-limit dorzucic jeszcze IPS. To już bedzie kompletna konfiguracja

Andzio pisze: Mimo że icmp jest zablokowane oprócz: echo-reply, parameter-problem, packet-too-big, source-quench, time-exceeded, unreachable. Trochę to dziwne.
Później dodawałem też identyczną ACL-kę do tego interfejscu jako out i też nic z tego

Jak ktoś ma jakiś pomysł i go chętnie przetestuję.
Pozdrawiam wszystkich zainteresowanych tematem i dziękuję za już okazaną pomoc.

Pytanko, co ci przeszkadzaja te wpisy w nat? Przeciez to normalne ze jakies icmp w sieci biega.

Druga sprawa, widac definitywnie ze pakiety icmp podlegaja translacji. Na 90% masz router z jednym interfejsem (internet) za ktorym chowaja sie hosty z lanu wiec acl powinna byc dana w kierunku IN na interfejsach lanowskich i tam powinienes ograniczac to. Wtedy blokujesz pakiety icmp i nie trafia one do nat.

Mozna je tez szybciej wyprozniac z tablicy nat, jesli jest ich duuzo

Kod: Zaznacz cały

 ip nat translation icmp-timeout 10

Troche ciekawosci nie zaszkodzi

Kod: Zaznacz cały

 debug ip icmp

vnull · #13

kktm pisze: Jedynym atakiem na te typy komunikatow icmp (moge sie mylic- poprawcie jak co) moze byc (d)dos, wiec sugerowany przez ciebie ratelimiting na icmp jest dobrym rozwiazaniem w wiekszosci przypadkow.

teraz juz malo kto robi ddosy przez ICMP...

Andzio · #14

Niestety blokada na interfejsie LAN-owskim też nic nie daje.

Dlaczego się chcę tego pozbyć? Otóż podejrzewam, że te dziwne translacje są powodem blokad portów w urządzeniu za Cisco.

Większość portów użytkowników, którzy mają te translacje, zostaje po jakimś czasie zablokowana.

Tylko to następne urządzenie jest na tyle prymitywne, że na nim nic nie da się zrobić żeby to wyeliminować.

Andzio · #15

Niestety blokada na interfejsie LAN-owskim też nic nie daje.

Dlaczego się chcę tego pozbyć? Otóż podejrzewam, że te dziwne translacje są powodem blokad portów w urządzeniu za Cisco.

Większość portów użytkowników, którzy mają te translacje, zostaje po jakimś czasie zablokowana.

Tylko to następne urządzenie jest na tyle prymitywne, że na nim nic nie da się zrobić żeby to wyeliminować.

CCIE.pl