ICMP wysokie porty
ICMP wysokie porty
Witam
Jestem posiadaczem routera Cisco 1721, IOS Version 12.4(7a)
Nie wiem co oznaczają takie wysokie porty protokołu ICMP (jak na listingu poniżej)?
Czy jest to niebezpieczne i czy da się to zablokować?
Cisco1721#sh ip nat trans icmp
Pro Inside global Inside local Outside local Outside global
icmp xxx.xxx.131.203:2184257940 192.168.145.12:2184257940 213.248.96.173:2184257744 213.248.96.173:2184257744
icmp xxx.xxx.131.203:2184257940 192.168.145.12:2184257940 213.248.96.173:2184257936 213.248.96.173:2184257936
icmp xxx.xxx.131.134:2184257940 192.168.145.65:2184257940 80.91.250.113:2184257936 80.91.250.113:2184257936
icmp xxx.xxx.131.134:2184257940 192.168.145.65:2184257940 80.91.250.113:2184365952 80.91.250.113:2184365952
Cisco1721#
Z góry dziękuję za pomoc
Jestem posiadaczem routera Cisco 1721, IOS Version 12.4(7a)
Nie wiem co oznaczają takie wysokie porty protokołu ICMP (jak na listingu poniżej)?
Czy jest to niebezpieczne i czy da się to zablokować?
Cisco1721#sh ip nat trans icmp
Pro Inside global Inside local Outside local Outside global
icmp xxx.xxx.131.203:2184257940 192.168.145.12:2184257940 213.248.96.173:2184257744 213.248.96.173:2184257744
icmp xxx.xxx.131.203:2184257940 192.168.145.12:2184257940 213.248.96.173:2184257936 213.248.96.173:2184257936
icmp xxx.xxx.131.134:2184257940 192.168.145.65:2184257940 80.91.250.113:2184257936 80.91.250.113:2184257936
icmp xxx.xxx.131.134:2184257940 192.168.145.65:2184257940 80.91.250.113:2184365952 80.91.250.113:2184365952
Cisco1721#
Z góry dziękuję za pomoc
Re: ICMP wysokie porty
Nie ma czegoś takiego jak port ICMP
a to o czym mówisz to:
Nie jest to niebezpieczne. Jest normalne.
Da się zablokować - możesz nie natować ICMP
a to o czym mówisz to:
Kod: Zaznacz cały
Pro Inside global Inside local Outside local Outside global
icmp 10.10.10.3:24320 172.16.0.1:24320 172.17.1.2:24320 172.17.1.2:24320
Note the number 24320 in the translation table above. It is the ICMP ident value included in the ICMP header of the IP datagram
Da się zablokować - możesz nie natować ICMP
ICMP wysokie porty
owy jestem i się uczę poprawnie pisać posty. Z góry przepraszam na błędy edytorskie
Zablokowanie całego ICMP wiąże się z tym, że przestaną chodzić takie usługi jak ping i traceroute. Niewiem co jeszcze zostanie wyłączone?
Cały czas zastanawiam się czy jest jakaś możliwość, żeby to odfitrować tylko te dziwne tanslacje?
Zawsze jest jeszcze możliwość wybrania się do klientów, którzy mają takie NAT-owanie, ale nie do końca wiem gdzie szukać na ich kompach. Nie wiem czy ta sytuacja nie jest związana z korzystaniem z emula, bo na tych IP jest dużo translacji na 4662 TCP i 4672 UDP?
Zablokowanie całego ICMP wiąże się z tym, że przestaną chodzić takie usługi jak ping i traceroute. Niewiem co jeszcze zostanie wyłączone?
Cały czas zastanawiam się czy jest jakaś możliwość, żeby to odfitrować tylko te dziwne tanslacje?
Zawsze jest jeszcze możliwość wybrania się do klientów, którzy mają takie NAT-owanie, ale nie do końca wiem gdzie szukać na ich kompach. Nie wiem czy ta sytuacja nie jest związana z korzystaniem z emula, bo na tych IP jest dużo translacji na 4662 TCP i 4672 UDP?
Re: ICMP wysokie porty
Co jeszcze ? Niewiele, tylko przestanie dzialac czesc aplikacji, i czesc komunikacji z niektorymi sieciami, ot co. ;)Andzio pisze:Zablokowanie całego ICMP wiąże się z tym, że przestaną chodzić takie usługi jak ping i traceroute. Niewiem co jeszcze zostanie wyłączone?
ICMP nie wolno "wylaczac". Jak sama nazwa wskazuje jest to control protocol. Przestanie dzialac PMTUD, aplikacje nie dowiedza sie ze wysylaja cos na zamkniety port... i wiele innych mechanizmow, z ktorych wszyscy korzystaja codziennie za pomoca ICMP i o nich nie wiedza. Skutki b. nieprzyjemnie - wrecz tragiczne dla sieci wew.
Zostaw tego NATa w spokoju, bo zrobisz sobie kuku. ;) To nie numer portu, ICMP nie ma portow. Jak juz napisal przemek - przeczytaj dokladnie. Jest to normalne zachowanie.
Jesli juz chcesz filtrowac to zrob to na ACLach - trzeba tylko wiedziec co zostawic, a co wyfiltrowac, a to nie byla tresc pytania :)
Jesli tego ruchu jest niewiele - w ogole sie tym nie przejmuj.
Jesli jest wiecej - mozna podejrzewac np. jakis tunneling http://tinyurl.com/pwzus , http://tinyurl.com/8o723 , wtedy rate-limit na ICMP wystarczy i to jest znacznie lepsze rozwiazanie niz filtracja.
PJ
Re: ICMP wysokie porty
Andzio pisze: Zablokowanie całego ICMP wiąże się z tym, że przestaną chodzić takie usługi jak ping i traceroute. Niewiem co jeszcze zostanie wyłączone?
Cały czas zastanawiam się czy jest jakaś możliwość, żeby to odfitrować tylko te dziwne tanslacje?
Jako pierwsza cegielka do twojej aclki filtrujacej ruch z internetu polecam na poczatek (oczywiscie to tylko dla samego icmp).
Kod: Zaznacz cały
interface Serial1/0
ip address X.X.X.X
ip access-group ACL_OUTSIDE in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
no cdp enable
ip nat outside
ip access-list extended ACL_OUTSIDE
permit icmp any host X.X.X.X echo-reply
permit icmp any host X.X.X.X parameter-problem
permit icmp any host X.X.X.X packet-too-big
permit icmp any host X.X.X.X source-quench
deny icmp any any
Re: ICMP wysokie porty
Będę mógł sprawdzić tą ACL-kę dopiero w przyszły poniedziałek, ale jak tylko spróbuję to poinformuję o efektach. Tak czy inaczej dziękuję za podpowiedzi
No tu zalezy jaka ma byc siec. Zgodnie z zaleceniami very secure network , to wycinamy.pjeter pisze:No i jeszcze podstawowe:
time-exceeded
unreachable
PJ
Ta acl jest z jakiegos kursu security cisco- sam jej nie wymyslilem ale ja pamietam do dnia dzisiejszego
Zgodze sie jednak z toba ze ograniczanie pingow przynosi wiecej szkod niz pozytku.
Zalezy jaka siec, jaka topologia itp, itd
Jedynym atakiem na te typy komunikatow icmp (moge sie mylic- poprawcie jak co) moze byc (d)dos, wiec sugerowany przez ciebie ratelimiting na icmp jest dobrym rozwiazaniem w wiekszosci przypadkow.
- sebu
- CCIE / Instruktor CNAP
- Posty: 843
- Rejestracja: 03 cze 2005, 02:08
- Lokalizacja: Warsaw, Poland
- Kontakt:
to dla scislosci dodajmy jeszcze reconnaissance attacks do listykktm pisze:
Jedynym atakiem na te typy komunikatow icmp (moge sie mylic- poprawcie jak co) moze byc (d)dos
Jesteś ambitnym inżynierem i szukasz ciekawych projektów? Zapraszamy do współpracy w ramach NetFormers (stałej i projektowej). Info na PRV.
Work: http://netformers.pl
Linked-in: http://www.linkedin.com/in/strzelak
Work: http://netformers.pl
Linked-in: http://www.linkedin.com/in/strzelak
Witam ponownie
Zrobilem ACL-kę tak jak w postach powyżej (nie mogłem czekać całego tygodnia).
Poniższa ACL-ka została dodana do interfejsu wejściowego jako in (ip access-group 100 in)
I problem nadal jest:
Mimo że icmp jest zablokowane oprócz: echo-reply, parameter-problem, packet-too-big, source-quench, time-exceeded, unreachable. Trochę to dziwne.
Później dodawałem też identyczną ACL-kę do tego interfejscu jako out i też nic z tego
Jak ktoś ma jakiś pomysł i go chętnie przetestuję.
Pozdrawiam wszystkich zainteresowanych tematem i dziękuję za już okazaną pomoc.
Zrobilem ACL-kę tak jak w postach powyżej (nie mogłem czekać całego tygodnia).
Poniższa ACL-ka została dodana do interfejsu wejściowego jako in (ip access-group 100 in)
Kod: Zaznacz cały
Cisco1721#sh access-list
Standard IP access list 1
10 permit 192.168.145.0, wildcard bits 0.0.0.255
Extended IP access list 100
10 deny udp any any range 1026 1027 (9 matches)
20 deny udp any any range 135 netbios-ss (24 matches)
30 deny udp any any eq 445
40 deny tcp any any range 1026 1027
50 deny tcp any any range 135 139 (264 matches)
60 deny tcp any any eq 445 (282 matches)
70 permit icmp any 192.168.145.0 0.0.0.255 echo-reply
80 permit icmp any 192.168.145.0 0.0.0.255 parameter-problem
90 permit icmp any 192.168.145.0 0.0.0.255 packet-too-big
100 permit icmp any 192.168.145.0 0.0.0.255 source-quench
110 permit icmp any 192.168.145.0 0.0.0.255 time-exceeded
120 permit icmp any 192.168.145.0 0.0.0.255 unreachable
130 deny icmp any any (2840 matches)
140 permit ip any any (196173 matches)
Kod: Zaznacz cały
Cisco1721#sh ip nat trans icmp
Pro Inside global Inside local Outside local Outside global
icmp 82.160.131.203:512 192.168.145.12:512 86.61.39.6:512 86.61.39.6:512
icmp 82.160.131.203:512 192.168.145.12:512 193.138.137.58:512 193.138.137.58:512
icmp 82.160.131.205:2189274484 192.168.145.14:2189274484 124.61.216.26:218927259
2 124.61.216.26:2189272592
icmp 82.160.131.205:2189274484 192.168.145.14:2189274484 200.176.57.101:21892725
92 200.176.57.101:2189272592
icmp 82.160.131.249:30723 192.168.145.58:30723 194.95.249.23:30723 194.95.249.23
:30723
icmp 82.160.131.138:2189274484 192.168.145.69:2189274484 82.10.218.157:218927259
2 82.10.218.157:2189272592
Później dodawałem też identyczną ACL-kę do tego interfejscu jako out i też nic z tego
Jak ktoś ma jakiś pomysł i go chętnie przetestuję.
Pozdrawiam wszystkich zainteresowanych tematem i dziękuję za już okazaną pomoc.
sebu pisze:to dla scislosci dodajmy jeszcze reconnaissance attacks do listykktm pisze:
Jedynym atakiem na te typy komunikatow icmp (moge sie mylic- poprawcie jak co) moze byc (d)dos
Wiec proponuje do rate-limit dorzucic jeszcze IPS. To już bedzie kompletna konfiguracja
Pytanko, co ci przeszkadzaja te wpisy w nat? Przeciez to normalne ze jakies icmp w sieci biega.Andzio pisze: Mimo że icmp jest zablokowane oprócz: echo-reply, parameter-problem, packet-too-big, source-quench, time-exceeded, unreachable. Trochę to dziwne.
Później dodawałem też identyczną ACL-kę do tego interfejscu jako out i też nic z tego
Jak ktoś ma jakiś pomysł i go chętnie przetestuję.
Pozdrawiam wszystkich zainteresowanych tematem i dziękuję za już okazaną pomoc.
Druga sprawa, widac definitywnie ze pakiety icmp podlegaja translacji. Na 90% masz router z jednym interfejsem (internet) za ktorym chowaja sie hosty z lanu wiec acl powinna byc dana w kierunku IN na interfejsach lanowskich i tam powinienes ograniczac to. Wtedy blokujesz pakiety icmp i nie trafia one do nat.
Mozna je tez szybciej wyprozniac z tablicy nat, jesli jest ich duuzo
Kod: Zaznacz cały
ip nat translation icmp-timeout 10
Kod: Zaznacz cały
debug ip icmp
Niestety blokada na interfejsie LAN-owskim też nic nie daje.
Dlaczego się chcę tego pozbyć? Otóż podejrzewam, że te dziwne translacje są powodem blokad portów w urządzeniu za Cisco.
Większość portów użytkowników, którzy mają te translacje, zostaje po jakimś czasie zablokowana.
Tylko to następne urządzenie jest na tyle prymitywne, że na nim nic nie da się zrobić żeby to wyeliminować.
Dlaczego się chcę tego pozbyć? Otóż podejrzewam, że te dziwne translacje są powodem blokad portów w urządzeniu za Cisco.
Większość portów użytkowników, którzy mają te translacje, zostaje po jakimś czasie zablokowana.
Tylko to następne urządzenie jest na tyle prymitywne, że na nim nic nie da się zrobić żeby to wyeliminować.
Niestety blokada na interfejsie LAN-owskim też nic nie daje.
Dlaczego się chcę tego pozbyć? Otóż podejrzewam, że te dziwne translacje są powodem blokad portów w urządzeniu za Cisco.
Większość portów użytkowników, którzy mają te translacje, zostaje po jakimś czasie zablokowana.
Tylko to następne urządzenie jest na tyle prymitywne, że na nim nic nie da się zrobić żeby to wyeliminować.
Dlaczego się chcę tego pozbyć? Otóż podejrzewam, że te dziwne translacje są powodem blokad portów w urządzeniu za Cisco.
Większość portów użytkowników, którzy mają te translacje, zostaje po jakimś czasie zablokowana.
Tylko to następne urządzenie jest na tyle prymitywne, że na nim nic nie da się zrobić żeby to wyeliminować.