icmp
 

на кой фик его блокировать? настолько ли это важно. безопасники уже достали. поначитались умных статей.

ну есть там вещи не только для сканирования полезные в теории, но на практике этим никто не пользуется, ну можно немного узнать по ответам сети о которых знает железяк при правильном подходе и есть ещё впн через icmp вернее то скорее тунельчик а не впн, а так весь блокировать тоже маразм там и полезное есть...

кстати openvpn в 3 ветке собирались транспорт добавить icmp-шный по-моему

чего тогда NetBios не блокируют. ну короче непонятные они люди.

[quote=напаяхЪ;23781104] на кой фик его блокировать? настолько ли это важно. безопасники уже достали. поначитались умных статей. [/quote]

для конструктивого решения вопроса надо не гадать ПОЧЕМУ они это делают.
Надо добиться у них ответа.
а потом разобрать (хотя бы, и тут) что именно тебе в тех запретах мешает жить и работать.

потом с предложениями вернешься к безопасникам

безопасники у нас люди с другой планеты. их решение единственно верное и говорят они только со своим начальником. а начальник нискем не говорит.

вероятно безопасники учились хорошо, а тебе повариха со старшиной хотя бы про icmp флудинг ничего не рассказывали.

7-krotov >да ты шо. и как оно там роисходит то? флудинг то этот. в какое место смотреть надо бы? ну так шобы пинга ходила по сети???

Через icmp идут посылки "frag needed", и тупо заблокировав весь icmp можно в определенных случаях получить частичный или полный затык при работе с вэбом, почтой и т.п., поэтому я бы не стал сразу тупо блокировать icmp, для начала надо разобраться что и как.
По поводу icmp флудинг - это страшилки из прошлого века, сейчас практически все сохо-маршрутизаторы распознают и блокируют атаки подобного рода, да и ДДОС атаки в основном направлены на вэб-службы или на почту.

[quote=krotov;23785278] вероятно безопасники учились хорошо, а тебе повариха со старшиной хотя бы про icmp флудинг ничего не рассказывали. [/quote]

1. а если при в отсутствии защиты от udp-flood? (кстати, как безопасники там 53, 5060 порты обрабатывают?)

2. Rate-limit? Не, не слышали!

[quote=BigHarry;23786789]атаки [/quote]

+1

10-8 J > никак. они занимаются глобальным блокированием. типа запретить icmp во всей сети или запретить выход в интернет всем-всем. а блокирование конкретных портов и прочие мелочи это уже не их дела.

[quote]запретить icmp во всей сети[/quote]
Не понял - безопасники требуют запретить icmp в локалке?

13-BigHarry >не. они этого не требуют. они берут это и делают на своих устройствах.

14-напаяхЪ >
а нак кой?

[quote]делают на своих устройствах[/quote]
А, ну тогда надо им подкинуть тему про ARP-флуд, пускай еще и этот протокол заблокируют, придурки...

[quote=напаяхЪ;23787225]и делают на своих устройствах. [/quote]

а как ваша сеть это переносит?

15-зайка71 >ну я вот и пытаюсь это понять. ибо от них ответ слышать бесполезно.
16-BigHarry >им надо подкинуть высокообразованных товарищей с этого форума. тогда писец будет страшный :)

17-8 J > удивишься, но работает :)

В принципе не понятно - какая твоя головная боль от того, что ваши безопасники что-то там на своих устройствах блокируют? Пусть блокируют, лишь бы это не мешало работе сети, можно в принципе им отдельный влан выделить под ихние игрушки, что там у них - видеонаблюдение или СКУД? даже если нельзя вланом их отделить то договориться что бы IP адреса назначали из выделенного диапазона (если их устройства не понимают DHCP) что бы конфликтов не было.
В чем проблема-то?

не проблема. просто не понятно чего пытаются они этим добиться.

а к DHCP у них отношение нетривиальное. пытались навязать мысль всем что статика намного полезнее динамики. но их мнение проигнорировали самым жёстким образом :)

[quote]их мнение проигнорировали самым жёстким образом[/quote]
Напрасно, надо было выделить им диапазон - и пускай у них будет статика. а то потом если что-то у них произойдет - начнут тебя обвинять, что твой DHCP что-то там не правильно делает и их устройство тормозят - зачем тебе этот геморой? С безопасниками лучше все совместные действия протоколировать на бумаге, выделил им диапазон адресов - записал их все в протокол и под роспись им вручить. Если потом их устройство внезапно подхватит какой-то другой адрес и у них начнуться проблемы - протокол им в морду, типа сами виноваты, бумага есть, бумага подписана - не соблюдаете регламент, господа...

22-BigHarry >э не. мой DHCP к их адресному пространству имеет самое последнее отношение, а точнее никакого отношения не имеет. я вообще без понятия какие адреса у них. они ходят через свой собственный фаервол и т.д. так что их проблемы их проблемами и останутся )))

скажите им слово pmtu

<tag vbros> нечитая, т.к. вавно , поздравьте своих(ли?) девочек с начтупающи и не морочьте голову :) </vbros> :))) всех с наступающей весной

Gochy - сцка , только скажи что записуешь для моей жены, прийдется пить вместе :)

26-701054 > у вас с гошей чат в любой теме?
в смысле, он все подряд читает? ;)

та он сцк, вообще читатель епанарот :) сорри я немного пиян, но на поржать просто иногда в кайф пописать :)

С безопасниками проще дружить и находить общий язык, чем письками меряться. Это я как безопасник говорю )))
26-701054 > когда гришь привозишь своих? )))
27-gloomymen > я вообще любознательный ;)

26-701054 > когда пьемс? :D

я сегодня вообще был готов, нет не так - я сегодня готофф , а что делать зашли поздравить девачек :) послезавтра своих привезу, так что видимо след. раз уже как потеплеет на рыбалке :)

ну вот. Опять заднюю включил :D

32-Gochy > ахаха, совести у тя нету, я ж предлагал вроде, мучались седня, еле нашел безрульного, еси б не Санек, вообще б растерзали там :) добили с ним Ставрополь КВ, и ещё флакончик конины...подарочной

29-Gochy > а ты как безопасник знаешь про вред блокировки icmp? или тоже параноидальный "грамотный запрещатель")

LAN->INET - почему бы не отрубить ICMP, ибо все идут и так через шлюз GTW. Возмущаться будут разве что на отсутствие возможности ping'овать.
INET<->GTW - оставить часть типов (0, echo-reply; 3, destination unreachable - это как раз он юзается в случае DF-флага; 8, echo-request). 0 и 8 можно тоже отрубить, если задачи ping'а GTW из инета не стоИт.
INET->LAN - ессно полностью обрубить.

Кста, мало кто заморачивается на ICMP proxy, ибо легче это сделать через 80/HTTP, который, как правило, у всех разрешён.

[em]а ты как безопасник знаешь про вред блокировки icmp? или тоже параноидальный "грамотный запрещатель") [/em]
Да, мне тоже интересно.
Если не тяжело, можно пояснить сей факт.
PS: Пару лет назад, в родном городе gloomyman-а, безопасники одной крупной телекоммуникационной компании мне внятно, убедительно и грамотно объяснили опасность DDOS по icmp. Т.к. последние 4 года я специализируюсь по СХД и кластерам, грамотно сформулировать не смогу, ибо забывается. Хотя в целом понимаю.

[quote]убедительно и грамотно объяснили опасность DDOS по icmp[quote]
Нет никакой опасности, есть дырявые сервисы или реализации протокола/драйверов, которые не следят за переполнением буферов и исчерпанием системных ресурсов, и от таких программазмов надо избавляться, а не запрещать служебные протоколы.

ddos по icmp, это в первую очередь размер пакетов, во вторую частота

это я понимаю. Как этого избежать в организации с 70 000+ серверов с голой жопой наружу?

кгхм.... )
в любой организации можно, учитывая оба фактора
гоша меня поправит, если что, как безопасник