%20n%C3%A3o%20devem%20ser%20bloqueados%3F.png)
Pesquisei bastante sobre isso e descobri que algumas referências se contradizem.
IPV6 Por exemploRFC4890diz que os seguintes tipos devem ser permitidos para funcionalidade ideal:
Tipo 1, 2, 3, 4, 128, 129 e para auxílio à mobilidade também 144, 145, 146 e 147.
No entanto, issofontenão menciona que foi necessária assistência de mobilidade: (também os tipos 1 e 4 são omitidos)
Tipo 128, 129, 2, 3 e para NDP e SLAAC 133, 134, 135, 136 e 137
Por outro lado, a referência anterior dizia que o NDP e o SLAAC não necessitam de atenção especial, uma vez queeles serão descartados de qualquer maneira. Então, quem está certo? É melhor permitir que tudo o que foi mencionado por ambas as fontes esteja no lado seguro?
IPV4: Surpreendentemente oreferêncianão tem nenhuma recomendação para IPv4, mas o outrofontediz que os tipos 8, 0, 3 e 11 são necessários para IPv4. Existe alguma referência oficial que recomende quais ICMPs IPv4 devem ser permitidos?
ATUALIZAR: Embora a resposta seja boa, acho-a genérica demais para aceitá-la como uma solução real para isso. Se o bloqueio não for a resposta, então o limite de taxa deve ser o caminho certo para fornecer um nível de proteção. Acredito que uma resposta com o exemplo de código correto seria mais segura.
Responder1
Todo o ICMP não deve ser bloqueado. Não por padrão, esta pode ser uma lista de negação em vez de uma lista de permissão.
Comece limitando a taxa, mas não filtrando, ICMP.
LerRFC 4890 seção 3 nas considerações de segurança esperadas. Notavelmente redirecione pacotes desviados, mas o padrão exige que eles sejam locais, no link. Negação de serviço em alto volume, mas muitas vezes isso pode ser mitigado com limites de taxa. Talvez a descoberta de hosts, mas isso não revela muito. O ICMP não é muito perigoso.