Filtrage de paquets et ICMP

 » – des messages Ping gigantesques qui submergent les buffers ; l’attaque dite
 » Smurf « , qui utilise des messages ping et l’adresse IP de broadcast pour submerger
la liaison Internet de la victime ; ou les attaques de ICMP Redirect qui consiste
à  envoyer des messages bidons qui redirigent le trafic destiné à  un domaine
de confiance. Tous les messages ICMP sont utiles (mais pas nécessairement indispensables)
aux opérations de réseau, mais les hackers peuvent également les exploiter presque
tous. Voici quelques suggestions pour vous aider à  filtrer les massages ICMP.





N’autorisez les messages Echo et Echo reply que si vous désirez supporter la
fonction ping, ce que ne font pas de nombreux sites, car elle permet les attaques
Smurf. L’implémentation de Microsoft de traceroute (tracert) utilise également
les messages Echo et Echo reply.



Autorisez les messages Destination Unreachable et Network Unreachable, tant
entrants que sortant, ainsi que les messages entrants Port Unreachable. Les
messages sortant Port Unreachable sont plus problématiques. Si vous activez
cette option, vous risquez qu’un hacker utilise un scanner UDP contre votre
réseau. En revanche, la désactivation de Port Unreachable signifie que les connexions
clients entrantes vers un port non valide seront déconnectés par un time out
et non immédiatement. Généralement, on choisit de bloquer cette option, mais
il faut connaître les inconvénients de ce choix et prendre la décision en fonction
de son propre besoin. On peut ainsi souhaiter autoriser certains messages entrants
et sortant, mais vous devez savoir qu’ils peuvent servir dans le cadre d’une
attaque. Il est fortement conseillé de bloquer les messages Redirect, Router,
Advertisement et Router Selection.



Autorisez les messages Timestamp et Timestamp Reply, may comprennez bien qu’un
hacker compétent peut les utiliser pour prédire les valeurs de compteurs quasi
aléatoires tels que ceux qui déterminent la séquence initiale des connexions
TCP.Si un hacker peut deviner le numéro de séquence initial, vous devenez susceptibles
d’être attaqués.



Il vous faut probablement permettre les messages Time Exceed (signalant que
la durée de vie du paquet a expirée) et Parameter Problem, tant entrants que
sortants. N’autorisez les messages Traceroute que si vous voulez explicitement
autoriser les utilisateurs externes à  suivre le chemin des messages.



Sachez qu’ICMP définit des types et sous-types de messages. Part exemple, le
type de message 3 d’ICMP est Destination Unreachable. Ce message a plusieurs
sous-types précisés par un code : code=0 pour Network Unreachable, code=1 signifie
Hosgt Unreachable et code=3 veut dire Port Unreachable. Assurez-vous bien que
votre firewall permet la finesse nécessaire à  la mise en oeuvre aux besoins de
votre politique de sécurité. La liste des messages ICMP recensés par la IANA
peut être consultée sur le site http://www.isi.edu/in-notes/iana/assignments/icmp-parameters.