El protocol de missatges de control d'Internet (ICMP) és un protocol de capa de xarxa que s'utilitza per enviar missatges de control i error entre dispositius a una xarxa.
ICMP és un protocol important per al funcionament dInternet i sutilitza per a una varietat de propòsits, que inclouen:
Al final de l'article trobareu un petit prova que et permetrà avaluar els coneixements adquirits en aquesta lectura
Detecció d'errors
ICMP sutilitza per detectar errors en la transmissió de dades. Per exemple, si un paquet IP es perd o es corromp, el remitent pot enviar un missatge ICMP al destinatari per informar-lo de l'error.
Diagnòstic de xarxa
ICMP sutilitza per diagnosticar problemes de xarxa. Per exemple, podeu utilitzar l'ordre “ping” per enviar un missatge ICMP a un dispositiu remot per verificar si està disponible.
Gestió de xarxa
ICMP sutilitza per a la gestió de xarxes. Per exemple, es pot utilitzar per enviar notificacions d'estat o per configurar dispositius de xarxa.
ICMP es basa en el protocol IP i utilitza les mateixes capçaleres que IP. La capçalera ICMP té un camp de tipus que identifica el tipus de missatge ICMP.
Tipus de missatges
Hi ha molts tipus diferents de missatges ICMP, cadascun amb un propòsit diferent. Alguns dels tipus de missatges ICMP més comuns inclouen:
Echo request/reply
Aquests missatges es fan servir per verificar la disponibilitat d'un dispositiu remot.
Destination unreachable
Aquests missatges s'utilitzen per informar el remitent que un paquet IP no s'ha pogut lliurar a la destinació.
Time exceeded
Aquests missatges s'utilitzen per informar el remitent que un paquet IP va trigar massa a arribar a la destinació.
ICMP és un protocol important per al funcionament dInternet. En comprendre el concepte d'ICMP, podeu ajudar a mantenir la vostra xarxa segura i funcional.
Filtre ICMP
Tenir un filtre ICMP al tallafoc MikroTik RouterOS és important per diverses raons, entre elles:
- seguretat: Els missatges ICMP poden utilitzar-se per realitzar atacs cibernètics, com ara atacs de denegació de servei (DoS), atacs de ressò (ping flood) i atacs de rastreig (traceroute). El filtratge ICMP pot ajudar a bloquejar aquest trànsit maliciós.
- rendiment: El trànsit ICMP innecessari pot sobrecarregar la xarxa i reduir-ne el rendiment. El filtratge ICMP pot ajudar a reduir aquest trànsit innecessari.
- privadesa: Els missatges ICMP es poden utilitzar per recopilar informació sobre la vostra xarxa, com ara la topologia de la vostra xarxa i la disponibilitat dels dispositius. El filtratge ICMP pot ajudar a protegir la vostra privadesa.
Aquí hi ha alguns exemples específics de com un filtre ICMP a MikroTik RouterOS pot ajudar-lo a protegir la xarxa:
- Podeu bloquejar els atacs de ressò (ping flood) que s'utilitzen per sobrecarregar la vostra xarxa amb missatges ICMP.
- Podeu bloquejar els atacs de traça (traceroute) que s'utilitzen per recopilar informació sobre la vostra xarxa.
- Podeu bloquejar els missatges ICMP innecessaris, com els missatges de ressò de retorn, que poden sobrecarregar la vostra xarxa.
És important configurar el filtre ICMP de manera adequada perquè no bloquegi el trànsit legítim. Heu de considerar les vostres necessitats específiques i els riscos de seguretat a què està exposat la vostra xarxa.
Consells per configurar el filtre ICMP a MikroTik RouterOS
- Comenceu amb una configuració simple i després afegiu regles addicionals segons calgui.
- Utilitzeu etiquetes per organitzar les regles de filtre ICMP.
- Utilitzeu el mode de filtratge avançat per obtenir més control sobre el trànsit ICMP que es permet o bloqueja.
Als routers MikroTik amb RouterOS, pots gestionar la configuració relacionada amb ICMP (Internet Control Message Protocol), que inclou configuració de ping i altres funcions relacionades.
Tipus de Missatges ICMP
ICMPv4 Message | Source from Device | Through Device | Destined to Device |
ICMPv4-unreach-net | Límit de tarifa | Límit de tarifa | Límit de tarifa |
ICMPv4-unreach-host | Límit de tarifa | Límit de tarifa | Límit de tarifa |
ICMPv4-unreach-proto | Límit de tarifa | Negar | Límit de tarifa |
ICMPv4-unreach-port | Límit de tarifa | Negar | Límit de tarifa |
ICMPv4-unreach-frag-needed | enviar | permís | Límit de tarifa |
ICMPv4-unreach-src-route | Límit de tarifa | Negar | Límit de tarifa |
ICMPv4-unreach-net-unknown (Depr) | Negar | Negar | Negar |
ICMPv4-unreach-host-unknown | Límit de tarifa | Negar | Ignore |
ICMPv4-unreach-host-isolated (Depr) | Negar | Negar | Negar |
ICMPv4-unreach-net-tos | Límit de tarifa | Negar | Rate-Limit |
ICMPv4-unreach-host-tos | Límit de tarifa | Negar | Límit de tarifa |
ICMPv4-unreach-admin | Límit de tarifa | Límit de tarifa | Límit de tarifa |
ICMPv4-unreach-prec-violation | Límit de tarifa | Negar | Límit de tarifa |
ICMPv4-unreach-prec-cutoff | Límit de tarifa | Negar | Límit de tarifa |
ICMPv4-quench | Negar | Negar | Negar |
ICMPv4-redirect-net | Límit de tarifa | Negar | Límit de tarifa |
ICMPv4-redirect-host | Límit de tarifa | Negar | Límit de tarifa |
ICMPv4-redirect-tos-net | Límit de tarifa | Negar | Límit de tarifa |
ICMPv4-redirect-tos-host | Límit de tarifa | permís | Límit de tarifa |
ICMPv4-timed-ttl | Límit de tarifa | permís | Límit de tarifa |
ICMPv4-timed-reass | Límit de tarifa | permís | Límit de tarifa |
ICMPv4-parameter-pointer | Límit de tarifa | Negar | Límit de tarifa |
ICMPv4-option-missing | Límit de tarifa | Negar | Límit de tarifa |
ICMPv4-req-echo-message | Límit de tarifa | permís | Límit de tarifa |
ICMPv4-req-echo-reply | Límit de tarifa | permís | Límit de tarifa |
ICMPv4-req-router-sol | Límit de tarifa | Negar | Límit de tarifa |
ICMPv4-req-router-adv | Límit de tarifa | Negar | Límit de tarifa |
ICMPv4-req-timestamp-message | Límit de tarifa | Negar | Límit de tarifa |
ICMPv4-req-timestamp-reply | Límit de tarifa | Negar | Límit de tarifa |
ICMPv4-info-messsage (Depr) | Negar | Negar | Negar |
ICMPv4-info-reply (Depr) | Negar | Negar | Negar |
ICMPv4-mask-request | Límit de tarifa | Negar | Límit de tarifa |
ICMPv4-mask-reply | Límit de tarifa | Negar | Límit de tarifa |
Exemples de filtres ICMP?
Les regles d'ICMP següents són els tipus de missatges que en general haurien d'estar sempre disponibles:
/ip firewall filter
add action=jump chain=forward jump-target=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"
Aquests són només exemples i és important adaptar la configuració segons les necessitats específiques i la topologia de xarxa.
Recordeu anar amb compte en limitar el trànsit ICMP, ja que pot afectar la capacitat de diagnòstic de la xarxa.
Assegureu-vos de provar i validar qualsevol canvi en un entorn de prova abans d'implementar-lo en un entorn de producció.
Breu qüestionari de coneixements
Què et va semblar aquest article?
T'atreveixes a avaluar els teus coneixements apresos?
Llibre recomanat per a aquest article
Llibre Seguretat Avançada RouterOS v7
Material d'estudi per al Curs de Certificació MTCSE, actualitzat a RouterOS v7
articles Relacionats
- MikroTik IPSec: Triar entre Mode Túnel i Mode Transport per a VPN
- Entre Stateful i Stateless: Dominant el Firewall de MikroTik
- Com Bloquejar Llocs HTTPS Eficaçment amb MikroTik TLS Host
- MikroTik i l'Autenticació Wireless: Entenent 'Allow Shared Key'
- HSRP, VRRP, GLBP: Entenent els Protocols Clau per a la Redundància a Xarxes