El Internet Control Message Protocol (ICMP) ist ein Netzwerkschichtprotokoll, das zum Senden von Kontroll- und Fehlermeldungen zwischen Geräten in einem Netzwerk verwendet wird.
ICMP ist ein wichtiges Protokoll für das Funktionieren des Internets und wird für verschiedene Zwecke verwendet, darunter:
Am Ende des Artikels finden Sie eine kleine Test das wird dir erlauben beurteilen das in dieser Lektüre erworbene Wissen
Fehlererkennung
ICMP dient zur Erkennung von Fehlern bei der Datenübertragung. Wenn beispielsweise ein IP-Paket verloren geht oder beschädigt ist, kann der Absender eine ICMP-Nachricht an den Empfänger senden, um ihn über den Fehler zu informieren.
Netzwerkdiagnose
ICMP wird zur Diagnose von Netzwerkproblemen verwendet. Sie können beispielsweise mit dem Befehl „ping“ eine ICMP-Nachricht an ein Remote-Gerät senden, um zu prüfen, ob es verfügbar ist.
Netzwerkmanagement
ICMP wird für die Netzwerkverwaltung verwendet. Es kann beispielsweise zum Versenden von Statusbenachrichtigungen oder zum Konfigurieren von Netzwerkgeräten verwendet werden.
ICMP basiert auf dem IP-Protokoll und verwendet dieselben Header wie IP. Der ICMP-Header verfügt über ein Typfeld, das den Typ der ICMP-Nachricht identifiziert.
Arten von Nachrichten
Es gibt viele verschiedene Arten von ICMP-Nachrichten, die jeweils einem anderen Zweck dienen. Zu den häufigsten ICMP-Nachrichtentypen gehören:
Echo-Anfrage/Antwort
Diese Nachrichten werden verwendet, um die Verfügbarkeit eines Remote-Geräts zu überprüfen.
Ziel unerreichbar
Diese Nachrichten werden verwendet, um den Absender darüber zu informieren, dass ein IP-Paket nicht an das Ziel zugestellt werden konnte.
Zeit überschritten
Diese Nachrichten werden verwendet, um den Absender darüber zu informieren, dass ein IP-Paket zu lange gebraucht hat, um sein Ziel zu erreichen.
ICMP ist ein wichtiges Protokoll für das Funktionieren des Internets. Wenn Sie das Konzept von ICMP verstehen, können Sie dazu beitragen, dass Ihr Netzwerk sicher und funktionsfähig bleibt.
ICMP-Filter
Ein ICMP-Filter in der MikroTik RouterOS-Firewall ist aus mehreren Gründen wichtig, darunter:
- Sicherheit: ICMP-Nachrichten können zur Durchführung von Cyberangriffen wie DoS-Angriffen (Denial of Service), Ping-Flood-Angriffen und Traceroute-Angriffen verwendet werden. ICMP-Filter können dabei helfen, diesen bösartigen Datenverkehr zu blockieren.
- Performance: Unnötiger ICMP-Verkehr kann das Netzwerk überlasten und die Leistung beeinträchtigen. ICMP-Filterung kann dazu beitragen, diesen unnötigen Datenverkehr zu reduzieren.
- Datenschutz: Mithilfe von ICMP-Nachrichten können Sie Informationen über Ihr Netzwerk sammeln, beispielsweise die Topologie Ihres Netzwerks und die Verfügbarkeit Ihrer Geräte. ICMP-Filterung kann zum Schutz Ihrer Privatsphäre beitragen.
Hier sind einige konkrete Beispiele dafür, wie ein ICMP-Filter in MikroTik RouterOS Ihnen beim Schutz Ihres Netzwerks helfen kann:
- Es kann Echo-Angriffe (Ping-Flood) blockieren, die dazu dienen, Ihr Netzwerk mit ICMP-Nachrichten zu überlasten.
- Sie können Traceroute-Angriffe blockieren, die dazu dienen, Informationen über Ihr Netzwerk zu sammeln.
- Sie können unnötige ICMP-Nachrichten blockieren, z. B. Echo-Rückmeldungen, die Ihr Netzwerk überlasten können.
Es ist wichtig, den ICMP-Filter entsprechend zu konfigurieren, damit er legitimen Datenverkehr nicht blockiert. Sie sollten Ihre spezifischen Anforderungen und die Sicherheitsrisiken berücksichtigen, denen Ihr Netzwerk ausgesetzt ist.
Tipps zum Konfigurieren des ICMP-Filters in MikroTik RouterOS
- Beginnen Sie mit einer einfachen Konfiguration und fügen Sie dann nach Bedarf weitere Regeln hinzu.
- Verwenden Sie Tags, um Ihre ICMP-Filterregeln zu organisieren.
- Verwenden Sie den erweiterten Filtermodus, um mehr Kontrolle darüber zu erhalten, welcher ICMP-Verkehr zugelassen oder blockiert wird.
Auf MikroTik-Routern mit RouterOS können Sie ICMP-bezogene Einstellungen (Internet Control Message Protocol) verwalten, einschließlich Ping-Einstellungen und anderer verwandter Funktionen.
Arten von ICMP-Nachrichten
ICMPv4-Nachricht | Quelle vom Gerät | Durch Gerät | Für Gerät bestimmt |
ICMPv4-unreach-net | Bewertungslimit | Bewertungslimit | Bewertungslimit |
ICMPv4-unreach-host | Bewertungslimit | Bewertungslimit | Bewertungslimit |
ICMPv4-unreach-proto | Bewertungslimit | Ablehnen | Bewertungslimit |
ICMPv4-unreach-port | Bewertungslimit | Ablehnen | Bewertungslimit |
ICMPv4-unreach-frag-needed | Absenden | Permit | Bewertungslimit |
ICMPv4-unreach-src-route | Bewertungslimit | Ablehnen | Bewertungslimit |
ICMPv4-unreach-net-unknown (Depr) | Ablehnen | Ablehnen | Ablehnen |
ICMPv4-unreach-host-unknown | Bewertungslimit | Ablehnen | Ignore |
ICMPv4-unreach-host-isolated (Depr) | Ablehnen | Ablehnen | Ablehnen |
ICMPv4-unreach-net-tos | Bewertungslimit | Ablehnen | Bewertungslimit |
ICMPv4-unreach-host-tos | Bewertungslimit | Ablehnen | Bewertungslimit |
ICMPv4-unreach-admin | Bewertungslimit | Bewertungslimit | Bewertungslimit |
ICMPv4-unreach-prec-Verletzung | Bewertungslimit | Ablehnen | Bewertungslimit |
ICMPv4-unreach-prec-cutoff | Bewertungslimit | Ablehnen | Bewertungslimit |
ICMPv4-löschen | Ablehnen | Ablehnen | Ablehnen |
ICMPv4-redirect-net | Bewertungslimit | Ablehnen | Bewertungslimit |
ICMPv4-Redirect-Host | Bewertungslimit | Ablehnen | Bewertungslimit |
ICMPv4-redirect-tos-net | Bewertungslimit | Ablehnen | Bewertungslimit |
ICMPv4-Redirect-tos-Host | Bewertungslimit | Permit | Bewertungslimit |
ICMPv4-timed-ttl | Bewertungslimit | Permit | Bewertungslimit |
ICMPv4-timed-reass | Bewertungslimit | Permit | Bewertungslimit |
ICMPv4-Parameterzeiger | Bewertungslimit | Ablehnen | Bewertungslimit |
ICMPv4-Option fehlt | Bewertungslimit | Ablehnen | Bewertungslimit |
ICMPv4-req-echo-message | Bewertungslimit | Permit | Bewertungslimit |
ICMPv4-req-echo-reply | Bewertungslimit | Permit | Bewertungslimit |
ICMPv4-req-router-sol | Bewertungslimit | Ablehnen | Bewertungslimit |
ICMPv4-req-router-adv | Bewertungslimit | Ablehnen | Bewertungslimit |
ICMPv4-req-timestamp-message | Bewertungslimit | Ablehnen | Bewertungslimit |
ICMPv4-req-timestamp-reply | Bewertungslimit | Ablehnen | Bewertungslimit |
ICMPv4-Info-Message (Depr) | Ablehnen | Ablehnen | Ablehnen |
ICMPv4-Info-Antwort (Depr) | Ablehnen | Ablehnen | Ablehnen |
ICMPv4-Maskenanfrage | Bewertungslimit | Ablehnen | Bewertungslimit |
ICMPv4-Maskenantwort | Bewertungslimit | Ablehnen | Bewertungslimit |
Beispiele für ICMP-Filter?
Die folgenden ICMP-Regeln sind die Arten von Nachrichten, die grundsätzlich immer verfügbar sein sollten:
/ip firewall filter
add action=jump chain=forward jump-target=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"
Dies sind nur Beispiele und es ist wichtig, die Konfiguration an Ihre spezifischen Bedürfnisse und Netzwerktopologie anzupassen.
Denken Sie daran, bei der Begrenzung des ICMP-Verkehrs vorsichtig zu sein, da dies die Diagnosefähigkeiten des Netzwerks beeinträchtigen kann.
Testen und validieren Sie alle Änderungen unbedingt in einer Testumgebung, bevor Sie sie in einer Produktionsumgebung bereitstellen.
Kurzes Wissensquiz
Was halten Sie von diesem Artikel?
Trauen Sie sich, Ihr erlerntes Wissen zu bewerten?
Empfohlenes Buch für diesen Artikel
RouterOS v7 Advanced Security Book
Lernmaterial für den MTCSE-Zertifizierungskurs, aktualisiert auf RouterOS v7
In Verbindung stehende Artikel
- MikroTik IPSec: Wählen Sie zwischen Tunnelmodus und Transportmodus für VPN
- Zwischen Stateful und Stateless: Die MikroTik-Firewall meistern
- So blockieren Sie HTTPS-Sites effektiv mit MikroTik TLS Host
- MikroTik und drahtlose Authentifizierung: Grundlegendes zu „Gemeinsamen Schlüssel zulassen“
- HSRP, VRRP, GLBP: Grundlegende Protokolle für Netzwerkredundanz