Φίλτρο ICMP σε ένα τείχος προστασίας MikroTik

Κέβιν Μοράν
Δεκέμβριος 14, 2023
9: 00 π.μ.
Δεν υπάρχουν σχόλια

El Πρωτόκολλο μηνυμάτων ελέγχου Διαδικτύου (ICMP) είναι ένα πρωτόκολλο επιπέδου δικτύου που χρησιμοποιείται για την αποστολή μηνυμάτων ελέγχου και σφαλμάτων μεταξύ συσκευών σε ένα δίκτυο.

Το ICMP είναι ένα σημαντικό πρωτόκολλο για τη λειτουργία του Διαδικτύου και χρησιμοποιείται για διάφορους σκοπούς, όπως:

Στο τέλος του άρθρου θα βρείτε ένα μικρό δοκιμή που θα σας επιτρέψει αξιολογήσει τις γνώσεις που αποκτήθηκαν σε αυτή την ανάγνωση

Μεταβείτε στο Test

εντοπισμός σφαλμάτων

Το ICMP χρησιμοποιείται για τον εντοπισμό σφαλμάτων στη μετάδοση δεδομένων. Για παράδειγμα, εάν ένα πακέτο IP χαθεί ή καταστραφεί, ο αποστολέας μπορεί να στείλει ένα μήνυμα ICMP στον παραλήπτη για να τον ενημερώσει για το σφάλμα.

Διαγνωστικά δικτύου

Το ICMP χρησιμοποιείται για τη διάγνωση προβλημάτων δικτύου. Για παράδειγμα, μπορείτε να χρησιμοποιήσετε την εντολή "ping" για να στείλετε ένα μήνυμα ICMP σε μια απομακρυσμένη συσκευή για να ελέγξετε εάν είναι διαθέσιμο.

Διαχείριση δικτύου

Το ICMP χρησιμοποιείται για τη διαχείριση δικτύου. Για παράδειγμα, μπορεί να χρησιμοποιηθεί για την αποστολή ειδοποιήσεων κατάστασης ή για τη διαμόρφωση συσκευών δικτύου.

Το ICMP βασίζεται στο πρωτόκολλο IP και χρησιμοποιεί τις ίδιες κεφαλίδες με το IP. Η κεφαλίδα ICMP έχει ένα πεδίο τύπου που προσδιορίζει τον τύπο του μηνύματος ICMP.

Τύποι μηνυμάτων

Υπάρχουν πολλοί διαφορετικοί τύποι μηνυμάτων ICMP, το καθένα εξυπηρετεί διαφορετικό σκοπό. Μερικοί από τους πιο συνηθισμένους τύπους μηνυμάτων ICMP περιλαμβάνουν:

Αίτημα/απάντηση ηχούς

Αυτά τα μηνύματα χρησιμοποιούνται για την επαλήθευση της διαθεσιμότητας μιας απομακρυσμένης συσκευής.

Ο προορισμός δεν είναι προσβάσιμος

Αυτά τα μηνύματα χρησιμοποιούνται για να ενημερώσουν τον αποστολέα ότι ένα πακέτο IP δεν μπορούσε να παραδοθεί στον προορισμό.

Υπέρβαση χρόνου

Αυτά τα μηνύματα χρησιμοποιούνται για να ενημερώσουν τον αποστολέα ότι ένα πακέτο IP άργησε να φτάσει στον προορισμό του.

Το ICMP είναι ένα σημαντικό πρωτόκολλο για τη λειτουργία του Διαδικτύου. Κατανοώντας την έννοια του ICMP, μπορείτε να βοηθήσετε να διατηρήσετε το δίκτυό σας ασφαλές και λειτουργικό.

Φίλτρο ICMP

Η ύπαρξη ενός φίλτρου ICMP στο τείχος προστασίας MikroTik RouterOS είναι σημαντική για διάφορους λόγους, όπως:

Seguridad: Τα μηνύματα ICMP μπορούν να χρησιμοποιηθούν για τη διεξαγωγή επιθέσεων στον κυβερνοχώρο, όπως επιθέσεις άρνησης υπηρεσίας (DoS), επιθέσεις ping flood και επιθέσεις εντοπισμού. Το φιλτράρισμα ICMP μπορεί να βοηθήσει στον αποκλεισμό αυτής της κακόβουλης κυκλοφορίας.
Rendimiento: Η περιττή κίνηση ICMP μπορεί να υπερφορτώσει το δίκτυο και να μειώσει την απόδοση. Το φιλτράρισμα ICMP μπορεί να βοηθήσει στη μείωση αυτής της περιττής κίνησης.
Απορρήτου: Τα μηνύματα ICMP μπορούν να χρησιμοποιηθούν για τη συλλογή πληροφοριών σχετικά με το δίκτυό σας, όπως η τοπολογία του δικτύου σας και η διαθεσιμότητα των συσκευών σας. Το φιλτράρισμα ICMP μπορεί να βοηθήσει στην προστασία του απορρήτου σας.

Ακολουθούν ορισμένα συγκεκριμένα παραδείγματα για το πώς ένα φίλτρο ICMP στο MikroTik RouterOS μπορεί να σας βοηθήσει να προστατεύσετε το δίκτυό σας:

Μπορεί να αποκλείσει επιθέσεις echo (ping flood) που χρησιμοποιούνται για την υπερφόρτωση του δικτύου σας με μηνύματα ICMP.
Μπορείτε να αποκλείσετε επιθέσεις traceroute που χρησιμοποιούνται για τη συλλογή πληροφοριών σχετικά με το δίκτυό σας.
Μπορείτε να αποκλείσετε περιττά μηνύματα ICMP, όπως μηνύματα ηχούς επιστροφής, που μπορεί να υπερφορτώσουν το δίκτυό σας.

Είναι σημαντικό να διαμορφώσετε κατάλληλα το φίλτρο ICMP, ώστε να μην εμποδίζει τη νόμιμη κυκλοφορία. Θα πρέπει να λάβετε υπόψη τις συγκεκριμένες ανάγκες σας και τους κινδύνους ασφαλείας στους οποίους εκτίθεται το δίκτυό σας.

Συμβουλές για τη διαμόρφωση του φίλτρου ICMP στο MikroTik RouterOS

Ξεκινήστε με μια απλή διαμόρφωση και, στη συνέχεια, προσθέστε πρόσθετους κανόνες όπως απαιτείται.
Χρησιμοποιήστε ετικέτες για να οργανώσετε τους κανόνες φίλτρου ICMP.
Χρησιμοποιήστε τη λειτουργία προηγμένου φιλτραρίσματος για να αποκτήσετε περισσότερο έλεγχο σχετικά με το ποια κίνηση ICMP επιτρέπεται ή αποκλειστεί.

Στους δρομολογητές MikroTik με RouterOS, μπορείτε να διαχειριστείτε ρυθμίσεις σχετικές με το ICMP (Internet Control Message Protocol), συμπεριλαμβανομένων των ρυθμίσεων ping και άλλων σχετικών λειτουργιών.

Τύποι μηνυμάτων ICMP

Μήνυμα ICMPv4	Πηγή από τη συσκευή	Μέσω Συσκευής	Προορίζεται για Συσκευή
ICMPv4-unreach-net	Όριο ποσοστού	Όριο ποσοστού	Όριο ποσοστού
ICMPv4-unreach-host	Όριο ποσοστού	Όριο ποσοστού	Όριο ποσοστού
ICMPv4-unreach-proto	Όριο ποσοστού	Δεν Αποδέχομαι	Όριο ποσοστού
ICMPv4-unreach-port	Όριο ποσοστού	Δεν Αποδέχομαι	Όριο ποσοστού
ICMPv4-unreach-frag-needed	Αποστολή	Άδεια	Όριο ποσοστού
ICMPv4-unreach-src-route	Όριο ποσοστού	Δεν Αποδέχομαι	Όριο ποσοστού
ICMPv4-unreach-net-unknown (Depr)	Δεν Αποδέχομαι	Δεν Αποδέχομαι	Δεν Αποδέχομαι
ICMPv4-unreach-host-unknown	Όριο ποσοστού	Δεν Αποδέχομαι	αγνοήσει
ICMPv4-unreach-host-Isolated (Depr)	Δεν Αποδέχομαι	Δεν Αποδέχομαι	Δεν Αποδέχομαι
ICMPv4-unreach-net-tos	Όριο ποσοστού	Δεν Αποδέχομαι	Ποσοστό-Όριο
ICMPv4-unreach-host-tos	Όριο ποσοστού	Δεν Αποδέχομαι	Όριο ποσοστού
ICMPv4-unreach-admin	Όριο ποσοστού	Όριο ποσοστού	Όριο ποσοστού
ICMPv4-unreach-prec-violation	Όριο ποσοστού	Δεν Αποδέχομαι	Όριο ποσοστού
ICMPv4-unreach-prec-cutoff	Όριο ποσοστού	Δεν Αποδέχομαι	Όριο ποσοστού
ICMPv4-σβήσιμο	Δεν Αποδέχομαι	Δεν Αποδέχομαι	Δεν Αποδέχομαι
ICMPv4-redirect-net	Όριο ποσοστού	Δεν Αποδέχομαι	Όριο ποσοστού
ICMPv4-redirect-host	Όριο ποσοστού	Δεν Αποδέχομαι	Όριο ποσοστού
ICMPv4-redirect-tos-net	Όριο ποσοστού	Δεν Αποδέχομαι	Όριο ποσοστού
ICMPv4-redirect-tos-host	Όριο ποσοστού	Άδεια	Όριο ποσοστού
ICMPv4-timed-ttl	Όριο ποσοστού	Άδεια	Όριο ποσοστού
ICMPv4-timed-reass	Όριο ποσοστού	Άδεια	Όριο ποσοστού
ICMPv4-παράμετρος-δείκτης	Όριο ποσοστού	Δεν Αποδέχομαι	Όριο ποσοστού
Λείπει η επιλογή ICMPv4	Όριο ποσοστού	Δεν Αποδέχομαι	Όριο ποσοστού
ICMPv4-req-echo-message	Όριο ποσοστού	Άδεια	Όριο ποσοστού
ICMPv4-req-echo-reply	Όριο ποσοστού	Άδεια	Όριο ποσοστού
ICMPv4-req-router-sol	Όριο ποσοστού	Δεν Αποδέχομαι	Όριο ποσοστού
ICMPv4-req-router-adv	Όριο ποσοστού	Δεν Αποδέχομαι	Όριο ποσοστού
ICMPv4-req-timestamp-message	Όριο ποσοστού	Δεν Αποδέχομαι	Όριο ποσοστού
ICMPv4-req-timestamp-απάντηση	Όριο ποσοστού	Δεν Αποδέχομαι	Όριο ποσοστού
ICMPv4-info-message (Depr)	Δεν Αποδέχομαι	Δεν Αποδέχομαι	Δεν Αποδέχομαι
ICMPv4-info-reply (Depr)	Δεν Αποδέχομαι	Δεν Αποδέχομαι	Δεν Αποδέχομαι
ICMPv4-μάσκα-αίτημα	Όριο ποσοστού	Δεν Αποδέχομαι	Όριο ποσοστού
ICMPv4-μάσκα-απάντηση	Όριο ποσοστού	Δεν Αποδέχομαι	Όριο ποσοστού

Παραδείγματα φίλτρων ICMP;

Οι ακόλουθοι κανόνες ICMP είναι οι τύποι μηνυμάτων που γενικά θα πρέπει να είναι πάντα διαθέσιμοι:

				
					/ip firewall filter
add action=jump chain=forward jump-target=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"

Αυτά είναι απλώς παραδείγματα και είναι σημαντικό να προσαρμόσετε τη διαμόρφωση σύμφωνα με τις συγκεκριμένες ανάγκες και την τοπολογία του δικτύου σας.

Θυμηθείτε να είστε προσεκτικοί όταν περιορίζετε την κυκλοφορία ICMP, καθώς μπορεί να επηρεάσει τις διαγνωστικές δυνατότητες του δικτύου.

Βεβαιωθείτε ότι έχετε ελέγξει και επικυρώσει τυχόν αλλαγές σε περιβάλλον δοκιμής πριν τις αναπτύξετε σε περιβάλλον παραγωγής.