cyber deal
Libro Seguridad Avanzada RouterOS v7
Material de estudio para el Curso de Certificación MTCSE, actualizado a RouterOS v7
$19,97
Añadir al carrito
Filtro ICMP en un Firewall MikroTik
- Kevin Morán
- No hay comentarios
- Comparte este artículo
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
El protocolo de mensajes de control de Internet (ICMP) es un protocolo de capa de red que se utiliza para enviar mensajes de control y error entre dispositivos en una red.
ICMP es un protocolo importante para el funcionamiento de Internet y se utiliza para una variedad de propósitos, que incluyen:
Detección de errores
ICMP se utiliza para detectar errores en la transmisión de datos. Por ejemplo, si un paquete IP se pierde o se corrompe, el remitente puede enviar un mensaje ICMP al destinatario para informarle del error.
Diagnóstico de red
ICMP se utiliza para diagnosticar problemas de red. Por ejemplo, puede utilizar el comando “ping” para enviar un mensaje ICMP a un dispositivo remoto para verificar si está disponible.
Gestión de red
ICMP se utiliza para la gestión de redes. Por ejemplo, se puede utilizar para enviar notificaciones de estado o para configurar dispositivos de red.
ICMP se basa en el protocolo IP y utiliza los mismos encabezados que IP. El encabezado ICMP tiene un campo de tipo que identifica el tipo de mensaje ICMP.
Tipos de mensajes
Hay muchos tipos diferentes de mensajes ICMP, cada uno con un propósito diferente. Algunos de los tipos de mensajes ICMP más comunes incluyen:
Echo request/reply
Estos mensajes se utilizan para verificar la disponibilidad de un dispositivo remoto.
Destination unreachable
Estos mensajes se utilizan para informar al remitente de que un paquete IP no se pudo entregar al destino.
Time exceeded
Estos mensajes se utilizan para informar al remitente de que un paquete IP tardó demasiado en llegar a su destino.
ICMP es un protocolo importante para el funcionamiento de Internet. Al comprender el concepto de ICMP, puede ayudar a mantener su red segura y funcional.
Filtro ICMP
Tener un filtro ICMP en el firewall MikroTik RouterOS es importante por varias razones, entre ellas:
- Seguridad: Los mensajes ICMP pueden utilizarse para realizar ataques cibernéticos, como ataques de denegación de servicio (DoS), ataques de eco (ping flood) y ataques de rastreo (traceroute). El filtrado ICMP puede ayudar a bloquear este tráfico malicioso.
- Rendimiento: El tráfico ICMP innecesario puede sobrecargar la red y reducir el rendimiento. El filtrado ICMP puede ayudar a reducir este tráfico innecesario.
- Privacidad: Los mensajes ICMP pueden utilizarse para recopilar información sobre su red, como la topología de su red y la disponibilidad de sus dispositivos. El filtrado ICMP puede ayudar a proteger su privacidad.
Aquí hay algunos ejemplos específicos de cómo un filtro ICMP en MikroTik RouterOS puede ayudarlo a proteger su red:
- Puede bloquear los ataques de eco (ping flood) que se utilizan para sobrecargar su red con mensajes ICMP.
- Puede bloquear los ataques de rastreo (traceroute) que se utilizan para recopilar información sobre su red.
- Puede bloquear los mensajes ICMP innecesarios, como los mensajes de eco de retorno, que pueden sobrecargar su red.
Es importante configurar el filtro ICMP de manera adecuada para que no bloquee el tráfico legítimo. Debe considerar sus necesidades específicas y los riesgos de seguridad a los que está expuesto su red.
Consejos para configurar el filtro ICMP en MikroTik RouterOS
- Comience con una configuración simple y luego agregue reglas adicionales según sea necesario.
- Use etiquetas para organizar sus reglas de filtro ICMP.
- Use el modo de filtrado avanzado para obtener más control sobre el tráfico ICMP que se permite o bloquea.
En los routers MikroTik con RouterOS, puedes gestionar la configuración relacionada con ICMP (Internet Control Message Protocol), que incluye configuración de ping y otras funciones relacionadas.
Tipos de Mensajes ICMP
ICMPv4 Message | Source from Device | Through Device | Destined to Device |
ICMPv4-unreach-net | Rate Limit | Rate Limit | Rate Limit |
ICMPv4-unreach-host | Rate Limit | Rate Limit | Rate Limit |
ICMPv4-unreach-proto | Rate Limit | Deny | Rate Limit |
ICMPv4-unreach-port | Rate Limit | Deny | Rate Limit |
ICMPv4-unreach-frag-needed | Send | Permit | Rate Limit |
ICMPv4-unreach-src-route | Rate Limit | Deny | Rate Limit |
ICMPv4-unreach-net-unknown (Depr) | Deny | Deny | Deny |
ICMPv4-unreach-host-unknown | Rate Limit | Deny | Ignore |
ICMPv4-unreach-host-isolated (Depr) | Deny | Deny | Deny |
ICMPv4-unreach-net-tos | Rate Limit | Deny | Rate-Limit |
ICMPv4-unreach-host-tos | Rate Limit | Deny | Rate Limit |
ICMPv4-unreach-admin | Rate Limit | Rate Limit | Rate Limit |
ICMPv4-unreach-prec-violation | Rate Limit | Deny | Rate Limit |
ICMPv4-unreach-prec-cutoff | Rate Limit | Deny | Rate Limit |
ICMPv4-quench | Deny | Deny | Deny |
ICMPv4-redirect-net | Rate Limit | Deny | Rate Limit |
ICMPv4-redirect-host | Rate Limit | Deny | Rate Limit |
ICMPv4-redirect-tos-net | Rate Limit | Deny | Rate Limit |
ICMPv4-redirect-tos-host | Rate Limit | Permit | Rate Limit |
ICMPv4-timed-ttl | Rate Limit | Permit | Rate Limit |
ICMPv4-timed-reass | Rate Limit | Permit | Rate Limit |
ICMPv4-parameter-pointer | Rate Limit | Deny | Rate Limit |
ICMPv4-option-missing | Rate Limit | Deny | Rate Limit |
ICMPv4-req-echo-message | Rate Limit | Permit | Rate Limit |
ICMPv4-req-echo-reply | Rate Limit | Permit | Rate Limit |
ICMPv4-req-router-sol | Rate Limit | Deny | Rate Limit |
ICMPv4-req-router-adv | Rate Limit | Deny | Rate Limit |
ICMPv4-req-timestamp-message | Rate Limit | Deny | Rate Limit |
ICMPv4-req-timestamp-reply | Rate Limit | Deny | Rate Limit |
ICMPv4-info-messsage (Depr) | Deny | Deny | Deny |
ICMPv4-info-reply (Depr) | Deny | Deny | Deny |
ICMPv4-mask-request | Rate Limit | Deny | Rate Limit |
ICMPv4-mask-reply | Rate Limit | Deny | Rate Limit |
¿Ejemplos de filtros ICMP?
Las siguientes reglas de ICMP son los tipos de mensajes que por lo general deberían estar siempre disponibles:
/ip firewall filter
add action=jump chain=forward jump-target=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"
Estos son solo ejemplos y es importante adaptar la configuración según tus necesidades específicas y la topología de red.
Recuerda tener cuidado al limitar el tráfico ICMP, ya que puede afectar la capacidad de diagnóstico de la red.
Asegúrate de probar y validar cualquier cambio en un entorno de prueba antes de implementarlo en un entorno de producción.
Breve cuestionario de conocimientos
¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?
Libro recomendado para éste artículo
Artículos Relacionados
Artículos Relacionados
MikroLABs
(ML-001) Cómo gestionar adecuadamente varias IPs públicas o privadas en el router de borde
$8,99
(ML-002) Formas de asignar direcciones IP públicas a los clientes con MikroTik
$9,99
(ML-003) Guía para configurar las rutas de salida a internet con dos o más proveedores (failover y recursividad en balanceo PCC)
$8,99
(ML-004) Estrategias de implementación de filtros para restringir el acceso a páginas web con MikroTik
$7,99
Otros temas que te pueden interesar
Formas de Asignar Direccionamiento IPv6 (Parte 2)
marzo 25, 2024
Formas de Asignar Direccionamiento IPv6 (Parte 1)
marzo 11, 2024
¿Quieres sugerir un tema?
Todas las semanas posteamos nuevo contenido. Quieres que tratemos sobre algo específico?
Próximos cursos OnLine
MTCINE OnLine
$187,00
MTCNA OnLine
$187,00
MTCRE OnLine
$187,00
Pack 4 libros MikroTik RouterOS
$68,47
