El protocolo de mensajes de control de Internet (ICMP) es un protocolo de capa de red que se utiliza para enviar mensajes de control y error entre dispositivos en una red.
ICMP es un protocolo importante para el funcionamiento de Internet y se utiliza para una variedad de propósitos, que incluyen:
Al final del artículo encontrarás un pequeño test que te permitirá evaluar los conocimientos adquiridos en esta lectura
Detección de errores
ICMP se utiliza para detectar errores en la transmisión de datos. Por ejemplo, si un paquete IP se pierde o se corrompe, el remitente puede enviar un mensaje ICMP al destinatario para informarle del error.
Diagnóstico de red
ICMP se utiliza para diagnosticar problemas de red. Por ejemplo, puede utilizar el comando “ping” para enviar un mensaje ICMP a un dispositivo remoto para verificar si está disponible.
Gestión de red
ICMP se utiliza para la gestión de redes. Por ejemplo, se puede utilizar para enviar notificaciones de estado o para configurar dispositivos de red.
ICMP se basa en el protocolo IP y utiliza los mismos encabezados que IP. El encabezado ICMP tiene un campo de tipo que identifica el tipo de mensaje ICMP.
Tipos de mensajes
Hay muchos tipos diferentes de mensajes ICMP, cada uno con un propósito diferente. Algunos de los tipos de mensajes ICMP más comunes incluyen:
Echo request/reply
Estos mensajes se utilizan para verificar la disponibilidad de un dispositivo remoto.
Destination unreachable
Estos mensajes se utilizan para informar al remitente de que un paquete IP no se pudo entregar al destino.
Time exceeded
Estos mensajes se utilizan para informar al remitente de que un paquete IP tardó demasiado en llegar a su destino.
ICMP es un protocolo importante para el funcionamiento de Internet. Al comprender el concepto de ICMP, puede ayudar a mantener su red segura y funcional.
Filtro ICMP
Tener un filtro ICMP en el firewall MikroTik RouterOS es importante por varias razones, entre ellas:
- Seguridad: Los mensajes ICMP pueden utilizarse para realizar ataques cibernéticos, como ataques de denegación de servicio (DoS), ataques de eco (ping flood) y ataques de rastreo (traceroute). El filtrado ICMP puede ayudar a bloquear este tráfico malicioso.
- Rendimiento: El tráfico ICMP innecesario puede sobrecargar la red y reducir el rendimiento. El filtrado ICMP puede ayudar a reducir este tráfico innecesario.
- Privacidad: Los mensajes ICMP pueden utilizarse para recopilar información sobre su red, como la topología de su red y la disponibilidad de sus dispositivos. El filtrado ICMP puede ayudar a proteger su privacidad.
Aquí hay algunos ejemplos específicos de cómo un filtro ICMP en MikroTik RouterOS puede ayudarlo a proteger su red:
- Puede bloquear los ataques de eco (ping flood) que se utilizan para sobrecargar su red con mensajes ICMP.
- Puede bloquear los ataques de rastreo (traceroute) que se utilizan para recopilar información sobre su red.
- Puede bloquear los mensajes ICMP innecesarios, como los mensajes de eco de retorno, que pueden sobrecargar su red.
Es importante configurar el filtro ICMP de manera adecuada para que no bloquee el tráfico legítimo. Debe considerar sus necesidades específicas y los riesgos de seguridad a los que está expuesto su red.
Consejos para configurar el filtro ICMP en MikroTik RouterOS
- Comience con una configuración simple y luego agregue reglas adicionales según sea necesario.
- Use etiquetas para organizar sus reglas de filtro ICMP.
- Use el modo de filtrado avanzado para obtener más control sobre el tráfico ICMP que se permite o bloquea.
En los routers MikroTik con RouterOS, puedes gestionar la configuración relacionada con ICMP (Internet Control Message Protocol), que incluye configuración de ping y otras funciones relacionadas.
Tipos de Mensajes ICMP
ICMPv4 Message | Source from Device | Through Device | Destined to Device |
ICMPv4-unreach-net | Rate Limit | Rate Limit | Rate Limit |
ICMPv4-unreach-host | Rate Limit | Rate Limit | Rate Limit |
ICMPv4-unreach-proto | Rate Limit | Deny | Rate Limit |
ICMPv4-unreach-port | Rate Limit | Deny | Rate Limit |
ICMPv4-unreach-frag-needed | Send | Permit | Rate Limit |
ICMPv4-unreach-src-route | Rate Limit | Deny | Rate Limit |
ICMPv4-unreach-net-unknown (Depr) | Deny | Deny | Deny |
ICMPv4-unreach-host-unknown | Rate Limit | Deny | Ignore |
ICMPv4-unreach-host-isolated (Depr) | Deny | Deny | Deny |
ICMPv4-unreach-net-tos | Rate Limit | Deny | Rate-Limit |
ICMPv4-unreach-host-tos | Rate Limit | Deny | Rate Limit |
ICMPv4-unreach-admin | Rate Limit | Rate Limit | Rate Limit |
ICMPv4-unreach-prec-violation | Rate Limit | Deny | Rate Limit |
ICMPv4-unreach-prec-cutoff | Rate Limit | Deny | Rate Limit |
ICMPv4-quench | Deny | Deny | Deny |
ICMPv4-redirect-net | Rate Limit | Deny | Rate Limit |
ICMPv4-redirect-host | Rate Limit | Deny | Rate Limit |
ICMPv4-redirect-tos-net | Rate Limit | Deny | Rate Limit |
ICMPv4-redirect-tos-host | Rate Limit | Permit | Rate Limit |
ICMPv4-timed-ttl | Rate Limit | Permit | Rate Limit |
ICMPv4-timed-reass | Rate Limit | Permit | Rate Limit |
ICMPv4-parameter-pointer | Rate Limit | Deny | Rate Limit |
ICMPv4-option-missing | Rate Limit | Deny | Rate Limit |
ICMPv4-req-echo-message | Rate Limit | Permit | Rate Limit |
ICMPv4-req-echo-reply | Rate Limit | Permit | Rate Limit |
ICMPv4-req-router-sol | Rate Limit | Deny | Rate Limit |
ICMPv4-req-router-adv | Rate Limit | Deny | Rate Limit |
ICMPv4-req-timestamp-message | Rate Limit | Deny | Rate Limit |
ICMPv4-req-timestamp-reply | Rate Limit | Deny | Rate Limit |
ICMPv4-info-messsage (Depr) | Deny | Deny | Deny |
ICMPv4-info-reply (Depr) | Deny | Deny | Deny |
ICMPv4-mask-request | Rate Limit | Deny | Rate Limit |
ICMPv4-mask-reply | Rate Limit | Deny | Rate Limit |
¿Ejemplos de filtros ICMP?
Las siguientes reglas de ICMP son los tipos de mensajes que por lo general deberían estar siempre disponibles:
/ip firewall filter
add action=jump chain=forward jump-target=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"
Estos son solo ejemplos y es importante adaptar la configuración según tus necesidades específicas y la topología de red.
Recuerda tener cuidado al limitar el tráfico ICMP, ya que puede afectar la capacidad de diagnóstico de la red.
Asegúrate de probar y validar cualquier cambio en un entorno de prueba antes de implementarlo en un entorno de producción.
Breve cuestionario de conocimientos
¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?
Libro recomendado para éste artículo
Libro Seguridad Avanzada RouterOS v7
Material de estudio para el Curso de Certificación MTCSE, actualizado a RouterOS v7
Artículos Relacionados
- MikroTik IPSec: Elegir entre Modo Túnel y Modo Transporte para VPN
- Entre Stateful y Stateless: Dominando el Firewall de MikroTik
- Cómo Bloquear Sitios HTTPS Eficazmente con MikroTik TLS Host
- MikroTik y la Autenticación Wireless: Entendiendo ‘Allow Shared Key’
- HSRP, VRRP, GLBP: Entendiendo los Protocolos Clave para la Redundancia en Redes