Filtre ICMP dans un pare-feu MikroTik

Kévin Moran
d
9 h 00
Pas de commentaires

El Protocole de message de contrôle Internet (ICMP) est un protocole de couche réseau utilisé pour envoyer des messages de contrôle et d'erreur entre les appareils d'un réseau.

ICMP est un protocole important pour le fonctionnement d'Internet et est utilisé à diverses fins, notamment :

A la fin de l'article vous trouverez un petit tester cela vous permettra évaluer les connaissances acquises dans cette lecture

Aller à Test

détection d'erreur

ICMP est utilisé pour détecter les erreurs dans la transmission de données. Par exemple, si un paquet IP est perdu ou corrompu, l'expéditeur peut envoyer un message ICMP au destinataire pour l'informer de l'erreur.

Diagnostic réseau

ICMP est utilisé pour diagnostiquer les problèmes de réseau. Par exemple, vous pouvez utiliser la commande « ping » pour envoyer un message ICMP à un appareil distant afin de vérifier s'il est disponible.

Gestion de réseau

ICMP est utilisé pour la gestion du réseau. Par exemple, il peut être utilisé pour envoyer des notifications d'état ou pour configurer des périphériques réseau.

ICMP est basé sur le protocole IP et utilise les mêmes en-têtes qu'IP. L'en-tête ICMP comporte un champ de type qui identifie le type de message ICMP.

Types de messages

Il existe de nombreux types de messages ICMP, chacun remplissant un objectif différent. Certains des types de messages ICMP les plus courants incluent :

Demande/réponse d'écho

Ces messages sont utilisés pour vérifier la disponibilité d'un appareil distant.

Destination inaccessible

Ces messages sont utilisés pour informer l'expéditeur qu'un paquet IP n'a pas pu être livré à la destination.

Temps écoulé

Ces messages sont utilisés pour informer l'expéditeur qu'un paquet IP a mis trop de temps à atteindre sa destination.

ICMP est un protocole important pour le fonctionnement d'Internet. En comprenant le concept ICMP, vous pouvez contribuer à maintenir la sécurité et le fonctionnement de votre réseau.

Filtre ICMP

Avoir un filtre ICMP sur le pare-feu MikroTik RouterOS est important pour plusieurs raisons, notamment :

Sécurité: Les messages ICMP peuvent être utilisés pour mener des cyberattaques, telles que des attaques par déni de service (DoS), des attaques par ping et des attaques par traceroute. Le filtrage ICMP peut aider à bloquer ce trafic malveillant.
Performance: Un trafic ICMP inutile peut surcharger le réseau et réduire les performances. Le filtrage ICMP peut aider à réduire ce trafic inutile.
Confidentialité: Les messages ICMP peuvent être utilisés pour collecter des informations sur votre réseau, telles que la topologie de votre réseau et la disponibilité de vos appareils. Le filtrage ICMP peut aider à protéger votre vie privée.

Voici quelques exemples spécifiques de la façon dont un filtre ICMP dans MikroTik RouterOS peut vous aider à protéger votre réseau :

Il peut bloquer les attaques par écho (ping Flood) utilisées pour surcharger votre réseau avec des messages ICMP.
Vous pouvez bloquer les attaques traceroute utilisées pour collecter des informations sur votre réseau.
Vous pouvez bloquer les messages ICMP inutiles, tels que les messages d'écho de retour, qui peuvent surcharger votre réseau.

Il est important de configurer le filtre ICMP de manière appropriée afin qu'il ne bloque pas le trafic légitime. Vous devez tenir compte de vos besoins spécifiques et des risques de sécurité auxquels votre réseau est exposé.

Conseils pour configurer le filtre ICMP dans MikroTik RouterOS

Commencez par une configuration simple, puis ajoutez des règles supplémentaires si nécessaire.
Utilisez des balises pour organiser vos règles de filtrage ICMP.
Utilisez le mode de filtrage avancé pour mieux contrôler le trafic ICMP autorisé ou bloqué.

Sur les routeurs MikroTik avec RouterOS, vous pouvez gérer les paramètres liés à ICMP (Internet Control Message Protocol), y compris les paramètres de ping et d'autres fonctions connexes.

Types de messages ICMP

Message ICMPv4	Source à partir de l'appareil	Via l'appareil	Destiné à l'appareil
ICMPv4-unreach-net	Limite de débit	Limite de débit	Limite de débit
ICMPv4-unreach-hôte	Limite de débit	Limite de débit	Limite de débit
ICMPv4-unreach-proto	Limite de débit	Refuser	Limite de débit
Port non accessible ICMPv4	Limite de débit	Refuser	Limite de débit
ICMPv4-unreach-frag-nécessaire	Envoyer	Permis	Limite de débit
ICMPv4-unreach-src-route	Limite de débit	Refuser	Limite de débit
ICMPv4-unreach-net-inconnu (Dépr)	Refuser	Refuser	Refuser
ICMPv4-unreach-host-inconnu	Limite de débit	Refuser	ignorer
ICMPv4-unreach-host-isolated (Depr)	Refuser	Refuser	Refuser
ICMPv4-unreach-net-tos	Limite de débit	Refuser	Limite de taux
ICMPv4-unreach-host-tos	Limite de débit	Refuser	Limite de débit
ICMPv4-unreach-admin	Limite de débit	Limite de débit	Limite de débit
ICMPv4-unreach-prec-violation	Limite de débit	Refuser	Limite de débit
ICMPv4-unreach-prec-cutoff	Limite de débit	Refuser	Limite de débit
ICMPv4-quench	Refuser	Refuser	Refuser
ICMPv4-redirection-net	Limite de débit	Refuser	Limite de débit
Hôte de redirection ICMPv4	Limite de débit	Refuser	Limite de débit
ICMPv4-redirection-vers-net	Limite de débit	Refuser	Limite de débit
ICMPv4-redirection-vers-l'hôte	Limite de débit	Permis	Limite de débit
ICMPv4-timed-ttl	Limite de débit	Permis	Limite de débit
ICMPv4-timed-reass	Limite de débit	Permis	Limite de débit
Pointeur de paramètre ICMPv4	Limite de débit	Refuser	Limite de débit
Option ICMPv4 manquante	Limite de débit	Refuser	Limite de débit
ICMPv4-req-echo-message	Limite de débit	Permis	Limite de débit
ICMPv4-req-echo-réponse	Limite de débit	Permis	Limite de débit
ICMPv4-req-router-sol	Limite de débit	Refuser	Limite de débit
ICMPv4-req-router-adv	Limite de débit	Refuser	Limite de débit
ICMPv4-req-timestamp-message	Limite de débit	Refuser	Limite de débit
ICMPv4-req-timestamp-réponse	Limite de débit	Refuser	Limite de débit
Message d'information ICMPv4 (Dépr)	Refuser	Refuser	Refuser
Réponse d'information ICMPv4 (Dépr)	Refuser	Refuser	Refuser
Demande de masque ICMPv4	Limite de débit	Refuser	Limite de débit
Réponse masque ICMPv4	Limite de débit	Refuser	Limite de débit

Exemples de filtres ICMP ?

Les règles ICMP suivantes correspondent aux types de messages qui doivent généralement toujours être disponibles :

				
					/ip firewall filter
add action=jump chain=forward jump-target=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"

Ce ne sont que des exemples et il est important d’adapter la configuration en fonction de vos besoins spécifiques et de la topologie du réseau.

N'oubliez pas d'être prudent lorsque vous limitez le trafic ICMP, car cela peut affecter les capacités de diagnostic du réseau.

Assurez-vous de tester et de valider toutes les modifications dans un environnement de test avant de les déployer dans un environnement de production.