cyberdeal
RouterOS v7 Geavanceerd beveiligingsboek
Studiemateriaal voor de MTCSE-certificeringscursus, bijgewerkt naar RouterOS v7
$19,97
Naar Winkelwagen
ICMP-filter in een MikroTik Firewall
- Kevin Moran
- Geen reacties
- Deel dit artikel
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
El Internet Control Message Protocol (ICMP) is een netwerklaagprotocol dat wordt gebruikt om besturings- en foutmeldingen te verzenden tussen apparaten in een netwerk.
ICMP is een belangrijk protocol voor het functioneren van internet en wordt voor verschillende doeleinden gebruikt, waaronder:
fout detectie
ICMP wordt gebruikt om fouten in de gegevensoverdracht te detecteren. Als een IP-pakket bijvoorbeeld verloren gaat of beschadigd raakt, kan de afzender een ICMP-bericht naar de ontvanger sturen om hem of haar op de hoogte te stellen van de fout.
Netwerkdiagnose
ICMP wordt gebruikt om netwerkproblemen te diagnosticeren. U kunt bijvoorbeeld de opdracht “ping” gebruiken om een ICMP-bericht naar een extern apparaat te sturen om te controleren of dit beschikbaar is.
Netwerkbeheer
ICMP wordt gebruikt voor netwerkbeheer. Het kan bijvoorbeeld worden gebruikt om statusmeldingen te verzenden of om netwerkapparaten te configureren.
ICMP is gebaseerd op het IP-protocol en gebruikt dezelfde headers als IP. De ICMP-header heeft een typeveld dat het type ICMP-bericht identificeert.
Soorten berichten
Er zijn veel verschillende soorten ICMP-berichten, die elk een ander doel dienen. Enkele van de meest voorkomende ICMP-berichttypen zijn:
Echoverzoek/antwoord
Deze berichten worden gebruikt om de beschikbaarheid van een extern apparaat te verifiëren.
Bestemming onbereikbaar
Deze berichten worden gebruikt om de afzender te informeren dat een IP-pakket niet op de bestemming kon worden afgeleverd.
Tijd overschreden
Deze berichten worden gebruikt om de afzender te informeren dat het te lang duurde voordat een IP-pakket zijn bestemming bereikte.
ICMP is een belangrijk protocol voor het functioneren van internet. Door het concept van ICMP te begrijpen, kunt u uw netwerk veilig en functioneel houden.
ICMP-filter
Het hebben van een ICMP-filter op de MikroTik RouterOS-firewall is om verschillende redenen belangrijk, waaronder:
- beveiliging: ICMP-berichten kunnen worden gebruikt voor het uitvoeren van cyberaanvallen, zoals Denial of Service (DoS)-aanvallen, ping flood-aanvallen en traceroute-aanvallen. ICMP-filtering kan dit kwaadaardige verkeer helpen blokkeren.
- prestatie: Onnodig ICMP-verkeer kan het netwerk overbelasten en de prestaties verminderen. ICMP-filtering kan dit onnodige verkeer helpen verminderen.
- Privacy: ICMP-berichten kunnen worden gebruikt om informatie over uw netwerk te verzamelen, zoals de topologie van uw netwerk en de beschikbaarheid van uw apparaten. ICMP-filtering kan uw privacy helpen beschermen.
Hier zijn enkele specifieke voorbeelden van hoe een ICMP-filter in MikroTik RouterOS u kan helpen uw netwerk te beschermen:
- Het kan echo-aanvallen (ping flood) blokkeren die worden gebruikt om uw netwerk te overbelasten met ICMP-berichten.
- U kunt traceroute-aanvallen blokkeren die worden gebruikt om informatie over uw netwerk te verzamelen.
- U kunt onnodige ICMP-berichten blokkeren, zoals retour-echoberichten, die uw netwerk kunnen overbelasten.
Het is belangrijk om het ICMP-filter op de juiste manier te configureren, zodat het legitiem verkeer niet blokkeert. Houd rekening met uw specifieke behoeften en de beveiligingsrisico's waaraan uw netwerk wordt blootgesteld.
Tips om het ICMP-filter in MikroTik RouterOS te configureren
- Begin met een eenvoudige configuratie en voeg indien nodig aanvullende regels toe.
- Gebruik tags om uw ICMP-filterregels te ordenen.
- Gebruik de geavanceerde filtermodus om meer controle te krijgen over welk ICMP-verkeer is toegestaan of geblokkeerd.
Op MikroTik-routers met RouterOS kunt u ICMP-gerelateerde instellingen (Internet Control Message Protocol) beheren, inclusief ping-instellingen en andere gerelateerde functies.
Soorten ICMP-berichten
ICMPv4-bericht | Bron van apparaat | Via apparaat | Bestemd voor apparaat |
ICMPv4-unreach-net | Tarieflimiet | Tarieflimiet | Tarieflimiet |
ICMPv4-unreach-host | Tarieflimiet | Tarieflimiet | Tarieflimiet |
ICMPv4-unreach-proto | Tarieflimiet | Weigeren | Tarieflimiet |
ICMPv4-unreach-poort | Tarieflimiet | Weigeren | Tarieflimiet |
ICMPv4-unreach-frag-nodig | Verzenden | Toestaan | Tarieflimiet |
ICMPv4-unreach-src-route | Tarieflimiet | Weigeren | Tarieflimiet |
ICMPv4-unreach-net-onbekend (Depr) | Weigeren | Weigeren | Weigeren |
ICMPv4-unreach-host-onbekend | Tarieflimiet | Weigeren | negeren |
ICMPv4-unreach-host-geïsoleerd (Depr) | Weigeren | Weigeren | Weigeren |
ICMPv4-unreach-net-tos | Tarieflimiet | Weigeren | Tarieflimiet |
ICMPv4-unreach-host-tos | Tarieflimiet | Weigeren | Tarieflimiet |
ICMPv4-unreach-admin | Tarieflimiet | Tarieflimiet | Tarieflimiet |
ICMPv4-unreach-prec-schending | Tarieflimiet | Weigeren | Tarieflimiet |
ICMPv4-unreach-prec-cutoff | Tarieflimiet | Weigeren | Tarieflimiet |
ICMPv4-quench | Weigeren | Weigeren | Weigeren |
ICMPv4-redirect-net | Tarieflimiet | Weigeren | Tarieflimiet |
ICMPv4-omleidingshost | Tarieflimiet | Weigeren | Tarieflimiet |
ICMPv4-omleiding-naar-net | Tarieflimiet | Weigeren | Tarieflimiet |
ICMPv4-omleiding-naar-host | Tarieflimiet | Toestaan | Tarieflimiet |
ICMPv4-getimede-ttl | Tarieflimiet | Toestaan | Tarieflimiet |
ICMPv4-getimede herbeoordeling | Tarieflimiet | Toestaan | Tarieflimiet |
ICMPv4-parameter-aanwijzer | Tarieflimiet | Weigeren | Tarieflimiet |
ICMPv4-optie ontbreekt | Tarieflimiet | Weigeren | Tarieflimiet |
ICMPv4-req-echo-bericht | Tarieflimiet | Toestaan | Tarieflimiet |
ICMPv4-req-echo-antwoord | Tarieflimiet | Toestaan | Tarieflimiet |
ICMPv4-req-router-sol | Tarieflimiet | Weigeren | Tarieflimiet |
ICMPv4-req-router-adv | Tarieflimiet | Weigeren | Tarieflimiet |
ICMPv4-req-tijdstempel-bericht | Tarieflimiet | Weigeren | Tarieflimiet |
ICMPv4-req-tijdstempel-antwoord | Tarieflimiet | Weigeren | Tarieflimiet |
ICMPv4-infobericht (Depr) | Weigeren | Weigeren | Weigeren |
ICMPv4-info-antwoord (Depr) | Weigeren | Weigeren | Weigeren |
ICMPv4-maskerverzoek | Tarieflimiet | Weigeren | Tarieflimiet |
ICMPv4-maskerantwoord | Tarieflimiet | Weigeren | Tarieflimiet |
Voorbeelden van ICMP-filters?
De volgende ICMP-regels zijn de typen berichten die doorgaans altijd beschikbaar moeten zijn:
/ip firewall filter
add action=jump chain=forward jump-target=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"
Dit zijn slechts voorbeelden en het is belangrijk om de configuratie aan te passen aan uw specifieke behoeften en netwerktopologie.
Wees voorzichtig bij het beperken van het ICMP-verkeer, omdat dit de diagnostische mogelijkheden van het netwerk kan beïnvloeden.
Zorg ervoor dat u eventuele wijzigingen in een testomgeving test en valideert voordat u deze in een productieomgeving implementeert.
Korte kennisquiz
Wat vind je van dit artikel?
Durf jij je geleerde kennis te evalueren?
Aanbevolen boek voor dit artikel
Gerelateerde artikelen
Gerelateerde artikelen
Microlabs
(ML-001) Hoe u meerdere openbare of privé-IP's op de edge-router correct beheert
$8,99
(ML-002) Manieren om openbare IP-adressen toe te wijzen aan clients met MikroTik
$9,99
(ML-003) Gids voor het configureren van internetuitgangsroutes met twee of meer providers (failover en recursie in PCC-balancering)
$8,99
(ML-004) Filterimplementatiestrategieën om de toegang tot webpagina's te beperken met MikroTik
$7,99
Andere onderwerpen die u mogelijk interesseren
Manieren om IPv6-adressering toe te wijzen (deel 2)
Maart 25, 2024
Manieren om IPv6-adressering toe te wijzen (deel 1)
Maart 11, 2024
Wil je een onderwerp voorstellen?
Elke week plaatsen wij nieuwe inhoud. Wil je dat we over iets specifieks praten?
Aankomende online cursussen
MTCINE Online
$187,00
MTCNA Online
$187,00
MTCRE Online
$187,00
Pak 4 MikroTik RouterOS-boeken in
$68,47
