siber anlaşma
RouterOS v7 Gelişmiş Güvenlik Kitabı
RouterOS v7'ye güncellenen MTCSE Sertifikasyon Kursu için çalışma materyali
$19,97
Alışveriş sepetine ekle
MikroTik Güvenlik Duvarındaki ICMP filtresi
- Kevin Moran
- Yorum yok
- Bu makaleyi paylaş
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
El İnternet Kontrol Mesajı Protokolü (ICMP) bir ağdaki cihazlar arasında kontrol ve hata mesajları göndermek için kullanılan bir ağ katmanı protokolüdür.
ICMP, İnternet'in işleyişi için önemli bir protokoldür ve aşağıdakiler de dahil olmak üzere çeşitli amaçlar için kullanılır:
hata algılama
ICMP, veri aktarımındaki hataları tespit etmek için kullanılır. Örneğin, bir IP paketi kaybolursa veya bozulursa gönderen, alıcıyı hata konusunda bilgilendirmek için bir ICMP mesajı gönderebilir.
Ağ teşhisi
ICMP, ağ sorunlarını teşhis etmek için kullanılır. Örneğin, uzak bir cihaza ICMP mesajı gönderip mesajın mevcut olup olmadığını kontrol etmek için "ping" komutunu kullanabilirsiniz.
Ağ yönetimi
ICMP ağ yönetimi için kullanılır. Örneğin durum bildirimleri göndermek veya ağ cihazlarını yapılandırmak için kullanılabilir.
ICMP, IP protokolünü temel alır ve IP ile aynı başlıkları kullanır. ICMP başlığında ICMP mesajının türünü tanımlayan bir tür alanı bulunur.
Mesaj türleri
Her biri farklı bir amaca hizmet eden birçok farklı türde ICMP mesajı vardır. En yaygın ICMP mesaj türlerinden bazıları şunlardır:
Yankı isteği/yanıtı
Bu mesajlar uzak bir cihazın kullanılabilirliğini doğrulamak için kullanılır.
Ulaşılamaz hedef
Bu mesajlar göndericiye IP paketinin hedefe teslim edilemediğini bildirmek için kullanılır.
Zaman aşımı yapıldı
Bu mesajlar, göndericiye bir IP paketinin hedefine ulaşmasının çok uzun sürdüğü konusunda bilgi vermek için kullanılır.
ICMP, İnternet'in işleyişi için önemli bir protokoldür. ICMP kavramını anlayarak ağınızın güvenli ve işlevsel kalmasına yardımcı olabilirsiniz.
ICMP filtresi
MikroTik RouterOS güvenlik duvarında bir ICMP filtresinin bulunması, aşağıdakiler de dahil olmak üzere çeşitli nedenlerden dolayı önemlidir:
- güvenlik: ICMP mesajları, hizmet reddi (DoS) saldırıları, ping seli saldırıları ve traceroute saldırıları gibi siber saldırıları gerçekleştirmek için kullanılabilir. ICMP filtreleme, bu kötü amaçlı trafiğin engellenmesine yardımcı olabilir.
- Verim: Gereksiz ICMP trafiği ağın aşırı yüklenmesine ve performansın düşmesine neden olabilir. ICMP filtreleme bu gereksiz trafiğin azaltılmasına yardımcı olabilir.
- Gizlilik: ICMP mesajları, ağınızın topolojisi ve cihazlarınızın kullanılabilirliği gibi ağınız hakkında bilgi toplamak için kullanılabilir. ICMP filtreleme gizliliğinizin korunmasına yardımcı olabilir.
MikroTik RouterOS'taki bir ICMP filtresinin ağınızı korumanıza nasıl yardımcı olabileceğine dair bazı spesifik örnekler:
- Ağınızı ICMP mesajlarıyla aşırı yüklemek için kullanılan yankı (ping seli) saldırılarını engelleyebilir.
- Ağınızla ilgili bilgi toplamak için kullanılan traceroute saldırılarını engelleyebilirsiniz.
- Ağınızı aşırı yükleyebilecek, yankı mesajları gibi gereksiz ICMP mesajlarını engelleyebilirsiniz.
ICMP filtresini meşru trafiği engellemeyecek şekilde uygun şekilde yapılandırmak önemlidir. Özel ihtiyaçlarınızı ve ağınızın maruz kaldığı güvenlik risklerini göz önünde bulundurmalısınız.
MikroTik RouterOS'ta ICMP filtresini yapılandırmaya yönelik ipuçları
- Basit bir yapılandırmayla başlayın ve ardından gerektiği gibi ek kurallar ekleyin.
- ICMP filtre kurallarınızı düzenlemek için etiketleri kullanın.
- Hangi ICMP trafiğine izin verildiği veya hangilerinin engellendiği konusunda daha fazla kontrol sahibi olmak için gelişmiş filtreleme modunu kullanın.
RouterOS'lu MikroTik yönlendiricilerde, ping ayarları ve diğer ilgili işlevler dahil olmak üzere ICMP (İnternet Kontrol Mesajı Protokolü) ile ilgili ayarları yönetebilirsiniz.
ICMP Mesaj Türleri
ICMPv4 Mesajı | Cihazdan Kaynak | Cihaz Aracılığıyla | Cihaza Yönelik |
ICMPv4-erişim-net | Oran Sınırı | Oran Sınırı | Oran Sınırı |
ICMPv4-erişimi kaldırma ana bilgisayarı | Oran Sınırı | Oran Sınırı | Oran Sınırı |
ICMPv4-erişim-protokolü | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4 erişim bağlantı noktası | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4-unreach-frag-gerekli | Gönder | Izin | Oran Sınırı |
ICMPv4-unreach-src-route | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4-unreach-net-bilinmiyor (Kısım) | Reddet | Reddet | Reddet |
ICMPv4-unreach-ana bilgisayar-bilinmiyor | Oran Sınırı | Reddet | aldırmamak |
ICMPv4-unreach-ana bilgisayardan yalıtılmış (Depr) | Reddet | Reddet | Reddet |
ICMPv4-erişim-ağları | Oran Sınırı | Reddet | Hız Limiti |
ICMPv4-ana bilgisayarlara erişilemiyor | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4-erişimi kaldırma-yönetici | Oran Sınırı | Oran Sınırı | Oran Sınırı |
ICMPv4-erişim-öncesi-ihlali | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4-erişim-öncesi-kesme | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4-söndürme | Reddet | Reddet | Reddet |
ICMPv4-yönlendirme ağı | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4 yönlendirme ana bilgisayarı | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4-net-yönlendirmesi | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4-anasisteme-yönlendirme | Oran Sınırı | Izin | Oran Sınırı |
ICMPv4-zamanlı-ttl | Oran Sınırı | Izin | Oran Sınırı |
ICMPv4-zamanlı yeniden değerlendirme | Oran Sınırı | Izin | Oran Sınırı |
ICMPv4 parametre işaretçisi | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4 seçeneği eksik | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4-req-yankı mesajı | Oran Sınırı | Izin | Oran Sınırı |
ICMPv4-req-yankı yanıtı | Oran Sınırı | Izin | Oran Sınırı |
ICMPv4-req-yönlendirici-sol | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4-req-yönlendirici-adv | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4-req-zaman damgası-mesajı | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4-req-zaman damgası-yanıtı | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4 bilgi mesajı (Depr) | Reddet | Reddet | Reddet |
ICMPv4-bilgi yanıtı (Depr) | Reddet | Reddet | Reddet |
ICMPv4 maskesi isteği | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4 maskesi yanıtı | Oran Sınırı | Reddet | Oran Sınırı |
ICMP filtrelerine örnekler?
Aşağıdaki ICMP kuralları, genellikle her zaman mevcut olması gereken mesaj türleridir:
/ip firewall filter
add action=jump chain=forward jump-target=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"
Bunlar sadece örnektir ve konfigürasyonu özel ihtiyaçlarınıza ve ağ topolojinize göre uyarlamanız önemlidir.
Ağın tanılama yeteneklerini etkileyebileceğinden ICMP trafiğini sınırlandırırken dikkatli olmayı unutmayın.
Herhangi bir değişikliği üretim ortamına dağıtmadan önce test ortamında test ettiğinizden ve doğruladığınızdan emin olun.
Kısa bilgi yarışması
Bu makale hakkında ne düşünüyorsun?
Öğrendiğiniz bilgileri değerlendirmeye cesaretiniz var mı?
Bu makale için önerilen kitap
İlgili Makaleler
İlgili Makaleler
Mikro laboratuvarlar
(ML-001) Edge yönlendiricide birden fazla genel veya özel IP nasıl düzgün şekilde yönetilir?
$8,99
(ML-002) MikroTik ile istemcilere genel IP adresleri atamanın yolları
$9,99
(ML-003) İki veya daha fazla sağlayıcıyla İnternet çıkış rotalarını yapılandırma kılavuzu (PCC dengelemede yük devretme ve özyineleme)
$8,99
(ML-004) MikroTik ile web sayfalarına erişimi kısıtlamak için uygulama stratejilerini filtreleyin
$7,99
İlginizi çekebilecek diğer konular
IPv6 Adreslemesi Atama Yolları (Bölüm 2)
Mart 25, 2024
IPv6 Adreslemesi Atama Yolları (Bölüm 1)
Mart 11, 2024
Bir konu önermek ister misiniz?
Her hafta yeni içerik yayınlıyoruz. Belirli bir konu hakkında konuşmamızı ister misin?
