El İnternet Kontrol Mesajı Protokolü (ICMP) bir ağdaki cihazlar arasında kontrol ve hata mesajları göndermek için kullanılan bir ağ katmanı protokolüdür.
ICMP, İnternet'in işleyişi için önemli bir protokoldür ve aşağıdakiler de dahil olmak üzere çeşitli amaçlar için kullanılır:
Makalenin sonunda küçük bir şey bulacaksınız test bu sana izin verecek belirlemek bu okumada edinilen bilgi
hata algılama
ICMP, veri aktarımındaki hataları tespit etmek için kullanılır. Örneğin, bir IP paketi kaybolursa veya bozulursa gönderen, alıcıyı hata konusunda bilgilendirmek için bir ICMP mesajı gönderebilir.
Ağ teşhisi
ICMP, ağ sorunlarını teşhis etmek için kullanılır. Örneğin, uzak bir cihaza ICMP mesajı gönderip mesajın mevcut olup olmadığını kontrol etmek için "ping" komutunu kullanabilirsiniz.
Ağ yönetimi
ICMP ağ yönetimi için kullanılır. Örneğin durum bildirimleri göndermek veya ağ cihazlarını yapılandırmak için kullanılabilir.
ICMP, IP protokolünü temel alır ve IP ile aynı başlıkları kullanır. ICMP başlığında ICMP mesajının türünü tanımlayan bir tür alanı bulunur.
Mesaj türleri
Her biri farklı bir amaca hizmet eden birçok farklı türde ICMP mesajı vardır. En yaygın ICMP mesaj türlerinden bazıları şunlardır:
Yankı isteği/yanıtı
Bu mesajlar uzak bir cihazın kullanılabilirliğini doğrulamak için kullanılır.
Ulaşılamaz hedef
Bu mesajlar göndericiye IP paketinin hedefe teslim edilemediğini bildirmek için kullanılır.
Zaman aşımı yapıldı
Bu mesajlar, göndericiye bir IP paketinin hedefine ulaşmasının çok uzun sürdüğü konusunda bilgi vermek için kullanılır.
ICMP, İnternet'in işleyişi için önemli bir protokoldür. ICMP kavramını anlayarak ağınızın güvenli ve işlevsel kalmasına yardımcı olabilirsiniz.
ICMP filtresi
MikroTik RouterOS güvenlik duvarında bir ICMP filtresinin bulunması, aşağıdakiler de dahil olmak üzere çeşitli nedenlerden dolayı önemlidir:
- güvenlik: ICMP mesajları, hizmet reddi (DoS) saldırıları, ping seli saldırıları ve traceroute saldırıları gibi siber saldırıları gerçekleştirmek için kullanılabilir. ICMP filtreleme, bu kötü amaçlı trafiğin engellenmesine yardımcı olabilir.
- Verim: Gereksiz ICMP trafiği ağın aşırı yüklenmesine ve performansın düşmesine neden olabilir. ICMP filtreleme bu gereksiz trafiğin azaltılmasına yardımcı olabilir.
- Gizlilik: ICMP mesajları, ağınızın topolojisi ve cihazlarınızın kullanılabilirliği gibi ağınız hakkında bilgi toplamak için kullanılabilir. ICMP filtreleme gizliliğinizin korunmasına yardımcı olabilir.
MikroTik RouterOS'taki bir ICMP filtresinin ağınızı korumanıza nasıl yardımcı olabileceğine dair bazı spesifik örnekler:
- Ağınızı ICMP mesajlarıyla aşırı yüklemek için kullanılan yankı (ping seli) saldırılarını engelleyebilir.
- Ağınızla ilgili bilgi toplamak için kullanılan traceroute saldırılarını engelleyebilirsiniz.
- Ağınızı aşırı yükleyebilecek, yankı mesajları gibi gereksiz ICMP mesajlarını engelleyebilirsiniz.
ICMP filtresini meşru trafiği engellemeyecek şekilde uygun şekilde yapılandırmak önemlidir. Özel ihtiyaçlarınızı ve ağınızın maruz kaldığı güvenlik risklerini göz önünde bulundurmalısınız.
MikroTik RouterOS'ta ICMP filtresini yapılandırmaya yönelik ipuçları
- Basit bir yapılandırmayla başlayın ve ardından gerektiği gibi ek kurallar ekleyin.
- ICMP filtre kurallarınızı düzenlemek için etiketleri kullanın.
- Hangi ICMP trafiğine izin verildiği veya hangilerinin engellendiği konusunda daha fazla kontrol sahibi olmak için gelişmiş filtreleme modunu kullanın.
RouterOS'lu MikroTik yönlendiricilerde, ping ayarları ve diğer ilgili işlevler dahil olmak üzere ICMP (İnternet Kontrol Mesajı Protokolü) ile ilgili ayarları yönetebilirsiniz.
ICMP Mesaj Türleri
ICMPv4 Mesajı | Cihazdan Kaynak | Cihaz Aracılığıyla | Cihaza Yönelik |
ICMPv4-erişim-net | Oran Sınırı | Oran Sınırı | Oran Sınırı |
ICMPv4-erişimi kaldırma ana bilgisayarı | Oran Sınırı | Oran Sınırı | Oran Sınırı |
ICMPv4-erişim-protokolü | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4 erişim bağlantı noktası | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4-unreach-frag-gerekli | Gönder | Izin | Oran Sınırı |
ICMPv4-unreach-src-route | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4-unreach-net-bilinmiyor (Kısım) | Reddet | Reddet | Reddet |
ICMPv4-unreach-ana bilgisayar-bilinmiyor | Oran Sınırı | Reddet | aldırmamak |
ICMPv4-unreach-ana bilgisayardan yalıtılmış (Depr) | Reddet | Reddet | Reddet |
ICMPv4-erişim-ağları | Oran Sınırı | Reddet | Hız Limiti |
ICMPv4-ana bilgisayarlara erişilemiyor | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4-erişimi kaldırma-yönetici | Oran Sınırı | Oran Sınırı | Oran Sınırı |
ICMPv4-erişim-öncesi-ihlali | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4-erişim-öncesi-kesme | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4-söndürme | Reddet | Reddet | Reddet |
ICMPv4-yönlendirme ağı | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4 yönlendirme ana bilgisayarı | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4-net-yönlendirmesi | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4-anasisteme-yönlendirme | Oran Sınırı | Izin | Oran Sınırı |
ICMPv4-zamanlı-ttl | Oran Sınırı | Izin | Oran Sınırı |
ICMPv4-zamanlı yeniden değerlendirme | Oran Sınırı | Izin | Oran Sınırı |
ICMPv4 parametre işaretçisi | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4 seçeneği eksik | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4-req-yankı mesajı | Oran Sınırı | Izin | Oran Sınırı |
ICMPv4-req-yankı yanıtı | Oran Sınırı | Izin | Oran Sınırı |
ICMPv4-req-yönlendirici-sol | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4-req-yönlendirici-adv | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4-req-zaman damgası-mesajı | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4-req-zaman damgası-yanıtı | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4 bilgi mesajı (Depr) | Reddet | Reddet | Reddet |
ICMPv4-bilgi yanıtı (Depr) | Reddet | Reddet | Reddet |
ICMPv4 maskesi isteği | Oran Sınırı | Reddet | Oran Sınırı |
ICMPv4 maskesi yanıtı | Oran Sınırı | Reddet | Oran Sınırı |
ICMP filtrelerine örnekler?
Aşağıdaki ICMP kuralları, genellikle her zaman mevcut olması gereken mesaj türleridir:
/ip firewall filter
add action=jump chain=forward jump-target=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"
Bunlar sadece örnektir ve konfigürasyonu özel ihtiyaçlarınıza ve ağ topolojinize göre uyarlamanız önemlidir.
Ağın tanılama yeteneklerini etkileyebileceğinden ICMP trafiğini sınırlandırırken dikkatli olmayı unutmayın.
Herhangi bir değişikliği üretim ortamına dağıtmadan önce test ortamında test ettiğinizden ve doğruladığınızdan emin olun.
Kısa bilgi yarışması
Bu makale hakkında ne düşünüyorsun?
Öğrendiğiniz bilgileri değerlendirmeye cesaretiniz var mı?
Bu makale için önerilen kitap
RouterOS v7 Gelişmiş Güvenlik Kitabı
RouterOS v7'ye güncellenen MTCSE Sertifikasyon Kursu için çalışma materyali
İlgili Makaleler
- MikroTik IPSec: VPN için Tünel Modu ve Aktarım Modu arasında seçim yapın
- Durum Bilgili ve Durum Bilgisi Olmayan Arasında: MikroTik Güvenlik Duvarında Ustalaşmak
- MikroTik TLS Host ile HTTPS Siteleri Etkili Bir Şekilde Nasıl Engellenir?
- MikroTik ve Kablosuz Kimlik Doğrulama: 'Paylaşılan Anahtara İzin Ver'i Anlamak
- HSRP, VRRP, GLBP: Ağ Yedekliliği için Temel Protokolleri Anlamak