Est-il bon de bloquer les requêtes ICMP?

Le Problème

De nombreux administrateurs réseau estiment que le protocole ICMP présente un risque de sécurité et doivent donc toujours être bloqués sur le pare-feu. Il est vrai qu'ICMP a des problèmes de sécurité et que beaucoup d'ICMP devraient être bloqués. Mais ce n'est pas une raison pour bloquer tout le trafic ICMP!

ICMP a de nombreuses caractéristiques importantes; certains sont utiles pour le dépannage, tandis que d'autres sont essentiels pour qu'un réseau fonctionne correctement. Voici des détails sur le trafic ICMP important que vous devez connaître et envisagez d'autoriser via votre réseau:


Demande d'écho et réponse d'écho

IPv4 - Demande d'écho (Type8, Code0) et Réponse d'écho (Type0, Code0)
IPv6 - Demande d'écho (Type128, Code0) et Réponse d'écho (Type129, Code0)


Nous connaissons tous ceux-ci - ping est l'un des premiers outils de dépannage que nous apprenons tous. Oui, si vous l'activez, cela signifie que votre hôte est maintenant détectable - mais votre serveur Web n'écoutait-il pas déjà sur le port 80 de toute façon? Bien sûr, bloquez ceci si vous voulez vraiment à votre frontière à votre DMZ, mais bloquer le trafic de ping à l'intérieur de votre réseau n'obtiendra pas beaucoup, excepté le dépannage plus dur ("Ping votre ping par défaut?", "Non, mais je ne peut jamais, alors ça ne me dit rien! ").

Rappelez-vous que vous pouvez également permettre cela avec une direction donnée à l'esprit; vous pouvez décider de laisser les requêtes Echo sortir de votre réseau vers Internet, et les réponses Echo depuis Internet vers votre réseau, mais pas l'inverse.


Fragmentation requise (IPv4) / Packet Too Big (IPv6)

IPv4 - (Type3, Code4)
IPv6 - (Type2, Code0)


Ceux-ci sont importants. Très important. Ils sont un composant essentiel dans Path MTU Discovery (PMTUD), qui est une partie essentielle de TCP qui permet à deux hôtes d'ajuster leur valeur de taille maximale de segment TCP (MSS) à celle qui correspond à la plus petite MTU le long des liens entre les deux hôtes. Si deux hôtes ont une MTU plus petite que leur propre lien local sur le chemin qui les sépare, et qu'ils n'ont aucun moyen de le découvrir, le trafic est discrètement troué; en d'autres termes, "vous allez avoir un mauvais moment".

Les paquets IPv4 avec le jeu de bits DF (c'est la plupart d'entre eux!), Ou les paquets IPv6 (souvenez-vous qu'il n'y a pas de fragmentation par les routeurs dans IPv6), qui sont trop volumineux pour qu'un routeur transmette à travers une interface. et générer une erreur ICMP Fragmentation Required / Packet Too Big à la source, qui contient également la MTU du lien trop petit. Si cette erreur ne parvient pas à l'expéditeur, l'expéditeur interprétera simplement le manque d'ACK du récepteur comme congestion / perte et retransmettre, ce qui bien sûr sera également supprimé. Ce type de comportement est difficile à résoudre car bien sûr, les liaisons TCP fonctionnent bien, car ce sont de petits paquets, mais la session semble se bloquer dès qu'une transmission de données en masse se produit.

La RFC 4821 a été développée pour aider les hôtes à contourner ce problème en utilisant PLPMTUD, qui découvre le chemin MTU en augmentant de manière incrémentielle le MSS pour essayer de trouver une valeur appropriée pour le chemin. Cela supprime la dépendance sur ICMP, et est disponible dans la plupart des piles réseau OS, mais n'est pas aussi efficace que d'apprendre directement ce que le MTU maximum devrait être. Alors, laissez simplement passer ces messages ICMP en premier lieu.


Temps écoulé

IPv4 - (Type11, Code0)
IPv6 - (Type3, Code0)


Trace-route est un outil très utile pour le dépannage des connexions réseau entre deux hôtes, détaillant chaque saut sur le chemin. Il le fait en envoyant un paquet avec un TTL de 1 pour que le premier saut renvoie un message Time Exceeded (y compris sa propre IP source), puis envoie un paquet avec un TTL de 2, et ainsi de suite, pour découvrir chaque saut le chemin.

Rappelez-vous quand vous l'avez déjà exécuté, et vous obtenez un saut ou deux qui ne peuvent pas être découverts au milieu de votre trace? Ou pire encore, vous essayez de traceroute à un hôte et * chaque * hop ne peut être découvert. Agaçant, non? En effet, la personne qui exécute ces routeurs (ou votre pare-feu local) a décidé de bloquer les messages ICMP Time Exceeded.


NDP et SLAAC (IPv6)

Sollicitation de routeur (RS) (Type133, Code0)
Annonce de routeur (RA) (Type134, Code0)
Sollicitation de voisin (NS) (Type135, Code0)
Annonce de voisin (NA) (Type136, Code0)
Rediriger (Type137, Code0)


Alors qu'IPv4 utilisait le protocole ARP (Address Resolution Protocol) pour les mappages de couche 2 à 3, IPv6 adopte une approche différente, sous la forme de protocole de découverte de voisin (NDP). NDP fournit de nombreuses fonctions, y compris la découverte de routeur, la découverte de préfixe, la résolution d'adresse, et bien d'autres encore. En plus de NDP, Stateless Adresse AutoConfiguration (SLAAC) permet à un hôte d'être configuré dynamiquement sur le réseau, similaire dans le concept à DHCP (bien que DHCPv6 existe pour un contrôle plus fin).

Ces cinq types ICMP doivent être autorisés dans votre réseau (pas à travers votre frontière) pour que ces fonctionnalités d'IPv6 fonctionnent correctement.

Un Mot sur la Limitation du Débit

Bien que les messages ICMP tels que ceux traités sur cette page puissent être très utiles, rappelez-vous que la génération de tous ces messages prend du temps CPU sur vos routeurs et génère du trafic. Pensez-vous vraiment que vous devriez obtenir 1000 pings par seconde à travers votre pare-feu dans une situation normale? Cela serait-il considéré comme un trafic légitime si vous le voyiez? Non, probablement pas. Le taux limite tous ces types de trafic ICMP comme vous le souhaitez pour votre réseau; c'est une bonne ligne de défense qui ne devrait pas être ignorée.

Lire, Rechercher, Comprendre

Étant donné que la discussion «bloquer ou ne pas bloquer» pour ICMP semble toujours entraîner de la confusion, de la colère et des désaccords fanatiques, allez-y et lisez vous-même sur le sujet. Passez du temps à le comprendre aussi pleinement que possible; il y a beaucoup de liens tout au long de cette page seulement. Ensuite, vous pouvez former votre propre opinion et faire un choix éclairé sur ce qui est le mieux pour votre réseau.


Si vous avez encore des questions sur les demandes ICMP, veuillez nous contacter en ouvrant une demande ou notre fonction de clavardage.

  • Security, Aide, Nuagerie
  • 2 Utilisateurs l'ont trouvée utile
Cette réponse était-elle pertinente?

Articles connexes

 Mon compte a été piraté! Information important

Un compte piraté (ou hacké) est un compte qui a été compromis ou...

 Avertissement non sécurisé dans Google Chrome

À partir de juillet 2018, le navigateur Web Google Chrome affichera un avertissement...

 Présentation des Mots de Passe

La capacité de créer un mot de passe fort est un outil sous-estimé qui...

 Quoi faire si votre site Web de WordPress a été piraté

WordPress est le moyen le plus utilisé au monde pour créer des sites Internet....

 Tout sur le plagiat en ligne

La menace du plagiat Le plagiat est un problème grave et croissant sur le Web. À...