Empêcher les requêtes ping : erreur

Support Debian
#3

Merci beaucoup pour votre réponse !

#4

Bonjkour,
ert incidement, l’option -p:
-p, --load[=]
lis les valeurs dans le fichier

Il faut spécifier le fichier.
Et pour finir, il est préférable de créer un fichier dans /etc/sysctl.d/ plutôt que de modifier le fichier /etc/sysctl.conf.

Et je plussoie à la réponse de @ed.

#5

merci Zargos !

#6

Conseil juste, assurément !

@franckylinux :
Il y a quelques années, j’ai étudié le sujet :

  • Stéphane HUC :: IT Log :: iptables accepte de gèrer le ping
  • Stéphane HUC :: IT Log :: Linux : firewall ICMP
    La deuxième documentation est très pertinente, car la gestion d’ICMP est un sujet complexe, et pas simple à maîtriser ; autrement dit, se dire « je vais bloquer » n’est pas la réponse la plus adéquate, c’est même la moins pertinente, car cette action aura des incidences sur d’autres outils réseaux.
    Cette seconde documentation explique en détails pourquoi et comment faire finement pour gérer ICMP.
    Il faut comprendre que l’important n’est PAS de bloquer mais de limiter le flux des messages « pertinents » et bloquer ceux qui doivent l’être impérativement.
    Attention la documentation que j’ai écrite ne traite QUE pour le protocole IPv4 ; concernant IPv6, il est encore plus impératif de VRAIMENT comprendre le sujet et les incidences du filtrage d’ICMPv6 !
#7

La question est pourquoi l’option existe dans les fichiers de config de sysctl et est utilisée par des milliers de sysadmins. Je ne comprends pas tout votre blabla pour dissuader le posteur initial…la question est plutot quand l’utiliser et je ne vois aucune reponse dans ce sens.
Si j’ai un site sur un vps c’est une option que j’étudie. Ensuite il me semble avoir vu ce choix il y a quelques années dans le cours « securisation d’un server » sur OpenClassroom

#8

n’utilises pas cette expression c’est péjoratif.

qu’appelles-tu OC?

Après c’est une question de savoir faire.
Il se trouve que supprimer le ping était une vieille pratique mais celle-ci n’est plus pertinente aujourd’hui.
En interne, sur l’interface lo il peut y avoir du ping. Si tu le fait via sysctl tu le supprime aussi.
je ne te parle pas de tous les système types heartbeat qui l’utilise aussi.

Ensuite pourquoi vouloir empêcher de recevoir des ping? quel est l’objectif derrière.
Empêcher les requêtes ping c’est aussi avoir un impact sur la couche 2 du modèle OSI.

Car il faut distinguer deux choses:

  • Recevoir
  • Répondre

Si on ne veut qu’on puisse pinguer ta machine, alors c’est une question de réponse, le parefeu est fait pour ça.

Quand aux tutoriels, il faut aussi savoir que 50% sont mal écrit et factuellement plein d’erreurs ou tout simplement insuffisamment explicite (sans parler des conditions de départ).
A peut près 75% des tutoriels ne sont jamais mis à jour.
30% ne sont que des recopies d’autres tutoriels.
20% à minima des tutoriels sont en réalité des problèmes XY (dont certains ici vont encore sourire à cette mention :wink: ). Même si globalement cette tendance est à la baisse.
C’est une estimation personnelle qui demanderait d’être approfondie; je me suis basé sur ma propre experience, et j’ai plus d’un millier de marques pages sur des tutoriels.
Et depuis 30 ans, j’ai écrit pas mal de tutoriels ces dernières années, dont un certain nombre ici.

#9

Que l’on soit bien d’accord, ça ne l’a jamais été, tout comme le NAT n’est absolument pas une source de sécurité.
L’obfuscation ne protège pas !

Que ce soit pour le diagnostique de la machine ou de ce qui y tourne l’icmp est important (ttl, mtu, fragmentation, etc …)

Au lieu de bloquer ICMP complètement, il vaut mieux :

autoriser :

  • Echo reply (réponse ping)
  • Destination unreachable
  • Time exceeded
  • Fragmentation needed (PMTU)

limiter :

  • Echo request (ping) → rate limit
  • Types ICMP non nécessaires

et dans l’dée :

  • autoriser ICMP utile
  • limiter le débit (rate limiting)
  • logger les abus
2 J'aime
#10

Allez dire ca aux scriptkiddies ils vont se marrer

Peut etre pour ca que la France a une securité informatique désastreuse

Beaucoup d’outils sur Kali et ParotOs se basent sur des reponses ICMP

La seule chose avec laquelle je suis d’accord est que la securité informatique doit etre multilayer et c’est certainement pas en disant Firewall/firewall que le schmilblick avance

#11

le NAT c’est juste de l’offuscation au mieux, sinon c’est juste un moyen de n’utiliser qu’une seule adresse de sortie.

Mais je n’ai en aucun cas parlé de sécurité :wink:

Mais sinon coté sécu tu as le Ping Of Death :wink:

#12

Une courte phrase qui n’amère absolument rien à la question initiale.

Assertion douteuse, je vois pas en quoi la France est en retard côté sécurité, c’est un désastre au niveau mondiale … et les récentes avancées vont dans le bon sens.

Des outils, j’ai la être e choses pour mon travail sur Debian et Ubuntu … je vois absolument pas dans tes propos une raison réaliste de couper l’icmp.

Encore un bien grand mot, heureusement que les Firewalls que je mets en place et maintient sont là ^^

#13

Ok ok pas envie de débattre
Répondez seulement à la question initiale ca sera deja un pas en avant
C’est pour ca que je suis venu poster
Vous critiquez son choix mais vous ne l’aidez pas
Vous presumez que son choix etait le choix de quelqu’un qui ne savait pas ce qu’il faisait…

#14

Bien sûr que si, mais il faut aussi que @franckylinux adapte la solution à son besoin selon nos réponses.

Je ne vois aucun intérêt dans un forum de discussion de filer une réponse à copier/coller sans réfléchir.

#15

Je reformule: « il faut qu’il adapte ses questions à votre façon de voir les choses » et il s’en suit qu’il faut qu’il fasse ce que vous lui suggérez sans que vous ayez à vous preoccuper de de pourquoi il a fait ce choix pour commencer

#16

Dans sa première question il y a une faute de syntaxe, je vais pas la remonter alors que tout le monde lui précise que ce n’est pas ce qu’il faut faire.

Dans le seconde tu écris dans /proc toi ?

#17

Accessoirement je suis aller checker qqch par acquis de conscience:
Oui, on peut ecrire dans /proc

https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/8/html/managing_monitoring_and_updating_the_kernel/configuring-kernel-parameters-at-runtime_managing-monitoring-and-updating-the-kernel

Vous auriez du vous arretez là plutot que de rentrer dans ce qui relève d’une « self-righteousness » typiquement linuxienne

#18

Bonjour à tous
Merci pour vos réponses
Initialement [je débute avec mon serveur debian] je craignais qu’un site pouvait être bloqué avec les ping, mais effectivement je ne dois apparement pas me concentrer sur ce point

#19

Votre démarche était la bonne mais si vous voulez bien securiser votre serveur je vous conseille d’approfondir les différentes solutions. Sachez tout de meme que bloquer avec

Cipv4.conf.icmp_echo_ignore_all = 1

etait une bonne intuition…et ca vous evite une ligne de plus dans une fichier de config firewall qui est souvent trop volumineux.
Vous pouvez egalement gérer d’autres parametres icmp pour affiner ce que vous souhaiter avoir comme resultat

https://www.kernel.org/doc/html/latest/networking/ip-sysctl.html

#20

Qui ne fonctionnera pas assurément !

PS : Je suis effaré de voir et de lire que pendant deux heures environ, vous avez été plusieurs à (dé)battre de l’utilité ou non, et de la meilleure façon de s’y prendre (parfois) en renvoyant la balle, parfois en ridiculisant l’autre, dans sa manière de faire ou d’être.
Ce comportement indigne déroge aux règles de bon usage du forum, mais aussi et surtout à la Charte du forum, où l’essence même de cette Charte demande à chacun à élever le niveau des discussions. :

Se respecter mutuellement est primordial. Ne pas harceler ou chagriner quelqu’un (…)

Au lieu de cela, fournissez des contre-arguments motivés qui améliorent la conversation .

2 J'aime
#21

Même bloquer de manière indiscriminée la réception des paquets ICMP ECHO REPLY n’est pas une bonne idée.

Par exemple, un serveur DHCP peut envoyer un ping vers une adresse IP afin de vérifier si celle-ci est libre ou non.

Voir https://kb.isc.org/docs/ping-check


AnonymousCoward

3 J'aime
#22

Pas tout à fait, la France est le pays le plus visé en Europe notamment du fait de l’informtisation élevée, de son industrie d’armement et de sa politique. Pour le reste, ça bouge cionstamment, mais ça s’améliore nettement en France avec les investissements derniers. Tu peux regarder par exemple
Cet article.
Quand aux ping, Tu peux faire plein de choses avec: Incorporer une charge (option -p de ping qui m’avait permis de gagner un pari) ou encore faire du morse ou du binaire avec (voir le challenge exfiltration ICMP sur root-me par exemple). Une bonne méthode consiste à limiter le flux des pings voire la taille des paquets.
Sinon pour le reste, ce que tu dis est vrai par exemple on peut écrire dans /proc. Mais l’idée consiste à faire en sorte que tous les réglages faits subsistent aux redémarrages et aux mises à jour d’où une normalisation des méthodes si tu veux modifier qque chose dans /proc. C’est particulièrement important dans la gestion d’un serveur par exemple. Sur une machine perso, ça l’est moins.