Filtrez vous vos Ping / Ping ou pas Ping pour un serveur web ?

scam · Juillet 20, 2019, 7:32pm

Bonjour
Je viens de lire l’article suivant

https://www.itpro.fr/filtrage-de-paquets-et-icmp/

Bien qu’ICMP soit une partie intégrante d’IP, c’est un protocole indépendant et les messages ICMP sont filtrés individuellement des messages IP. Tous les messages ICMP sont utiles (mais pas nécessairement indispensables)
aux opérations de réseau, mais les hackers peuvent également les exploiter presque
tous. Voici quelques suggestions pour vous aider à filtrer les massages ICMP.
Sachez qu’ICMP définit des types et sous-types de messages. Part exemple, le
type de message 3 d’ICMP est Destination Unreachable. Ce message a plusieurs
sous-types précisés par un code : code=0 pour Network Unreachable, code=1 signifie
Hosgt Unreachable et code=3 veut dire Port Unreachable. Assurez-vous bien que
votre firewall permet la finesse nécessaire à la mise en oeuvre aux besoins de
votre politique de sécurité.

Filtrez vous vos PING ?
Avec quelles règles ?

PascalHambourg · Juillet 20, 2019, 8:42am

Cette phrase n’a aucun sens et se contredit elle-même. Le protocole ICMP est totalement imbriqué dans le protocole IP(v4), au point qu’il a fallu en décliner une nouvelle version ICMPv6 pour le protocole IPv6. IP n’existe pas sans ICMP et vice versa. Ce n’est pas pour rien qu’il a le numéro de protocole IP 1. ICMP est donc très différent des protocoles de transport comme TCP ou UDP qui n’ont pas eu besoin d’être adaptés pour IPv6 ou bien à la marge.

Je limite le ping entrant en taille (~100 octets) et en fréquence (~2/s) afin d’en éviter l’abus pouvant causer un déni de service. Cela suffit pour vérifier la connectivité d’une machine.

scam · Juillet 20, 2019, 9:04am

Bon je me lance avec une règle du style :

% nft add rule filter input icmp type echo-request limit rate 2/second burst 12500 kbytes accept