Comment puis-je configurer des ordinateurs exécutant Windows 2000/XP/2003 pour bloquer les paquets Ping ? Windows 2000/XP/2003 dispose d'un mécanisme de sécurité IP intégré appelé IPSec (IP Security). IPSec est un protocole conçu pour protéger les paquets TCP/IP individuels lors de leur transmission sur un réseau.

Nous n’entrerons cependant pas dans les détails du fonctionnement et de la conception d’IPsec, car en plus du chiffrement, IPSec peut également protéger votre serveur ou poste de travail avec un mécanisme similaire à un pare-feu.

Bloquer PING sur un seul ordinateur

Pour bloquer tous les paquets PING depuis et vers un ordinateur, nous devons créer une politique IPSec qui bloquera tout le trafic ICMP. Tout d'abord, vérifiez si votre ordinateur répond aux requêtes ICMP :

Pour configurer un seul ordinateur, nous devons suivre ces étapes :

Configuronsliste des listes de filtres IP et des actions de filtrage

1. Ouvrez une fenêtre MMC (Démarrer > Exécuter > MMC).
2. Ajoutez le composant logiciel enfichable Sécurité IP et gestion des politiques.

1. Sélectionnez quel ordinateur sera contrôlé par cette stratégie - dans notre cas, il s'agit d'un ordinateur local. Cliquez sur Fermer, puis cliquez sur OK.

1. Cliquez avec le bouton droit sur Politiques de sécurité IP dans la moitié gauche de la console MMC. Sélectionnez Gérer les listes de filtres IP et les actions de filtrage.

1. Vous n'avez pas besoin de configurer ou de créer un filtre IP pour ICMP (le protocole dans lequel fonctionne PING), puisqu'un tel filtre existe déjà par défaut - Tout le trafic ICMP.

Cependant, vous pouvez configurer un filtre IP arbitrairement complexe, par exemple interdire le ping de votre ordinateur à partir de toutes les IP, à l'exception de quelques-unes spécifiques. Dans l'un des prochains articles sur IPSec, nous examinerons de plus près la création de filtres IP, restez à l'écoute.

1. Dans la fenêtre Gérer les listes de filtres IP et les actions de filtrage, vérifiez vos filtres et si tout est en ordre, cliquez sur l'onglet Gérer les actions de filtrage. Nous devons maintenant ajouter une action de filtrage qui bloquera certains trafics, cliquez sur Ajouter.

1. Dans la première fenêtre de bienvenue, cliquez sur Suivant.
2. Dans le champ Nom de l'action de filtrage, saisissez Bloquer et cliquez sur Suivant.

1. Dans Options générales de l’action de filtrage, sélectionnez Bloquer, puis cliquez sur Suivant.

1. Revenez à la fenêtre Gérer les listes de filtres IP et les actions de filtrage et vérifiez vos filtres et si tout va bien, cliquez sur Fermer. Vous pouvez ajouter des filtres et des actions de filtrage à tout moment.

L'étape suivante consiste à configurer la stratégie IPSec et à l'appliquer.

Configuration de la politique IPSe

1. Dans la même console MMC, cliquez avec le bouton droit sur Politiques de sécurité IP et sélectionnez Créer une politique de sécurité IP.

1. Ignorez le message d'accueil de l'assistant en cliquant sur Suivant.
2. Dans le champ Nom de la politique de sécurité IP, saisissez un nom approprié au cas, par exemple « Bloquer PING ». Cliquez sur Suivant

1. Dans la fenêtre Demandes de connexion sécurisée, décochez la case Activer la règle de réponse par défaut. Cliquez sur Suivant

1. Cochez la case Modifier les propriétés et cliquez sur Terminer.

1. Nous devons ajouter des filtres IP et des actions de filtrage à la nouvelle politique IPSec. Dans la fenêtre Nouvelle stratégie IPSec, cliquez sur Ajouter

1. Cliquez sur Suivant.
2. Dans la fenêtre Tunnel Endpoint, assurez-vous que la valeur par défaut est sélectionnée et cliquez sur Suivant.

Vous pouvez apprendre à configurer MikroTik dans un cours en ligne sur les équipements de ce fabricant. L'auteur du cours est un formateur certifié MikroTik. Vous pouvez en savoir plus à la fin de l'article.

L'article répond à la question de savoir à quel point il est dangereux de bloquer le trafic ICMP.

ICMP est une pomme de discorde

De nombreux administrateurs réseau estiment que le protocole ICMP (Internet Control Message Protocol) constitue un risque pour la sécurité et doit donc toujours être bloqué. Il est vrai que le protocole présente des problèmes de sécurité associés et que certaines requêtes doivent être bloquées. Mais ce n'est pas une raison. pour bloquer tout le trafic ICMP !

Le trafic ICMP a de nombreuses fonctions importantes ; Certains d’entre eux sont utiles pour le dépannage, tandis que d’autres sont nécessaires au bon fonctionnement du réseau. Vous trouverez ci-dessous quelques parties importantes du protocole ICMP que vous devez connaître. Vous devez réfléchir à la meilleure façon de les acheminer via votre réseau.

Demande d'écho et réponse d'écho

IPv4 – Demande d'écho (Type8, Code0) et réponse d'écho (Type0, Code0)
IPv6 – Demande d'écho (Type128, Code0) et réponse d'écho (Type129, Code0)

Nous savons tous bien que le ping est l’un des premiers outils de dépannage. Oui, si vous activez le traitement des paquets ICMP sur votre matériel, cela signifie que votre hôte est désormais détectable, mais le vôtre n'écoute-t-il pas déjà sur le port 80 et n'envoie-t-il pas des réponses aux demandes des clients ? Bien entendu, bloquez également ces demandes si vous souhaitez vraiment que votre DMZ soit à la périphérie du réseau. Mais en bloquant le trafic ICMP au sein de votre réseau, vous ne renforcerez pas votre sécurité ; au contraire, vous vous retrouverez avec un système avec un processus de dépannage inutilement complexe (« Veuillez vérifier si la passerelle répond aux requêtes du réseau ? », « Non, mais cela ne me dérange pas du tout, parce que je m'en fiche. »

N'oubliez pas que vous pouvez également autoriser les demandes à aller dans une certaine direction ; par exemple, configurez l'équipement pour que les requêtes Echo de votre réseau soient transmises à Internet et les réponses Echo d'Internet à votre réseau, mais pas l'inverse.

Fragmentation des paquets requise (IPv4) / Paquet trop volumineux (IPv6)

IPv4 – (Type3, Code4)
IPv6 – (Type2, Code0)

Ces composants du protocole ICMP sont très importants car ils constituent un composant important de Path MTU Discovery (PMTUD), qui fait partie intégrante du protocole TCP. Permet à deux hôtes d'ajuster la valeur TCP Maximum Segment Size (MSS) à une valeur qui correspond à la plus petite MTU le long du chemin de communication entre les deux destinations. Si sur le chemin des paquets se trouve un nœud avec une unité de transmission maximale plus petite que celle de l'expéditeur ou du destinataire, et qu'il n'a pas les moyens de détecter cette collision, alors le trafic sera discrètement abandonné. Et vous ne comprendrez pas ce qui se passe avec le canal de communication ; en d’autres termes, « de joyeux jours viendront pour vous ».

Ne fragmentez pas – ​​ICMP ne passera pas !

La transmission de paquets IPv4 avec le bit Don't Fragment défini (la plupart d'entre eux !) ou de paquets IPv6 (rappelez-vous qu'il n'y a pas de fragmentation par les routeurs dans IPv6) qui sont trop volumineux pour être transmis via l'interface entraînera l'élimination du paquet par le routeur. et générez une réponse à la source de transmission avec les erreurs ICMP suivantes : Fragmentation requise ( Fragmentation requise), ou Colis trop volumineux ( Paquet aussi Grand). Si les réponses avec ces erreurs ne peuvent pas être renvoyées à l'expéditeur, alors il interprétera l'absence de réponses de confirmation concernant la livraison des paquets ACK ( Reconnaissance) du récepteur en tant que congestion/perte et source de retransmission des paquets qui seront également rejetés.

Il est difficile d'identifier la cause d'un tel problème et de le résoudre rapidement ; le processus de prise de contact TCP fonctionne correctement car il implique de petits paquets, mais dès qu'un transfert de données en masse se produit, la session de transfert se bloque car la source du transfert ne le fait pas. recevoir des messages d'erreur.

Explorer le chemin de livraison des paquets

La RFC 4821 a été conçue pour aider les participants au trafic réseau à contourner ce problème en utilisant l'exploration du chemin des paquets. (Découverte du chemin MTU (PLPMTUD). La norme permet de détecter le maximum de données (Unité de transmission maximale (MTU), qui peut être transmis par le protocole en une seule itération, en augmentant progressivement la taille maximale du bloc de données utile (Taille maximale des segments (MSS), afin de trouver la taille maximale possible d'un paquet sans le fragmenter le long du chemin allant de l'émetteur au récepteur. Cette fonctionnalité réduit la dépendance à la réception rapide des réponses d'erreur via le protocole ICMP (Internet Control Message Protocol) et est disponible dans la plupart des piles de périphériques réseau et des systèmes d'exploitation clients. Malheureusement, elle n'est pas aussi efficace que l'obtention directe de données sur la taille maximale possible. des paquets transmis. Veuillez autoriser ces messages ICMP à revenir à la source de transmission, d'accord ?

Délai de transmission des paquets dépassé

IPv4 – (Type11, Code0)
IPv6 – (Type3, Code0)

Traceroute est un outil très utile pour dépanner les connexions réseau entre deux hôtes, détaillant chaque étape du chemin.

Envoie un paquet avec la durée de vie du paquet de données pour le protocole IP (Le temps de vivre (TTL)égal 1 pour que le premier routeur envoie un message d'erreur (y compris sa propre adresse IP) indiquant que le paquet a dépassé sa durée de vie. Ensuite, il envoie un paquet avec TTL 2 et ainsi de suite. Cette procédure est nécessaire pour détecter chaque nœud le long du chemin du paquet.

NPD et SLAAC (IPv6)

Sollicitation de routeur (RS) (Type133, Code0)
Annonce de routeur (RA) (Type134, Code0)
Sollicitation de voisin (NS) (Type135, Code0)
Annonce de voisin (NA) (Type136, Code0)
Redirection (Type137, Code0)

Alors qu'IPv4 utilisait le protocole de résolution d'adresse (ARP) pour mapper les couches 2 et 3 du modèle de réseau OSI, IPv6 utilise une approche différente sous la forme du protocole de découverte de voisin (NDP). NDP fournit de nombreuses fonctionnalités, notamment la découverte de routeurs, la découverte de préfixes, la résolution d'adresses, etc. En plus du NDP, StateLess Address AutoConfiguration (SLAAC) vous permet de configurer dynamiquement un hôte sur un réseau, similaire au concept du Dynamic Host Configuration Protocol (DHCP) (bien que DHCPv6 soit destiné à un contrôle plus granulaire).

Ces cinq types de messages ICMP ne doivent pas être bloqués au sein de votre réseau (en ignorant le périmètre extérieur) pour que le protocole de transfert de données IP fonctionne correctement.

Numérotation des types ICMP

Le protocole ICMP (Internet Control Message Protocol) contient de nombreux messages identifiés par le champ « type ».

Taper	Nom	Spécification
0	Réponse d'écho
1	Non attribué
2	Non attribué
3	Destination indisponible
4	Extinction de la source (obsolète)
5	Réorienter
6	Adresse hôte alternative (obsolète)
7	Non attribué
8	Écho
9	Publicité du routeur
10	Sollicitation de routeur
11	Temps dépassé
12	Problème de paramètre
13	Horodatage
14	Réponse d'horodatage
15	Demande d'informations (obsolète)
16	Réponse d'information (obsolète)
17	Demande de masque d'adresse (obsolète)
18	Réponse du masque d'adresse (obsolète)
19	Réservé (pour la sécurité)	Solo
20-29	Réservé (pour l'expérience de robustesse)	ZSu
30	Traceroute (obsolète)
31	Erreur de conversion de datagramme (obsolète)
32	Redirection d'hôte mobile (obsolète)	David_Johnson
33	IPv6 Où es-tu (obsolète)
34	IPv6 Je-suis-ici (obsolète)
35	Demande d'inscription mobile (obsolète)
36	Réponse d'inscription mobile (obsolète)
37	Demande de nom de domaine (obsolète)
38	Réponse du nom de domaine (obsolète)
39	SAUTER (obsolète)
40	Photoris
41	Messages ICMP utilisés par des protocoles de mobilité expérimentaux tels que Seamoby
42	Demande d'écho étendue
43	Réponse d'écho étendue
44-252	Non attribué
253	Expérience 1 de style RFC3692
254	Expérience 2 de style RFC3692
255	Réservé

Quelques mots sur les limitations de vitesse

Bien que les messages ICMP comme ceux décrits dans cet article puissent être très utiles, n'oubliez pas que la génération de tous ces messages prend du temps CPU sur vos routeurs et génère du trafic. Pensez-vous vraiment que vous recevrez 1 000 pings par seconde à travers votre pare-feu dans une situation normale ? Est-ce que cela sera considéré comme un trafic normal ? Probablement pas. Limitez la bande passante réseau pour ces types de trafic ICMP comme bon vous semble ; cette étape peut vous aider à sécuriser votre réseau.

Lire, rechercher et comprendre

Considérant que discuter du sujet « bloquer ou ne pas bloquer » les paquets ICMP conduit toujours à de la confusion, des différends et des désaccords, je suggère de continuer à étudier ce sujet par vous-même. J'ai fourni de nombreux liens sur cette page ; je pense que pour une compréhension plus complète des problèmes, vous devriez passer du temps à les lire. Et faites des choix éclairés sur ce qui fonctionne le mieux pour votre réseau.

MikroTik : où cliquer pour que ça marche ?
Malgré tous ses avantages, les produits MikroTik présentent un inconvénient : il existe de nombreuses informations dispersées et pas toujours fiables sur sa configuration. Nous recommandons une source fiable en russe, où tout est collecté, logiquement et structuré - cours vidéo " Mise en place de l'équipement MikroTik" Le cours comprend 162 leçons vidéo, 45 travaux de laboratoire, des questions d'auto-test et des notes. Tous les matériaux restent avec vous indéfiniment. Vous pouvez regarder gratuitement le début du cours en laissant une demande sur la page du cours. L'auteur du cours est un formateur certifié MikroTik.

Les utilisateurs sont souvent agacés par la lenteur d’Internet. Cela s'applique particulièrement à la grande armée de fans de jeux en ligne. Vous pouvez réduire les retards potentiels en désactivant la fonction ping.

Vous aurez besoin

• - PC avec système d'exploitation Windows installé ;
• - Accès Internet.

Instructions

Entrez dans le menu Démarrer du système d'exploitation Windows en cliquant sur le bouton correspondant dans le coin gauche de la barre des tâches. Certains périphériques d'entrée disposent d'une touche du logo Windows, sur laquelle vous pouvez appuyer pour accéder au menu principal du système d'exploitation directement à partir du clavier.

Ouvrez la section « Panneau de configuration », activez le menu « Pare-feu Windows » et dans la boîte de dialogue allez dans l'onglet « Avancé ». Cliquez sur le bouton Paramètres ICMP et désélectionnez l’option « Autoriser les demandes d’écho entrantes » en décochant l’élément de menu correspondant. Enregistrez les modifications que vous avez apportées dans les paramètres en cliquant sur le bouton « Ok ».

Utilisez l'application IPSec intégrée pour bloquer les paquets ping entrants et sortants. Cliquez sur le bouton "Démarrer" et, si vous utilisez le système d'exploitation Windows 7, saisissez mmc dans la barre de recherche. Si vous possédez des ordinateurs exécutant Windows XP, entrez la même valeur dans la ligne « Exécuter ». Cliquez sur l'élément « Ouvrir » ou appuyez sur la touche Entrée.

Confirmez votre choix et dans la fenêtre des applications, allez dans le menu Fichier. Sélectionnez la fonction « Ajouter/Supprimer un composant logiciel enfichable » et activez l'utilitaire « Sécurité IP et gestion des politiques ». Cochez la case « Ordinateur local » et terminez l'assistant en cliquant sur le bouton Fermer.

Appuyez sur la touche droite du manipulateur et appelez le menu contextuel. Désignez la commande « Gérer les listes de filtres IP et les actions de filtrage » et activez l'élément « Tout le trafic ICMP ». Allez dans la section « Gérer les actions de filtrage », cliquez sur le bouton Suivant et cochez la case « Bloquer ». Confirmez vos paramètres et fermez la boîte de dialogue.

Dans le menu contextuel « Politiques de sécurité IP », activez la commande « Créer une politique de sécurité IP ». Spécifiez l'élément « Bloquer le ping » dans le champ correspondant de l'assistant de création de politique qui s'ouvre. Décochez la case à côté de « Activer la règle de réponse par défaut » et sélectionnez l'élément « Modifier les propriétés ». Enregistrez vos paramètres et fermez la fenêtre de l'assistant.

Astuce ajoutée le 25 janvier 2012 Astuce 2 : Comment désactiver le ping La fonction ping permet de vérifier la disponibilité des ressources Internet en envoyant un paquet d'une certaine taille à l'hôte utilisé. Celui-ci mesure le temps de retour des données pour déterminer la vitesse de connexion. Cette fonctionnalité est désactivée par les fans de jeux en ligne pour réduire le temps de latence.

Instructions

Ouvrez le menu Démarrer de Windows, le bouton se trouve dans le coin gauche de la barre des tâches. Également sur certains claviers, il y a un bouton avec une image d'une fenêtre Windows, en cliquant sur lequel vous pouvez lancer le menu principal. Allez dans la section « Panneau de configuration » et allez dans le menu « Pare-feu Windows ». Cliquez sur l'onglet "Avancé" dans la boîte de dialogue qui s'ouvre.

Recherchez le bouton Paramètres ICMP et cliquez dessus, puis décochez la case à côté de « Autoriser les demandes d'écho entrantes ». Après cela, cliquez sur le bouton « Ok » en bas de la fenêtre pour enregistrer les paramètres spécifiés. Après cela, vous devez utiliser l'application IPSec intégrée pour bloquer les paquets ping entrants et sortants.

Cliquez sur le bouton "Démarrer" et saisissez mmc dans la barre de recherche (pour Windows 7) ou dans la ligne "Exécuter" (pour Windows XP). Cliquez sur le bouton Ouvrir ou sur la touche Entrée. Confirmez la commande et ouvrez le menu Fichier dans la fenêtre Applications. Sélectionnez la fonction « Ajouter/Supprimer un composant logiciel enfichable » et ajoutez l'utilitaire « Sécurité IP et gestion des politiques ». Dans le champ « Ordinateur local », cochez la case et cliquez sur le bouton Fermer pour terminer l'assistant.

Faites un clic droit sur la ligne « Politiques de sécurité IP » pour faire apparaître le menu contextuel. Sélectionnez la commande « Gérer les listes de filtres IP et les actions de filtrage » et cochez la case « Tout le trafic ICMP ». Après cela, accédez à la section « Gérer les actions de filtre ». Cliquez sur le bouton Suivant et cochez la case à côté de « Bloquer ». Confirmez le paramètre et fermez la boîte de dialogue.

Sélectionnez la commande "Créer une politique de sécurité IP" dans le menu contextuel "Politiques de sécurité IP". L'assistant de création de stratégie s'ouvrira, dans lequel spécifier « Bloquer le ping » dans le champ approprié. Décochez les cases à côté de « Activer la règle de réponse par défaut » et cochez les cases à côté de « Modifier les propriétés ». Enregistrez les paramètres et fermez la fenêtre de l'assistant.

Comment désactiver le ping - version imprimable

Continuons donc à nous occuper des ACL. Cette fois, nous avons étendu les ACL. Nous reprendrons la topologie de l'article précédent, j'espère que vous l'avez étudiée à fond. Si ce n'est pas le cas, je vous recommande fortement de le lire afin que les éléments contenus dans cet article soient plus compréhensibles.

Tout d’abord, je vais commencer par ce que sont les ACL étendues. Les ACL étendues vous permettent de spécifier le protocole, l'adresse de destination et les ports en plus de l'adresse source. Ainsi que des paramètres spéciaux d'un certain protocole. Il est préférable d’apprendre à partir d’exemples, alors créons une nouvelle tâche, compliquant la précédente. À propos, quelqu'un pourrait être intéressé par les problèmes de répartition du trafic par priorité après cela ; je recommande un bon article sur la classification et le marquage de la qualité de service, bien qu'en anglais. Bon, pour l'instant, revenons à notre tâche :

Tâche.

1. Autoriser les demandes d'écho des hôtes réseau 192.168.0.0/24 vers le serveur.
2. Depuis le serveur – interdire les demandes d’écho vers le réseau interne.
3. Autoriser l'accès WEB au serveur à partir du nœud 192.168.0.11.
4. Autorisez l'accès FTP de l'hôte 192.168.0.13 au serveur.

Tâche complexe. Nous le résoudrons également de manière globale. Tout d’abord, je vais examiner la syntaxe d’utilisation d’une ACL étendue.

Options ACL étendues

<номер от 100 до 199> <действие permit, deny> <протокол> <источник> <порт> <назначение> <порт> <опции>

Les numéros de port ne sont bien entendu indiqués que pour les protocoles TCP/UDP. Il peut aussi y avoir des préfixes équip(numéro de port égal à celui spécifié), gt/lt(le numéro de port est supérieur/inférieur à celui spécifié), néq(le numéro de port n'est pas égal à celui spécifié), gamme(plage de ports).

Listes de contrôle d'accès nommées

D'ailleurs, les listes d'accès peuvent non seulement être numérotées, mais aussi nommées ! Peut-être que cette méthode vous semblera plus pratique. Cette fois, c’est exactement ce que nous ferons. Ces commandes sont exécutées dans le cadre d'une configuration globale et la syntaxe est :

Routeur (config) #ip access-list étendue<имя>

Alors, commençons à élaborer les règles.

1. Autoriser les pings du réseau 192.168.0.0/24 au serveur. Donc, écho-les requêtes sont un protocole ICMP, nous sélectionnerons notre sous-réseau comme adresse source, l’adresse du serveur comme adresse de destination, le type de message – sur l’interface entrante écho, en sortie – réponse d'écho. Router(config)#ip access-list extend INT_IN Router(config-ext-nacl)#permit icmp 192.168.0.0 0.0.0.255 host 10.0.0.100 echo Oups, quel est le problème avec le masque de sous-réseau ? Oui, c'est une astuce Liste de contrôle d'accès. Le soi-disant Carte générique-masque. Il est calculé comme le masque inverse du masque habituel. Ceux. 255.255.255.255 – masque de sous-réseau. Dans notre cas, le sous-réseau 255.255.255.0 , après soustraction, ce qui reste est juste 0.0.0.255 .Je pense que cette règle n’a pas besoin d’explication ? Protocole IMP, adresse source – sous-réseau 192.168.0.0/24 , adresse de destination – hôte 10.0.0.100, type de message – écho(demande). D’ailleurs, il est facile de remarquer que hôte 10.0.0.100équivalent 10.0.0.100 0.0.0.0 .Nous appliquons cette règle à l’interface. Routeur (config)#int fa0/0
   Router(config-if)#ip access-group INT_IN dans Eh bien, quelque chose comme ça. Maintenant, si vous vérifiez les pings, il est facile de voir que tout fonctionne bien. Ici cependant, une surprise nous attend, qui apparaîtra un peu plus tard. Je ne le révélerai pas encore. Qui l'a deviné - bravo !
2. Depuis le serveur – nous interdisons toutes les demandes d’écho vers le réseau interne (192.168.0.0/24). Nous définissons une nouvelle liste nommée, INT_OUT, et l'attachons à l'interface la plus proche du serveur.
   Routeur (config) #ip access-list étendu INT_OUT
   Routeur (config-ext-nacl) #deny hôte icmp 10.0.0.100 192.168.0.0 0.0.0.255 écho
   Routeur (config-ext-nacl)#exit
   Routeur(config)#int fa0/1
   Routeur (config-if) #ip access-group INT_OUT dans
   Laissez-moi vous expliquer ce que nous avons fait. Création d'une liste d'accès étendue avec le nom INT_OUT, désactivant le protocole qu'elle contient IMP avec type écho de l'hôte 10.0.0.100 par sous-réseau 192.168.0.0/24 et appliqué à l'entrée de l'interface fa0/1, c'est-à-dire le plus proche du serveur. Nous essayons d'envoyer pinger du serveur.
   SERVEUR>ping 192.168.0.11
   Ping 192.168.0.11 avec 32 octets de données :
   
   Réponse de 10.0.0.1 : Hôte de destination inaccessible.
   Réponse de 10.0.0.1 : Hôte de destination inaccessible.
   Réponse de 10.0.0.1 : Hôte de destination inaccessible.
   Statistiques ping pour 192.168.0.11 :
   Paquets : envoyés = 4, reçus = 0, perdus = 4 (perte de 100 %)
   Eh bien, cela semblait fonctionner comme il se doit. Pour ceux qui ne savent pas envoyer des pings, cliquez sur le nœud qui nous intéresse, par exemple un serveur. Allez dans l’onglet Bureau, là-bas Invite de commandes. Et maintenant, la blague promise. Essayez d'envoyer un ping depuis l'hôte, comme au premier point. PC>ping 10.0.0.100
   Ping 10.0.0.100 avec 32 octets de données :
   La demande a expiré.
   La demande a expiré.
   La demande a expiré.
   La demande a expiré.

   En voici un pour vous. Tout a fonctionné ! Pourquoi ça s'est arrêté ? C'est la surprise promise. J'explique quel est le problème. Oui, la première règle n’a pas disparu. Il permet d'envoyer une demande d'écho au nœud serveur. Mais où est l’autorisation de transmettre des réponses d’écho ? Il est parti ! Nous envoyons une demande, mais nous ne pouvons pas accepter de réponse ! Pourquoi tout fonctionnait avant ? Nous n’avions pas d’ACL sur l’interface à l’époque. fa0/1. Et comme il n’y a pas d’ACL, alors tout est permis. Vous devrez créer une règle pour autoriser la réception des réponses icmp.

   Ajouter à la liste INT_OUT

   Ajoutons la même chose à la liste INT_IN.

   Routeur (config-ext-nacl) #permit hôte icmp 10.0.0.100 192.168.0.0 0.0.0.255 réponse d'écho

   Maintenant, ne vous plaignez pas. Tout va très bien !

3. Nous autorisons l'accès WEB au serveur depuis le nœud *.11. Nous faisons de même ! Ici, cependant, vous devez en savoir un peu plus sur la façon dont les appels se produisent via les protocoles de couche 4 (TCP, UDP). Le port client est sélectionné arbitrairement > 1024, et le port serveur est sélectionné correspondant au service. Pour le WEB, il s'agit du port 80 (protocole http). Et le serveur WEB ? Par défaut, le service WEB est déjà installé sur le serveur, vous pouvez le voir dans les paramètres du nœud. Assurez-vous qu'il y a une coche. Et vous pouvez vous connecter au serveur en sélectionnant le raccourci « Navigateur Web » sur le « Bureau » de n'importe quel nœud. Bien entendu, il n’y aura plus d’accès désormais. Parce que nous avons des ACL sur les interfaces du routeur et qu’elles n’ont aucune règle d’autorisation d’accès. Eh bien, créons une liste d'accès INT_IN (qui se trouve sur l'interface fa0/0) ajoutez la règle : Router(config-ext-nacl)#permit tcp host 192.168.0.11 gt 1024 host 10.0.0.100 eq 80 Autrement dit, nous autorisons le protocole TCP de notre hôte (port arbitraire, > 1024) à l'adresse du serveur , port HTTP.

   Et bien sûr, la règle inverse se trouve dans la liste INT_OUT (qui se trouve sur l'interface fa0/1):

   Routeur (config-ext-nacl) #permit hôte TCP 10.0.0.100 eq 80 hôte 192.168.0.11 établi

   Autrement dit, nous autorisons TCP du port 80 serveurs par hôte *.11 , et la connexion devrait déjà être établie ! Peut-être à la place établi indiquer la même chose GT1024, fonctionnera tout aussi bien. Mais le sens est un peu différent.

   Répondez dans les commentaires, qu'est-ce qui serait plus sûr ?

4. Nous autorisons l’accès FTP depuis un nœud *.13 au serveur. Ce n’est également absolument rien de compliqué ! Voyons comment l’interaction se produit via le protocole FTP. À l'avenir, je prévois de consacrer toute une série d'articles au travail de différents protocoles, car cela est très utile pour créer des règles ACL (sniper) précises. Bon, pour l'instant : Actions serveur et client :+ Le client tente d'établir une connexion et envoie un paquet (qui contient une indication qu'il fonctionnera en mode passif) au port 21 du serveur depuis son port X (X > 1024, port libre) + Le serveur envoie une réponse et rapporte son numéro de port pour former un canal de données Y (Y > 1024) au port client X, extrait de l'en-tête du paquet TCP.+ Le client initie une communication pour transférer les données sur le port X+1 vers le port Y du serveur (extraites de l'en-tête de la transaction précédente). Quelque chose comme ça. Cela semble un peu compliqué, mais il vous suffit de comprendre ! Ajoutez les règles à la liste INT_IN :

   permettre l'hôte TCP 192.168.0.13 gt 1024 hôte 10.0.0.100 eq 21
   autorisation TCP hôte 192.168.0.13 gt 1024 hôte 10.0.0.100 gt 1024

   Et ajoutez des règles à la liste INT_OUT :

   autoriser l'hôte TCP 10.0.0.100 eq hôte FTP 192.168.0.13 gt 1024
   autoriser l'hôte TCP 10.0.0.100 gt 1024, l'hôte 192.168.0.13 gt 1024

   Nous vérifions depuis la ligne de commande avec la commande FTP 10.0.0.100, où nous nous connectons en utilisant nos informations d'identification cisco:cisco(extrait des paramètres du serveur), entrez la commande ici dir et nous verrons que les données, ainsi que les commandes, sont transmises avec succès.

C'est à peu près tout ce qui concerne les listes d'accès étendues.

Alors, regardons nos règles :

Accès au routeur#sh
Liste d'accès IP étendue INT_IN
permis icmp 192.168.0.0 0.0.0.255 hôte 10.0.0.100 echo (17 correspondance(s))
autoriser l'hôte icmp 10.0.0.100 192.168.0.0 0.0.0.255 réponse d'écho
permis TCP hôte 192.168.0.11 gt 1024 hôte 10.0.0.100 eq www (36 correspondance(s))
permettre l'hôte TCP 192.168.0.13 gt 1024 hôte 10.0.0.100 eq ftp (40 correspondance(s))
permis TCP hôte 192.168.0.13 gt 1024 hôte 10.0.0.100 gt 1024 (4 correspondance(s))
Liste d'accès IP étendue INT_OUT
refuser l'hôte icmp 10.0.0.100 192.168.0.0 0.0.0.255 echo (4 correspondance(s))
permit icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo-reply (4 correspondance(s))
permis TCP hôte 10.0.0.100 eq www hôte 192.168.0.11 établi (3 correspondance(s))
permettre l'hôte TCP 10.0.0.100 eq hôte FTP 192.168.0.13 gt 1024 (16 correspondance(s))
permis TCP hôte 10.0.0.100 gt 1024 hôte 192.168.0.13 gt 1024 (3 correspondance(s))

Le blocage des réponses ping dans le système d'exploitation peut empêcher les attaques par inondation de paquets ICMP, mais la plupart des systèmes utilisent ce service pour la surveillance en ligne (surveillance du système). Dans mon sujet « Bloquer les réponses Ping (ICMP) sous Unix/Linux », je vais vous expliquer comment vous pouvez toujours le désactiver.

Bloquer PING sur un serveur est utile si le serveur est constamment confronté à une sorte d'attaque DoS utilisant la fonction PING. Lorsque vous utilisez IPTables, nous pouvons simplement arrêter de bloquer le passage des paquets ICMP (en fait, bloquer PING) vers le serveur. Avant de commencer, vous devez avoir une idée de ce que sont Iptables sous Linux. Iptables est un système de pare-feu doté d'un ensemble de règles qui contrôlent les paquets entrants et sortants. Par défaut, Iptables fonctionne sans aucune règle, vous pouvez créer, ajouter, modifier des règles.

Désactiver Ping à l'aide d'iptables

Une explication de certains des paramètres d'iptables nécessaires pour créer des règles de contrôle de paquets ICMP :

R : Ajoute des règles.
-D : Supprime la règle de la table.
-p : Option pour spécifier le protocole (où 'icmp').
--icmp-type : option pour spécifier le type.
-J : Allez à la chaîne.

Ci-dessous, je vais donner des exemples clairs.

Comment bloquer PING sur un serveur avec des messages d'erreur ?
Ainsi, vous pouvez bloquer partiellement PING avec le message d'erreur « Destination Port Unreachable ». Ajoutez les règles Iptables suivantes pour bloquer PING avec un message d'erreur :

# iptables -A INPUT -p icmp --icmp-type echo-request -j REJECT

Bloc PING sur le serveur sans aucun message d'erreur.
Pour ce faire, utilisez la commande pour IPtabels :

# iptables -A OUTPUT -p icmp --icmp-type echo-request -j DROP # iptables -A INPUT -p icmp --icmp-type echo-reply -j DROP

Bloque tous les paquets ICMP entrants et sortants sur le serveur.

Autoriser Ping en utilisant iptables

Si vous avez bloqué le ping sur le serveur et que vous ne savez pas comment le récupérer. Maintenant, je vais vous dire comment procéder. Cela se fait en ajoutant la règle suivante à IPtables :

# iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT # iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

Ces règles permettront le passage des paquets ICMP depuis et vers le serveur.

Bloquer Ping avec les paramètres du noyau

Nous pouvons également bloquer les réponses ping directement avec les paramètres du noyau. Vous pouvez bloquer les réponses ping temporairement ou définitivement et ci-dessous montre comment procéder.

Bloquer temporairement Ping
Vous pouvez bloquer temporairement les réponses ping à l'aide de la commande suivante

# écho "1" >

Pour débloquer cette commande, exécutez ce qui suit :

# echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all

Refuser complètement Ping
Vous pouvez bloquer les réponses ping en ajoutant le paramètre suivant au fichier de configuration :

# vim /etc/sysctl.conf

Et écris :

[...] net.ipv4.icmp_echo_ignore_all = 1 [...]

sysctl est utilisé pour modifier les paramètres du noyau au moment de l'exécution, l'un de ces paramètres pourrait être "ping démon", si vous souhaitez désactiver le ping alors il vous suffit de faire quelque chose comme :

# sysctl -w net.ipv4.icmp_echo_ignore_all=1

Maintenant, essayez d'envoyer une requête ping à la machine, il n'y a pas de réponse, n'est-ce pas ? Pour réactiver le ping, utilisez :

# sysctl -w net.ipv4.icmp_echo_ignore_all=0

Le drapeau W est utilisé si vous souhaitez modifier certains paramètres.

Exécutez maintenant la commande suivante pour appliquer immédiatement les paramètres sans redémarrer le système :

#sysctl -p

# sysctl --système

Voici ma configuration complète :

# cd /usr/local/src && wget http://site/wp-content/uploads/files/sysctl_conf.txt

et ensuite tu peux faire :

# cp /usr/local/src/sysctl_conf.txt /etc/sysctl.conf

C'est tout pour moi, le sujet « Réponses Block Ping (ICMP) sous Unix/Linux » est terminé.