Cum blocam mesajele de tip ICMP (Internet Control Message Protocol)

Configurare noua (How To)

Situatie

In tutorialul de mai jos va voi prezenta cum puteti bloca in timp real, protocolul TCP/IP, numit ICMP sau Internet Control Message Protocol, care desi este un protocol foarte important, el poate fi extrem de vulnerabil la atacurile din exterior.

Ce inseamna Internet Control Message Protocol (ICMP)?

Acest instrument foloseste la semnalizarea si diagnosticarea problemelor din retea. Mesajele ICMP sunt incapsulate in interiorul pachetelor IP trimise de calculatorul vostru. In acest moment, exista mesaje de tip ICMPv4, pentru tipul de adresa IPv4 si ICMPv6, pentru adresele IPv6.

Ca sa va fie un pic mai cunoscut termenul, cele mai cunoscute programe care se bazeaza pe ICMP sunt “Ping” si “Traceroute”.

Ping – transmite mesaje de tip “echo request” – solicitare de ecou catre un calculator tinta si asteapta de la acesta mesaje ICMP de tip “echo reply” – raspuns de ecou. Daca aceste mesaje nu sunt primite, se poate presupune ca exista o problema intre conexiunea dintre cele doua calculatoare.

Toate pachetele IP au in antet un camp denumit TTL (Time To Live – timp de supravietuire). Acest camp este decrementat de fiecare data cand trece prin router. Pentru a evita buclele de rutare, in momentul in care campul TTL ajunge la zero, pachetul nu mai este trimis mai departe. In aceasta situatie, routerul care a decrementat campul TTL la zero, catre calculatorul-origine al pachetului, va trimite un mesaj ICMP de tip time exceeded  (timp expirat/fara raspuns).

Programul traceroute va profita de acest mecanism sau procedura pentru a trimite catre calculatorul tinta, pachete de tip UDP cu valori TTL din ce in ce mai mari, cu scopul de a obtine mesaje de tip time exceeded de la toate routerele aflate pe traseu/pe ruta.

Foarte multe dintre atacurile din exterior se bazeaza pe aceasta relatie de comunicare de mai sus, iar pentru cei ce vor sa fie siguri ca nu ii va putea “pingui” nimeni si nimeni nu le va putea reface rutele de comunicare cu exteriorul, le propun mai jos – o solutie prin care vor putea bloca din Windows Firewall acest set de mesaje ICMP.

Solutie

Pasi de urmat

In Control Panel –> Windows Firewall Console in tabul din stanga ecranului, alegeti Advanced Settings.ctrlpanel_windfw_1

 

inbound_2

Intrati in meniul Inbound Rules.

 

In tabul din dreapta ecranului, veti gasi meniul Actions, creati o noua regula folosind New Rule.

rule_3

custom_rule_4

Alegeti Custom, pentru a crea o regula customizabila. Apoi, faceti click pe Next.

allprogr_5

Lasati bifata, aceasta optiune “All Programs”, care este si optiunea initiala si continuati cu “Next”.

icmpv4_6

Din lista tipurilor de protocol, alegeti ICMPv4 si continuati cu butonul “Customize”.

customize_7

Aici aveti posibilitatea sa blocati doar anumite tipuri de mesaje ICMP sau pe toate, desi va recomand sa va documentati inainte pentru fiecare in parte “ce face si care este impactul”. In cazul de fata, eu le voi lasa pe toate, ceea ce inseamna ca voi bloca toate tipurile de mesaje ICMP.

IP_block_8

In ecranul de mai sus, puteti alege anumite adrese IP care pot fi blocate sau pur si simplu toate adresele IP care incearca sa comunice cu calculatorul vostru. Continuati cu “Next”.

block_9

Blocati toate conexiunile. Continuati cu “Next”.

domains_10

Puteti alege toate domeniile de mai sus sau puteti sa le selectati doar pe cele publice (Public).

Continuati cu “Next” si selectati “Finish” pentru ca regula sa fie aplicata.

Tip solutie

Permanent

Voteaza

(28 din 75 persoane apreciaza acest articol)

Despre Autor

Leave A Comment?