Cómo filtrar correctamente el tráfico ICMP en Cisco IOS

Índice de Contenido
  1. Introducción
  2. ¿Qué es el ICMP?
  3. ¿Cuáles son los problemas de seguridad con el tráfico ICMP?
  4. ¿Cómo filtro el tráfico ICMP?
  5. Tenga cuidado con el ICMP

Introducción

El Control de Mensajes de Protocolo de Internet (ICMP, por sus siglas en inglés) no es TCP ni UDP. Sin embargo, el ICMP es fundamental para la funcionalidad de cualquier red IP, como la red corporativa o Internet. Aunque el ICMP es necesario para la redirección de tráfico IP y para hacer ping a hosts en su LAN o WAN, también puede plantear un problema de seguridad. En este artículo, aprenderá los conceptos básicos del ICMP y cómo filtrarlo correctamente en Cisco IOS.

¿Qué es el ICMP?

El Protocolo de Control de Mensajes de Internet (ICMP) se basa en RFC 792 y se utiliza para enviar mensajes de error y diagnóstico de redes IP. Se ha mencionado que el ICMP es el protocolo de gestión de las redes IP. Esto es básicamente cierto, ya que el ICMP se utiliza para comunicar cosas como "host no disponible" y otros errores. El ICMP es más conocido por ser utilizado para hacer ping a un host en su red. Dependiendo de la versión de traceroute utilizada, el ICMP puede o no utilizarse también para traceroute.

Aunque muchos de nosotros simplemente asociamos el ICMP con el "ping", en realidad hay mucho más que saber al respecto. De hecho, existen 42 tipos de tráfico ICMP (se pueden ver cada uno de ellos en el sitio de parámetros ICMP de la IANA). Por ejemplo, para que un ping funcione, su host debe poder enviar un eco ICMP (tipo 8); el host al que está haciendo ping debe poder recibir el eco; ese host debe poder enviar una respuesta de eco ICMP (tipo 0); y su host debe poder recibirlo para que su programa de ping pueda responder que el host está activo (y el tiempo de ida y vuelta de ese ping). Al igual que UDP, el tráfico ICMP es un protocolo no confiable sin entrega garantizada.

¿Cuáles son los problemas de seguridad con el tráfico ICMP?

En la LAN típica con un "núcleo blando", el tráfico ICMP suele estar sin restricciones. Dependiendo del nivel de seguridad de la red interna que requiera, es posible que desee filtrar el tráfico ICMP en su LAN entre subredes (independientemente de Internet). Como el tráfico ICMP de un atacante malicioso se puede utilizar para derribar su red, es necesario filtrar estrictamente el tráfico ICMP cuando ingresa desde Internet y, tal vez, cuando sale hacia Internet también.

El tráfico ICMP se puede utilizar no solo para descubrir hosts en su red, sino también para inundar su red con tráfico. Al no restringir el tipo y flujo de tráfico ICMP desde Internet, aumenta la posibilidad de un ataque de denegación de servicio (DoS) al permitir que el tráfico ICMP inunde su red y afecte el servicio a todo el tráfico de red de los servidores.

Para prevenir este tipo de ataques, existen diversas soluciones. Comúnmente, el tráfico ICMP se filtra con un cortafuegos. Ese cortafuegos podría ser un Cisco PIX, ASA o un router Cisco IOS. Ahora, veamos cómo se puede filtrar el tráfico ICMP con ACL en Cisco IOS.

La verdad detrás del inicio de Streem: el pasado oscuro que no te contaron

¿Cómo filtro el tráfico ICMP?

Cuando se crean ACL en Cisco IOS, muchos administradores comienzan con:

access-list 101 deny ip …

o

access-list 101 deny tcp …

Aunque estas pueden ser las dos formas más comunes de filtrar el tráfico de red con ACL extendidas de Cisco IOS, ninguna de estas funcionará para filtrar ICMP. Además, ninguna lista de acceso estándar funcionará específicamente para ICMP.

Para filtrar el tráfico ICMP, es necesario utilizar una lista de acceso extendida y comenzar con algo como esto:

Twitter se convierte en objetivo para el malware según usuarios australianos

access-list 101 deny icmp …

Puede ver todas las opciones de filtrado ICMP que se pueden utilizar con una ACL de Cisco IOS siguiendo el enlace.

Filtrar tanto el tráfico ICMP entrante como saliente hacia su red y hacia Internet es importante, pero el más importante de los dos es filtrar adecuadamente el tráfico ICMP entrante para proteger su red.

Proteger una red contra ataques no es tan simple como agregar algunas listas de acceso a la red. De hecho, existen libros enteros que se pueden comprar (como "Network Security Technologies and Solutions" de Cisco Press); existen guías que se pueden descargar (como la "Guía de seguridad de enrutadores NSA"); y existen certificaciones que se pueden obtener (como el CCSP de Cisco). Digo esto porque las siguientes ACL de filtrado de ICMP entrante son ejemplos de cómo filtrar ICMP para bloquear cierto tráfico, pero no necesariamente son las únicas que "asegurarán su red".

En el siguiente ejemplo de filtrado de ACL entrante, estamos filtrando el eco ICMP, redirecciones y solicitudes de máscara, al permitir otros tipos:

Router(config)# access-list 100 deny icmp any any echo log
Router (config)# access-list 100 deny icmp any any redirect log
Router (config)# access-list 100 deny icmp any any mask-request log
Router (config)# access-list 100 permit icmp any 1.1.1.0 0.0.0.255

Por supuesto, la ACL debe aplicarse a su interfaz en la dirección de "entrada".

No hay nada que hacer: la realidad de un impresora dañada por incendio

También puede usar una ACL ICMP para limitar el tráfico ICMP que podría causar un ataque DoS. Aquí hay un ejemplo de la Guía de Configuración de Seguridad de Enrutadores Cisco de la NSA:

Router(config)# access-list 131 permit icmp any any echo
Router(config)# access-list 131 permit icmp any any echo-reply
Router(config)# interface eth0/0
Router(config-if)# rate-limit output access-group 131
16000 8000 8000 conform-action continue exceed-action drop

En este ejemplo, cualquier tráfico ICMP de eco o eco-respuesta se permitirá hasta que exceda los 16K, momento en el que se descartará.

Tenga cuidado con el ICMP

El tráfico ICMP es crítico para la red, pero también puede causar problemas de seguridad si se utiliza contra su red por un atacante malintencionado. En este artículo, aprendió qué es ICMP, cómo puede ayudarlo y cómo filtrar ICMP para evitar agujeros de seguridad y ataques DoS.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre General, allí encontraras muchos artículos similares a Cómo filtrar correctamente el tráfico ICMP en Cisco IOS , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.