Zakazovat ICMP?

nosek_tomas2004

Ahoj, krásný večer,
už párkrát jsem zde zmiňoval, že jsem momentálně student VUT FEKT - konkrétně obor "Teleinformatika". Ale všechny svoje znalosti jsem si získal sám jako samouk a proto jsem šel ten obor studovat. Že bych se tedy něco extra zatím dozvěděl se moc říct nedá 🥲. Mým hlavním zdrojem znalostí je praxe a hojně i zdejší fórum (stará témata atd.)

Každopádně - konečně začínáme mít nějaké předměty co se sítím věnují a v rámci architektury sítí první informace, kterou jsem na přednášce slyšel (a ne jednou) je, že důrazně doporučuje na všech routerech atd. zakazovat přijímat a odpovídat na ICMP atd.; celé ICMP zakázat . Osobně mám ale zkušenost, že většinou se naopak doporučuje naopak ICMP nechat povolené a i když se člověk podívá někam do internetu, tak většina uzlů normálně na ICMP odpovídá.

Tak se chci zeptat, zda vy osobně ICMP zakazujete, nebo necháváte povolené (jestli já žiju v blbé představě a jsem mimo mísu, nebo naopak 😅). Samozřejmě vím, že jsou specifické případy, kdy se hodí zakázat, ale že bych proaktivně ICMP zakazoval to ne, spíš mu ve FW uděluji výjimku (navíc nejde jenom PING/Echo, ale i o ostatní případy, kdy se přes ICMP dává vědět o růnzých událostech, stavech)

Pokud zakazujete, tak proč?

Případně budu moc rád za nějaké návrhy/náměty k zamyšlení.

Děkuju moc!

jcltm

nosek_tomas2004 Že bych se tedy něco extra zatím dozvěděl se moc říct nedá 🥲. Mým hlavním zdrojem znalostí je praxe a hojně i zdejší fórum (stará témata atd.)

Měl jsem podobné pocity ze začátku, ale neboj, v dalších semestrech a hlavně na Ing. už bude studium úplně o něčem jiném než první rok/dva.

pelirob

nosek_tomas2004 Možná bych do ankety přidal ještě jednu odpověď: "Nechávám povolené jen pro vybrané adresy"

basty

jcltm já jsem teda nějaký progres nezaznamenal. Nejlepší bylo praktikum ze sítí

Sworfy

icmp povoluji v rámci dohledu/diagnostiky funkčnosti klienta, ale zároveň chápu, že může mít někdo obavy o bezpečnost, či to u znalejších klientů může vyvolávat otázky

miract

Nechat povolené jen určitý počet odpovědí za čas z jedné zdrojové IP.

lacosta

ICMP nechat povolene a ked tak bloknut maximalne echo reply. Ten protokol ma nejaky dovod po trase aby fungoval, MTU atd. atd.

vecino

OT: Hlavně neblokovat ICMPv6, pak se člověk nestačí divit jak IPv6 kraví nebo nejde vůbec. 😀

selic

U klientů je vhodné IPv4 ICMP z WAN zablokovat. Spousta lidí má free verzi AVASTu nebo AVG a pravidelně je to prudí, že jejich "IP je veřejná" ať to vyřeší koupí placené verze.

iTomB

selic Avast bych zakazal, jeden cas psal, nefunguje ti internet? Resetuj modem 😃 no a schvalne co se stalo 😃

m4rk3J

iTomB To je jak O2 podpora X let zpět.. no resetujte modem do továrka.. jo ono to nepomohlo? Jejda, no my tu vlastně vidíme výpadek u nás.. jo a vám to přestalo vysílat WiFi? No tak technik Vám to za poplatek nastaví.

Komedie.

jcltm

iTomB Stejně to akorát krade osobní data, obtěžuje to a nechrání to o nic víc než Defender co je ve Windows. První co vždycky likviduju spolu s CCleanerem a dalšími zloději dat a zpomalovači počítače.

Sworfy

m4rk3J Smutny ze tyto praktiky semtam funguji jeste dnes, pripadne to ma valna vetsina klientu zazity, a pak ti volaj ze se jim ztratila wifi a net nejde