%20no%20deber%C3%ADan%20bloquearse%3F.png)
He investigado mucho sobre esto y descubrí que algunas referencias se contradicen entre sí.
IPV6 Por ejemploRFC4890dice que se deben permitir los siguientes tipos para una funcionalidad óptima:
Tipo 1, 2, 3, 4, 128, 129 y para asistencia a la movilidad también 144, 145, 146 y 147.
Sin embargo estofuenteno menciona que se requirió asistencia de movilidad: (también se omiten los tipos 1 y 4)
Tipo 128, 129, 2, 3 y para NDP y SLAAC 133, 134, 135, 136 y 137
Por otro lado la referencia anterior dijo que NDP y SLAAC no necesitan atención especial, ya queserán eliminados de todos modos. Entonces ¿quién tiene razón? ¿Es mejor permitir que todo lo mencionado por ambas fuentes esté en el lado seguro?
IPV4: Sorprendentemente elreferenciano tiene ninguna recomendación para IPv4, pero el otrofuentedice que los tipos 8, 0, 3 y 11 son necesarios para IPv4. ¿Existe alguna referencia oficial que recomiende qué ICMP de IPv4 deberían permitirse?
ACTUALIZAR: Si bien la respuesta es buena, la encuentro demasiado genérica para aceptarla como una solución real. Si el bloqueo no es la respuesta, entonces el límite de tasa debe ser la forma correcta de proporcionar un nivel de protección. Creo que una respuesta con el ejemplo de código correcto sería más segura.
Respuesta1
No se debe bloquear todo ICMP. No de forma predeterminada, puede ser una lista de denegación en lugar de una lista de permitidos.
Comience limitando la velocidad, pero sin filtrar, ICMP.
LeerRFC 4890 sección 3 en las consideraciones de seguridad esperadas. En particular, redireccione los paquetes desviados, pero el estándar requiere que sean locales, en el enlace. Denegación de servicio en grandes volúmenes, pero a menudo eso puede mitigarse con límites de tarifas. Quizás descubrimiento de anfitriones, pero eso no revela mucho. ICMP no es muy peligroso.