Routery domowe mają różne interfejsy, z jednej strony mamy interfejs LAN i WLAN, gdzie łączymy cały sprzęt w domowej sieci lokalnej, odpowiednio kablem lub przez Wi-Fi. Mamy też interfejs WAN, który jest portem internetowym i który jest powiązany z publicznym adresem IP. Dobrym sposobem na pozostanie „ukrytym” w Internecie jest zablokowanie dowolnego typu żądania ICMP i nie odpowiadanie na nie. W ten sposób, jeśli ktoś wykona typowy „ping” na nasz adres IP, nie odpowie i będzie musiał wykonać Skanowanie portów w celu sprawdzenia, czy host (nasz router) działa.
Normalnie zapora zorientowane systemy operacyjne, takie jak pfSense lub OPNSense, mają domyślnie blokowany cały ruch, co oznacza, że jeśli ktoś spróbuje pingować spoza naszego publicznego adresu IP, automatycznie porzuci pakiet. Istnieją routery domowe i operatorskie, które pozwalają nam skonfigurować zaporę ogniową, a nawet mamy określoną opcję blokowania pingowania w internetowej sieci WAN.
Musimy pamiętać, że nie zaleca się blokowania wszystkich ICMP, a tylko tych, które odpowiadają „pingowi”, czyli żądaniu echa ICMP (żądanie) i odpowiedzi echa ICMP (odpowiedzi). Niektóre typy ICMP są niezbędne do prawidłowego funkcjonowania sieci, zwłaszcza jeśli pracujesz z sieciami IPv6.
Co się stanie, jeśli zablokujemy ping w internetowej sieci WAN?
Wszystko będzie dalej działało jak zawsze, jedyną różnicą jest to, że jeśli ktoś z zewnątrz (z internetu) „pinguje” nas na nasz publiczny adres IP, router nie odpowie. W zależności od tego, jak skonfigurowaliśmy router, możliwe jest, że nawet przy skanowaniu portu nie można wykryć, czy host (router) jest włączony, czy nie. Jeśli nie mamy uruchomionej żadnej usługi na routerze zwróconym w stronę WAN, a nie mamy żadnego otwartego portu na routerze, domyślnie wszystkie porty będą zamknięte i z zewnątrz nie będą mogły się z nami komunikować, w tym droga, którą moglibyśmy przejść „niezauważeni”, nazywa się bezpieczeństwem ciemności.
Chociaż wyłączyliśmy pingowanie w internetowej sieci WAN, będziemy mogli pingować hosty internetowe bez żadnego problemu, bez konieczności otwierania portów lub absolutnie wszystkiego, ponieważ jedyne, co z tym robimy, to blokowanie w zaporze z routera dowolnego Żądanie echa ICMP, które do nas dociera. Routery zwykle używają Linux działający system operacyjny i korzystający z iptables, zasada, którą zawierają, jest następująca:
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
Ta reguła blokuje każdy ICMP typu żądania echa, który trafia bezpośrednio do samego routera, a -j DROP oznacza, że bezpośrednio wyeliminuje wspomniany pakiet bez „mówienia” czegokolwiek, do czego został wysłany, czyli odrzucamy pakiet.
Bardzo ważnym aspektem jest to, że powinniśmy zawsze blokować pingowanie w sieci WAN, ale nie w sieci LAN, ponieważ jeśli zablokujemy pingowanie w sieci LAN, nie będziemy w stanie pingować do domyślnej bramy naszego komputera (czyli routera), aby wykryć ewentualną awarię.
Chociaż wiele modeli i marek routerów obsługuje blokowanie pingowania w internetowej sieci WAN, dziś w tym artykule przedstawimy dwa przykłady blokowania pingowania sieci WAN na ASUS routerach, a także na dowolnym routerze od producenta AVM FRITZ! Pudełko.
Zablokuj ping (żądanie echa ICMP) na routerach ASUS
Na routerach ASUS, zarówno w oprogramowaniu producenta, jak iw Asuswrt-Merlin, proces przebiega dokładnie tak samo. Musimy przejść do menu konfiguracji oprogramowania układowego w „ Firewall / Ogólne ”I skonfiguruj zaporę w następujący sposób:
- Czy chcesz włączyć zaporę: Tak
- Czy chcesz włączyć ochronę DoS: Tak
- Zarejestrowany typ przesyłki: brak. Jeśli chcemy debugować wszystkie pakiety przechodzące przez zaporę, możemy to zrobić, ale nie jest zalecane, aby zawsze była aktywowana, ponieważ zużywa zasoby routera.
- Czy chcesz odpowiedzieć na żądanie ping z WAN: Nie.
Jak widzieliście, bardzo łatwo jest wyłączyć ping z internetowej sieci WAN. Jeśli chodzi o konfigurację IPv6, router ASUS ma zablokowany ruch przychodzący, więc należy wyraźnie zezwolić na to w menu konfiguracji.
Zablokuj ping (żądanie echa ICMP) w AVM FRITZ! Routery skrzynkowe
W routerach niemieckiego producenta AVM możemy również zablokować typowe pingowanie w internetowej sieci WAN, w tym celu musimy przejść do menu głównego routera. W prawej górnej części, gdzie pojawiają się trzy pionowe punkty, kliknij „ Tryb zaawansowany ”, Aby mieć wszystkie opcje konfiguracyjne.
Gdy to zrobisz, udajemy się do « Internet / Filtry / Listy «I schodzimy w dół, aż znajdziemy opcję« Firewall w trybie stealth «. Włączamy to i klikamy na zastosuj zmiany.
Ta opcja umożliwia odrzucanie wszystkich żądań z Internetu, jak wyjaśniliśmy, i każdy może to zrobić.
Dzięki temu blokowi ping w internetowej sieci WAN, aby zlokalizować naszego hosta (router) w Internecie, muszą wykonać skanowanie portów, aby sprawdzić, czy mamy uruchomioną usługę, czy to na routerze, czy na jakimś serwerze NAS w naszej sieci lokalny.