KERIO PERSONAL FIREWALL 4

CONFIGURACIÓN AVANZADA.

6.3 ICMP e IGMP.

Internet Group Management Protocol (IGMP).

El protocolo IGMP es usado para la suscripción o anulación de suscripción de/desde grupos de multidifusión. Este protocolo puede ser usado de forma maliciosa fácilmente y es por ello que está deshabilitado por defecto. Se recomienda no permitir este protocolo a menos que use aplicaciones que requieran tecnologías de multidifusión (típicamente para la transmisión de archivos de audio y/o video a través de Internet).

Para bloquear este protocolo de comunicación hemos de negar la comunicación en la pestaña Predefined del módulo Network security, y/o creando el siguiente filtro.

Protocolo de Control de Mensajes Internet (ICMP).

Los programas Ping y Tracert (Traceroute) son usados para "localizar" en una red (detectar una respuesta de un ordenador remoto), esto se consigue mediante mensajes ICMP.

• [8] Echo Request (Solicitud de Eco) - Para comprobar si otro host está operativo se suele mandar una solicitud de eco, cuando el receptor lo recibe lo devuelve a su origen. Esta aplicación recibe el nombre de Ping.

• [0] Echo Reply (Respuesta de Eco) - Cuando se realiza un Ping el mensaje enviado tendrá el valor 8 cuando lo recibe el otro host, para devolverlo tendrá que enviarlo  con el  valor 0.

Lo habitual es que no hagamos uso de estos dos mensajes, o que seamos nosotros los que hagamos el  ping para obtener una respuesta, para ello podemos permitir la opción Ping and Tracert out -lo habitual- en Predefined o mediante los siguientes filtros:

Mensajes de error de ICMP.

En condiciones normales el protocolo IP hace un uso muy eficiente de los recursos de memoria y transmisión. Pero ¿qué ocurre cuando las cosas no van bien?.  Si un datagrama se estropea o se elimina, un enlace de la red es el encargado de enviar la alerta o de dar la noticia de que los datagramas están dando vueltas hasta expirar su Tiempo de Vida. ¿Qué aviso se da a las aplicaciones para que no sigan enviando información a un destino que es inalcanzable?

Existen situaciones en que se descartan los datagramas de IP. Por ejemplo; puede que no se llegue a un destino porque el enlace se ha caído, puede que halla expirado el tiempo de vida o  que sea imposible que un router envíe un datagrama muy grande porque no permite la fragmentación.

ICMP notificará el error de manera inmediata. Para realizar esta tarea,  ICMP utiliza un estándar de mensajes de error conocidos como Mensajes de Error de ICMP. Estos son los tipos de mensaje de error:

• [3] DestinationUnreachable (Destino Inalcanzable) - Un datagrama no puede llegar a su host, utilidad o aplicación de destino.

• [4] Source Quench (Origen Saturado) - Un router o un destino están saturados.

• [5] Redirect (Redirección) - Un host ha enviado un datagrama al router local equivocado.

• [11] Time Exceeded (Tiempo Excedido) - El tiempo de vida del datagrama ha expirado en un router o en el plazo de reensamblado en el host de destino.

• [12] Parameter Problem (Problemas de Parámetros) - Existe un parámetro erróneo en la cabecera de IP.

Además cada valor irá acompañado por un código que identificará el problema.

Para permitir la recepción de estos mensajes de error crearemos el siguiente filtro ya que permitirlos desde la configuración Predefinied, supondría permitir 20 tipos de mensajes ICMP más.

* AVISO: Esta regla es provisional hasta que sepa seguro cuales de los mensajes ICMP son necesarios realmente, cuales pueden ser un peligro o simplemente no nos sirven para nada.

Una tenemos permitidos los mensajes ICMP que deseemos podemos negar el resto creando un filtro que los incluya todos y en ambas direcciones y/o desde la pestaña Predefinied en Network security.

- ANTERIOR (Loopback) -               - SIGUIENTE (DNS) -