Warum das Filtern von ICMP problematisch ist

ICMPv6 und ICMP ist für das ordnungsgemäße Funktionieren von IP obligatorisch. Fälschlicherweise wird ICMP (oder ICMPv6) häufig mit „ping“ gleichgesetzt. Durch das Abschalten von ICMP erhofft man sich dann eine erhöhte Sicherheit, da der IP-Host nicht mehr per „ping“ zu erreichen ist und so vermeintlich unsichtbar wird.

Tatsächlich ist die Erreichbarkeitsprüfung per „ping“ jedoch nur eine von vielen Funktionen von ICMP. IPv6 verwendet ICMP als Hilfe zur Adressierung, beide IP-Protokolle finden damit die optimale Paketgröße für die Übertragungsstrecke heraus.

Filtert man die dafür nötigen Pakete, können im einfachsten Fall einzelne Gegenstellen nicht mehr erreichbar sein (das Laden von Webseiten „hängt“ einfach) oder es können gelegentliche Netzwerkprobleme auftreten, die schwer nachzuvollziehen sind.

Empfehlung des HRZ

An der TU-Firewall ist ein Grundschutz für problematische bzw. unnötige ICMP-Typen eingerichtet.

Generell sollte man selbst ICMP nur blocken, wenn man bewusst die möglichen Risiken in Kauf nehmen möchte. Aktuelle Betriebssysteme sind durch ICMP nicht gefährdet.

Möchte man ICMP dennoch blocken, so finden Sie unter den folgenden Links wertvolle Hinweise für eine sinnvolle Konfiguration:

https://www.rfc-editor.org/rfc/rfc4890#page-18

https://hepix-ipv6.web.cern.ch/content/examples-rfc4890-compliant-icmp-filter-configuration

https://datatracker.ietf.org/doc/html/draft-ietf-opsec-icmp-filtering-04