Tratamento do tráfego ICMP com o Cisco IOS Firewall O firewall do Cisco IOS pode lidar com o tráfego ICMP (Internet Control Message Protocol) de diversas maneiras. ICMP é um protocolo crítico usado para gerenciamento de rede, relatório de erros e fins de diagnóstico. Por padrão, o firewall do Cisco IOS permite todo o tráfego ICMP, mas você pode configurá-lo para aplicar políticas específicas para controlar o tráfego ICMP.
Tipos de mensagens ICMP e suas funções Para entender como o firewall do Cisco IOS lida com o tráfego ICMP, vamos revisar alguns tipos comuns de mensagens ICMP e suas funções:
1.
Solicitação de eco ICMP (Tipo 8) e Resposta de eco (Tipo 0): Essas mensagens são usadas para testar a acessibilidade e o tempo de ida e volta de um caminho de rede. Quando um dispositivo envia uma solicitação de eco, o dispositivo de destino responde com uma resposta de eco.
2.
Destino ICMP inacessível (Tipo 3): Esta mensagem é enviada quando um dispositivo não consegue entregar um pacote ao destino pretendido. A mensagem inclui um código que especifica o motivo da falha, como “host inacessível”, “porta inacessível” ou “rede de destino inacessível”.
3.
Tempo ICMP excedido (Tipo 11): Esta mensagem é enviada quando o campo TTL (time-to-live) de um pacote chega a zero antes de chegar ao seu destino. Isso pode ocorrer devido ao tráfego excessivo de rede ou a longos caminhos de rede.
4.
Problema de parâmetro ICMP (Tipo 12): Esta mensagem é enviada quando um dispositivo recebe uma mensagem ICMP com um cabeçalho ou campo de dados inválido.
Manipulação ICMP padrão no Cisco IOS Por padrão, o firewall do Cisco IOS permite todo o tráfego ICMP, incluindo mensagens de solicitação/resposta de eco, mensagens de destino inacessível e mensagens de problema de parâmetro. Entretanto, você pode modificar esse comportamento padrão configurando o firewall para inspecionar e filtrar o tráfego ICMP.
Configurando inspeção e filtragem ICMP Para controlar o tráfego ICMP, você pode usar os comandos "access-list" e "icmp" na configuração do firewall Cisco IOS. Aqui estão alguns exemplos:
1.
Permitir tipos específicos de tráfego ICMP: ```
lista de acesso 100 permissão icmp host
echo-reply
```
2. Negar mensagens de solicitação de eco:
```
lista de acesso 101 negar host icmp
qualquer solicitação de eco
```
3. Permitindo apenas tipos específicos de mensagens ICMP:
```
política de firewall 100
permitir icmp 100
```
4. Registrando tráfego ICMP:
```
registrando icmp
```
Ao aplicar essas opções de configuração, você pode controlar o fluxo de tráfego ICMP através do firewall do Cisco IOS, garantindo que somente as mensagens ICMP necessárias e autorizadas sejam permitidas, ao mesmo tempo que bloqueia o tráfego potencialmente prejudicial ou desnecessário.
