El tráfico ICMP puede ser útil para diversos propósitos de red, sin embargo, en ciertos entornos es necesario bloquear las solicitudes y respuestas de marca de tiempo ICMP (ICMP timestamp) por motivos de seguridad. Este artículo proporciona una guía técnica sobre cómo bloquear tales solicitudes en un dispositivo FortiGate. Aprender a gestionar este tipo de tráfico es crucial para proteger su red y evitar que los atacantes exploten vulnerabilidades potenciales en la configuración del ICMP.
Índice
Descripción del problema
Las solicitudes y respuestas de marca de tiempo ICMP (tipos 13 y 14, respectivamente) pueden ser utilizadas para realizar un reconocimiento de red y determinar la latencia de varias conexiones. Esto puede llevar a problemas de seguridad, donde un atacante podría utilizar esta información para planificar un posible ataque. Por lo tanto, es vital controlar y, si es necesario, bloquear este tipo de tráfico.
Alcance
Esta guía es aplicable a dispositivos FortiGate, que son ampliamente utilizados para proteger las redes empresariales.
Diagnóstico paso a paso
Para bloquear las solicitudes de marca de tiempo ICMP y sus respuestas, se seguirá un procedimiento específico que incluye la creación de servicios y políticas de firewall.
- Crear un servicio de firewall para el tipo ICMP 13 (solicitud de marca de tiempo) y tipo 14 (respuestas de marca de tiempo):
edit "TIMESTAMP"
set protocol ICMP
set icmptype 13
unset icmpcode
next
end
edit "TIMESTAMP_Replies"
set protocol ICMP
set icmptype 14
unset icmpcode
next
end
- Crear una política de firewall para bloquear solicitudes de marca de tiempo en la interfaz interna:
Nota: 'edit 1' es un ejemplo de una nueva política. Se debe seguir la secuencia ID para evitar sobrescribir una política existente con ID 1.
config firewall policy
edit 1
set name "Block_ICMP_Type13&14"
set srcintf "port1"
set dstintf "any"
set srcaddr "Local_Subnet"
set dstaddr "all"
set schedule "always"
set service "TIMESTAMP" "TIMESTAMP_Replies" <———- Servicios creados arriba.
set logtraffic all
next
end
Solución recomendada
La implementación de los pasos anteriores debería permitir que el dispositivo FortiGate bloquee correctamente las solicitudes y respuestas de marca de tiempo ICMP.
Comandos CLI utilizados
Los comandos CLI mencionados son esenciales para la configuración de servicios y políticas de firewall. A continuación, se detallan sus funciones:
edit "nombre": Inicia la configuración del servicio o política especificada.set protocol ICMP: Define el protocolo que se utilizará (en este caso, ICMP).set icmptype 13oset icmptype 14: Especifica el tipo de mensaje ICMP que se está configurando.unset icmpcode: Elimina cualquier código ICMP específico asociado.set srcintf,set dstintf,set srcaddr,set dstaddr: Establecen las interfaces y direcciones de origen y destino para la política de firewall.
Buenas prácticas y recomendaciones
Es recomendable mantener registros de tráfico (logging) habilitados para cualquier política de firewall. Esto no solo le ayudará a monitorear el tráfico bloqueado, sino que también proporcionará información valiosa en caso de que necesite hacer un diagnóstico posterior.
Notas adicionales
Es importante tener en cuenta que, por defecto, los pings normales en Windows no envían solicitudes de marca de tiempo ICMP. Para probar el tráfico de marca de tiempo ICMP, se puede utilizar una herramienta como hping3 o Nmap para generar tráfico.
Página de referencia de hping3.
Además, ICMP Timestamps también se pueden bloquear utilizando ‘local-in policy’ si están destinados a la interfaz de FortiGate.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!