ICMP consta de una gran colección de comandos. No permitir todo eso romperá su red de maneras extrañas.
ICMP permite que cosas como "traceroute" y "ping" (solicitud de eco ICMP) funcionen. Por lo tanto, esa parte es bastante útil para el diagnóstico normal. También se usa para comentarios cuando ejecuta un servidor DNS (puerto inalcanzable) que, en un servidor DNS moderno, puede ayudar a seleccionar una máquina diferente para consultar más rápido.
ICMP se utiliza para el descubrimiento de ruta MTU. Lo más probable es que su sistema operativo establezca "DF" (no fragmentar) en los paquetes TCP que envía. Se espera recuperar un paquete de "fragmentación requerida" ICMP si algo a lo largo de la ruta no puede manejar ese tamaño de paquete. Si bloquea todos los ICMP, su máquina tendrá que usar otros mecanismos alternativos, que básicamente usan un tiempo de espera para detectar un "agujero negro" PMTU y nunca se optimizará correctamente.
Probablemente haya algunas buenas razones para habilitar la mayor parte de ICMP.
Ahora como su pregunta por qué deshabilitar:
Las razones para deshabilitar parte de ICMP son:
- Protección contra gusanos de estilo antiguo que usaban la solicitud de eco ICMP (también conocido como ping) para ver si un host estaba vivo antes de intentar atacarlo. En estos días, un gusano moderno lo intenta de todos modos, por lo que ya no es efectivo.
- Ocultando su infraestructura. Si desea hacer esto, bloquéelo en el borde de su red. No en todas las computadoras. Eso solo hará que su administrador se quite todo el cabello de la cabeza con frustración cuando algo sale mal y todas las herramientas de análisis normales fallan. (En este caso: Amazon podría bloquearlo en el borde de la nube).
- Ataques de denegación de servicio basados en ICMP. Manejar estos de la misma manera que otros ataques de DOS: límite de velocidad.
- El único válido: si está en una red insegura, es posible que desee bloquear o deshabilitar el enrutador que ha cambiado el comando. Obfix: use sus servidores en una red segura.
Tenga en cuenta que existen manuales de "endurecimiento del servidor" que aconsejan bloquear ICMP. Están equivocados (o al menos no lo suficientemente detallados). Caen en la misma categoría que la 'seguridad' inalámbrica a través del filtrado MAC u ocultando el SSID.