Ping es una utilidad de administración de red que se utiliza para probar la disponibilidad de un sistema en una red IP. Ping también se usa para probar la calidad de la conexión de red al monitorear el tiempo de ida y vuelta y las pérdidas de paquetes.
Por otro lado, los intrusos de la red y los piratas informáticos también utilizan el ping para identificar las subredes de la red para encontrar hosts potenciales o realizar ataques de inundación ICMP. Por lo tanto, es una buena práctica bloquear las solicitudes de ping a sus servidores para evitar cualquier tipo de ataque.
Aquí en LinuxAPT, como parte de nuestros Servicios de administración de servidores , regularmente ayudamos a nuestros Clientes a realizar tareas relacionadas con Linux.
En este contexto, veremos cómo bloquear las solicitudes de ping al servidor Linux.
¿Cómo bloquear/desbloquear solicitudes de ping al servidor Linux?
Aquí, estamos trabajando con Ubuntu 20.04 LTS con un usuario con privilegios de sudo.
Ping funciona enviando un paquete ICMP (solicitud de eco) al sistema de destino y luego recibe un paquete ICMP de respuesta (respuesta de eco). En Linux, el comando ping continúa enviando paquetes ICMP hasta que lo detiene usando Ctrl+C.
Para bloquear las solicitudes de ping, deberá ignorar/bloquear las solicitudes de eco ICMP que se envían a su servidor.
Hay dos formas de bloquear/desbloquear las solicitudes de eco ICMP al servidor Linux.
i. A través de los parámetros del Kernel.
ii. A través de iptables.
Ahora empecemos.
¿Cómo bloquear/desbloquear solicitudes de ping a través de parámetros del kernel?
A través de los parámetros del kernel, puede bloquear las solicitudes de ping de forma temporal o permanente. Los parámetros del núcleo se pueden modificar mediante el comando sysctl, el directorio /sys/proc y el archivo /etc/sysctl.conf.
¿Cómo bloquear/desbloquear temporalmente las solicitudes de ping?
El comando sysctl en Linux se usa para leer y escribir parámetros del kernel en el directorio /proc/sys. Usando este comando, podemos configurar los parámetros del núcleo para bloquear/desbloquear las solicitudes de ping. El parámetro del kernel net.ipv4.icmp_echo_ignore_all controla si el sistema debe responder a la solicitud de eco ICMP. El valor predeterminado es '0', lo que significa responder a la solicitud ICMP.
Para bloquear la solicitud de ping usando el comando sysctl:
Para bloquear la solicitud de ping, ejecute el siguiente comando en la Terminal:
$ sudo sysctl -w net.ipv4.icmp_echo_ignore_all=1
Este comando establece el parámetro del núcleo en '1', lo que significa ignorar todas las solicitudes ICMP.
Ahora todas las solicitudes de ping a su sistema se bloquearán y el remitente no recibirá respuesta.
Para desbloquear el comando sysctl de solicitud de ping:
Para desbloquear las solicitudes de ping, vuelva a ejecutar el mismo comando cambiando el valor del parámetro a '0' predeterminado:
$ sudo sysctl -w net.ipv4.icmp_echo_ignore_all=0
Alternativamente, puede bloquear las solicitudes de ping cambiando el valor del parámetro del kernel en el directorio /proc/sys usando el comando echo.
Sin embargo, para utilizar este método, deberá ejecutar el comando como root.
Luego emita el siguiente comando en la Terminal:
$ echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
Para desbloquear las solicitudes de ping, el comando sería:
$ echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
¿Cómo bloquear permanentemente las solicitudes de ping?
Los parámetros del kernel también se pueden modificar a través del archivo /etc/sysctl.conf. Este archivo le permitirá bloquear permanentemente las solicitudes de ping a su servidor.
Para bloquear la solicitud de ping a través del archivo sysctl.conf:
i. Para bloquear la solicitud de ping a su sistema, edite el archivo /etc/sysctl.conf:
$ sudo nano /etc/sysctl.conf
ii. Luego agregue la siguiente línea en el archivo:
net.ipv4.icmp_echo_ignore_all = 1
iii. Guarde y cierre el archivo.
IV. Luego emita el siguiente comando en la Terminal para aplicar esta configuración sin reiniciar:
$ sysctl -p
Para desbloquear la solicitud de ping a través del archivo sysctl.conf:
i. Para desbloquear solicitudes de ping, edite el archivo /etc/sysctl.conf:
$ sudo nano /etc/sysctl.conf
ii. Luego modifique el valor de net.ipv4.icmp_echo_ignore_all a '0':
net.ipv4.icmp_echo_ignore_all = 0
iii. Guarde y cierre el archivo.
IV. Luego emita el siguiente comando en la Terminal para aplicar esta configuración sin reiniciar:
$ sysctl -p
¿Cómo bloquear/desbloquear solicitudes de ping usando iptables?
Iptables es una utilidad de firewall en Linux que controla el tráfico entrante y saliente según ciertas reglas. Viene preinstalado en el sistema Ubuntu. En caso de que falte en el sistema, puede instalarlo usando el siguiente comando en la Terminal:
$ sudo apt install iptables
Para bloquear una solicitud de ping mediante iptables:
i. Para bloquear las solicitudes de ping a su sistema, escriba el siguiente comando en la Terminal:
$ sudo iptables -A INPUT -p icmp --icmp-type 8 -j REJECT
Donde el indicador A se usa para agregar una regla en iptables e icmp-type 8 es el número de tipo ICMP que se usa para la solicitud de eco.
El comando anterior agregará una regla en el firewall que bloqueará cualquier solicitud de ping entrante a su sistema. Al agregar esta regla, cualquier persona que envíe la solicitud de ping a su sistema verá el mensaje "Puerto de destino inalcanzable".
ii. Si no desea que aparezca este mensaje, use el siguiente comando reemplazando REJECT con DROP:
$ sudo iptables -A INPUT -p icmp --icmp-type 8 -j DROP
Ahora cualquiera que envíe la solicitud de ping a su sistema.
Para desbloquear una solicitud de ping mediante iptables:
i. Para desbloquear las solicitudes de ping a su servidor, escriba el siguiente comando en la Terminal:
$ sudo iptables -D INPUT -p icmp --icmp-type 8 -j REJECT
Donde el indicador D se utiliza para eliminar una regla en iptables e icmp-type 8 es el número de tipo ICMP utilizado para una solicitud de eco.
ii. Para que estas reglas sean persistentes después de reiniciar el sistema, necesitará el paquete iptables-persistent. Ejecute el siguiente comando en la Terminal para instalar iptables-persistent:
$ sudo apt install iptables-persistent
Se le pedirá que confirme si desea continuar con la instalación o no. Presione y para continuar, después de lo cual el sistema comenzará la instalación y, una vez completada, estará lista para usar.
Después de agregar o eliminar cualquier regla, ejecute los siguientes comandos en la Terminal para que sobrevivan al reinicio del sistema.
$ sudo netfilter-persistent save
$ sudo netfilter-persistent reload
Para ver todas las reglas agregadas a sus iptables, emita el siguiente comando en la Terminal:
$ sudo iptables -L