Faut-il ou pas autoriser la réponse au ping icmp ?
To ping or not to ping…
Si par le passé certains experts en sécurité conseillaient de ne pas activer la réponse au pings (répondre aux requêtes ICMP), il est aujourd'hui fortement recommandé d'y répondre ; cela est même devenu plutôt nécessaire pour un bon fonctionnement des réseaux modernes.
Pour information, toutes nos machines répondent au ping…
Nos outils de supervision en ont besoin pour diagnostiquer non seulement l’état de votre ligne, mais aussi l’état et la qualité générale de nos collectes.
Cela permet notament d'améliorer notre support technique lorsque vous rencontrez des incidents, de détecter répidement si un incident est collectif ou individuel (et donc d'aider à identifier la source du problème), détecter des problèmes de saturation, etc.
Oui, mais n'est-ce pas un danger sécuritaire que d'activer la réponse au ping ?
Les scans malveillants n'ont pas besoin du ping pour détecter l'existance de machines hôtes.
Si vous craignez une attaque de type ping flood, sachez déjà qu'elles ne sont plus trop à la mode (elles ne sont pas considérées comme très efficaces car le facteur de multiplication est faible).
Mais surtout, sachez que tous nos abonnés sont protégés par notre système de mitigation anti-DDoS (Distributed Denial of Service) qui bloque ou absorbe le trafic malveillant en amont de votre routeur :)
Pour les plus paranoïaques, sachez qu'un pare-feu bien configuré (avec par exemple des rate-limit / burst pour ICMP Echo Request) protège aussi de tout cela.
Est-ce un danger pour ma confidentialité ?
Il n'y a pas lieu de s'inquiéter, car les réponses au ping ne contiennent pas d'informations sensibles ou personnelles. Elles ne font que confirmer si un hôte est en ligne et réactif, sans révéler aucune autre information sur le réseau ou les systèmes connectés.
Comment activer la réponse au ping
En général, les routeurs possèdent un simple réglage pour cela, et vous devez vous référer à votre documentation, que ce soit via une interface web ou en ligne de commande. Il faut bien s'assurer de l'activer côté WAN/internet.
Dans le cas où votre routeur n'aurait pas de telle option, il est généralement possible de l'activer directement dans les règles de pare-feu.
Exemples d’activation de la réponse au ping sur le pare-feu
Les exemples qui suivent sont à titre indicatif et sont à ajuster selon votre config et votre réseau, et il vous faut également vérifier comment rendre ces modifications persistantes après un reboot (votre manuel, le helpdesk du constructeur, les forums d'entre-aide… sont le premier endroit où regarder)
IPv4
Vérifiez déjà sur un routeur basé sous linux que la valeur sysctl net.ipv4.icmp_echo_ignore_all est bien égale à 0.
nftables
nft insert rule ip filter INPUT meta l4proto icmp accept position 0
iptables
iptables -I INPUT 1 -p icmp -j ACCEPT
routerOS
/ip firewall filter add chain=input protocol=icmp action=accept place=0
IPv6
Vérifiez déjà sur un routeur basé sous linux que la valeur sysctl net.ipv6.icmp_echo_ignore_all est bien égale à 0.
nftables
nft insert rule ip6 filter INPUT meta l4proto ipv6-icmp accept position 0
ip6tables
ip6tables - I INPUT 1 -p icmp -j ACCEPT
routerOS
/ipv6 firewall filter add chain=input protocol=icmpv6 action=accept place=0
Notes sur notre supervision
Pour information, l'ip chez nous qui effectue aujourd'hui le ping est 80.67.167.98.
Cela pourrait changer, donc ce serait une erreur de n'autoriser que cette ip.