¿Por qué Azure bloquea ICMP?

Azure bloquea ICMP de manera predeterminada en el extremo de Azure Load Balancer y, por lo tanto, no puede hacer ping a las máquinas virtuales de Azure desde fuera de Azure. La razón detrás de esto para evitar cualquier ataque de inundación Ping / ICMP dirigido, que son un tipo de ataques DDoS.

Sin embargo, puede habilitar fácilmente ICMP y hacer ping a la máquina virtual de Azure desde fuera de Azure.

Debe permitir la entrada de ICMPv4 en el servidor de seguridad de Win Server y luego configurar una regla de entrada NSG en Azure para aceptar el tráfico de “Cualquier” fuente, “Cualquier” destino y “Cualquier” protocolo. Ping funcionará normalmente a partir de entonces para llegar a las máquinas virtuales de Azure desde Internet.

Lo he hecho varias veces, para conectar herramientas de monitoreo externas como Nagios a mis máquinas virtuales Win Srv.

Si está utilizando el último Win Srv 2016, verá específicamente en su Win Firewall una regla deshabilitada llamada Virtual Machine Monitoring (ICMPv4), que solo debe habilitar en ese momento. Sin embargo, en este caso también debe abrir Inbound en Azure NSG como se describe anteriormente.

Y, además, puede hacer ping a la máquina virtual de Azure utilizando la IP y el conjunto de DNS.

Pero tenga en cuenta que, siguiendo el procedimiento que describí anteriormente, dejará a sus máquinas virtuales vulnerables a los ataques de inundación Ping / ICMP.

Sin embargo, la seguridad del perímetro de Azure de todos modos intervendrá más pronto que tarde, al detectar tales ataques de inundación, y probablemente tomará medidas como poner en la lista negra las IP de origen (desde donde están sucediendo los Pings) y otras medidas similares. También puede ver que Azure restringe todo / cualquier tráfico a sus máquinas virtuales a menos que usted (o el Soporte de Azure) solucione la situación, incluso con notificaciones provenientes del soporte de Azure para ayudar a resolver los problemas raíz.

En pocas palabras, no habilite ICMP a ciegas en sus máquinas virtuales de Azure. Si conoce las IP de origen de donde vendrá la solicitud, especifíquelas en los NSG (lo que haría siempre), y evite especificar “Cualquiera” en la Fuente de entrada de NSG.

HTH …

Related Content

¿Por qué la dirección IP generada por el enrutador comienza con 192?

¿Por qué deberíamos usar el protocolo TCP en un cliente / servidor de programación de juegos Tic-tac-toe?

¿Cuál es el tamaño máximo de un datagrama UDP?

¿Cómo funciona realmente Port no en TCP?

¿Se pueden disfrazar los paquetes TCP / UDP?

Probablemente porque les preocupa que sea un vector DDoS.

Sabrina Shen

More Interesting

¿Cuál es la relación entre control de flujo y congestión? ¿Qué tamaño de ventana es el más importante?

¿Hay alguna forma de cambiar mi IP para evitar hackers?

¿Hay alguna forma de obtener la información de qué dispositivo se está usando con solo conocer su dirección IP?

¿Por qué la mayoría de las aplicaciones ignoran el campo TOS en el encabezado IP? ¿No ignorarlo resolvería parcialmente la neutralidad de la red?

¿Puedo hacer ping a mi computadora portátil que está conectada a WiFi desde una instancia EC2?

¿Qué se entiende por dirección IP en un puerto?

¿A qué red corresponde el NetID en su dirección IPv4?

¿Mi teléfono móvil tiene una dirección IP fija o cambia con frecuencia?

Si hay 5 PC conectadas en un enrutador, ¿tendría cada PC una dirección IP diferente?

¿Qué son las pérdidas de paquetes en las redes?

Cómo personalizar mi dirección IP

¿Qué no se usa para transferir un archivo: SMTP, FTP, TCP o POP?

¿Por qué la fase inicial en el control de congestión TCP se llama inicio lento cuando en realidad es exponencial, mientras que la fase de aumento aditivo tiene un crecimiento de ventana de congestión lineal?

¿Puedo obtener una dirección IP con solo un número de teléfono?

¿Cómo suelen hacer los enrutadores el control de acceso?