ICMP se compose d'une grande collection de commandes. Interdire tout cela va briser votre réseau de manière étrange.
ICMP permet à des choses comme "traceroute" et "ping" (demande d'écho ICMP) de fonctionner. Cette partie est donc très utile pour les diagnostics normaux. Il est également utilisé pour les commentaires lorsque vous exécutez un serveur DNS (port inaccessible) qui, dans un serveur DNS moderne, peut réellement aider à sélectionner une machine différente pour interroger plus rapidement.
ICMP est utilisé pour la découverte de MTU de chemin. Il y a de fortes chances que votre système d'exploitation définit "DF" (ne pas fragmenter) sur les paquets TCP qu'il envoie. Il s'attend à récupérer un paquet ICMP "fragmentation requise" si quelque chose le long du chemin ne parvient pas à gérer cette taille de paquet. Si vous bloquez tous les ICMP, votre machine devra utiliser d'autres mécanismes de secours, qui utilisent essentiellement un délai d'attente pour détecter un «trou noir» PMTU et ne seront jamais optimisés correctement.
Il y a probablement quelques bonnes raisons de plus pour activer la plupart d'ICMP.
Maintenant comme votre question pourquoi désactiver:
Les raisons de désactiver une partie d'ICMP sont les suivantes:
- Protection contre les vers à l'ancienne qui utilisaient la requête d'écho ICMP (aka ping) pour voir si un hôte était vivant avant d'essayer de l'attaquer. De nos jours, un ver moderne l'essaie de toute façon, ce qui ne le rend plus efficace.
- Cacher votre infrastructure. Si vous souhaitez le faire, veuillez le bloquer en bordure de votre réseau. Pas sur tous les ordinateurs. Cela amènera simplement votre administrateur à retirer tous les cheveux de sa tête de frustration quand quelque chose ne va pas et que tous les outils d'analyse normaux échouent. (Dans ce cas: Amazon pourrait le bloquer au bord du cloud).
- Attaques par déni de service basées sur ICMP. Traitez-les de la même manière que les autres attaques DOS: Limite de débit.
- La seule valide: si vous êtes sur un réseau non sécurisé, vous souhaiterez peut-être bloquer ou désactiver la commande du routeur a changé. Obfix: utilisez vos serveurs sur un réseau sécurisé.
Notez qu'il existe des manuels de «durcissement du serveur» qui conseillent de bloquer ICMP. Ils sont faux (ou du moins pas assez détaillés). Ils entrent dans la même catégorie que la «sécurité» sans fil via le filtrage MAC ou le masquage du SSID.