ICMP consiste em uma grande coleção de comandos. Não permitindo todos Destes, irá quebrar a sua rede de formas estranhas.
O ICMP permite que coisas como "traceroute" e "ping" (solicitação de eco ICMP) funcionem. Assim, essa parte é bastante útil para diagnósticos normais. Ele também é usado para feedback quando você executa um servidor DNS (porta inacessível) que, em um servidor DNS moderno, pode realmente ajudar a selecionar uma máquina diferente para consulta mais rápida.
O ICMP é usado para a descoberta do caminho MTU. As chances são de seus conjuntos de SO "DF" (não fragmentar) nos pacotes TCP que ele envia. Ele espera obter um pacote ICMP "fragmentation required" de volta se algo ao longo do caminho falhar em lidar com esse tamanho de pacote. Se você bloquear todos ICMP, sua máquina terá que usar outros mecanismos de fallback, que basicamente usam um timeout para detectar um "buraco negro" de PMTU e nunca otimizarão corretamente.
Provavelmente há mais alguns bons motivos para habilitar a maioria do ICMP.
Agora, como sua pergunta por que desativar:
Razões para desativar parte do ICMP são:
- Proteção contra worms antigos que usavam o pedido de eco ICMP (também conhecido como ping) para ver se um host estava vivo antes de tentar atacá-lo. Hoje em dia, um worm moderno tenta de qualquer maneira, fazendo com que isso não seja mais eficaz.
- Escondendo sua infraestrutura. Se você quiser fazer isso, por favor, bloqueie-o na borda da sua rede. Não em todos os computadores. Isso fará com que seu administrador puxe todo o cabelo de sua cabeça em frustração quando algo der errado e todas as ferramentas de análise normais falharem. (Neste caso: Amazon poderia bloqueá-lo na borda da nuvem).
- Ataques de negação de serviço com base no ICMP. Lidar com isso da mesma forma que outros ataques do DOS: limite de taxa.
- O único válido: Se você estiver em uma rede insegura, talvez queira bloquear ou desativar o comando de mudança do roteador. Obfix: use seus servidores em uma rede segura.
Observe que há manuais de proteção do servidor que recomendam bloquear o ICMP. Eles estão errados (ou pelo menos não detalhado o suficiente). Eles se enquadram na mesma categoria da 'segurança' sem fio via filtragem MAC ou ocultando o SSID.