Chào mọi người,
Gần đây mình có tìm hiểu cấu hình chính sách kiểm soát truy cập (ACP) trên firewall và nhận thấy nhiều bạn ít chú ý đến việc cấm hoặc hạn chế ping từ bên ngoài vào các server bên trong hệ thống. Thật ra đây là một biện pháp đơn giản nhưng cực kỳ quan trọng, giúp giảm bề mặt tấn công và bảo vệ hạ tầng mạng hiệu quả.

Ping là gì và tại sao nên cấm ping?

• Ping là một giao thức kiểm tra kết nối mạng bằng cách gửi gói tin ICMP Echo Request và đợi phản hồi Echo Reply.
• Mặc dù ping rất hữu ích trong quản trị mạng để kiểm tra trạng thái kết nối, nhưng từ góc nhìn bảo mật, ping cũng có thể giúp kẻ xấu khai thác thông tin về thiết bị, định vị các máy chủ và chuẩn bị cho các bước tấn công sâu hơn như DoS, port scan, hoặc phát hiện hệ điều hành.
• Một thiết bị hoặc server mà trả lời ping nghĩa là nó đang "hiện diện" công khai, tạo cơ hội cho tin tặc lập bản đồ mạng nội bộ.

Những nguy cơ khi bật ping từ bên ngoài

• Bị định vị và quét mạng dễ dàng: Kẻ xấu dùng ping sweep để rà soát địa chỉ IP có hoạt động, đánh dấu các mục tiêu tiềm năng.
• Tấn công từ chối dịch vụ (DoS/DDoS): Ping có thể bị lợi dụng cho tấn công flood, làm nghẽn mạng hoặc làm treo thiết bị.
• Rò rỉ thông tin: Gói tin phản hồi có thể chứa dữ liệu liên quan tới hệ điều hành hoặc cấu hình thiết bị, tạo lợi thế cho kẻ xấu.

Lợi ích của việc cấm ping từ ngoài vào máy chủ nội bộ

• Giảm bề mặt tấn công: Khi các máy chủ nội bộ không hồi đáp ping từ bên ngoài, hệ thống giảm khả năng bị phát hiện và thăm dò bởi tin tặc.
• Tăng cường an ninh mạng: Các kết nối không mong muốn, tín hiệu ICMP có thể bị chặn kịp thời, giúp ngăn chặn nhiều dạng tấn công mạng phổ biến.
• Hạn chế nguy cơ DoS: Ngăn chặn các gói tin ICMP flood làm nghẽn mạng hoặc làm chậm hệ thống.

Một số lưu ý khi cấu hình cấm ping trên firewall

• Hạn chế chứ không phải cấm tuyệt đối: Một số hệ thống cần ping để kiểm tra kết nối trong mạng nội bộ hoặc dịch vụ giám sát, nên cân nhắc tạo rule cho phép ping từ các địa chỉ tin cậy hoặc network trusted.
• Đảm bảo các dịch vụ và người quản trị vẫn có thể kiểm tra kết nối hợp lệ qua VPN hoặc mạng riêng.
• Kiểm tra kỹ các chính sách ACL (Access Control List) hoặc ACP (Access Control Policy) để cấu hình đúng thứ tự và ưu tiên các rule.
• Theo dõi và ghi nhận các traffic ICMP bất thường để phát hiện tấn công ngụy trang.

Kết luận

Tắt hoặc hạn chế ping từ mạng internet vào các thiết bị nội bộ là bước đầu tiên và quan trọng trong việc thu hẹp bề mặt tấn công, bảo vệ máy chủ và hạ tầng mạng khỏi những mối đe dọa tinh vi. Dù đơn giản nhưng đây là thao tác giúp nâng cao khó khăn cho kẻ tấn công ngay từ bước nhận diện mục tiêu.
Nếu bạn đang vận hành firewall hoặc quản trị hệ thống mạng, hãy ưu tiên cấu hình chính sách cấm hoặc kiểm soát chặt chẽ các gói tin ICMP để bảo vệ tối ưu cho hệ thống nhé.
​