ICMP Filtering wird in Telco-Netzen häufig missverstanden: Aus Angst vor Scans, DDoS oder „Informationslecks“ wird ICMP pauschal blockiert – und genau das führt später zu schwer erklärbaren Störungen, schlechter MTU-Performance, kaputten VPNs, instabilen TCP-Verbindungen und einer deutlich erschwerten Entstörung. Eine praxistaugliche Telco-Baseline muss deshalb nicht fragen „ICMP ja oder nein?“, sondern „welche ICMP-Typen sind für Betrieb und Stabilität notwendig, welche sind optional, und welche sollten begrenzt oder blockiert werden?“ ICMP ist kein „Service“, sondern ein Kontroll- und Diagnoseprotokoll, das zentrale Funktionen im IP-Netz unterstützt: Path MTU Discovery (PMTUD), Fehlermeldungen, Traceroute-Mechaniken und Neighbor-Prozesse (im IPv6-Kontext). Gleichzeitig kann ICMP missbraucht werden, um Router-CPUs zu belasten oder Topologieinformationen zu sammeln. Die richtige Baseline setzt daher auf bewusstes Erlauben (Allowlisting), Rate Limiting (z. B. per CoPP/CPPr) und Zonierung (Edge vs. Core vs. Management), statt auf reflexartiges „Block all“. Dieser Artikel zeigt, was in eine Telco-Baseline gehört – und was nicht.
Warum ICMP in Provider- und Telco-Netzen so wichtig ist
ICMP ist integraler Bestandteil von IP. Wenn Router Pakete nicht weiterleiten können, wenn eine MTU zu klein ist oder wenn ein Ziel nicht erreichbar ist, signalisiert ICMP genau diese Zustände. Ohne diese Signale ist das Netz nicht „sicherer“, sondern weniger robust: Endsysteme raten, retryen aggressiver, oder brechen Verbindungen scheinbar zufällig ab. Besonders in Telco-Umgebungen mit vielen Tunneln, Overlays, Mobilfunk-User-Plane, MPLS/VPNs und Interconnects ist PMTUD entscheidend, weil MTU-Mismatches realistisch sind. Außerdem ist ICMP für Betriebsteams ein grundlegendes Werkzeug: Ping und Traceroute sind nicht nur Komfort, sondern oft der schnellste Weg, um Routingpfade, Latenz und Drops einzugrenzen.
- PMTUD: verhindert Fragmentation-Probleme und „Blackhole MTU“ in Tunneln und Overlays.
- Fehlersignale: Host/Net unreachable, administrativ gesperrt – essenziell für korrektes TCP-Verhalten.
- Diagnose: Ping/Traceroute unterstützen NOC/SOC im 24/7-Betrieb.
- Stabilität: ohne ICMP steigt Retransmission- und Retry-Last, was wiederum Systeme belastet.
ICMP ist nicht gleich ICMP: IPv4 und IPv6 unterscheiden
In IPv4 ist ICMP „wichtig“. In IPv6 ist ICMPv6 „kritisch“, weil zentrale Funktionen wie Neighbor Discovery (ND) und Router Advertisements (RA) auf ICMPv6 basieren. Eine Telco-Baseline muss daher ICMPv4 und ICMPv6 getrennt behandeln. Wer ICMPv6 pauschal blockt, riskiert, dass IPv6 schlicht nicht stabil funktioniert. Gleichzeitig ist auch ICMPv6 missbrauchbar (z. B. ND-Floods), weshalb Rate Limits und Zonenregeln unverzichtbar sind.
- ICMPv4: stark relevant für PMTUD, Fehlercodes, Traceroute.
- ICMPv6: unverzichtbar für ND/RA/RS/NA und viele Basisfunktionen von IPv6.
- Baseline-Konsequenz: getrennte Policies und getrennte Rate-Limits für v4 und v6.
Baseline-Prinzipien für ICMP Filtering im Telco-Netz
Bevor einzelne Typen genannt werden, braucht es Leitprinzipien. Eine robuste Baseline folgt typischerweise diesen Regeln: (1) ICMP wird nicht „global erlaubt“, sondern typenspezifisch; (2) ICMP wird nicht „global blockiert“, sondern risikobasiert; (3) alles, was Control Plane erreicht, ist rate-limited (CoPP/CPPr); (4) Policies unterscheiden Edge, Core, Services und Management.
- Allowlisting: nur notwendige ICMP-Typen zulassen, statt „any ICMP“.
- Rate Limiting: ICMP ist fast nie „unlimited“ – CoPP ist Baseline.
- Zonierung: unterschiedliche Regeln für Interconnect/IXP, Kundenedge, Core und Management.
- Transparenz: Drops/Rate-Limit-Hits müssen sichtbar sein, sonst wird ICMP zum Debug-Albtraum.
Was in die Telco-Baseline gehört: ICMP-Typen, die Sie bewusst zulassen sollten
Ein guter Startpunkt ist: Alles, was Netzstabilität direkt unterstützt, sollte erlaubt sein – aber kontrolliert. In Telco-Netzen sind insbesondere PMTUD-relevante Meldungen und sinnvolle Diagnose-Typen wichtig. Die Baseline sollte dabei nicht nur „zulassen“, sondern auch definieren, wo diese Typen erlaubt sind (z. B. zu Endpunkten vs. zur Infrastruktur-IP).
PMTUD-relevante ICMPv4-Typen
- Destination Unreachable – Fragmentation Needed: essenziell, um MTU-Probleme in IPsec/GRE/MPLS/Overlays zu vermeiden.
- Destination Unreachable – Host/Net Unreachable: unterstützt korrektes Failover-Verhalten und verhindert sinnlose Retries.
Traceroute- und Diagnose-relevante ICMPv4-Typen
- Time Exceeded (TTL exceeded): Grundlage klassischer Traceroute-Diagnose, wichtig für NOC-Fehleranalyse.
- Echo Request/Reply: Ping als Basisdiagnose – sinnvoll, aber stark zu rate-limiten.
ICMPv6-Baseline-Typen (kritisch für IPv6-Betrieb)
- Packet Too Big: IPv6-PMTUD ist ohne diesen Typ praktisch nicht robust.
- Time Exceeded: Diagnose und Pfadverständnis.
- Destination Unreachable: korrektes Fehlerverhalten für Anwendungen.
- Neighbor Discovery (ND): Router Solicitation/Advertisement und Neighbor Solicitation/Advertisement – notwendig in den passenden Segmenten (nicht „überall“, aber dort, wo IPv6 funktioniert).
Was nicht pauschal in die Baseline gehört: ICMP „offen“ und unlimitiert
Der häufigste Baseline-Fehler ist nicht das Zulassen von ICMP, sondern das Zulassen ohne Grenzen. ICMP kann genutzt werden, um Control-Plane-Ressourcen zu belasten, Topologieinformationen zu sammeln oder bestimmte Geräte zu „pinnen“ (z. B. durch Ping Floods). Deshalb gehört „unlimited ICMP to infrastructure“ ausdrücklich nicht in eine Telco-Baseline. Stattdessen: definierte ICMP-Typen, definierte Quellzonen, definierte Rate Limits.
- Kein „any ICMP“ zu Router-Loopbacks: Infrastruktur-IPs sind besonders sensibel.
- Kein unlimitiertes Echo: Ping muss begrenzt werden (CoPP/Policer), besonders am Edge.
- Keine globalen Ausnahmen für Scans: Troubleshooting soll möglich sein, nicht massenhaftes Mapping.
Zonenbasierte Baseline: Edge/Peering, Core, Management, Kunden
In Telco-Netzen ist die Zone entscheidend. Ein Peering/IXP-Interface sieht ganz anderes ICMP-Rauschen als ein internes Core-Interface. Ein Kundenedge muss Spoofing und Missbrauch einkalkulieren. Eine Management-Zone soll Diagnose ermöglichen, aber nur für autorisierte Operatoren. Eine praxistaugliche Baseline definiert daher je Zone ein ICMP-Profil.
- Peering/IXP Edge: ICMP zu Infrastruktur-IPs restriktiv; PMTUD-Typen kontrolliert; Echo stark limitiert; CoPP Pflicht.
- Core: nur notwendige ICMP-Typen; Diagnostik möglich, aber minimal; Fokus auf Control-Plane-Stabilität.
- Kundenedge/Access: PMTUD-Funktionalität sicherstellen; Missbrauch begrenzen; Spoofing-Controls (uRPF/Bogon) ergänzen.
- Management: gezielte Diagnose (Ping/Traceroute) zulassen, aber nur aus Management-Netzen und mit Audit/Rate Limits.
ICMP und Control Plane Policing: CoPP als Baseline-Pflicht
ICMP-Filtering ohne CoPP ist in großen Netzen selten ausreichend. Selbst wenn Sie ICMP-Typen erlauben, müssen Sie verhindern, dass diese Typen die CPU dominieren. Deshalb gehört ICMP in ein CoPP-Klassenmodell: „Diagnostics“ und „PMTUD/Errors“ als getrennte Klassen mit eigenen Budgets. So stellen Sie sicher, dass z. B. BGP/IGP nicht durch ICMP verdrängt werden und dass PMTUD-Fehler weiterhin zugestellt werden, auch wenn Echo-Floods auftreten.
- Separate Klassen: PMTUD/Errors getrennt von Echo/Diagnostics, um Kollateralschäden zu vermeiden.
- Budgets pro Rolle: Edge benötigt andere Limits als Core.
- Visibility: Policers und Drops pro Klasse müssen überwacht werden.
ICMP und Security: Welche Risiken realistisch sind und wie man sie sauber mitigiert
ICMP wird oft wegen „Informationslecks“ blockiert. In Telco-Realität sind die wichtigsten Risiken jedoch meist operativ: CPU-Overload, Missbrauch als Flood-Vektor und unerwünschte Erreichbarkeit von Infrastruktur-IPs. Diese Risiken lassen sich besser durch Rate Limiting, Zonierung und Infrastruktur-ACLs lösen als durch globales Blocken. Wenn Sie ICMP komplett sperren, verschieben Sie das Problem: Angreifer finden andere Vektoren, während Sie selbst die Diagnosefähigkeit verlieren.
- Topologie-Disclosure: begrenzen durch selective Time Exceeded Policies und durch Schutz von Infrastruktur-IPs.
- Flooding: CoPP/Policer, plus DDoS-nahe Controls (Flowspec/RTBH) bei großen Angriffen.
- Spoofing: uRPF/Bogon-Filter am Access reduzieren gefälschte ICMP-Quellen und Missbrauch.
- Abuse von unreachable messages: zulassen, aber in kontrollierten Klassen und nur, wenn plausibel.
Praxisleitfaden: Wie Sie eine ICMP-Baseline einführen, ohne den Betrieb zu brechen
ICMP-Baselines scheitern oft an mangelnder Operationalisierung. Eine professionelle Einführung erfolgt in Stufen: erst beobachten, dann selektiv zulassen/blocken, dann feinjustieren. Wichtig ist, dass Sie Blackhole-MTU-Probleme im Blick behalten: Wenn nach einem Change plötzlich bestimmte Anwendungen „hängen“, ist PMTUD oft der erste Verdächtige. Deshalb sollte die Baseline verpflichtend einen Testkatalog enthalten (z. B. Tunnelpfade, MTU-Tests, traceroute von Management-Knoten).
- Baseline-Messung: ICMP-Typen und Volumina pro Zone erfassen, bevor Sie hart filtern.
- Canary Rollout: zuerst einzelne PoPs/Routerrollen, dann ausrollen.
- Testkatalog: PMTUD-Checks (IPv4/IPv6), Traceroute, typische Kundenpfade, VPN/Overlay-Pfade.
- Runbooks: „PMTUD blackhole“ erkennen, „Traceroute broken“ eingrenzen, CoPP-Hits interpretieren.
- TTL für Ausnahmen: temporäre Freigaben laufen ab und werden rezertifiziert.
Typische Anti-Patterns: Was in die Telco-Baseline ausdrücklich nicht gehört
- ICMP komplett blocken: führt zu MTU-Problemen und schwer debuggbaren Verbindungsabbrüchen.
- ICMP komplett erlauben: erhöht Angriffsfläche und CPU-Risiko, besonders an Peering-Kanten.
- Keine Trennung von Echo und PMTUD: Echo-Floods dürfen nicht PMTUD-Fehler verdrängen.
- Keine Zonierung: gleiche ICMP-Regeln für Core und IXP/Edge sind selten sinnvoll.
- Keine Observability: Drops/Policer-Hits bleiben unsichtbar, Tuning wird blind.
Baseline-Checkliste: ICMP Filtering in Telco-Netzen
- Typenspezifische Allowlist: PMTUD-relevante Typen zulassen; Echo/Traceroute kontrolliert erlauben.
- IPv6 bewusst behandeln: ICMPv6 (Packet Too Big, ND/RA/RS/NS/NA) in den richtigen Segmenten zulassen.
- Zonenprofile: unterschiedliche Regeln für Peering/IXP, Core, Access, Management.
- CoPP als Pflicht: ICMP in Klassen mit eigenen Budgets; PMTUD/Errors getrennt von Echo.
- Infrastruktur schützen: Router-Loopbacks und Management-IPs nicht unnötig exponieren; ACLs ergänzen.
- Operationalisierung: Canary Rollout, Testkatalog (PMTUD/Traceroute), Runbooks und Ausnahmeprozess mit TTL.
- Observability: ICMP-Volumen, Typverteilung, Drops/Policer-Hits, Alarme bei Spikes.
Eine Telco-Baseline für ICMP Filtering ist damit weder „alles offen“ noch „alles zu“, sondern ein kontrolliertes, betriebssicheres Modell: Sie lassen die ICMP-Typen zu, die Stabilität und Diagnose ermöglichen, begrenzen Missbrauch durch CoPP und Zonierung und vermeiden so den Klassiker „Sicherheitsmaßnahme verursacht Netzstörung“. Genau das ist der Unterschied zwischen ICMP-Blockade aus Reflex und ICMP-Filtering als professioneller Provider-Standard.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
