n Sun, Aug 04, 2002 at 02:39:58PM +0200, Jochen Hein wrote: > Ulrich> Es gibt ein paar gute Gr�nde, ICMP zumindest teilweise zu > Ulrich> blocken: > > Ulrich> http://www.sys-security.com/html/projects/icmp.html > > Ungelesen: Der Tipp bei Dir heisst "teilweise". D.h. man muss > wissen, > was man da tut - was aber bei den meisten Firewall-Admins nicht der > Fall ist.
Stimmt (leider). > Wer bis zu dem Paper gekommen ist, der kann sich dann die > passenden Regeln bauen. F�r alle anderen gilt: Kein ICMP filtern. > Ich hasse es, wenn ich auf dem Client erst auf einen Timeout warten > muss, nur weil ICMP nicht geht. Oder ich keine Chance habe > herauszubekommen, was denn nun nicht geht. Das 1981 eingef�hrte ICMP Protokoll dient definitionsgem�� zum �bermitteln von Statusmeldungen, die nicht �ber TCP �bertragen werden k�nnen (z.B. ICMP Type 3 Destination Unreachable: Code 0: Network Unreachable), und macht vor allen Dingen auf Routern Sinn, die z.B. bei Netzproblemen den Client dar�ber informieren k�nnen. Auf Server-Basis wird ICMP so gut wie nie ben�tigt, da beim Versagen eines Dienstes (z.B. http) stets mittels TCP (Reset) auf einen geschlossenen Port hingewiesen wird. Einzig und allein ein ICMP Source Quench wird vom Server direkt an Clients gesendet, die Daten zu schnell an den Server �bertragen, was aber in der Praxis eher selten vorkommen sollte. Ein gutes Beispiel f�r das Blocken von ICMP auf Servern ist Ping: Warum sollte mein Server auf beliebige ICMP echo-request (ping) Anfragen mit einem echo-reply (pong) antworten? Au�er mir hat es niemand zu interessieren, wie es meinem Server geht, da ein Fremder sowieso nichts an der Situation des Servers �ndern kann. Des weiteren k�nnen �ber ICMP sehr interessante Informationen �ber ein System in Erfahrung gebracht werden: http://www.phrack.org/show.php?p=57&a=7 Ein Blocken von ICMP verhindert die Identifizierung des Betriebssystems eines Servers, so dass z.B. "nmap -O" keine Ausgabe liefert, was einem potentiellen Angreifer die Identifizierung und damit das Hacken eines Systems erheblich erschwert. > Mal 'ne Frage an die RFC-Leser: ICMP ist ja IIRC integraler > Bestandteil von IP. Gelten ICMP-Filterer also noch als Teilnehmer > am > Internet? RFC-Nummer und Abschnitte... Gegenfrage: Laut RFC792 (1981) und RFC1122 (1989) ist source-routing ein integraler Bestandteil von TCP/IP und somit des Internets. Unterst�tzt dein Client/Server/Netzwerk source-routing? Kann ich deinen Webserver per source-routing erreichen? Falls nein: D�rfen unsere Rechner und Router also nicht am Internet teilnehmen, da sie ein wichtiges Protokollfeature, dass aus einer Zeit stammt, als man jeden Server im Internet in seiner /etc/hosts hatte, aus Sicherheitsgr�nden nicht unterst�tzen? Gruss Ulrich -- http://www.der-keiler.de PGP Fingerprint: 5FA4 4C01 8D92 A906 E831 CAF1 3F51 8F47 1233 9AAD Public key available at http://www.der-keiler.de/uk/pgp-key.asc
msg11881/pgp00000.pgp
Description: PGP signature
