>>>>> "Ulrich" == Ulrich Keil <[EMAIL PROTECTED]> writes:
Ulrich> Auf Server-Basis wird ICMP so gut wie nie ben�tigt, da beim Ulrich> Versagen eines Dienstes (z.B. http) stets mittels TCP (Reset) Ulrich> auf einen geschlossenen Port hingewiesen wird. Wenn ich mich recht erinnere ist auch ein ICMP Port unreachable erlaubt. Und wie sieht das auf der Client-Seite aus? Ulrich> Ein gutes Beispiel f�r das Blocken von ICMP auf Servern ist Ulrich> Ping: Ulrich> Warum sollte mein Server auf beliebige ICMP echo-request Ulrich> (ping) Anfragen mit einem echo-reply (pong) antworten? Weil es h�flich ist und nicht weh tut? Weil es bei der Fehleranalyse hilft? Ulrich> Au�er mir hat es niemand zu interessieren, wie es meinem Ulrich> Server geht, da ein Fremder sowieso nichts an der Situation Ulrich> des Servers �ndern kann. Falsch. Es kann sehr n�tzlich sein, denn ich kann dann einfach einen anderen Dienstleister w�hlen. Ulrich> Ein Blocken von ICMP verhindert die Identifizierung des Ulrich> Betriebssystems eines Servers, so dass z.B. "nmap -O" keine Ulrich> Ausgabe liefert, was einem potentiellen Angreifer die Ulrich> Identifizierung und damit das Hacken eines Systems erheblich Ulrich> erschwert. NACK. Script-Kiddies starten einfach alle Exploits, die sie haben. Und gegen einen Angreifer, der Dein System wirklich will, hilft das auch nicht. >> Mal 'ne Frage an die RFC-Leser: ICMP ist ja IIRC integraler >> Bestandteil von IP. Gelten ICMP-Filterer also noch als Teilnehmer >> am Internet? RFC-Nummer und Abschnitte... Ulrich> Gegenfrage: Laut RFC792 (1981) und RFC1122 (1989) ist Ulrich> source-routing ein integraler Bestandteil von TCP/IP und Ulrich> somit des Internets. Ulrich> Unterst�tzt dein Client/Server/Netzwerk source-routing? Kann Ulrich> ich deinen Webserver per source-routing erreichen? Nein, nein. Seit aber Routing vern�nftig funktioniert und es Dinge wie OSPF und BGP gibt, bracht man das nur noch in extremen Ausnahmef�llen. Bei ICMP sieht das anders aus - das ist ein n�tzlicher Dienst. Jochen -- #include <~/.signature>: permission denied ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
