 |
|
|
|
| Autor |
Nachricht |
DSL10Off
Anmeldungsdatum: 28.07.2005
Beiträge: 73
|
 Verfasst am:
Do 28 Jul, 2005 19:04 |
  |
|
| Zitat:
|
Auch bei mir gibt es eine ALLOW_PING_OUT-Regel, wie du sie pflegst 
|
Hä? Achso, das soll man ja nicht sagen. Also - Wie bitte?
Was soll ich mit dieser Information anfangen? Dass das ALLOW_PING nur für Pings da ist, die aus dem lokalen Netz ins WAN geht, ist mir klar.
Eingehende Pings sollte doch von der Firewall abgefangen werden, oder nicht?
Ich habe jedenfalls über die DefaultRoute den StrealthModus aktiviert.
Aber trotzdem hilft mir das in der Sache noch nicht weiter. |
_________________
Gruß
DSL10Off
Lancom DSL/I-10+ (LCOS 7.80.0081Rel) |
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Do 28 Jul, 2005 19:11 |
|
|
Hallo DSL10Off,
| Zitat:
|
|
auf der anderen Seite spricht das Referenzhandbuch von einer ALLOW_PING Regel, geht aber in keinem Punkt auf spezielle Einstellungen ein, die wirklich nur das PING erlauben.
|
ok - der Regelname ist an dieser Stelle nicht ganz korrekt, aber da steht ja auch 'z.B. ping'. Und eine Abhandlung über ICMP-Typen im Ref-Manual halte ich für überflüssig. Und ich will gar nicht an jene denken, die unbedarft nach Aktivierung einer speziellen ALLOW_PING Regel sich darüber aufregen, warum trace-route nicht mehr funktioniert. 
| Zitat:
|
|
Dazu auch noch eine Frage. Wenn ich die "Basic Internet" DENY ALL Strategie so umsetze wie im Handbuch, ohne das ALLOW_PING würde ICMP doch auch komplett blockiert werden, oder nicht?
|
Das ist richtig.
| Zitat:
|
|
Wenn diese Pakete nicht blockiert werden sollten, warum gibt Lancom dann solch eine Empfehlung nicht an dieser Stelle im Handbuch aus.
|
Steht doch direkt da: "Für Diagnosezwecke empfiehlt sich ferner die Freischaltung des ICMP-Protokolls". Obwohl ich das etwas anders formulieren würde.
| Zitat:
|
|
Wie müsste den nun eine korrekte ALLOW_PING Regel aussehen? Ich gebe zu ich kenn mich was die Protokolle, Codes und Typen angeht überhaupt nicht aus. Wo müsste man den die Typen 0 und 8 in der Regel notieren?
|
Meine Empfehlung: Lass es sein. Erlaube prinzipiell ICMP und verbiete nur die Typen, die nach Deiner Ansicht gefährlich sein könnten - aber auch nur dann, wenn Du genau weisst, was Du tust.
Gruß
Mario |
|
|
|
|
DSL10Off
Anmeldungsdatum: 28.07.2005
Beiträge: 73
|
| Verfasst am:
Do 28 Jul, 2005 19:15 |
|
|
OK, danke eddia.
Dann werde ich es so lassen wie ich es eingestellt habe. Vielen Dank für deine Hilfe.
P.S. Gibt es denn potentiell gefährliche Typen, um die ich mir Sorgen machen müsste? |
_________________
Gruß
DSL10Off
Lancom DSL/I-10+ (LCOS 7.80.0081Rel) |
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Do 28 Jul, 2005 19:23 |
|
|
Hallo DSL10Off,
| Zitat:
|
|
Gibt es denn potentiell gefährliche Typen, um die ich mir Sorgen machen müsste?
|
gefährlich im Sinne von Eindringen in Dein LAN nicht. Aber zum Beispiel wäre mit ICMP-Redirect ein DoS Angriff möglich. Halte ich aber in Verbindung mit NAT für ausgeschlossen.
Gruß
Mario |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Do 28 Jul, 2005 19:26 |
|
|
Hallo DSL10Off,
| Zitat:
|
|
Ich habe jedenfalls über die DefaultRoute den StrealthModus aktiviert.
|
ach - und Du meinst mit dieser Straussenkopf-in-den-Sand Methode jetzt sicherer zu sein?
Bitte wieder deaktivieren. Es bringt keine Vorteile, aber nur Nachteile.
Gruß
Mario |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Do 28 Jul, 2005 19:28 |
|
|
Hallo Jens,
| Zitat:
|
|
Normalerweise korrekt, aber sicher ist sicher und auch bei mir kamen schon intruder an 192.168....-Adressen an
|
die sind dann aber nicht durch eine ICMP-Regel sondern durch das IDS abgefangen worden.
Gruß
Mario |
|
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Do 28 Jul, 2005 19:35 |
|
|
| DSL10Off hat folgendes geschrieben:
|
Hä? Achso, das soll man ja nicht sagen. Also - Wie bitte? .....
Aber trotzdem hilft mir das in der Sache noch nicht weiter.
|
Habe ich etwas überlesen ...habe ich etwas verpasst ...Ich wollte nur bestätigen, dass du nicht der einzigste bist, der so eine Regel in die FW aufgenommen hat ...mehr sagt das nicht aus ! Also mach dir darüber keine Gedanken
| DSL10Off hat folgendes geschrieben:
|
Ich habe jedenfalls über die DefaultRoute den StrealthModus aktiviert.
|
Halte ich persönlich nichts davon, da nur der Ping auf deine ISP-IP(also extern) geblockt wird. Was bringt das, außer das potentielle Angreifer dadurch eventuell verstärktes Interesse zeigen
Außerdem könnte ich dann von außerhalb(dyndns) nicht mehr überprüfen, ob mein Router noch online ist bzw. dyndns die neue IP registriert hat oder eventuell noch eine veraltete IP steht ...käme für mich nicht in Frage  |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Do 28 Jul, 2005 19:39 |
|
|
| eddia hat folgendes geschrieben:
|
die sind dann aber nicht durch eine ICMP-Regel sondern durch das IDS abgefangen worden.
|
Richtig, sonst hätte ich´s ja nicht bemerkt
Kann zwar jetzt keine konkreten Beispiele, aber habe auch schon von spezieller Schadsoftware gehört, die sich dieses Protokolls bedient. |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
DSL10Off
Anmeldungsdatum: 28.07.2005
Beiträge: 73
|
| Verfasst am:
Do 28 Jul, 2005 20:00 |
|
|
| Zitat:
|
|
Habe ich etwas überlesen ...habe ich etwas verpasst ...Ich wollte nur bestätigen, dass du nicht der einzigste bist, der so eine Regel in die FW aufgenommen hat ...mehr sagt das nicht aus ! Also mach dir darüber keine Gedanken
|
Da habe ich wohl was falsch verstanden. Habe irgendwie nicht gemerkt, das du dich auf die Aussage in einem früheren Post beziehst. Hat sich erledigt.
Was den StealthModus angeht. Wenn ich z.B. den ShieldsUp Test bei grc.com mit deaktiviertem Stealth mache, wird der Test nach deren Kriterien nicht bestanden. Deswegen habe ich ihn aktiviert. Zudem bin ich auf dyndns nicht angewiesen, weil ich keinerlei Dienste (z.B. Webserver) anbiete.
Wie läuft denn die Suche eines Hackers nach verwundbaren Systemen ab. Ich dachte immer, das die auf alle Fälle immer einen Ping auf einen Adressbereich machen, um herauszufinden, wo überhaupt eine Maschine zu finden ist. Ist es dann nicht besser, in so einer Liste nicht aufzutauchen? Oder ist das Ausbleiben eines Echo Reply ein verräterisches Anzeichen?
Was für einen Antwort würde man denn theoretisch auf eine ISP IP erhalten, mit der zur Zeit keiner eingeloggt ist? |
_________________
Gruß
DSL10Off
Lancom DSL/I-10+ (LCOS 7.80.0081Rel) |
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Do 28 Jul, 2005 20:40 |
|
|
| DSL10Off hat folgendes geschrieben:
|
|
bin ich auf dyndns nicht angewiesen, weil ich keinerlei Dienste (z.B. Webserver) anbiete.
|
Dann ist das ja durchaus eine Massnahme ...alles andere wäre eh eine Glaubensfrage ...Was wäre wenn, was könnte wenn und was nicht ...!?!
Wenn du online bist, hast du auch eine öffentliche IP, wenn nun ein Portscan darauf folgt oder ein Angriff einen/mehrere Port/s, dann nützt der Stealth-Modus auch nichts. Wenn deine Firewall dicht ist, dann ist es egal ob du versteckt bist oder nicht.
Meine Auffassung ...solange keine Anwendung bzw. irgendein Dienst auf deine ISP-IP angewiesen ist, spielt es keine Rolle ob Stealth an oder aus ist ...aber wie geasgt(geschrieben) ...Glaubensfrage! |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Do 28 Jul, 2005 21:11 |
|
|
Hallo DSL10Off,
| Zitat:
|
|
Wenn ich z.B. den ShieldsUp Test bei grc.com mit deaktiviertem Stealth mache, wird der Test nach deren Kriterien nicht bestanden.
|
ja und? Warum vertraust Du diesen an den Haaren herbeigezogenen Kriterien? grc.com ist Müll!
| Zitat:
|
|
Ich dachte immer, das die auf alle Fälle immer einen Ping auf einen Adressbereich machen, um herauszufinden, wo überhaupt eine Maschine zu finden ist.
|
Schon mal darüber nachgedacht, dass Du mit jeder Anfrage an einen Host im Internet Deine IP bekannt gibst? Und ein Scannen per ICMP ist nicht üblich - hier wird direkt nach Diensten auf Ports gesucht.
| Zitat:
|
|
Oder ist das Ausbleiben eines Echo Reply ein verräterisches Anzeichen?
|
Genau. Sonst würde der Anfragende ein 'host' oder 'network unreachable' erhalten.
Gruß
Mario |
|
|
|
|
|
|
|
|
| |
|
|
