Re: ICMP Ping (redirect) blockieren !

Tech-Archive recommends: Repair Windows Errors & Optimize Windows Performance

From: Martin Oldemölle (thunder-dome_at_gmx.net)
Date: 03/12/04

  • Next message: marcus: "code 10" 
    Date: Fri, 12 Mar 2004 01:29:41 +0100

    "Daniel Melanchthon" <melanchthon@gmx.de> schrieb im Newsbeitrag
    news:uXIiSvyBEHA.628@TK2MSFTNGP10.phx.gbl...

     Hallo Daniel Melanchthon

    > hast Du deswegen tatsächlich einen Cal bei Microsoft eröffnet und
    > bezahlt?

    Ja Ja ich weiss, schande über mich ;-)

    >Deiner Anfrage entspricht ungefähr dem Risikomanagement eines
    > Vogel Strauss. Nur weil Du nicht auf Ping mit Pong antwortest, heißt
    > das nicht, dass Du unsihtbar bist.
    um soweniger der "belzebub" per ICMP Traffik erfaehrt. um so besser.

    Ich wollte das eigentlich so schön strieken wie in Linux ! Ping und Pong mit
    sysctl einfach weg. bzw. Ping ins Nirvana never for ever...

    > Dafür müßte der Router vor Dir mit Destination unreachable antworten.
    > Das tut er aber nicht, da Du ja da bist un das Paket zur Prüfung des
    > Inhalts erstmal annehmen mußt. Wenn Du jetzt ICMP 8 als Inhalt findest
    > und das wegschmeist, ist das eben was anderes als wenn Du nicht da
    > wärst und der Router das Packet gar nicht erst loswird. Damit ist das
    > Abschalten von Ping-Antworten sinnfrei.
    so od. so ich habe etwas dagegen das mich scripter teraX mit Pingo et all,
    nach meinem inventar an hardware abfragt, um seinerseits seine angriffe
    besser
    zu steuern..

    > Zum zweiten, oft gebrauchten Argument "Denial of Service-Schutz"
    > zitiere ich mal Chris aus dcsf zu ICMP-Floods:
    > Du kriegst die Leitung trotzdem dicht. Wenn man dir 20000 Ziegelsteine
    > pro Stunde zum Fenster reinwirft, ist dein Luftraum irgendwann voll,

     AU....
    > egal ob du die Steine isst, zurückwirfst oder dem Fenster den Rücken
    > zudrehst und rufst: "Ich bin nicht da."

    zit. aus "tecchannel" ausgabe 02.01.2003
    Das ICMP ist eine gratwanderung zwischen Sicherheit und Performance.
    wer gerringe Performance-Einbussen in kauf nimmt,
    kann das protokoll Vollständig Blocken.
    die Internet verbindung sollte in den meisten fällen trotzdem problemlos
    funktionieren.

    ich nehme die Performance Einbusse in kauf., ICH kenne meine ZIELE (SRV,CLT)

    > Daher vergiss das am Besten einfach. Wenn Du es partout nicht lassen
    > willst, installier Dir eine Personal Firewall, die Dir diesen Unsinn
    > im Netz erlaubt. Aber wundere Dich dann nicht über z.B. nicht mehr
    > funktionierende Gruppenrichtlinien, keine gefundenen Domain
    > Controller, etc. Der Client misst mit ICMP Pings nämlich die
    > Antwortzeit des DCs und das ist mit entscheidend bei der AUswahl des
    > Logon-DCs, Slow Link Detection, etc.

    ich kann es einfach nicht vergessen. warum ? nun ich habe hier einen
    belzebub od. was auch immer, egal was für eine firewall ich auch genommen
    habe..
    IMMER wurde die DNS Traffik zum Server (Ziel) geblockt immer.
    das auffällig an der sache ist die tatsache das immer ICMP packete
    vorangingen. ich keinen kenne dem soetwas aenlichem passiert od. passiert
    ist

    antiviren software schlagen nicht an.

    > Und dann will ich Dir auch nicht meine persönlichen Highlights aus der
    > Firewall-FAQ von Lutz vorenthalten:
    abrobro Firewall-FAQ, ich Suche immer noch nach einem Firewall Builder für
    SuSI 9.0
    http://www.sourceforge.net/ ist momentan nicht erreichbar neh ahnung ?
    wo ich gezielt nach sowas suchen kann (ausser bei OBI)

    > Stichwort Personal Firewalls
    > "Mein Haus steht an einer öffentlichen Straße. Ich möchte nicht, daß
    > man das Haus von dort aus sehen kann. Ich habe gehört, daß man mit
    > Hilfe von Taschenlampen auch bei ausgeschalter Sonne, Mond und
    > Beleuchtung mein Haus sehen kann. Wie kann ich mich nun schützen?"
    > Die Antwort, die Du hören willst lautet: "Es gibt da extrem coole
    > Folien mit dem Aufdruck 'Das ist kein Haus.', die man in die Fenster
    > kleben kann. Kostenlos und besonders bunt sind die von Zonealarm."
    > Das entspricht einer guten Beschreibung Deiner Ping-Abschaltlösung.
    >
    > Stichwort "Risikokompensation."
    > Wer glaubt, die unverstandene Sicherheitslösung hätte irgendeinen
    > Effekt, wird unbewußt diesen mit einer gewissen Laxheit kompensieren,
    > weil ihn das System ja schützt.
    sicher heit, was ist das ???

    (137)
    > > nun meine frage.: was, wiso warum, weshalb ???
    > > aber nun im ernst, der Rechner schickt hier info od. anweisungen od. was
    > > auch immer ins Netz ! erstens habe ich auf UDP im bereich von 2000 bis
    5000
    > > NICHTS am laufen, was
    > > diese aktion rechtfertigen würde
    >
    > Beachte mal den Unterschied zwischen Source-Port und Destination-Port.
    > Der Source-Port ist ein beliebiger Highport >1023 - hier ist nur der
    > Zielport interessant (137).

    der source-punkte sind vom router ! laut hersteller sendet der nichts !!!
    und jetzt ???
    leider leidet Linux auch unter der symtomatik.........

    > > , zweitens, Port UDP 137 ist unter Windows
    > > 2000 nicht. der wird im
    > > Netzwerk nicht mehr gefahren seit Win 95! (Win 98)
    > Wo hast Du das denn her?
    ich meinte eigentlich das sys. bei mir,

    ich habe es mal gewagt saemtliche Dienste für telekommunikation und netzwerk
    abzuschalten bis hinterher nur noch die Ports 135 tcp und 445 tcp offen
    wahren.

    > Das sieht mir nach Broadcast-Verkehr aus. Ich tippe mal auf Network
    > Browsing.

    jhop... aber warum ? (der papst weiss es)

    wenn ich hier NICHTS mit dem netzwerk tuhe, und ich meine zeit einstellung
    für die Aktuallisierung des Netzwerk kenne, sollte ich doch davon ausgehen
    können, kein Traff. zuhaben oder ??

    > > wer kann mir zu den fragen rede und antwort stehen ?? wer ist mit der
    > > registrie so vertraut wie mit seiner frau ;-) !
    >
    > Ich kenne meine Frau besser als die Registry und das ist auch gut so.
    > Ich hab doch lieber eine glückliche Beziehung als
    > Ping-Abschaltprobleme ;-)

    nun den, glückauf !
    ich habe noch keine Frau die ich besser kenne als mein Rechner ! :-(
    schad eee

    bis dem naechst.... Oldi.

  • Next message: marcus: "code 10"

    Relevant Pages

    • Re: Ok to let all ICMP traffic through firewall?
      ... because some ICMP messages aren't useful. ... >> bother than not blocking anything. ... The firewall user is usually the ... > need to allow PING, in fact why the heck would you want to allow PING, ...
      (comp.security.firewalls)
    • Re: Ok to let all ICMP traffic through firewall?
      ... because some ICMP messages aren't useful. ... >> bother than not blocking anything. ... The firewall user is usually the ... > need to allow PING, in fact why the heck would you want to allow PING, ...
      (alt.computer.security)
    • Re: What must I set to Ping with Trend Micro Pro?
      ... It would seem that if you could ping anyone outside your computer, that your computer's firewall is working. ... However, in some instances, you might be allowing outbound ICMP but not an inbound unsolicited ICMP of another type. ... forums but I could not see any links to forums on their web site. ...
      (alt.comp.anti-virus)
    • Re: Ok to let all ICMP traffic through firewall?
      ... because some ICMP messages aren't useful. ... >> bother than not blocking anything. ... The firewall user is usually the ... > need to allow PING, in fact why the heck would you want to allow PING, ...
      (comp.security.misc)
    • Re: kann nicht angepingt werden ?? obwohl firewall aus ?
      ... ahnungslos> gibt es ne prozedure für so etwas, erst 1 dann 2 tes ping hier und ping da, dienset x y abschalten anschalten usw... ... Gegebenenfalls sind die LAN-Karten erst nach der Installation der Chipsatztreiber verfuegbar. ... einen DHCP-Server im Netzwerk hast. ... kann die Windows-eigene Firewall deaktiviert bleiben. ...
      (microsoft.public.de.german.windowsxp.networking)