tentakel schrieb am 15. August 2003 10:25
> Du hast offenbar eine sehr eingeschränkte Sicht der Dinge. Es geht
> nicht um Beweise für absolute Sicherheit, das sollte sich
> herumgesprochen haben, dass es die nicht gibt. Aber eine PFW kann
> immerhin das Risiko verringern, das ist nunmal eine Tatsache. Und
> wenn es nur durch den Effekt ist, dass die meisten "Scanner"
> überhaupt keinen Rechner mehr finden, wenn sämtliche RST-Pakete
> verworfen werden und kein icmp-echo-reply geschickt wird.
Autsch! Unsichtbarkeit dank Firewall --das ging jetzt aber ins Auge!
Frage: Wie kann ich mich unsichtbar machen?
Antwort:
Um "unsichtbar" zu sein, müßtest Du mit der IP Adresse Deines
nächsten Routers "ICMP - Host/Network unreachable" senden.
Merke: Bei ICMP ist keine Antwort gleichbedeutend mit "ich bin hier".
Weil wenn Du nicht da wärst, würde jemand anderes sagen "Der ist
nicht da". Nämlich der nächste Router. (Der steht bei Deinem Provider
und Du hättest kein Internet.)
(aus http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html)
Zum Thema DENY gibt es im Netz genug Diskussionen, der
Vollständigkeit halber:
Frage: Ist REJECT oder DENY sinnvoller?
Antwort:
Als REJECT bezeichnet man die aktive Ablehnung einer
Verbindungsanfrage mit einem ICMP Paket vom Inhalt "Der Admin hat's
verboten" oder "Dienst nicht verfügbar".
Als DENY bezeichnet man das kommentarlose Wegwerfen der
Verbindungsanfrage. Damit läuft der Anfragende in einen Timeout.
Admins, die sich über Script Kiddies ärgern, glauben oft, diese durch
DENY aufhalten zu können. Dies ist jedoch falsch. Es ist problemlos
möglich, viele tausend Scans gleichzeitig zu starten und so auf alle
Timeout gleichzeitig zu warten. Ein Scanner wird so nicht gebremst.
Andererseits bremst man mit DENY alle legitimen Nutzer und Server
massiv aus. Das betrifft insbesondere die ident Anfragen.
Ident dient dazu, dem Admin eines ordentlich gepflegten Systems eine
Hilfestellung bei der Identifizierung seiner, sich daneben
benehmenden Nutzer zu geben. DENY für ident bewirkt nur, daß diese
Hilfestellungen bei anderen Servern nicht mehr aufgezeichnet werden.
Wenn Du als Schutzpatron für Spammer und Scriptkiddies auftreten
willst, nimm DENY.
[...]
(aus http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html)
Interessant ist auch die Antwort auf die Frage
"Warum muß man die MTU Größe anpassen, wenn Paketfilter eingesetzt
werden?"
Nur mal so für die tollen ich-block-ICMP-Admins hier im Forum...
> Du hast offenbar eine sehr eingeschränkte Sicht der Dinge. Es geht
> nicht um Beweise für absolute Sicherheit, das sollte sich
> herumgesprochen haben, dass es die nicht gibt. Aber eine PFW kann
> immerhin das Risiko verringern, das ist nunmal eine Tatsache. Und
> wenn es nur durch den Effekt ist, dass die meisten "Scanner"
> überhaupt keinen Rechner mehr finden, wenn sämtliche RST-Pakete
> verworfen werden und kein icmp-echo-reply geschickt wird.
Autsch! Unsichtbarkeit dank Firewall --das ging jetzt aber ins Auge!
Frage: Wie kann ich mich unsichtbar machen?
Antwort:
Um "unsichtbar" zu sein, müßtest Du mit der IP Adresse Deines
nächsten Routers "ICMP - Host/Network unreachable" senden.
Merke: Bei ICMP ist keine Antwort gleichbedeutend mit "ich bin hier".
Weil wenn Du nicht da wärst, würde jemand anderes sagen "Der ist
nicht da". Nämlich der nächste Router. (Der steht bei Deinem Provider
und Du hättest kein Internet.)
(aus http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html)
Zum Thema DENY gibt es im Netz genug Diskussionen, der
Vollständigkeit halber:
Frage: Ist REJECT oder DENY sinnvoller?
Antwort:
Als REJECT bezeichnet man die aktive Ablehnung einer
Verbindungsanfrage mit einem ICMP Paket vom Inhalt "Der Admin hat's
verboten" oder "Dienst nicht verfügbar".
Als DENY bezeichnet man das kommentarlose Wegwerfen der
Verbindungsanfrage. Damit läuft der Anfragende in einen Timeout.
Admins, die sich über Script Kiddies ärgern, glauben oft, diese durch
DENY aufhalten zu können. Dies ist jedoch falsch. Es ist problemlos
möglich, viele tausend Scans gleichzeitig zu starten und so auf alle
Timeout gleichzeitig zu warten. Ein Scanner wird so nicht gebremst.
Andererseits bremst man mit DENY alle legitimen Nutzer und Server
massiv aus. Das betrifft insbesondere die ident Anfragen.
Ident dient dazu, dem Admin eines ordentlich gepflegten Systems eine
Hilfestellung bei der Identifizierung seiner, sich daneben
benehmenden Nutzer zu geben. DENY für ident bewirkt nur, daß diese
Hilfestellungen bei anderen Servern nicht mehr aufgezeichnet werden.
Wenn Du als Schutzpatron für Spammer und Scriptkiddies auftreten
willst, nimm DENY.
[...]
(aus http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html)
Interessant ist auch die Antwort auf die Frage
"Warum muß man die MTU Größe anpassen, wenn Paketfilter eingesetzt
werden?"
Nur mal so für die tollen ich-block-ICMP-Admins hier im Forum...