icmp nicht blocken - ist arp der grund?

[Herakles]

Hallo zusammen!

Immer mal wieder lese ich von Firewalls, die ICMP Pakete nicht droppen, weil dies "wenig sinnvoll" sei. Einen Grund dafür habe ich allerdings bisher nicht gefunden.

Nun habe ich mich gerade ein wenig mit "arp"s beschäftigt und bei

http://www.elektronik-kompendium.de/sites/net/0901061.htm

etwas sehr interessantes gefunden.

Erreicht dann irgendwann das Datenpaket doch sein Ziel, schreibt die betreffende Station seine Rückantwort in ein ICMP-Paket an den Sender. In dieser Antwort wird falls möglich ein Gateway vermerkt, über das die beiden Stationen miteinander kommunizieren. So werden weitere ARP-Adressauflösungen und dadurch Broadcasts vermieden.

Das hört sich ja fast nach der Lösung meiner Frage an. Ist es aufgrund von eben diesen Paketen, die aufgrund von arp-Anfragen versendet werden, unsinnig, ICMP-Pakete zu blocken, weil man damit nur mehr arp-Traffic generieren würde?

Danke für Eure Gedanken zu diesem Thema,


Herakles

 

[ZerBEruZ]

hi herakles,

ICMP komplett dropen ist tatsächlich ungünstig. ICMP unterstützt verschiedene meldungen wie z.B. Ping/Pong, redirects, usw. in vielen fällen ist es daher ausreichend die PING's zu dropen um den meisten script-kiddies oder floodern den spass zu verderben. ansonsten gilt auch hier: kommt drauf an was du erreichen willst.

wir lesen uns

 

[Herakles]

pings droppen -> GERNE! Bloß wie? man ping? give me a hint for reading!

Dankööööö

 

[Daniel Seuffert]

Das kommt natürlich auf den Paketfilter deiner Wahl an, da bitte in der man nachlesen bzw. googeln oder hier im Forum suchen z.B. Wir wissen weder dein OS noch sonst etwas. Paketfilter oder komplette Firewall-Lösungen gibt es reichlich, von ipfw über pf bis sonstwohin.

 

[Herakles]

schnellantwort mal eben reingeworfen: ich nutze OBSD35 mit pf. Ehrlich gesagt, hab ich eine art "ping block" bei der pf-FAQ noch nicht gesehen...

 

[ZerBEruZ]

hi herakles,

mit pf kenn ich mich leider net aus. zum thema icmp

http://www.brainyencyclopedia.com/encyclopedia/i/in/internet_control_message_protocol.html

wir lesen uns

ps: google ist dein freund

 

[unlink]

Jetzt mal im Ernst: Jeder, der auch nur den Hauch ein Ahnung von dem hat, was er tut wird
die "Ping-blockade" nicht interessieren. Alle Anderen -> was solls?

Desweiteren wird dein Provider sagen, dass du nicht da bist ("host unreachable") , wenn du nicht da bist.
Ansonsten nicht.

 

[Arjan]

ICMP-Pakete haben mehrere Optionen, die als Zahl angegeben werden(die hab ich jetzt einzeln nicht im Kopf).

Einen Ping auf das eigene System dropt man, indem die Option <echo-request> im Paketfilter eingehend blockiert wird - so als Beispiel.

Wer ICMP blockieren will, sollte genau wissen, was er tut in Hinsicht auf die einzelnen Optionen.
Über ICMP wird z.B. auch die MTU oder die Paketfragmentierung etc ausgehandelt - das sollte man tunlichst nicht dropen!

Empfohlen wird aber meist, <source-routing> nicht zuzulassen, das könnte für einen Angriff missbraucht werden.

Hier ist also konkretes TCP/IP-Wissen unbedingt erforderlich - sonst schiesst man sich womöglich klassisch ins eigene Knie!

Gruss

 

[nakal]

Ich glaube nicht, dass ARP etwas mit ICMP zu tun hat. ARP ist ein Protokoll auf der Ethernet-Ebene und ICMP gehört zu TCP/IP.

Sicherlich wird ein Ping einen ARP-Eintrag erzeugen, aber auch jedes andere IP-Paket auch. Wenn Du im Netz bist, dann kriegst Du sowieso zig ARP "where-is" Anfragen, ob Du ICMP durchlässt oder nicht.

Die meisten ARP-Anfragen kommen gerade dann zustande, wenn Rechner/Drucker plötzlich offline sind und z.B. ein Host einen Druckauftrag hat. Der TCP-Connect kann nicht durchgeführt werden, weil erstmal nicht klar ist, in welchem Netzsegment der Drucker sich befindet. Eine ARP-Anfrage versucht die Netzwerkkarte dann zu finden, die die Ziel-IP hat. Die Netzwerkkarte meldet sich dann mit ihrer Ethernet-Adresse. Wenn der Host aber down ist, verursacht der nächste Connect-Versuch eine ARP-Anfrage.

Rechner werden normalerweise nicht per Ping im Netz gesucht. Dass es das kranke MS-Windows macht und damit das Diagnose-Tool zweckentfremdet, ist eine andere Sache.

 

[AndreasMeyer]

Einige interessante Firewall-Beispiele findest Du im Wiki:
http://wiki.bsdforen.de/tiki-index.php?page=Firewall-Regeln

 

[D.Mon]

ICMP-Pakete haben mehrere Optionen, die als Zahl angegeben werden(die hab ich jetzt einzeln nicht im Kopf).

Einen Ping auf das eigene System dropt man, indem die Option <echo-request> im Paketfilter eingehend blockiert wird - so als Beispiel.
...

... was auf einen Angreifer ungefähr dieselbe Wirkung hat, wie wenn er an Deine Tür klopft, und Du ruftst drinnen "Ich bin nicht daheim!"
Nur wenn der letzte Router (i. d. R. der vom ISP) zwischen Dir und dem Angreifer (von Ihm aus gesehen) sendet: "ICMP: Destination/Host unreachable" (Code 3/1) vermutet Dich der andere Offline. Ob Dir dieser Router dann überhaupt noch was sendet, steht auf einem andern Blatt.

Hier ist also konkretes TCP/IP-Wissen unbedingt erforderlich - sonst schiesst man sich womöglich klassisch ins eigene Knie!
...

so isses