26
UFW: Deny Ping
Hallo,
ich möchte unter Ubuntu 20.04. LTS Pings deaktivieren...
Dazu habe ich für IP4 in /etc/ufw/before.rules
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j DROP
-A ufw-before-input -p icmp --icmp-type time-exceeded -j DROP
-A ufw-before-input -p icmp --icmp-type parameter-problem -j DROP
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP
gesetzt. Ist das ausreichend oder muss das gleiche auch beim Block -A ufw-before-output erfolgen?
Dann gibts ja noch eine Datei für IP6: /etc/ufw/before6.rules
Welche Befehle müssen denn da angepasst werden?
Danke
Christian
ich möchte unter Ubuntu 20.04. LTS Pings deaktivieren...
Dazu habe ich für IP4 in /etc/ufw/before.rules
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j DROP
-A ufw-before-input -p icmp --icmp-type time-exceeded -j DROP
-A ufw-before-input -p icmp --icmp-type parameter-problem -j DROP
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP
gesetzt. Ist das ausreichend oder muss das gleiche auch beim Block -A ufw-before-output erfolgen?
Dann gibts ja noch eine Datei für IP6: /etc/ufw/before6.rules
Welche Befehle müssen denn da angepasst werden?
Danke
Christian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 666299
Url: https://administrator.de/contentid/666299
Printed on: April 18, 2024 at 11:04 o'clock
26 Comments
Latest comment
Bitte blockiere nicht wild ICMP.
https://www.omnisecu.com/tcpip/icmp-destination-unreachable-message.php
ICMP Destination unreachable sollte NICHT blockiert werden.
Relevant ist für dich der echo request und der echo reply.
Der Request wird geschickt und der reply ist die Antwort.
Blockiere als nur diese.
https://www.omnisecu.com/tcpip/icmp-destination-unreachable-message.php
ICMP Destination unreachable sollte NICHT blockiert werden.
Relevant ist für dich der echo request und der echo reply.
Der Request wird geschickt und der reply ist die Antwort.
Blockiere als nur diese.
Es reicht sogar, eingehend nur EchoRequests zu filtern. Filterst du auch die Responses, kannst du selbst nicht mehr rauspingen.
Für IPv6 gilt das ebenso.
Jedoch: Du wirst damit keinen Sicherheitsgewinn haben, weil sich nichts im Internet dafür interessiert, ob das System pingt oder nicht. Macht nur das Debugging schwieriger, wenn das Netzwerk Probleme hat.
Für IPv6 gilt das ebenso.
Jedoch: Du wirst damit keinen Sicherheitsgewinn haben, weil sich nichts im Internet dafür interessiert, ob das System pingt oder nicht. Macht nur das Debugging schwieriger, wenn das Netzwerk Probleme hat.
Zitat von @LordGurke:
Es reicht sogar, eingehend nur EchoRequests zu filtern. Filterst du auch die Responses, kannst du selbst nicht mehr rauspingen.
Es reicht sogar, eingehend nur EchoRequests zu filtern. Filterst du auch die Responses, kannst du selbst nicht mehr rauspingen.
Wer selbst Pingen will sollte auch anderen erlauben zu Pingen.
lks
Ein einfaches:
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
macht Schluss mit Ping und erlaubt aber eigenes Ping.
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
macht Schluss mit Ping und erlaubt aber eigenes Ping.
Moin,
Was soll der Unsinn, icmp wegzufiltern? icmp ist wichtig für das funktionieren der Kommunikation und Du hast überhaupt keinen Sicherheitsgewinn durch blockieren von icmp-echo-Paketen.
lks
Was soll der Unsinn, icmp wegzufiltern? icmp ist wichtig für das funktionieren der Kommunikation und Du hast überhaupt keinen Sicherheitsgewinn durch blockieren von icmp-echo-Paketen.
lks
Zitat von @aqui:
Ein einfaches:
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
macht Schluss mit Ping.
Ein einfaches:
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
macht Schluss mit Ping.
Was aber überhaupt keinen Sicherheitsgewinn bringt sondern eher das debuggen erschwert.
lks
icmp ist wichtig für das funktionieren der Kommunikation
Nein, das ist nicht ganz richtig. Echo bzw. Echo Reply Types sind nicht wichtig. Der Rest schon...Es verschleiert zumindestens etwas einem Angreifer das dort ein lohnendes Ziel ist.
Zitat von @aqui:
Es verschleiert zumindestens etwas einem Angreifer das dort ein lohnendes Ziel ist.
icmp ist wichtig für das funktionieren der Kommunikation
Nein, das ist nicht ganz richtig. Echo bzw. Echo Reply Types sind nicht wichtig. Der Rest schon...Es verschleiert zumindestens etwas einem Angreifer das dort ein lohnendes Ziel ist.
Der Angreifer ist nicht auf den Echo-Request angewiesen, um festzustellen, ob da ein lohnendes Ziel ist. Bei den Logs, die ich sehe, ist da fast nie ein echo-request dabei, bevor die Ports abgeklopft werden.
lks
Gleiches habe ich festgestellt - und ja meine "Studienergebnisse" in meiner ersten Antwort verlinkt.
Es erschwert letztlich nur einem selbst und dem Serveranbieter das Debugging, wenn mal etwas nicht wie erwartet funktioniert.
Es erschwert letztlich nur einem selbst und dem Serveranbieter das Debugging, wenn mal etwas nicht wie erwartet funktioniert.
Zitat von @LordGurke:
Es erschwert letztlich nur einem selbst und dem Serveranbieter das Debugging, wenn mal etwas nicht wie erwartet funktioniert.
Es erschwert letztlich nur einem selbst und dem Serveranbieter das Debugging, wenn mal etwas nicht wie erwartet funktioniert.
Jupp.
lks
Danke für die Kommentare.
Beantwortet aber leider meine beiden Fragen noch nicht.
Und ob andere Server erwarten, dass mein Server antwortet ist mir ehrlich gesagt egal. Funktionieren tut es so auch.
Beantwortet aber leider meine beiden Fragen noch nicht.
Und ob andere Server erwarten, dass mein Server antwortet ist mir ehrlich gesagt egal. Funktionieren tut es so auch.
Sei so gut un blockiere nicht einfach wild irgendwelche Pakete, deren Funktion du nicht kennst.
ICMP Echo reply/request ist ok, den Rest bitte durchlassen, spezielle, packet too big.
Um die Frage zu beantworten, musst du uns sagen, was du damit bezwecken willst.
ICMP Echo reply/request ist ok, den Rest bitte durchlassen, spezielle, packet too big.
Um die Frage zu beantworten, musst du uns sagen, was du damit bezwecken willst.
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
Wo ist jetzt dein Problem damit. Das macht doch genau das was du willst ?!
Wo ist jetzt dein Problem damit. Das macht doch genau das was du willst ?!
Kein Problem damit... Siehe Frage; Nur in die IP4 Datei oder auch in die IP6 Datei?
Normal in beide.
Bei ICMP Filtern in IPv6 muss man sehr sehr vorsichtig sein, weil bei IPv6 das gesamte Protokollhandling erheblich stärker auf ICMP basiert als bei v4. Bei v6 sollte man in der Tat dan sehr sehr genau hinsehen.
Kapitel 3.2 (Seite 5) und die Tabelle Nr. 5 führen in diesem Dokument die essentell wichtigen IPv6 ICMPs auf:
https://www.net.in.tum.de/fileadmin/TUM/NET/NET-2016-09-1/NET-2016-09-1_ ...
Bei ICMP Filtern in IPv6 muss man sehr sehr vorsichtig sein, weil bei IPv6 das gesamte Protokollhandling erheblich stärker auf ICMP basiert als bei v4. Bei v6 sollte man in der Tat dan sehr sehr genau hinsehen.
Kapitel 3.2 (Seite 5) und die Tabelle Nr. 5 führen in diesem Dokument die essentell wichtigen IPv6 ICMPs auf:
https://www.net.in.tum.de/fileadmin/TUM/NET/NET-2016-09-1/NET-2016-09-1_ ...
Generell sollte man ICMP nur bei bestimmten Typen/Codes filtern, die man auch wirklich aus gutem Grund filtern will und nicht pauschal.
Danke für die Antworten.
Ich habe jetzt nur die PINGs weggefiltert.
Gibt es die Möglichkeit Pings nur von bestimmten IPs zuzulassen (Website Monitoring etc.)? Ich hab mal gegoogelt, aber entweder mit den falschen Begriffen oder die Lösungen haben nicht funktioniert.
Danke
Ich habe jetzt nur die PINGs weggefiltert.
Gibt es die Möglichkeit Pings nur von bestimmten IPs zuzulassen (Website Monitoring etc.)? Ich hab mal gegoogelt, aber entweder mit den falschen Begriffen oder die Lösungen haben nicht funktioniert.
Danke
Ja, du musst eine ALLOW-Regel definieren und diese muss vor der DENY-Regel geprüft werden.
Ja, so habs ich gemacht. Hat aber wie geschrieben nicht funktioniert
Dann hast du ganz sicher etwas falsch gemacht. Beim Regelwerk gilt immer "First match wins". Kollege @Windows10Gegner hat es oben schon gesagt !
Sprich ein positiver Hit einer Regel bewirkt das die Restregeln NICHT mehr weiter abgearbeitet werden.
Reihenfolge zählt hier also und da liegt garantiert auch dein Fehler in deinen konfigurierten Regeln !
Da du dein aktuelles Regelwerk dazu hier aber zum Troubleshooting leider nicht postest kann man nur die Kristallkugel bemühen...
Sprich ein positiver Hit einer Regel bewirkt das die Restregeln NICHT mehr weiter abgearbeitet werden.
Reihenfolge zählt hier also und da liegt garantiert auch dein Fehler in deinen konfigurierten Regeln !
Da du dein aktuelles Regelwerk dazu hier aber zum Troubleshooting leider nicht postest kann man nur die Kristallkugel bemühen...
Na daran soll es nicht scheitern:
-A ufw-before-input -p icmp --icmp-type echo-request -s 80.x.x.x -m state --state ESTABLISHED -j ACCEPT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP
-A ufw-before-input -p icmp --icmp-type echo-request -s 80.x.x.x -m state --state ESTABLISHED -j ACCEPT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP
Einen Established State gibt es bei ICMP nicht. Sowas kennt nur TCP.
https://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Deshalb scheitert diese Regel.
https://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Deshalb scheitert diese Regel.
d.h. so würde sie funktionieren (kann ich erst heute Abend testen)?
-A ufw-before-input -p icmp --icmp-type echo-request -s 80.x.x.x -m state -j ACCEPT
oder muss -m state auch noch weg?
-A ufw-before-input -p icmp --icmp-type echo-request -s 80.x.x.x -m state -j ACCEPT
oder muss -m state auch noch weg?
Ja, einen State gibt es bei ICMP bekanntlich nicht. Siehe Wiki oben ! Mit den anderen Regeln (die vermutlich ja funktionieren) hast du es ja richtig gemacht.
-A ufw-before-input -p icmp --icmp-type echo-request -s 80.x.x.x -j ACCEPT
funktioniert...
Danke
funktioniert...
Danke
👍
