headhunter2
Goto Top

ICMP (Ping) deaktivieren

Wie kann ich bei Windows XP SP2 den Ping bzw die Pingantwort wenn ich gepingt werde deaktivieren?
Sinn und Zweck der Sache ist meinen PC im Internet zu verstecken und die Angriffsfläche zu minimieren.

danke für kommende kommentare

Content-ID: 6263

Url: https://administrator.de/forum/icmp-ping-deaktivieren-6263.html

Ausgedruckt am: 23.12.2024 um 23:12 Uhr

meinereiner
meinereiner 30.01.2005 um 11:54:54 Uhr
Goto Top
schau mal in die erweiterten Einstellungen der Firewall von xp sp2.
HeadHunter2
HeadHunter2 30.01.2005 um 12:51:28 Uhr
Goto Top
habe keine windows xp firewall mehr!
meinereiner
meinereiner 30.01.2005 um 12:59:58 Uhr
Goto Top
Hmm, du willst deinen Rechner "schützen" und deinstallierst eine Firewall?
HeadHunter2
HeadHunter2 30.01.2005 um 13:03:26 Uhr
Goto Top
ich weiß nicht ob du folgenden artikel kennst: stammt von ntsvcfg.de:

Desktop/Personal Firewalls (PFW) - und warum man sie nicht braucht

          • eine Firewall ist ein Sicherheitskonzept, und keine Software, die man installieren kann.
          Will man einen Rechner oder ein Netzwerk schützen, benötigt man zuallererst ein Konzept. Daher geht die Sprachregelung meist auch eher dahin, daß, wird von "der Firewall" gesprochen, zunächst dieses Konzept gemeint ist. Dieses beinhaltet u.a., das man sich fragt, was vor welcher Art von Angriff geschützt werden soll.
                  • eine Firewall, die auf dem System läuft, welches geschützt werden soll, ist oftmals sinnfrei, da sie es gerade verhindern muß, daß schädigende Datenpakete zum zu schützenden System vordringen können.
                  So sind evtl. bereits anfällige Komponenten, welche hätten geschützt werden sollen, durchlaufen, bevor die Firewall überhaupt eingreifen konnte. Gleichzeitig wird die Komplexität des zu schützenden Systems erhöht.
                          • jedes zusätzliche Programm auf einem System erhöht die Anfälligkeit, da Programme und somit auch PFW's Fehler und Sicherheitslücken enthalten, die sich in ihrer Anzahl summieren können.
                          Die Komplexität des zu schützenden Systems wird erhöht. Mehr Komplexität heißt aber auch zwangsläufig mehr Fehlermöglichkeiten und damit weniger Sicherheit.
                                  • sie täuscht dem Benutzer eine falsche Sicherheit vor, da dieser denkt, er wäre jetzt rundum geschützt. In Wahrheit wird er allzuoft nur nachlässiger - dies wird häufig auch als "Risikokompensation" bezeichnet.
                                  Viele werden schon einmal Benutzer gesehen haben, die ohne eine Sekunde des Nachdenkens ein EMail-Attachment geöffnet hatten - und wenn man nachfragt, ob sie keine Bedenken haben, da könnte ein Virus drin sein, kommt fast immer "Wieso, ich hab doch ein Antivirus-Tool!".
                                          • Personal/Desktop-Firewalls können problemlos umgangen und ausgeschaltet werden, ohne das der Benutzer davon etwas bemerkt.
                                          Vor allem die Regelanpassung zur Laufzeit ist als kritisch anzusehen, da Dialogboxen von Würmern o.ä. schneller 'weggeklickt' werden können, als das sie der Benutzer je zu Gesicht bekommt. Und Regeln, die der Anwender selbst definieren kann, sofern er diese auch versteht, kann auch ein Wurm verändern, da PFW's meist mit den Rechten des angemeldeten Benutzers ausgeführt werden.

                                          Einige Beispiele, auf die man besser verzichten sollte: Norton Internet Security und Norton Personal Firewall, BlackIce (Defender), ZoneAlarm, Sygate Personal Firewall, Lockdown2000, Outpost u.a....
                                          (siehe auch -> http://www.udel.de/faq/, http://copton.net/vortraege/pfw/index.html)
HeadHunter2
HeadHunter2 30.01.2005 um 13:11:59 Uhr
Goto Top
außerdem habe ich nicht gesagt schützen sondern nur ports schließen un diensten beenden.
das ist fast effektiver weil ich keine zusätzlichen ressourcen verbrauche
und mein rechner im internet nicht mehr auf alles antwortet wie ping!
linkit
linkit 30.01.2005 um 13:16:32 Uhr
Goto Top
Naja, also jetzt laß mal die Kirche im Dorf...

ich weiß ja nicht wer den Artikel verfaßt hat, aber nach dem wäre beispielsweise ein ISA-Server auch nicht sicher, wird aber als sehr sicher sogar von BSI und Pentagon eingestuft.

Letztendlich basiert auch eine Hardwarelösung immer auf eine darauf aufbauende Softwareengine mit Minibetriebsystem (nicht selten sogar Windows CE oder eine Linuxform), die in einem Flash, ROM, etc läuft).

Nur solche Lösungen kosten tausende, zehntausende oder hunderttausende von Euro. Je nach Größe, Sicherheit und Ausführung.


Wenn man Desktoplösungen wie Zonealarm mit so eingebauten FirewallPortblockerDinger vergleicht, die in Routern verbaut werden für 200 ?, dann schneidet hier Zonealarm bestimmt nicht schlechter ab. Diese Technik ist genauso gut oder schlecht zu umgehen.

Die Frage ist aber immer, was möchte ich schützen und wie wichtig sind die Daten. Einen Frontalangriff muß an als Privatperson oder ganz kleines Unternehmen zwar fürchten, is aber eher die Ausnahme. Die Attacke von Viren, Würmern etc. ist hier die größere Gefahr. Dies hält bereits ein einfacher Portblocker weitgehenst ab.

Doch das größte Problem ist nicht der Virenscanner, die Firewall oder die Technik, sondern oft der Benutzer, der grundsätzlcih als Admin angemeldet ist und jede Software die im zwischen die Finger kommt oder downloadbar ist, installiert. Spyware läßt grüßen.


Jetzt zu deiner Frage, wenn du den Ping verhindern willst, mußt du nur die Ports für ICMP sperren.

Auflistung von Ports findest du hier:

http://www.seifried.org/security/ports/
http://www.iana.org/assignments/port-numbers
meinereiner
meinereiner 30.01.2005 um 13:22:43 Uhr
Goto Top
ich selbst halte auch nichts von Personal Firewalls und bei mir auf dem PC läuft auch keine. Allerdings sind sie sicher besser als gar kein Schutz.

Aber davon abgesehen. Was versuchst du denn..eigentlich doch nur mit Boardmitteln eine eigene Personal Firewall zu basteln.

Wenn du dein Netz/PC schützen willst häng eine vernünftige Hardewarefirewall hin, hab einen aktuellen Virenscanner und patche deine Systeme regelmässig.
Das würde ich als Minimum für ein Netz zuhause ansehen.

Dann kannst du dir wie im Artikel beschrieben weitergehende Gedanken machen was noch geschützt werden muss und wie.
Da gehören dann aber _sehr_ viel weitergehende Gedanken zu, wie z.B. auch die physikalische Sicherheit eines Rechners. Es nützt dir nämlich alles wenig wenn jemand einfach deinen PC klauen kann.
meinereiner
meinereiner 30.01.2005 um 13:28:51 Uhr
Goto Top
Jetzt zu deiner Frage, wenn du den Ping
verhindern willst, mußt du nur die
Ports für ICMP sperren.


Öhm, grübels...wo sperre ich in Windows Ports für ICMP???
Ich weiss nur, dass man in den erweiterten Einstellungen des Netzwerks TCP/IP Ports sperren kann.
HeadHunter2
HeadHunter2 30.01.2005 um 13:41:33 Uhr
Goto Top
danke für die bisherigen beiträge aber ich möchte echt keine pfw installieren.
es muss doch möglich sein icmp in windows zu DEAKTIVIEREN und nicht nur MIT PFW zu sperren....
meinereiner
meinereiner 30.01.2005 um 13:52:04 Uhr
Goto Top
also ich wüsste nicht das es geht. Lass mich aber gerne eines besseren belehren. face-wink

In den erweiterten Einstellungen von TCP/IP gibts unter Optionen die Mögichkeit IP Protokolle zu Filtern. Bei mir (XP SP2) steht aber das da der ICMP Verkehr _nicht_ ausgenommen werden kann.
meinereiner
meinereiner 30.01.2005 um 13:54:03 Uhr
Goto Top
Öhm, grübels...wo sperre ich in
Windows Ports für ICMP???
Ich weiss nur, dass man in den erweiterten
Einstellungen des Netzwerks TCP/IP Ports
sperren kann.


IP aus TCP/IP durch UDP ersetze face-wink
linkit
linkit 30.01.2005 um 13:56:20 Uhr
Goto Top
es geht hier immer um die TCP Schicht des TCP/IP Protokolls bei der beim Handshake ein Port vereinbart/bzw. geöffnet wird. Innerhalb eines LANs ist normalerweise keine Portbeschränkung nötig. Eine Sonderstellung nehmen hier DMZ ein. Damit bezüglich Internet und LAN oder Rechner dies abgrenzbar ist, muß das Paket von einem Programm abgefangen werden. Dies überprüft, ob es sich um einen zulässiges oder nicht zulässiges Port handelt. Ist dies ein verbotenes Port, wird das Datenpaket verschmissen, ansonsten durchgelassen.

***

Deine Theorie ist wirklich etwas kontraproduktiv. Auf der einen Seite willst du SChutz, auf der anderen Seite ist dir eine PFW zu unsicher. Mit deinem Wissen und mit WindowsBoardmitteln wirst du aber keine brauchbaren Schutz hinbringen. Eine PFW bietet dir wenigstens das Minimum an Schutz.

Willst du mehr, dann spar gleich mal los und kauf dir eine richtige Firewall.
linkit
linkit 30.01.2005 um 13:57:58 Uhr
Goto Top
@meinereiner:

auch unter SP2 geht das, indem du die entsprechenden Ports manuell einträgst.
Wenn du wissen willst wie, gebe ich dir gerne eine kurze Anleitung.

Mit headhunter Logik kann ich allerdings weniger anfangen.
meinereiner
meinereiner 30.01.2005 um 14:06:27 Uhr
Goto Top
@Christian

auch unter SP2 geht das, indem du die
entsprechenden Ports manuell
einträgst.
Wenn du wissen willst wie, gebe ich dir
gerne eine kurze Anleitung.


Würde mich schon interessieren wie das geht. Denn wie gesagt ich wüsste nur wo man TCP/UDP Ports einschränkt s.o. . aber nicht wo ich ICMP Ports einschränke oder es ganz abschalten kann.
meinereiner
meinereiner 30.01.2005 um 16:41:03 Uhr
Goto Top
ups, da haben wir uns wohl falsch verstanden...sorry face-smile
Den Weg kenne ich natürlich. Den hatte ich ihm ja gleich im erstren Beitrag angeboten.

Ich meinte _ohne_ die Firewall. Die hatte Headhunter2 ja ausgeschlossen.
HeadHunter2
HeadHunter2 30.01.2005 um 18:31:44 Uhr
Goto Top
Hab glaube etwas gefunden was ich meine:

Disable ICMP Redirect for security
Views: 29,800 | 8/12/2002 | Written by: Tweak Import | Print
If your running server versions, add the following reg_dword in the location shown and set it to "0". This will help keep an icmp re-direct attack from taking over your server.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"EnableICMPRedirect"=dword:00000000

Works in both Win2k and XP
fritzo
fritzo 30.01.2005 um 19:03:56 Uhr
Goto Top
Hi,

jede Browserverbindung ist gefährlicher als icmp 8. Ping zu deaktivieren bringt nicht viel oder ist kontraproduktiv. Die Leute, die Deinen Rechner erfolgreich infiltrieren können, benutzen höchstwahrscheinlich eher mal keinen vanilla ping, um Dich im Netz zu finden. Ansonsten verursacht es zB Probleme beim Connecten von Servern, die auf ping angewiesen sind (zB auch bei Gruppenrichtlinien, Routermeldungen, teilweise ftp, irc etc.).

Grundsätzlich ist es richtig, die Angriffsfläche zu minimieren. Ping zu deaktivieren bringt aber imho nicht viel.

Grüße,
fritzo
meinereiner
meinereiner 30.01.2005 um 20:21:31 Uhr
Goto Top
und hilft das??

wenn ich da mal auf die Schnelle nachschlage finde ich was von Attacken auf OSPF
2P
2P 30.01.2005 um 20:36:47 Uhr
Goto Top
Ist euch eigentlich die Absurdität dieser Diskussion bewusst?

Mein Tipp: Schraube deinen Rechner auf und gieße ganz vorsichtig etwa einen Liter lauwarmes Wasser hinein ? ich verspreche dir, die Kiste antwortet nie wieder auf einen Ping.

... unglaublich
fritzo
fritzo 30.01.2005 um 21:15:57 Uhr
Goto Top
rofl face-wink

you make my day!!!

Grüße,
fritzo
meinereiner
meinereiner 30.01.2005 um 21:33:42 Uhr
Goto Top
Ist euch eigentlich die Absurdität
dieser Diskussion bewusst?

Ja...


Mein Tipp: Schraube deinen Rechner auf und
gieße ganz vorsichtig etwa einen Liter
lauwarmes Wasser hinein ? ich verspreche dir,
die Kiste antwortet nie wieder auf einen
Ping.

aber spätestens mit dem Tip hat sich die Diskussion gelohnt. face-smile face-wink
fritzo
fritzo 30.01.2005 um 21:33:58 Uhr
Goto Top
Klar,

Redirect und so funktioniert aber auch, wenn ping reply deaktiviert ist. Generell hat derjenige, dessen Systeme noch für POD, TimeExceeded und DestinationUnrechable anfällig sind, die letzten 4 Jahre verschlafen und sollte endlich von Windows 95 auf XP updaten. face-wink

Grüße,
fritzo
Dash-a-corner
Dash-a-corner 30.03.2007 um 14:03:12 Uhr
Goto Top
Bitte ich habe hier deine Lösung.

http://www.stud.tu-ilmenau.de/~traenk/scissors.htm

Alt aber mehr fällt mir dazu echt nimmer ein.