UFW: Deny Ping

Mitglied: hokaido

hokaido (Level 1) - Jetzt verbinden

01.05.2021 um 23:25 Uhr, 706 Aufrufe, 16 Kommentare

Hallo,

ich möchte unter Ubuntu 20.04. LTS Pings deaktivieren...

Dazu habe ich für IP4 in /etc/ufw/before.rules
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j DROP
-A ufw-before-input -p icmp --icmp-type time-exceeded -j DROP
-A ufw-before-input -p icmp --icmp-type parameter-problem -j DROP
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

gesetzt. Ist das ausreichend oder muss das gleiche auch beim Block -A ufw-before-output erfolgen?

Dann gibts ja noch eine Datei für IP6: /etc/ufw/before6.rules
Welche Befehle müssen denn da angepasst werden?

Danke

Christian
Mitglied: Windows10Gegner
02.05.2021 um 08:38 Uhr
Bitte blockiere nicht wild ICMP.
https://www.omnisecu.com/tcpip/icmp-destination-unreachable-message.php

ICMP Destination unreachable sollte NICHT blockiert werden.

Relevant ist für dich der echo request und der echo reply.
Der Request wird geschickt und der reply ist die Antwort.

Blockiere als nur diese.
Bitte warten ..
Mitglied: LordGurke
02.05.2021 um 12:43 Uhr
Es reicht sogar, eingehend nur EchoRequests zu filtern. Filterst du auch die Responses, kannst du selbst nicht mehr rauspingen.
Für IPv6 gilt das ebenso.

Jedoch: Du wirst damit keinen Sicherheitsgewinn haben, weil sich nichts im Internet dafür interessiert, ob das System pingt oder nicht. Macht nur das Debugging schwieriger, wenn das Netzwerk Probleme hat.
Bitte warten ..
Mitglied: Lochkartenstanzer
02.05.2021, aktualisiert um 12:56 Uhr
Zitat von @LordGurke:

Es reicht sogar, eingehend nur EchoRequests zu filtern. Filterst du auch die Responses, kannst du selbst nicht mehr rauspingen.

Wer selbst Pingen will sollte auch anderen erlauben zu Pingen.

lks
Bitte warten ..
Mitglied: aqui
02.05.2021, aktualisiert um 12:59 Uhr
Ein einfaches:
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
macht Schluss mit Ping und erlaubt aber eigenes Ping.
Bitte warten ..
Mitglied: Lochkartenstanzer
02.05.2021 um 12:58 Uhr
Moin,

Was soll der Unsinn, icmp wegzufiltern? icmp ist wichtig für das funktionieren der Kommunikation und Du hast überhaupt keinen Sicherheitsgewinn durch blockieren von icmp-echo-Paketen.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
02.05.2021 um 12:59 Uhr
Zitat von @aqui:

Ein einfaches:
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
macht Schluss mit Ping.

Was aber überhaupt keinen Sicherheitsgewinn bringt sondern eher das debuggen erschwert.

lks
Bitte warten ..
Mitglied: aqui
02.05.2021, aktualisiert um 13:01 Uhr
icmp ist wichtig für das funktionieren der Kommunikation
Nein, das ist nicht ganz richtig. Echo bzw. Echo Reply Types sind nicht wichtig. Der Rest schon...
Es verschleiert zumindestens etwas einem Angreifer das dort ein lohnendes Ziel ist.
Bitte warten ..
Mitglied: Lochkartenstanzer
02.05.2021 um 13:10 Uhr
Zitat von @aqui:

icmp ist wichtig für das funktionieren der Kommunikation
Nein, das ist nicht ganz richtig. Echo bzw. Echo Reply Types sind nicht wichtig. Der Rest schon...
Es verschleiert zumindestens etwas einem Angreifer das dort ein lohnendes Ziel ist.

Der Angreifer ist nicht auf den Echo-Request angewiesen, um festzustellen, ob da ein lohnendes Ziel ist. Bei den Logs, die ich sehe, ist da fast nie ein echo-request dabei, bevor die Ports abgeklopft werden.

lks
Bitte warten ..
Mitglied: LordGurke
02.05.2021 um 13:20 Uhr
Gleiches habe ich festgestellt - und ja meine "Studienergebnisse" in meiner ersten Antwort verlinkt.
Es erschwert letztlich nur einem selbst und dem Serveranbieter das Debugging, wenn mal etwas nicht wie erwartet funktioniert.
Bitte warten ..
Mitglied: Lochkartenstanzer
02.05.2021 um 13:38 Uhr
Zitat von @LordGurke:

Es erschwert letztlich nur einem selbst und dem Serveranbieter das Debugging, wenn mal etwas nicht wie erwartet funktioniert.

Jupp.

lks
Bitte warten ..
Mitglied: hokaido
02.05.2021 um 20:59 Uhr
Danke für die Kommentare.
Beantwortet aber leider meine beiden Fragen noch nicht.

Und ob andere Server erwarten, dass mein Server antwortet ist mir ehrlich gesagt egal. Funktionieren tut es so auch.
Bitte warten ..
Mitglied: Windows10Gegner
02.05.2021 um 21:08 Uhr
Sei so gut un blockiere nicht einfach wild irgendwelche Pakete, deren Funktion du nicht kennst.
ICMP Echo reply/request ist ok, den Rest bitte durchlassen, spezielle, packet too big.


Um die Frage zu beantworten, musst du uns sagen, was du damit bezwecken willst.
Bitte warten ..
Mitglied: aqui
03.05.2021 um 09:11 Uhr
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
Wo ist jetzt dein Problem damit. Das macht doch genau das was du willst ?!
Bitte warten ..
Mitglied: hokaido
03.05.2021 um 12:42 Uhr
Kein Problem damit... Siehe Frage; Nur in die IP4 Datei oder auch in die IP6 Datei?
Bitte warten ..
Mitglied: aqui
03.05.2021, aktualisiert um 12:59 Uhr
Normal in beide.
Bei ICMP Filtern in IPv6 muss man sehr sehr vorsichtig sein, weil bei IPv6 das gesamte Protokollhandling erheblich stärker auf ICMP basiert als bei v4. Bei v6 sollte man in der Tat dan sehr sehr genau hinsehen.
Kapitel 3.2 (Seite 5) und die Tabelle Nr. 5 führen in diesem Dokument die essentell wichtigen IPv6 ICMPs auf:
https://www.net.in.tum.de/fileadmin/TUM/NET/NET-2016-09-1/NET-2016-09-1_ ...
Bitte warten ..
Mitglied: Windows10Gegner
03.05.2021 um 13:16 Uhr
Generell sollte man ICMP nur bei bestimmten Typen/Codes filtern, die man auch wirklich aus gutem Grund filtern will und nicht pauschal.
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Lizenzen für Virtualisierungshost
TakworianVor 1 TagFrageWindows Server16 Kommentare

Hallo, ich werde demnächst einen HA-Cluster aus 3 x HP DL580 in Betrieb nehmen. Der Cluster wird unter Proxmox betrieben und es sollen diverse ...

Router & Routing
Suche Tipps für Selfmade-Load-Balancing-Router auf HP MicroServer Gen10+
gelöst MagicChris86Vor 1 TagFrageRouter & Routing7 Kommentare

Hi Leute, ich habe einen HP MicroServer Gen10+ Performance übrig, der bei einer Kundin rausgeflogen ist, weil sie mehr Power brauchte für Desktopvirtualisierung für ...

Windows 7
Win7 64bit - ssd - Dateien verschwinden
rellixVor 1 TagFrageWindows 77 Kommentare

Grüße in die Runde, ich hab nach 20+ Jahren IT Erfahrung viel gesehen und schreibe hier meist erst, wenn ich keine Idee mehr habe ...

Webentwicklung
Webdesigner ist verschwunden
Janno100Vor 19 StundenFrageWebentwicklung3 Kommentare

Hallo zusammen Kunde hat einen Webdesigner der die Domain des Kunden vor einigen Jahren einfach unter seinen eigenen Name weiter geführt hat. Diese haben ...

Netzwerke
Sporadisch, temporäre nicht erreichbare IPs
BlueBookVor 1 TagFrageNetzwerke7 Kommentare

Hallo zusammen, ich habe ein Problem seit mehreren Monaten schon mit meinem Netzwerk. Ich hoffe jemand hat eine Idee oder einen Tipp. Hin und ...

Netzwerke
Erfahrungen mit HPE Aruba Switches (Aruba OS)
sixofeightVor 10 StundenAllgemeinNetzwerke11 Kommentare

Holla zusammen, Wer von euch setzt Aruba Switches (Aruba OS, ehemals HP ProCurve) ein und wie sind eure Erfahrungen bzw. wie zufrieden seid ihr ...

Router & Routing
Routing Verständnisfrage
gelöst GrueneSosseMitSpeckVor 1 TagFrageRouter & Routing6 Kommentare

Moin, ich steh gerade etwas auf dem Schlauch. Ich habe im Wesentlichen zwei Netze: 1.) 192.168.0.0 / 24 Das ist das Netz hinter meinem ...

Netzwerkgrundlagen
Aufgabe - Subnetting
gelöst cornflakes01Vor 1 TagFrageNetzwerkgrundlagen5 Kommentare

Hi, bin zufällig auf diese Seite gestoßen und habe eine Frage bezüglich Subnetting. Wir haben kurz vor unserer Abiturprüfung eine Aufgabenstellung im Unterricht behandelt, ...