hokaido
Goto Top

UFW: Deny Ping

Hallo,

ich möchte unter Ubuntu 20.04. LTS Pings deaktivieren...

Dazu habe ich für IP4 in /etc/ufw/before.rules
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j DROP
-A ufw-before-input -p icmp --icmp-type time-exceeded -j DROP
-A ufw-before-input -p icmp --icmp-type parameter-problem -j DROP
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

gesetzt. Ist das ausreichend oder muss das gleiche auch beim Block -A ufw-before-output erfolgen?

Dann gibts ja noch eine Datei für IP6: /etc/ufw/before6.rules
Welche Befehle müssen denn da angepasst werden?

Danke

Christian

Content-Key: 666299

Url: https://administrator.de/contentid/666299

Ausgedruckt am: 02.10.2022 um 00:10 Uhr

Mitglied: Windows10Gegner
Windows10Gegner 02.05.2021 um 08:38:47 Uhr
Goto Top
Bitte blockiere nicht wild ICMP.
https://www.omnisecu.com/tcpip/icmp-destination-unreachable-message.php

ICMP Destination unreachable sollte NICHT blockiert werden.

Relevant ist für dich der echo request und der echo reply.
Der Request wird geschickt und der reply ist die Antwort.

Blockiere als nur diese.
Mitglied: LordGurke
LordGurke 02.05.2021 um 12:43:47 Uhr
Goto Top
Es reicht sogar, eingehend nur EchoRequests zu filtern. Filterst du auch die Responses, kannst du selbst nicht mehr rauspingen.
Für IPv6 gilt das ebenso.

Jedoch: Du wirst damit keinen Sicherheitsgewinn haben, weil sich nichts im Internet dafür interessiert, ob das System pingt oder nicht. Macht nur das Debugging schwieriger, wenn das Netzwerk Probleme hat.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 02.05.2021 aktualisiert um 12:56:30 Uhr
Goto Top
Zitat von @LordGurke:

Es reicht sogar, eingehend nur EchoRequests zu filtern. Filterst du auch die Responses, kannst du selbst nicht mehr rauspingen.

Wer selbst Pingen will sollte auch anderen erlauben zu Pingen.

lks
Mitglied: aqui
aqui 02.05.2021 aktualisiert um 12:59:09 Uhr
Goto Top
Ein einfaches:
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
macht Schluss mit Ping und erlaubt aber eigenes Ping.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 02.05.2021 um 12:58:21 Uhr
Goto Top
Moin,

Was soll der Unsinn, icmp wegzufiltern? icmp ist wichtig für das funktionieren der Kommunikation und Du hast überhaupt keinen Sicherheitsgewinn durch blockieren von icmp-echo-Paketen.

lks
Mitglied: Lochkartenstanzer
Lochkartenstanzer 02.05.2021 um 12:59:40 Uhr
Goto Top
Zitat von @aqui:

Ein einfaches:
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
macht Schluss mit Ping.

Was aber überhaupt keinen Sicherheitsgewinn bringt sondern eher das debuggen erschwert.

lks
Mitglied: aqui
aqui 02.05.2021 aktualisiert um 13:01:46 Uhr
Goto Top
icmp ist wichtig für das funktionieren der Kommunikation
Nein, das ist nicht ganz richtig. Echo bzw. Echo Reply Types sind nicht wichtig. Der Rest schon...
Es verschleiert zumindestens etwas einem Angreifer das dort ein lohnendes Ziel ist.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 02.05.2021 um 13:10:58 Uhr
Goto Top
Zitat von @aqui:

icmp ist wichtig für das funktionieren der Kommunikation
Nein, das ist nicht ganz richtig. Echo bzw. Echo Reply Types sind nicht wichtig. Der Rest schon...
Es verschleiert zumindestens etwas einem Angreifer das dort ein lohnendes Ziel ist.

Der Angreifer ist nicht auf den Echo-Request angewiesen, um festzustellen, ob da ein lohnendes Ziel ist. Bei den Logs, die ich sehe, ist da fast nie ein echo-request dabei, bevor die Ports abgeklopft werden.

lks
Mitglied: LordGurke
LordGurke 02.05.2021 um 13:20:06 Uhr
Goto Top
Gleiches habe ich festgestellt - und ja meine "Studienergebnisse" in meiner ersten Antwort verlinkt.
Es erschwert letztlich nur einem selbst und dem Serveranbieter das Debugging, wenn mal etwas nicht wie erwartet funktioniert.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 02.05.2021 um 13:38:05 Uhr
Goto Top
Zitat von @LordGurke:

Es erschwert letztlich nur einem selbst und dem Serveranbieter das Debugging, wenn mal etwas nicht wie erwartet funktioniert.

Jupp.

lks
Mitglied: hokaido
hokaido 02.05.2021 um 20:59:57 Uhr
Goto Top
Danke für die Kommentare.
Beantwortet aber leider meine beiden Fragen noch nicht.

Und ob andere Server erwarten, dass mein Server antwortet ist mir ehrlich gesagt egal. Funktionieren tut es so auch.
Mitglied: Windows10Gegner
Windows10Gegner 02.05.2021 um 21:08:19 Uhr
Goto Top
Sei so gut un blockiere nicht einfach wild irgendwelche Pakete, deren Funktion du nicht kennst.
ICMP Echo reply/request ist ok, den Rest bitte durchlassen, spezielle, packet too big.


Um die Frage zu beantworten, musst du uns sagen, was du damit bezwecken willst.
Mitglied: aqui
aqui 03.05.2021 um 09:11:56 Uhr
Goto Top
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
Wo ist jetzt dein Problem damit. Das macht doch genau das was du willst ?!
Mitglied: hokaido
hokaido 03.05.2021 um 12:42:28 Uhr
Goto Top
Kein Problem damit... Siehe Frage; Nur in die IP4 Datei oder auch in die IP6 Datei?
Mitglied: aqui
aqui 03.05.2021 aktualisiert um 12:59:54 Uhr
Goto Top
Normal in beide.
Bei ICMP Filtern in IPv6 muss man sehr sehr vorsichtig sein, weil bei IPv6 das gesamte Protokollhandling erheblich stärker auf ICMP basiert als bei v4. Bei v6 sollte man in der Tat dan sehr sehr genau hinsehen.
Kapitel 3.2 (Seite 5) und die Tabelle Nr. 5 führen in diesem Dokument die essentell wichtigen IPv6 ICMPs auf:
https://www.net.in.tum.de/fileadmin/TUM/NET/NET-2016-09-1/NET-2016-09-1_ ...
Mitglied: Windows10Gegner
Windows10Gegner 03.05.2021 um 13:16:33 Uhr
Goto Top
Generell sollte man ICMP nur bei bestimmten Typen/Codes filtern, die man auch wirklich aus gutem Grund filtern will und nicht pauschal.
Mitglied: hokaido
hokaido 16.05.2021 um 23:41:15 Uhr
Goto Top
Danke für die Antworten.
Ich habe jetzt nur die PINGs weggefiltert.
Gibt es die Möglichkeit Pings nur von bestimmten IPs zuzulassen (Website Monitoring etc.)? Ich hab mal gegoogelt, aber entweder mit den falschen Begriffen oder die Lösungen haben nicht funktioniert.

Danke
Mitglied: Windows10Gegner
Windows10Gegner 17.05.2021 um 08:34:52 Uhr
Goto Top
Ja, du musst eine ALLOW-Regel definieren und diese muss vor der DENY-Regel geprüft werden.
Mitglied: hokaido
hokaido 17.05.2021 um 08:46:26 Uhr
Goto Top
Ja, so habs ich gemacht. Hat aber wie geschrieben nicht funktioniert
Mitglied: aqui
aqui 17.05.2021 aktualisiert um 08:50:52 Uhr
Goto Top
Dann hast du ganz sicher etwas falsch gemacht. Beim Regelwerk gilt immer "First match wins". Kollege @Windows10Gegner hat es oben schon gesagt !
Sprich ein positiver Hit einer Regel bewirkt das die Restregeln NICHT mehr weiter abgearbeitet werden.
Reihenfolge zählt hier also und da liegt garantiert auch dein Fehler in deinen konfigurierten Regeln !
Da du dein aktuelles Regelwerk dazu hier aber zum Troubleshooting leider nicht postest kann man nur die Kristallkugel bemühen...
Mitglied: hokaido
hokaido 17.05.2021 aktualisiert um 08:56:07 Uhr
Goto Top
Na daran soll es nicht scheitern:
-A ufw-before-input -p icmp --icmp-type echo-request -s 80.x.x.x -m state --state ESTABLISHED -j ACCEPT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP
Mitglied: aqui
aqui 17.05.2021 um 09:34:33 Uhr
Goto Top
Einen Established State gibt es bei ICMP nicht. Sowas kennt nur TCP.
https://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Deshalb scheitert diese Regel.
Mitglied: hokaido
hokaido 17.05.2021 um 09:37:52 Uhr
Goto Top
d.h. so würde sie funktionieren (kann ich erst heute Abend testen)?
-A ufw-before-input -p icmp --icmp-type echo-request -s 80.x.x.x -m state -j ACCEPT

oder muss -m state auch noch weg?
Mitglied: aqui
Lösung aqui 17.05.2021 aktualisiert um 09:58:50 Uhr
Goto Top
Ja, einen State gibt es bei ICMP bekanntlich nicht. Siehe Wiki oben ! Mit den anderen Regeln (die vermutlich ja funktionieren) hast du es ja richtig gemacht.
Mitglied: hokaido
hokaido 17.05.2021 um 21:05:16 Uhr
Goto Top
-A ufw-before-input -p icmp --icmp-type echo-request -s 80.x.x.x -j ACCEPT
funktioniert...

Danke
Mitglied: aqui
aqui 18.05.2021 um 08:54:18 Uhr
Goto Top
👍