Desktop-Firewall die "Reject" beherrscht?

#0
24.06.2002, 20:37
Moderator
Avatar joschi

Beiträge: 6466
#1 Hallo,
kennt jemandem von euch eine Desktop-Firewall, die für eingehende ICMP-Nachrichten außer "allow" und "deny" auch das "reject" beherrscht ?
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen
Dieser Beitrag wurde am 24.06.2002 um 20:38 Uhr von joschi editiert.
Seitenanfang Seitenende
24.06.2002, 20:58
Member

Beiträge: 1516
#2 ich glaub kerio wenn man sie auf Gateway umstellt allerdings steht dann alles auf reject
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Seitenanfang Seitenende
24.06.2002, 20:59
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#3 Bei AtGuard ging das glaub ich

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
24.06.2002, 21:25
Member

Beiträge: 813
#4 Wie sieht denn eine reject-Antwort für ICMP(!)-Nachrichten aus?
Ich dachte, das beträfe nur TCP-Verbindungsversuche...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
24.06.2002, 22:02
Moderator
Themenstarter
Avatar joschi

Beiträge: 6466
#5 Hab mich falsch ausgedrückt.
Das "Reject" erfolgt in Form einer ICMP-Nachricht , dass der Host nicht erreichbar ist
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
24.06.2002, 22:17
Member

Beiträge: 1516
#6 Welche icmp nummer hat es den was soll diese meldung bewirken konnte nämlich kein reject finden nur Redirect und das geht mit Kerio und soweit ich weiß auch mit Tiny und Norton
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Seitenanfang Seitenende
24.06.2002, 22:29
Moderator
Themenstarter
Avatar joschi

Beiträge: 6466
#7

Zitat

...dass der Host nicht erreichbar ist

"Host/Destination unreachable", ICMP[3]
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
24.06.2002, 22:36
Member

Beiträge: 1516
#8 Mit Kerio gehts mit welchen anderen es noch geht weis ich nicht sicher aber Norton und Tiny sollten es können
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Seitenanfang Seitenende
24.06.2002, 22:58
Moderator
Themenstarter
Avatar joschi

Beiträge: 6466
#9 Aber soweit ich weiss, kann man nicht festlegen, dass z.B ein "Echo Request" mit einem "reject" behandelt wird. Kerio verwirft das Paket kommentarlos.
Sicher kann ich ein Outgoing-ICMP[3] generell zulassen, aber ich kann es nicht gezielt definieren, wann ein "Reject" erfolgt und wann "Deny" in Kraft tritt.
josch
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
25.06.2002, 00:07
Member

Beiträge: 813
#10 Genau, entweder man lässt alles durch und der Rechner antwortet ganz normal (also mit einem Echo-Reply) oder Kerio verwirft die Anfrage (oder die Antwort).

Es ist nur fraglich, ob es anders sinnvoll wäre: Eine ping-Anfrage dient doch hauptsächlich dazu, herauszufinden, ob ein Rechner unter der entsprechenden IP-Adresse vorhanden ist.
Wenn dieser Rechner nun aber nicht mit Echo-Reply sondern mit Host-unreachable antwortet, ist das doch in dem Moment eine ganz offensichtliche Lüge.
Wenn er unreachable wäre, also gar nicht vorhanden, könnte er ja gar nicht antworten...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
25.06.2002, 08:05
Moderator
Themenstarter
Avatar joschi

Beiträge: 6466
#11 Das Ping war lediglich ein Beispiel.....und generell: eine reject-Regel ist für eine Verbindung an externe Netze warscheinlich nicht immer sinnvoll.
Im Falle eines Rejects und einer ICMP[3]-Nachricht weiss der Router (oder wer auch immer), dass er keine weiteren Pakete schicken muss. Im Falle eines "Deny" (Verwerfen ohne Nachricht), geht der Sender davon aus, dass das Paket
verloren ging und versucht bis zu einem gewissen Timeout die Pakete immer wieder zu senden, was sowohl den Sender als auch den Empfänger unnötig "stresst". Ich kann mir "Reject" in größeren lokalen Netzten als recht sinvoll vorstellen. Wollte doch nur wissen, ob jemand ne Desktop-Firewall kennt, bei der man ein Reject gezielt als Aktion definieren kann.... *Hilfe* ;)
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
25.06.2002, 10:36
Member

Beiträge: 813
#12 Ging das nicht mal mit früheren Tiny-Versionen? Ich hab da noch ein paar Screenshots im Kopf, wo man, glaub ich, alle drei Möglichkeiten einstellen konnte... kann mich aber auch irren.

Ansonsten kann man doch bei der Outpost irgendwo zwischen "stealth" (also deny) und "ICMP-Antwort schicken" oder so (also reject?) umschalten. Das betrifft dann aber alle Regeln, wirkt sich also global aus...

Aber nochmal kurz zur Theorie:
Wenn ich KEINE FW habe und jemand will sich mit einem meiner CLOSED ports verbinden. Wie reagiert dann mein Rechner? Schickt er dann tatsächlich eine ICMP[3?]-Nachricht oder steckt die "Ablehnung" in meinem Antwort-TCP-Paket? Oder beides???
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
25.06.2002, 10:52
Moderator
Themenstarter
Avatar joschi

Beiträge: 6466
#13 Cloesd Port=Reject.... gut vorstellbar, hab ich mir auch schon überlegt.
Kannst ja mal testen, wenn Du Lust hast. Was Tiny betrifft.....kenne nur die letzte Version, bevor das Ganze unter dem Namen Kerio weitergeführt wurde, und aus dieser Zeit wäre mir nicht in Erinnerung, dass ein Reject möglich war....
Ich werd mir dann mal die Oupost-Firewall und die AT-Guard näher anschauen. Wurde von Robert irgendwo auch empfohlen, wenn ich mich nicht irre.
Grüsse, Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
26.06.2002, 16:17
Member

Beiträge: 813
#14 Also...,

bei Outpost kannst du einmal die oben von mir beschriebene Einstellung vornehmen ("stealth" oder "ICMP-Nachricht verschicken").
Mir ist allerdings nicht ganz klar, was dort eigentlich passieren soll. Mit einem Sniffer konnte ich jedenfalls keine Antwort an den Empfänger feststellen und pcflank hat auch immer alles "stealth" angezeigt (ich habe in diesem Fall standardmäßig geschlossene ports scannen lassen).
OHNE FW wird ja ein "ablehnendes" TCP-Paket verschickt, was pcflank als "closed" port wertet.

Andererseits kann man bei der Regelerstellung tatsächlich alle drei Möglichkeiten auswählen, also allow, deny und reject.
Das Resultat von reject: Eine ICMP[3]-Nachricht an die Quelle... aber kein "ablehnendes" TCP-Paket. Also ist der port für pcflank "stealth", obwohl der Rechner eindeutig geantwortet hat... etwas inkonsequent, wenn ihr mich fragt!

Ich frage mich nach wie vor, ob eine ICMP[3]-Antwort wirklich was bringt. Die Frage ist doch, ob der Empfänger damit richtig umgeht und sie richtig interpretiert. Pcflank z.B. macht das schonmal nicht...

Tschö
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
26.06.2002, 16:30
Moderator
Themenstarter
Avatar joschi

Beiträge: 6466
#15 Hab gerade die Outpost runtergeladen. Was es bringt, ja, das will ich mir ja auch mal genauer anschauen ;).
Ich erinnere mich an eine Logfile vor längerer Zeit. Gestopft voll mit Anfragen des Proxys und DNS der DTAG. Jetzt, da eine ICMP[3] erfolgen kann, kommt pro Sitzung genau eine Anfrage des (per Einwahl zugewiesenen) DNS, das war´s.
Was das für beide Seiten bedeutet ist eigentlich klar......
ICMP[3] kann also durchaus Sinn machen. Jetzt schau ich mir die Outpost mal genauer an ;)......Grüsse, Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: