ICMP bei IPCop 1.3 deaktivieren

#1 Hallo zusammen,

habe mir neu eine IPCop Firewall Version 1.3 zugetan. Die hält, wenigstens laut dem Test von Symantec, auch sehr gut dicht, ausgenommen dem ICMP.

Da ich keine VPN habe, muss die Firewall auch nicht anpingbar sein. Wie kann ich nun aber bei der IPCop den ICMP deaktivieren? Beim Webtool gibts da leider nichts, und auch wenn ich mit SSH draufgehe, finde ich den entsprechenden Punkt einfach nicht (oder ich übersehe ihn einfach).

Danke für die Hilfe
Gruss Philipp

#2 Hi,

http://203.213.125.126:81/pipermail/mlug/2003-June/011657.html

oder schick ihm mal deine frage er wird von der Hompage für unterstützung angeboten.

Niedeländer
mark@wormgoor.com

Viel erfolg

#3 Hi DiscoDancer,

danke für deine Antwort, bin erst jetzt dazu gekommen das mal zu studieren.

Muss allerdings zugeben, dass ich nicht so der Linux-Crack bin. Oder anders gesagt, ich habe keinen blassen Dunst, was ich hier anders konfigurieren müsste. Hab beim studieren dieses Files nur "rausgefunden", dass es vermutlich der folgende Abschnitt ist, in dem ich das Problem lösen müsste....

# All ICMP on ppp too.
ipchains -A block -p icmp -i ppp0 -j ACCEPT
ipchains -A block -p icmp -i ippp0 -j ACCEPT
if [ "$ORANGE_DEV" != "" ]; then
ipchains -A block -p icmp -i $ORANGE_DEV -d
$ORANGE_ADDRESS/$ORANGE_NETMASK -j ACCEPT
fi
if [ "$RED_DEV" != "" ]; then
ipchains -A block -p icmp -i $RED_DEV -d
$RED_ADDRESS/$RED_NETMASK -j ACCEPT
fi
ipchains -A input -j block

Aber eben, was muss ich hier anpassen, damit ICMP vom roten Netz her nicht mehr erreichbar ist? Habe ehrlich gesagt auch ein bisschen Schiss, hier rumzuprobieren. Am Schluss funzt sonst gar nichts mehr, oder noch schlimmer.... die Firewall ist danach offen wie ein Scheunentor ohne das ich es nicht (zu spät) bemerke.

Gruss Philipp

#4 Moin also ICMP wird von TCP/IP benötigt abschalten wird vermutlich negativ wirken.

if["$RED_DEV" !? ""]; then
ipchains -A block -p icmp -i $RED_DEV
-d $RED_ADDRESS/$RED_NETMASK -j DENY <-- REJECT müsste hier auch funktionieren

fi
ipchains -A input -j block

so könnte, es funktionieren muss aber nicht da ich kein wirklichen plan von ipchains hab ist halt sehr veraltet und ich hatte das mal vor Jahren genutzt aber heute nutzt es niemand mehr weils halt uralt ist. Und es ist auch ziemlich erschreckend zu sehen das ipcop darauf angewiesen ist. Für alles andere 'man ipchains'.

PS.: Bei REJECT werden die Pakete nicht angenommen und die Anfrage bekommt ne Fehlermeldung bei DENY werden sie nur fallen gelassen. Naja wer die manpage lesen kann ist klar im vorteil. Das hat auch nichts mit anpingen zu tun ICMP ist nen Control Protokoll für TCP/IP was noch andere funktionen kennt. Vermutlich muss ein Rechner im internet anpingbar sein sons ist er ja nicht existent - aber das kann man ja ausprobieren.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5 Mahlzeit!

Bei mir ist genauso wie bei philippCH:
IPCop v1.3 und ICMP - laut Symantec - offen.

Was mich aber eher interessiert, ist, in wieweit diese kleine Lücke von "Außenstehenden" genutzt werden kann?

Währe nicht schlecht, wenn es darüber Infos gäbe.
Danke

MfG
Cutty

#6 Hallo,

der bekannteste befehl der über ICMP gesendet wird ist der ping.

der "ping" befehl sendet icmp packete zum testen der verbindung (und was der halt sonst noch so alles kann).

böse buben verwenden icmp z.b. für die "denial of service" - angriffe

das sind angriffe, bei denen der angegriffene computer funktionsunfähig wird, indem man ihm vormacht, dass es verschiedene probleme mit seiner netzwerkverbindung gibt. man kann einem computer ein icmp paket senden, welches ihm sagt, dass er eine neue route verwenden soll, die überhaupt nicht funktioniert. der computer schickt dann seine pakete in die falsche richtung. oder man sendet ihm ein "icmp network unreachable"-paket welches dem computer mitteilt, dass er pakete in dieses netzwerk nicht mehr senden kann, da es unerreichbar ist. der computer geht dann davon aus, dass er wirklich keinen zugang mehr hat ...

kurz: ein "computer-verarrscher-protokoll" oder auch CVP (wie eine gewisse nicht ganz ernst zu nehmende partei in der schweiz... *grins*)

grundsätzlich ist das nicht wirklich gefährlich, da ipcop angeblich gegen dos-attaken geimpft sein soll. und an daten kann man meines wissens so auch nicht kommen. also man kann auch problemlos damit leben das ein rechner nicht anpingbar ist. der vorteil wäre nur:
nicht anpingbar => nicht existent....
nicht existent => wird nicht angegriffen....

nur ob dann der rechner für die erwünschten besucher noch erreichbar ist, das weis ich nicht so recht. da könnte mir vielleicht auch mal jemand etwas auf die sprünge helfen.


Gruss Philipp

P.S.: was soll eigentlich diese wortersetzerei? ich hasse das.... wenn ich das wort mit a... schreiben will dann will da auch das wort mit a... stehen haben und nicht --> arsch

#7 Niemand wird dich vor 'denial of service' schützen. Da kanns du dich aufn kopfstellen oder sons was machen dein Rechner wird die anfragen verarbeiten müssen und entscheiden ob das Paket verworfen wird angenommen wird, geroutet wird etc. und denial of service is ja nicht nur einfach ping sondern viel komplizierter als du denkst. Auf alle Fälle kannst du dich nicht davor schützen - egal was du anstellen wirst.

"nicht anpingbar => nicht existent....
nicht existent => wird nicht angegriffen...." <-- das ist völliger blödsinn nicht existent == pingtimeout

PS.: i-net kabel ziehen ist wirkungsvoller
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#8 Mahlzeit!

Was heißt da:
i-net kabel ziehen ist wirkungsvoller?

Was meinst Du damit?

MfG
Cutty

#9 @MrCutty

Was phillipCH ereichen will ist technisch nicht möglich: du kannst kein denial of service blocken wenn er groß genug angelegt ist geht jeder Rechner down egal welcher oder die Leitung wird halt so zugemüllt das nix anderes durchkommt, egal wie der Rechner wird die Anfragen bearbeiten müssen ob DENY oder ACCEPT das spielt keine Rolle. Deswegen ist ein ICMP - BLOCK völlig sinnlos.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#10 hallo

--> Deswegen ist ein ICMP - BLOCK völlig sinnlos.


über sinn oder unsinn kann man hier sicher streiten. aber es ist ja kaum so, dass jemand einfach so mal auf irgendwelche ip's eine dos-attacke fährt. er wird schon erstmal mit einem ping versuchen, ob der rechner überhaupt antwortet. und für einen rechner, der auf einen einfachen ping keine antwort gibt, ist das risiko einer attacke sicher etwas kleiner. ausschliessen kann man das natürlich nicht. aber eine 100&-ige sicherheit gibts ja eh nicht. höchstens man reist das netzkabel raus.... und selbst dann könnte ja noch jemand die hütte abfackeln :-) und dann sind die daten auch futsch.

ich für meinen teil habe jetzt aber dennoch entschieden dieses projekt nicht mehr weiter zu verfolgen. habe jetzt schon einige stunden investiert und das ohne jeglichen erfolg. und da auch bei mir die devise "time is money" gilt und da ich, wie die meisten, von beidem nichts überflüssiges habe richte ich mein augenmerk lieber auf wichtigere und gefährlichere dinge... frauen z.b. :-)


gruss
philipp

#11 Es gibt meines Wissens nach ausser deiner "einfachen" DOS-Attacke noch eine andere nette kleine Spielerei, die bei bestimmten Voraussetzungen per ICMP durchgeführt werden kann:

ein Redirect.

Ein Angreifer, der es schafft, eine Internet-Verbindung zwischen zwei Systemen per ICMP-Redirect über seinen Rechner umzuleiten (der dann quasi als Router funktioniert), kann diese komplette Verbindung "abhören".

Über Schädlichkeit dieser "Attacke" lässt sich jetzt trefflich streiten - ich hätte jetzt im Moment z. B. kein Problem damit, wenn jemand diese Internet-Verbindung "abhören" würde.

Andererseits gibt es da bestimmt auch andere Situationen bei mir und anderen Usern - wenn "wichtige" Passwörter übermittelt werden, z. B. an EBAY oder den E-Mail-Provider.

Ich hätte jedenfalls keine Lust, z. B. auf EBAY an einem einzigen Tag drei sehr teure Autos (jedes über 40.000 Euro!) zu "kaufen", wie das mal einem Bekannten von mir gegangen ist.

Die Verkäufer waren nachher natürlich stocksauer - zu Recht. Das Problem war damals aber wohl kaum eine ICMP-Redirect-Attacke, sondern eher ein unsicheres Passwort.

Weitere Infos per Google oder in Kurzform hier: http://www.all4freaks.org/firewall/node36.php3


Gruss

Aahz

#12 Hallo zusammen
Ich habe die IP-COP 1.3 mit den momentan erhältlichen 4 fixes.
Da auch mich das gestört hat das ich pingbar bin habe ich gesucht und hoffentlich gefunden.
Unter : /etc/rc.d/ die datei rc.firewall
Am besten mit WINSCP aufrufen wenn man nicht die Ahnung hat ;-)
Hier in die Zeile 115, die müsste so aussehen: bei ICMP auf DENY !!!!!

# localhost and ethernet.
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j DENY
/sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT
/sbin/iptables -A FORWARD -i $GREEN_DEV -j ACCEPT

Dann ab zu http://scan.sygate.com. Links oben auf quickscan und warten bis
die Ergebnisse im BROWSER kommen, das letzte Ergebniss ist der ICMP Typ 8 .
Der sollte jetzt geblockt sein.
Gruß
Thomas

#13 Oh *aua* Das alles muss ja schon sehr weh tun.

@biomasse
"Da auch mich das gestört hat das ich pingbar bin..."

Kanste mir sagen wassu geraucht hast?
Vielleicht willst du dir jetzt ersma die Referenz zu TCP/IP und dem Protokoll ICMP durchlesen. Du kannst keine Pings blocken - das ist ja sowas von lächerlich. Wenn du nicht pingbar bist dann bist du nicht existent und dein Netfilter muss trozdem die Anfragen bearbeiten wenn dich einer DDoS'en will dann schafft er das auch (sofern er genug Bandbreite hat etc.). Da kanns du dich aufn Kopf stellen mit den Händen wackeln du wirst daran nichts ändern können. Außerdem gibt es ja sowieso kein 'DENY' bei iptables nur 'DROP' oder 'REJECT', dass es 'DENY' gibt ist mir noch nie aufgefallen. Also hört bitte auf euch den Kopf zu zerbrechen über Dinge die überhaupt nicht machbar sind - vermutlich wird jetzt alles Mögliche nicht mehr funktionieren wenn du nicht pingbar bist. ICMP ist benötigt. Man kann ja im ICMP sachen blockieren wie das redirect aber doch nicht komplett ICMP. *OUCH*
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#14 Die Portscanner bekommen einen timeout.
Mit dem Deny wirst du recht haben da ich ein Windowsfuzzi bin
und null Ahnung habe.
Mir reicht jedoch das es funktioniert so wie ich es haben will.
Konnte ja hier im Forum nicht rauslesen wie es geht.
Mir iss es auch wurscht ob einer mich mit Denial of Service fertig machen will oder nicht. Die Cop hält sowieso, nur Dicht isse halt dan und fett überlastet.
Stört mich aber nicht wirklich darum geht es mir auch gar nicht.
Da ich bei Dyndns.org eingetragen bin und meinen Rechner ab und zu laufen lasse, muss nicht jeder meiner Freunde gleich wissen ob die Kiste läuft oder
nicht. Dort bekommt man dann nämlich bei einem ping name.dyndns.org
zwar die IP adresse raus aber dann einen Timeout.
ICMP TYP 8 ECHO Anforderung. Damit kann man eine Netzwerkverbindung testen. steht ja hier super beschrieben. http://www.protecus.de/Firewall_Security/icmp.html
So darum ging es mir, nicht mehr nicht weniger, da es hier aber bis jetzt keiner gepostet hat wie man es macht habe ich nur das weitergegeben was ich vor ein paar minutenherausgefunden habe.
Und das Linuxgurus sich hier an den Kopf fassen verstehe ich auch ;-)). Mir aber egal.
Es geht und darum gehts.
Natürlich werde ich REJECT oder DROP eintragen. Danke dafür.
Wenn Du mir noch sagen kannst welche Nachteile ich jetzt dadurch habe, obwohl ich kein VPN benutze, wäre ich Dir sehr verbunden.

Gruß
Thomas

#15 Nochmal ich
Vielleicht iss ja das hier besser:

iptables -I OUTPUT -o $RED_DEV -p icmp --icmp-type 0 -j DROP

oder muss ich statt $RED_DEV besser eth1 oder eth0 je nach dem
was jetzt die rote Karte bei mir ist eintragen ?????

Gruß
Thomas