Hoe zorg ik ervoor dat mijn computer niet reageert op ICMP?

http://www.google.com/sea...8&startIndex=&startPage=1
http://netsecurity.about....xp/qt/aaqtwinfirewall.htm

[ Voor 80% gewijzigd door Fish op 21-02-2009 13:56 ]

Windows Vista firewall>block all incoming connections. (dus niet on, maar echt dat hokje eronder aanvinken)

heb je een router dan moet je het in je router zoeken

GRC is voor beginners.

Als je achter een NAT router zit heb je helemaal geen poorten open, tenzij je die zelf open zet. Standaard ondersteunt een router meestal wel ping; dit kun je uitzetten. (Overigens wordt niet je XP computer gepingd maar je router.) Als je een poort open hebt gezet, moet je ook kunnen vinden waar je ping / ICMP dichtzet.

Voor zover ik weet moet je bij bittorrent altijd ook sharen, dus een poort open hebben.

Ping mag je ook gewoon laten voor wat 't is hoor, daar wordt echt je computer niet mee gehaxx0red. ICMP in het algemeen is een basisvereiste van IP om goed te kunnen werken.

Verwijderd schreef op zaterdag 21 februari 2009 @ 14:34:
Ok, maar als GRC een checker voor beginners is ben ik wel benieuwd naar een goede checker voor gevorderden?

Da's een beetje een contradictio in terminis

Quote: Da's een beetje een contradictio in terminis

Oke, maar leg de TS en andere kijkbuiskinderen dan graag eens uit waar GRC steken laat vallen aub.

Nou ja 't is simpel en het werkt, dat houdt niet direct in dat het steken laat vallen. Het probleem ermee is de uitleg erbij en dat die gast erachter nogal grootheidswaanzin heeft en een beetje overdreven doet. En je ziet het effect: mensen die het gebruiken denken dat iets heel simpels (replyen op pings) iets heel belangrijks is.

En het mooie is dat elke ISP tegenwoordig NETBIOS filtert, dus die hele lap tekst gaat ook nergens over.

[ Voor 35% gewijzigd door CyBeR op 21-02-2009 14:56 ]

Verwijderd schreef op zaterdag 21 februari 2009 @ 13:51:

Hoe zorg ik ervoor dat mijn pc niet op pings van buitenaf antwoord?
Ik gebruik alleen windows firewall en peerguardian.

En waarom wil je niet reageren op ICMP echo-reply?
De gemiddelde internet worm interesseert het echt niet of je wel of geen echo-reply geeft hoor.
De dienst waar jij bewust gebruik van wil maken misschien weer wel.

enchion schreef op zaterdag 21 februari 2009 @ 14:49:
Oke, maar leg de TS en andere kijkbuiskinderen dan graag eens uit waar GRC steken laat vallen aub.

Om CyBeR dan maar even aan te vullen: ICMP kent verschillende types pakketten zoals je al in de Windows Firewall instellingen kan zien.

ICMP type 8 (echo reply) is een heel simpel en eenvoudig pakketje met 512bytes wat verder niks doet en kan.
Er zijn wel andere types die in het verleden (jaaaren terug) op sommige brakke stack-implementaties zonder bescherming of aanpassingen voor problemen konden zorgen.

Ping of death is een kreet waar je dan wel op kan zoeken.

Alleen is dat tegenwoordig al lang niet meer van toepassing waardoor het schreeuwerige
ZOMG YOUR COMPUTER IS HACKABLE@!!!!!1111oneone van meneer Gibson nogal overbodig wordt.




Overigens: ICMP echo-reply wordt onder andere gebruikt voor het bepalen van de slow link speed indicatie als het gaat om het toepassen van Group Policies in een Windows Active Directory omgeving - vandaar dat dat ook aangezet wordt als je poort 445/NetBT op een windows machine open zet.

[ Voor 80% gewijzigd door alt-92 op 21-02-2009 16:21 ]

enchion schreef op zaterdag 21 februari 2009 @ 14:49:
Quote: Da's een beetje een contradictio in terminis

Oke, maar leg de TS en andere kijkbuiskinderen dan graag eens uit waar GRC steken laat vallen aub.

Aangezien 80% van de computers achter een NAT hangen.
En dus geen directe toegang tot je besturing heeft.
Omdat een NAT firewall je maar 1 kant op beschermd en niet 2 kanten.
Tevens kijkt shields up niet wat voor service er achter de port draait.
Maar het is genoeg om te kijken of die poort open staat.
En zoals Alt-92 boven me zegt.

[ Voor 13% gewijzigd door LuckY op 21-02-2009 15:29 ]

pinockio schreef op zaterdag 21 februari 2009 @ 14:21:
GRC is voor beginners.

Kun je dat onderbouwen? Super handige site om even snel te checken of de meest belangrijke poorten dicht staan imho. Welke site / online dienst raad je zelf aan?

Bor de Wollef schreef op zaterdag 21 februari 2009 @ 16:31:
[...]


Kun je dat onderbouwen?

Zie wat hierboven gezegd is. Ongeveer 5 argumenten dus (bedankt!, hoef ik het niet te doen... )

Een portscanner zoals nmap.

[ Voor 66% gewijzigd door pinockio op 21-02-2009 22:29 ]

pinockio schreef op zaterdag 21 februari 2009 @ 22:28:
[...]


Zie wat hierboven gezegd is. Ongeveer 5 argumenten dus (bedankt!, hoef ik het niet te doen... )

Een portscanner zoals nmap.

Leuk maar die 5 argumenten zijn dingen waar je rekening mee houd als je GRC gebruikt. Sterker nog, je wilt imho alleen maar weten hoe jouw verbinding er vanaf internet uit ziet als je naar GRC gaat. GRC scanned ook niet op verbindingen naar een directe PC toe (gezien het NAT) maar juist naar het Internet IP van jouw verbinding. Prima dus voor een snelle scan, om te zien of jouw router port forewards goed staan etc. GRC doet niets anders dan checken of een poort open staat of niet. Denk je dat GRC andere dingen doet dan begrijp je ShieldsUp niet denk ik.

De melding dat GRC voor beginners is klopt imho dus niet. Het moet alleen de juiste tool zijn voor de klus die je wilt klaren wil je er echt iets aan hebben.

De uitleg erbij is wel weer typisch Amerikaans: "Fear, Panic".

Een poortscanner als NMAP is leuk maar dan moet je alweer aan de "internet kant" van de router zitten om jouw verbinding an sich te testen. Dan is GRC net even wat sneller en makkelijker.

[ Voor 16% gewijzigd door Bor op 21-02-2009 22:45 ]

Bor de Wollef schreef op zaterdag 21 februari 2009 @ 22:34:
[...]

Leuk maar die 5 argumenten zijn dingen waar je rekening mee houd als je GRC gebruikt.

De gemiddelde onervaren computergebruiker niet.
Die wordt wel degelijk de stuipen op het lijf gejaagd door de manier van paniekzaaien zoals je al aangeeft

En dit topic is niet gestart door een ervaren PC usert die effe snel z'n poortjes wil controleren

Verwijderd schreef op zaterdag 21 februari 2009 @ 14:18:
[...]
Oh ja en met mijn bittorrent client gebruik ik een bepaalde poort als hij aanstaat, en is dus open. Hoe zorg ik ervoor dat ik goede snelheden haal, en toch die poort dicht is?

En om deze ook nog even te beantwoorden:
Dat kan niet. Om een netwerk programma te gebruiken, wordt er een poort geopend om vandaan te zenden en evt antwoord te ontvangen. Om goede snelheden te halen met p2p programma's, moet je ook een poort open hebben om met anderen in contact te komen die het initiatief nemen. Als niemand anderen toelaat, werkt geen enkel communicatie systeem.

@TS: waarschijnlijk zit er in de web-config van je router wel een optie om in te stellen dat de router niet moet antwoorden op ICMP replies. Persoonlijk zou ik er echter geen tijd in steken omdat het er niet veiliger of onveiliger op wordt.

GRC Port Authority Report created on UTC: 2009-02-21 at 22:20:13

Results from scan of ports: 0-1055

0 Ports Open
0 Ports Closed
1056 Ports Stealth
---------------------
1056 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: PASSED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.

Dat geeft Shield Up bij mij aan terwijl ik toch echt Port 21 tot 25 los heb staan plus nog wat random poorten.
Dus zo betrouwbaar vind ik die test niet.

Rukapul schreef op zaterdag 21 februari 2009 @ 23:18:
@TS: waarschijnlijk zit er in de web-config van je router wel een optie om in te stellen dat de router niet moet antwoorden op ICMP replies. Persoonlijk zou ik er echter geen tijd in steken omdat het er niet veiliger of onveiliger op wordt.

Het scheelt je ongetwijfeld wel een aantal portscans gezien de meeste mensen / tools unresponsive systemen niet verder scannen.

Dat geeft Shield Up bij mij aan terwijl ik toch echt Port 21 tot 25 los heb staan plus nog wat random poorten.
Dus zo betrouwbaar vind ik die test niet.

Wat is "los"? Port forewards aangemaakt? Staat het systeem waarnaar de poortjes zijn geforeward aan of uit?

[ Voor 22% gewijzigd door Bor op 21-02-2009 23:28 ]

Met de snelheid van de hedendaagse tools voor full portscans?

Het verschil zal marginaal zijn. Bovendien, als iemand toch al een NAT router heeft met niet al te bizarre port forwards of DMZ dan maakt het effectief toch geen verschil.

Hangt ook helemaal af wat voor apparatuur je gebruikt.
Een simpele consumenten router doet veel minder dan een eigen linux/windows firewall (lees : ISA) of een cisco/juniper.

Rukapul schreef op zaterdag 21 februari 2009 @ 23:28:
Het verschil zal marginaal zijn. Bovendien, als iemand toch al een NAT router heeft met niet al te bizarre port forwards of DMZ dan maakt het effectief toch geen verschil.

Het is een discussie apart. Het verschil van wel of geen ping replies versturen kan bv zijn minder vervuiling van logging. Lucky maakt ook een goed argument trouwens.

[ Voor 5% gewijzigd door Bor op 21-02-2009 23:31 ]

Bor de Wollef schreef op zaterdag 21 februari 2009 @ 23:25:
[...]


Het scheelt je ongetwijfeld wel een aantal portscans gezien de meeste mensen / tools unresponsive systemen niet verder scannen.


[...]


Wat is "los"? Port forewards aangemaakt? Staat het systeem waarnaar de poortjes zijn geforeward aan of uit?

Port forwards aangemaakt op een server die altijd draait ik kan hem nu vanuit een andere locatie makkelijk bereiken.

Edit: Ik heb hier wel een zelfbouw firewall staan met een linux variant van debian

[ Voor 7% gewijzigd door bobsquad op 21-02-2009 23:34 ]

bobsqaud schreef op zaterdag 21 februari 2009 @ 23:33:
[...]


Port forwards aangemaakt op een server die altijd draait ik kan hem nu vanuit een andere locatie makkelijk bereiken.

Dat is wel vreemd inderdaad. Staat er nog wat aan devices tussen de internet verbinding en dat aparaat? Klopt het IP dat GRC aangeeft als target?

@superaki. Heb je de setting in de routerinterface inmiddels gevonden om de ping uit te zetten?

[ Voor 11% gewijzigd door Bor op 21-02-2009 23:36 ]

Blijft staan dat voor een consumenten setup met een eenvoudige NAT router waar hier sprake van is er in de praktijk geen verschil zal zijn. Logging zul je over het algemeen niet aantreffen (evenals features om een portscan te detecteren en verder af te handelen)

Wat dat betreft is de optie voor 'ICMP blocking' in consumentenrouters net zo kansloos als de 'statefull firewall' optie die vaak groot op de doos staat aangegeven en waarvoor het configuratiemenu dan zo'n mooi vinkje voor laat plaatsen.

Bor de Wollef schreef op zaterdag 21 februari 2009 @ 23:35:
[...]


Dat is wel vreemd inderdaad. Staat er nog wat aan devices tussen de internet verbinding en dat aparaat? Klopt het IP dat GRC aangeeft als target?

Nee de server hangt direct achter de firewall en die hangt aan de modem. Het IP klopt wel.

bobsqaud schreef op zaterdag 21 februari 2009 @ 23:36:
[...]


Nee de server hangt direct achter de firewall en die hangt aan de modem. Het IP klopt wel.

Vreemd. Klinkt alsof de uitslag onbetrouwbaar is inderdaad.

* Bor checked even: Inderdaad. Ook een openstaande poort hier is aangegeven als stealth.

Ik heb zelf meerdere port scanners geprobeerd en ze geven allemaal andere info maar dat zal denk ik ook wel aan de TTL liggen aan hun kant.

Nessus detecteerd het altijd goed.
Alleen dat kan weer andere triggers af laten gaan.

maar Nessus is een beetje overkill voor een portscan. laat wel zien wat er achter de port zit dus security by obscurity faalt dan.

Ik vind http://www.canyouseeme.org altijd wel handig om snel ff te checken of een poort daadwerkelijk open staat.

bobsqaud schreef op zaterdag 21 februari 2009 @ 23:21:
GRC Port Authority Report created on UTC: 2009-02-21 at 22:20:13

Dit is gewoon lachwekkend

Nice APP that CanYouSeeMe...

CanYouSeeMe.org - Open Port Check Tool
This page will serve as a free utility for remotely verifying a port is open or closed. It will be useful for users who wish to check to see if a server is running or a firewall or ISP is blocking certain ports.
Your IP: 192.168.0.2

CyBeR schreef op zondag 22 februari 2009 @ 01:06:
[...]


Dit is gewoon lachwekkend

Mja, ik kan er met de beste wil van de wereld nog een woordspeling op havenmeester van maken (en dan alleen omdat ik in Rotterdam werk), maar daar houdt et ook wel bij op eigenlijk.

alx schreef op zaterdag 21 februari 2009 @ 23:11:
[...]

En om deze ook nog even te beantwoorden:
Dat kan niet. Om een netwerk programma te gebruiken, wordt er een poort geopend om vandaan te zenden en evt antwoord te ontvangen. Om goede snelheden te halen met p2p programma's, moet je ook een poort open hebben om met anderen in contact te komen die het initiatief nemen. Als niemand anderen toelaat, werkt geen enkel communicatie systeem.

Wat dan nog wel kan, is UPNP aanzetten in je router, als dat standaard al niet het geval is + een bittorrent client gebruiken die UPNP ondersteunt (en dit ook aanzetten in de config).

Wat er dan gebeurt is dat je inkomende bittorrent poort standaard dicht staat. Alleen wanneer je je bittorrent client start, gaat deze even met je router babbelen om een poort open te zetten. Afsluiten programma = poort weer dicht. Werkt prima, eMule ondersteunt het ook.

Het enige veiligheidsrisico is dat een worm/trojan-achtig programma ook upnp zou kunnen gebruiken om een poort open te zetten.

alt-92 schreef op zondag 22 februari 2009 @ 01:19:
[...]

Mja, ik kan er met de beste wil van de wereld nog een woordspeling op havenmeester van maken (en dan alleen omdat ik in Rotterdam werk), maar daar houdt et ook wel bij op eigenlijk.

Dat is ook het lachwekkende. Een Port Authority in het Amerikaans is de autoriteit die toeziet op 't reilen en zeilen van havens, vliegvelden, etc.

't Is in principe gewoon tegen de RFC's om ICMP te blokkeren. En dan daarbij, als jij je security goed in orde hebt, dan boeit het geen ene flikker of je bak wel of niet te 'detecteren' is met een ICMP echo requestje, want dan komen ze toch niet binnen. En als je bak níet goed beveiligd is, dan zou ik het zeker niet af laten hangen van wel of je bak wel of geen ICMP echo replies verstuurt

edit; wat hier stond klopte niet helemaal, excus

[ Voor 90% gewijzigd door Bor op 22-02-2009 09:04 ]

Welk merk en type router heb je?

Hoe zorg ik ervoor dat mijn pc niet op pings van buitenaf antwoord?

Door de netwerkkabel NIET aan te sluiten

LuckyY schreef op zaterdag 21 februari 2009 @ 15:26:
Omdat een NAT firewall je maar 1 kant op beschermd en niet 2 kanten.

En dan durf je NAT en firewall in 1 zin te gebruiken? Juist omdat het slechts 1 kant op 'beschermd' mag het niet eens firewall heten.

Verwijderd schreef op maandag 23 februari 2009 @ 17:42:
[...]


Door de netwerkkabel NIET aan te sluiten

MrNGm schreef op maandag 23 februari 2009 @ 18:09:
[...]


En dan durf je NAT en firewall in 1 zin te gebruiken? Juist omdat het slechts 1 kant op 'beschermd' mag het niet eens firewall heten.

NAT is uberhaubt geen firewall by RFC "design".

Ik heb eens voor je gezocht maar heb niets kunnen vinden waaruit blijkt dat je het reageren op ICMP echo requests uberhaubt kunt instellen op jouw router helaas. Je zult er dus mee moeten leven of op zoek moeten gaan naar een andere router die het wel kan mocht je het een groot probleem vinden.

RFC's (request for comments) specificeren de techniek (protocollen) en regels voor het Internet: http://www.ietf.org/rfc

Vast ook wel een leuke Wikipediapagina over te vinden