Toon posts:

ICMP, binnenkomende ping afstoten? Of niet?

Pagina: 1
Acties:
  • 336 views sinds 30-01-2008
  • Reageer

donderdag 21 november 2002 11:34

Acties:
  • 0 Henk 'm!
  • StyXL
  • Registratie: Juli 2002
  • Niet online

StyXL

Topicstarter
Ik heb hier sindskort de Draytek vigor 2600 staan. In het begin was ik een beetje bezorgd hoe gaan we daat configureren? (voor het eerst in m'n leven een netwerkje aanleggen, best spannend :Y) ).

Het aanleggen en installeren ging van een leien dakje. Toen wilde ik natuurlijk de firewall eens checken. Kijken wat dat ding nou tegen houdt. Dus ik keek ff bij die van Sygate http://scan.sygate.com/quickscan.html en wat zie ik daar...
An ICMP ping request is usually used to test Internet access. However, an attacker can use it to determine if your computer is available and what OS you are running. This gives him valuable information when he is determining what type of attack to use against you.
Ben beetje n00b op dit gebied, maar dit hoort toch niet? (of wel?) Nu staat er op de doos dat de firewall bestand is tegen DDos aanvallen. Dus dat is een zorg minder, maar uhm... wat kan er nog meer gebeuren nu ik gepingd kan worden?

Of is het nodig/mogelijk dat ik de binnenkomende ping afstoot?

Toen ik Zonealarm pro3 gebruikte had ik bij diezelfde test geen probleem. Alles werd toen netjes geblocked.

Specs

donderdag 21 november 2002 18:48

Acties:
  • 0 Henk 'm!

Verwijderd

naar mij weten kun je bij elke router een ICMP ping request blocken.
Ik heb een Linksys Bef41, en bij mij kun je aanvinken " Block WAN Request"

donderdag 21 november 2002 19:15

Acties:
  • 0 Henk 'm!

Verwijderd

Pingen gaat via poort 9. Probeer die eens te blokkeren voor de buitenkant van je netwerk (internet dus).

Overigens is het zeker niet nodig om die poort dicht te gooien. Dit soort routers zijn intelligent genoeg veel aanvallen tegen te houden, en de meeste belangrijke poorten staan standaard al dicht. Wat belangrijker is is dat ze niet kunnen zien wat voor pc's er BINNEN je netwerk staan, en met welke adressen.

Je kunt planet toch ook pingen? Geloof me, als dat gevaarlijk was geweest zat het zootje nu al dicht. Verder bestaan er zeer weinig ECHTE hackers. Lees: geen scriptkiddies die progjes of scripts hooguit twee regels veranderen om ergens in te breken. Veelal via MSN, ICQ, KAZAA of dergelijke progsels.
En de echte hackers die er zijn vinden het echt niet interessant om bij jou in te gaan breken. Dus controleer je firewall, uiteraard ook op de pc's binnen het netwerk en draaien maar!!

donderdag 21 november 2002 19:42

Acties:
  • 0 Henk 'm!
  • _JGC_
  • Registratie: Juli 2000
  • Laatst online: 01:45

_JGC_

Die quote die je daarboven heb staan is dikke onzin. Op school wordt ICMP geblokt bij de routers en heeft de te scannen server een input policy op drop staan:
Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Warning: OS detection will be MUCH less reliable because we did not find at lea st 1 open and 1 closed TCP port
Interesting ports on (141.252.180.40):
(The 1553 ports scanned but not shown below are in state: filtered)
Port State Service
22/tcp open ssh

Remote operating system guess: Linux Kernel 2.4.0 - 2.4.17 (X86)
Uptime 2.142 days (since Tue Nov 19 16:15:12 2002)
OS klopt: Linux, versie niet: 2.4.19, uptime klopt ook.
Dat allemaal met een nmap -P0 gedaan

donderdag 21 november 2002 19:47

Acties:
  • 0 Henk 'm!
  • Coen Rosdorff
  • Registratie: Januari 2000
  • Niet online

Coen Rosdorff

Daarnaast is simpelweg al het icmp verkeer blokkeren het domste wat je kan doen.

donderdag 21 november 2002 23:16

Acties:
  • 0 Henk 'm!
  • StyXL
  • Registratie: Juli 2002
  • Niet online

StyXL

Topicstarter
Ok, dank jullie allemaal. Ik heb toch maar besloten om hem open te laten. Vooral naar aanleiding van liefbeertje. Een inhoudelijk verhaaltje waar ik wat mee kan ;).

Specs

donderdag 21 november 2002 23:18

Acties:
  • 0 Henk 'm!
  • Fish
  • Registratie: Juli 2002
  • Niet online

Fish

How much is the fish

bah .. ik drop alles wat de nat router niet kent! . no problems so far

Iperf

vrijdag 22 november 2002 10:30

Acties:
  • 0 Henk 'm!
  • The Genie
  • Registratie: April 2000
  • Laatst online: 17-10 17:22

The Genie

Ik heb mijn firewall zo geconfigureerd dat ie alles dropt, tenzijn expliciet toegelaten. ICMP gaat helemaal niet via een poort, het is een apart protocol, net als TCP en UDP. En waarom zou je niet alle ICMP verkeer blokken. Het is voor jezelf handig om alleen outbound ping requests en inbound ping replies door te laten. Voor de rest kun je alles blokkeren. Niemand hoeft te weten dat jou IP online is.

vrijdag 22 november 2002 10:55

Acties:
  • 0 Henk 'm!
  • Equator
  • Registratie: April 2001
  • Laatst online: 25-10 14:33

Equator

Crew Council

#whisky #barista

The Genie krijgt grotendeels mijn gelijk. Maar.. >:)
Je kan beter niet blocken, maar droppen.

Blocken houdt in dat er een actieve reject wordt gestuurd. (wat dus een DOS attack weer makkelijker maakt.) De originator krijgt ee reject.

Droppen is gewoon niets doen, in de bittenbak er mee. geen reject sturen. De originator krijgt dan een time out.

vrijdag 22 november 2002 11:28

Acties:
  • 0 Henk 'm!

Verwijderd

Verwijderd schreef op 21 november 2002 @ 19:15:
Pingen gaat via poort 9. Probeer die eens te blokkeren voor de buitenkant van je netwerk (internet dus).
lol pingen gaat niet via een port... ping (icmp-verkeer) zit in het IP protocol en niet in TCP (die de porten defineert)...

on-topic: blocken (droppen ok... maar in die thuisroutertjes is dat hetzelfde) is op zich het beste... veel hack/crackscripts beginnen met een ping en stoppen zodra ze niets terugkrijgen. maar alleen ping toestaan kan opzich geen kwaad. (bij mij staat het uit, maar ik zet het wel eens aan als ik aan het gamen ben... sommige mensen hebben niet door dat ping = 1000 fw is :()

[ Voor 5% gewijzigd door Verwijderd op 22-11-2002 11:31 ]

vrijdag 22 november 2002 11:30

Acties:
  • 0 Henk 'm!

Verwijderd

oops dubbel...

[ Voor 98% gewijzigd door Verwijderd op 22-11-2002 11:31 ]

vrijdag 22 november 2002 11:56

Acties:
  • 0 Henk 'm!
  • Appie Heijn
  • Registratie: November 2002
  • Laatst online: 24-10 11:41

Appie Heijn

Tja

Verwijderd schreef op 21 November 2002 @ 19:15:

Je kunt planet toch ook pingen? Geloof me, als dat gevaarlijk was geweest zat het zootje nu al dicht. Verder bestaan er zeer weinig ECHTE hackers. Lees: geen scriptkiddies die progjes of scripts hooguit twee regels veranderen om ergens in te breken. Veelal via MSN, ICQ, KAZAA of dergelijke progsels.
En de echte hackers die er zijn vinden het echt niet interessant om bij jou in te gaan breken. Dus controleer je firewall, uiteraard ook op de pc's binnen het netwerk en draaien maar!!
Ben ik het niet helemaal mee eens. Kameraad van mij had een linux server draaien (bijna niets open staan alleen http en mail) werd ook gehakt. Iemand die een fatsoenlijke linux server kan hacken is geen script kiddie. Ben wel met je eens dat de meeste "hacks" door pubertjes wordt gedaan.

44x Trina 330WP @ SMA 10.00; Hitachi Yutaki 5,5KW AIO 280L

woensdag 27 november 2002 10:38

Acties:
  • 0 Henk 'm!
  • StyXL
  • Registratie: Juli 2002
  • Niet online

StyXL

Topicstarter
Nou, ik heb net de laatste firmware op m'n vigor 2600 gezet.

Deze keer hebben ze in het menu een optie gezet waarin je alleen een vakje hoeft aan te vinken zodat je binnenkomende ping kan uitzetten. Nu heb ik de test bij sygate nog een keer gedaan en er komt geen ping meer binnen. Wat is zo'n draytek lekker makkelijk zeg :)

[ Voor 22% gewijzigd door StyXL op 27-11-2002 14:53 ]

Specs

woensdag 27 november 2002 14:51

Acties:
  • 0 Henk 'm!

Verwijderd

Appie Heijn schreef op 22 November 2002 @ 11:56:
[...]


Ben ik het niet helemaal mee eens. Kameraad van mij had een linux server draaien (bijna niets open staan alleen http en mail) werd ook gehakt. Iemand die een fatsoenlijke linux server kan hacken is geen script kiddie. Ben wel met je eens dat de meeste "hacks" door pubertjes wordt gedaan.
het probleem is dat het meestal geen fatsoenlijke linux server is en je over het algemeen zo binnen bent :)

woensdag 27 november 2002 17:47

Acties:
  • 0 Henk 'm!
  • activeX1
  • Registratie: December 1999
  • Laatst online: 01:59

activeX1

Toen ik ICMP had gedisabled in mijn Draytek router kreeg ik op de een of andere manier geen mail meer binnen op mijn mailserver. Blijkbaar test de versturende mailserver eerst of een mailserver online is door middel van een ping...Kweet niet of je een mailserver wilt configgen, maar hou hier rekening mee.

donderdag 28 november 2002 12:48

Acties:
  • 0 Henk 'm!
  • The Genie
  • Registratie: April 2000
  • Laatst online: 17-10 17:22

The Genie

CyberJ schreef op 22 November 2002 @ 10:55:
The Genie krijgt grotendeels mijn gelijk. Maar.. >:)
Je kan beter niet blocken, maar droppen.

Blocken houdt in dat er een actieve reject wordt gestuurd. (wat dus een DOS attack weer makkelijker maakt.) De originator krijgt ee reject.

Droppen is gewoon niets doen, in de bittenbak er mee. geen reject sturen. De originator krijgt dan een time out.
Natuurlijk bedoelde ik droppen. Was ff niet wakker bezig :Z
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq