24
ICMP (Ping) deaktivieren
Wie kann ich bei Windows XP SP2 den Ping bzw die Pingantwort wenn ich gepingt werde deaktivieren?
Sinn und Zweck der Sache ist meinen PC im Internet zu verstecken und die Angriffsfläche zu minimieren.
danke für kommende kommentare
Sinn und Zweck der Sache ist meinen PC im Internet zu verstecken und die Angriffsfläche zu minimieren.
danke für kommende kommentare
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6263
Url: https://administrator.de/contentid/6263
Printed on: April 23, 2024 at 21:04 o'clock
24 Comments
Latest comment
schau mal in die erweiterten Einstellungen der Firewall von xp sp2.
habe keine windows xp firewall mehr!
Hmm, du willst deinen Rechner "schützen" und deinstallierst eine Firewall?
ich weiß nicht ob du folgenden artikel kennst: stammt von ntsvcfg.de:
Desktop/Personal Firewalls (PFW) - und warum man sie nicht braucht
Desktop/Personal Firewalls (PFW) - und warum man sie nicht braucht
- eine Firewall ist ein Sicherheitskonzept, und keine Software, die man installieren kann.
- eine Firewall, die auf dem System läuft, welches geschützt werden soll, ist oftmals sinnfrei, da sie es gerade verhindern muß, daß schädigende Datenpakete zum zu schützenden System vordringen können.
- jedes zusätzliche Programm auf einem System erhöht die Anfälligkeit, da Programme und somit auch PFW's Fehler und Sicherheitslücken enthalten, die sich in ihrer Anzahl summieren können.
- sie täuscht dem Benutzer eine falsche Sicherheit vor, da dieser denkt, er wäre jetzt rundum geschützt. In Wahrheit wird er allzuoft nur nachlässiger - dies wird häufig auch als "Risikokompensation" bezeichnet.
- Personal/Desktop-Firewalls können problemlos umgangen und ausgeschaltet werden, ohne das der Benutzer davon etwas bemerkt.
Einige Beispiele, auf die man besser verzichten sollte: Norton Internet Security und Norton Personal Firewall, BlackIce (Defender), ZoneAlarm, Sygate Personal Firewall, Lockdown2000, Outpost u.a....
(siehe auch -> http://www.udel.de/faq/, http://copton.net/vortraege/pfw/index.html)
außerdem habe ich nicht gesagt schützen sondern nur ports schließen un diensten beenden.
das ist fast effektiver weil ich keine zusätzlichen ressourcen verbrauche
und mein rechner im internet nicht mehr auf alles antwortet wie ping!
das ist fast effektiver weil ich keine zusätzlichen ressourcen verbrauche
und mein rechner im internet nicht mehr auf alles antwortet wie ping!
Naja, also jetzt laß mal die Kirche im Dorf...
ich weiß ja nicht wer den Artikel verfaßt hat, aber nach dem wäre beispielsweise ein ISA-Server auch nicht sicher, wird aber als sehr sicher sogar von BSI und Pentagon eingestuft.
Letztendlich basiert auch eine Hardwarelösung immer auf eine darauf aufbauende Softwareengine mit Minibetriebsystem (nicht selten sogar Windows CE oder eine Linuxform), die in einem Flash, ROM, etc läuft).
Nur solche Lösungen kosten tausende, zehntausende oder hunderttausende von Euro. Je nach Größe, Sicherheit und Ausführung.
Wenn man Desktoplösungen wie Zonealarm mit so eingebauten FirewallPortblockerDinger vergleicht, die in Routern verbaut werden für 200 ?, dann schneidet hier Zonealarm bestimmt nicht schlechter ab. Diese Technik ist genauso gut oder schlecht zu umgehen.
Die Frage ist aber immer, was möchte ich schützen und wie wichtig sind die Daten. Einen Frontalangriff muß an als Privatperson oder ganz kleines Unternehmen zwar fürchten, is aber eher die Ausnahme. Die Attacke von Viren, Würmern etc. ist hier die größere Gefahr. Dies hält bereits ein einfacher Portblocker weitgehenst ab.
Doch das größte Problem ist nicht der Virenscanner, die Firewall oder die Technik, sondern oft der Benutzer, der grundsätzlcih als Admin angemeldet ist und jede Software die im zwischen die Finger kommt oder downloadbar ist, installiert. Spyware läßt grüßen.
Jetzt zu deiner Frage, wenn du den Ping verhindern willst, mußt du nur die Ports für ICMP sperren.
Auflistung von Ports findest du hier:
http://www.seifried.org/security/ports/
http://www.iana.org/assignments/port-numbers
ich weiß ja nicht wer den Artikel verfaßt hat, aber nach dem wäre beispielsweise ein ISA-Server auch nicht sicher, wird aber als sehr sicher sogar von BSI und Pentagon eingestuft.
Letztendlich basiert auch eine Hardwarelösung immer auf eine darauf aufbauende Softwareengine mit Minibetriebsystem (nicht selten sogar Windows CE oder eine Linuxform), die in einem Flash, ROM, etc läuft).
Nur solche Lösungen kosten tausende, zehntausende oder hunderttausende von Euro. Je nach Größe, Sicherheit und Ausführung.
Wenn man Desktoplösungen wie Zonealarm mit so eingebauten FirewallPortblockerDinger vergleicht, die in Routern verbaut werden für 200 ?, dann schneidet hier Zonealarm bestimmt nicht schlechter ab. Diese Technik ist genauso gut oder schlecht zu umgehen.
Die Frage ist aber immer, was möchte ich schützen und wie wichtig sind die Daten. Einen Frontalangriff muß an als Privatperson oder ganz kleines Unternehmen zwar fürchten, is aber eher die Ausnahme. Die Attacke von Viren, Würmern etc. ist hier die größere Gefahr. Dies hält bereits ein einfacher Portblocker weitgehenst ab.
Doch das größte Problem ist nicht der Virenscanner, die Firewall oder die Technik, sondern oft der Benutzer, der grundsätzlcih als Admin angemeldet ist und jede Software die im zwischen die Finger kommt oder downloadbar ist, installiert. Spyware läßt grüßen.
Jetzt zu deiner Frage, wenn du den Ping verhindern willst, mußt du nur die Ports für ICMP sperren.
Auflistung von Ports findest du hier:
http://www.seifried.org/security/ports/
http://www.iana.org/assignments/port-numbers
ich selbst halte auch nichts von Personal Firewalls und bei mir auf dem PC läuft auch keine. Allerdings sind sie sicher besser als gar kein Schutz.
Aber davon abgesehen. Was versuchst du denn..eigentlich doch nur mit Boardmitteln eine eigene Personal Firewall zu basteln.
Wenn du dein Netz/PC schützen willst häng eine vernünftige Hardewarefirewall hin, hab einen aktuellen Virenscanner und patche deine Systeme regelmässig.
Das würde ich als Minimum für ein Netz zuhause ansehen.
Dann kannst du dir wie im Artikel beschrieben weitergehende Gedanken machen was noch geschützt werden muss und wie.
Da gehören dann aber _sehr_ viel weitergehende Gedanken zu, wie z.B. auch die physikalische Sicherheit eines Rechners. Es nützt dir nämlich alles wenig wenn jemand einfach deinen PC klauen kann.
Aber davon abgesehen. Was versuchst du denn..eigentlich doch nur mit Boardmitteln eine eigene Personal Firewall zu basteln.
Wenn du dein Netz/PC schützen willst häng eine vernünftige Hardewarefirewall hin, hab einen aktuellen Virenscanner und patche deine Systeme regelmässig.
Das würde ich als Minimum für ein Netz zuhause ansehen.
Dann kannst du dir wie im Artikel beschrieben weitergehende Gedanken machen was noch geschützt werden muss und wie.
Da gehören dann aber _sehr_ viel weitergehende Gedanken zu, wie z.B. auch die physikalische Sicherheit eines Rechners. Es nützt dir nämlich alles wenig wenn jemand einfach deinen PC klauen kann.
Jetzt zu deiner Frage, wenn du den Ping
verhindern willst, mußt du nur die
Ports für ICMP sperren.
verhindern willst, mußt du nur die
Ports für ICMP sperren.
Öhm, grübels...wo sperre ich in Windows Ports für ICMP???
Ich weiss nur, dass man in den erweiterten Einstellungen des Netzwerks TCP/IP Ports sperren kann.
danke für die bisherigen beiträge aber ich möchte echt keine pfw installieren.
es muss doch möglich sein icmp in windows zu DEAKTIVIEREN und nicht nur MIT PFW zu sperren....
es muss doch möglich sein icmp in windows zu DEAKTIVIEREN und nicht nur MIT PFW zu sperren....
also ich wüsste nicht das es geht. Lass mich aber gerne eines besseren belehren. 
In den erweiterten Einstellungen von TCP/IP gibts unter Optionen die Mögichkeit IP Protokolle zu Filtern. Bei mir (XP SP2) steht aber das da der ICMP Verkehr _nicht_ ausgenommen werden kann.
In den erweiterten Einstellungen von TCP/IP gibts unter Optionen die Mögichkeit IP Protokolle zu Filtern. Bei mir (XP SP2) steht aber das da der ICMP Verkehr _nicht_ ausgenommen werden kann.
Öhm, grübels...wo sperre ich in
Windows Ports für ICMP???
Ich weiss nur, dass man in den erweiterten
Einstellungen des Netzwerks TCP/IP Ports
sperren kann.
Windows Ports für ICMP???
Ich weiss nur, dass man in den erweiterten
Einstellungen des Netzwerks TCP/IP Ports
sperren kann.
IP aus TCP/IP durch UDP ersetze
es geht hier immer um die TCP Schicht des TCP/IP Protokolls bei der beim Handshake ein Port vereinbart/bzw. geöffnet wird. Innerhalb eines LANs ist normalerweise keine Portbeschränkung nötig. Eine Sonderstellung nehmen hier DMZ ein. Damit bezüglich Internet und LAN oder Rechner dies abgrenzbar ist, muß das Paket von einem Programm abgefangen werden. Dies überprüft, ob es sich um einen zulässiges oder nicht zulässiges Port handelt. Ist dies ein verbotenes Port, wird das Datenpaket verschmissen, ansonsten durchgelassen.
***
Deine Theorie ist wirklich etwas kontraproduktiv. Auf der einen Seite willst du SChutz, auf der anderen Seite ist dir eine PFW zu unsicher. Mit deinem Wissen und mit WindowsBoardmitteln wirst du aber keine brauchbaren Schutz hinbringen. Eine PFW bietet dir wenigstens das Minimum an Schutz.
Willst du mehr, dann spar gleich mal los und kauf dir eine richtige Firewall.
***
Deine Theorie ist wirklich etwas kontraproduktiv. Auf der einen Seite willst du SChutz, auf der anderen Seite ist dir eine PFW zu unsicher. Mit deinem Wissen und mit WindowsBoardmitteln wirst du aber keine brauchbaren Schutz hinbringen. Eine PFW bietet dir wenigstens das Minimum an Schutz.
Willst du mehr, dann spar gleich mal los und kauf dir eine richtige Firewall.
@meinereiner:
auch unter SP2 geht das, indem du die entsprechenden Ports manuell einträgst.
Wenn du wissen willst wie, gebe ich dir gerne eine kurze Anleitung.
Mit headhunter Logik kann ich allerdings weniger anfangen.
auch unter SP2 geht das, indem du die entsprechenden Ports manuell einträgst.
Wenn du wissen willst wie, gebe ich dir gerne eine kurze Anleitung.
Mit headhunter Logik kann ich allerdings weniger anfangen.
@Christian
einträgst.
Wenn du wissen willst wie, gebe ich dir
gerne eine kurze Anleitung.
Würde mich schon interessieren wie das geht. Denn wie gesagt ich wüsste nur wo man TCP/UDP Ports einschränkt s.o. . aber nicht wo ich ICMP Ports einschränke oder es ganz abschalten kann.
auch unter SP2 geht das, indem du die
entsprechenden Ports manuelleinträgst.
Wenn du wissen willst wie, gebe ich dir
gerne eine kurze Anleitung.
Würde mich schon interessieren wie das geht. Denn wie gesagt ich wüsste nur wo man TCP/UDP Ports einschränkt s.o. . aber nicht wo ich ICMP Ports einschränke oder es ganz abschalten kann.
ups, da haben wir uns wohl falsch verstanden...sorry 
Den Weg kenne ich natürlich. Den hatte ich ihm ja gleich im erstren Beitrag angeboten.
Ich meinte _ohne_ die Firewall. Die hatte Headhunter2 ja ausgeschlossen.
Den Weg kenne ich natürlich. Den hatte ich ihm ja gleich im erstren Beitrag angeboten.
Ich meinte _ohne_ die Firewall. Die hatte Headhunter2 ja ausgeschlossen.
Hab glaube etwas gefunden was ich meine:
Disable ICMP Redirect for security
Views: 29,800 | 8/12/2002 | Written by: Tweak Import | Print
If your running server versions, add the following reg_dword in the location shown and set it to "0". This will help keep an icmp re-direct attack from taking over your server.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"EnableICMPRedirect"=dword:00000000
Works in both Win2k and XP
Disable ICMP Redirect for security
Views: 29,800 | 8/12/2002 | Written by: Tweak Import | Print
If your running server versions, add the following reg_dword in the location shown and set it to "0". This will help keep an icmp re-direct attack from taking over your server.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"EnableICMPRedirect"=dword:00000000
Works in both Win2k and XP
Hi,
jede Browserverbindung ist gefährlicher als icmp 8. Ping zu deaktivieren bringt nicht viel oder ist kontraproduktiv. Die Leute, die Deinen Rechner erfolgreich infiltrieren können, benutzen höchstwahrscheinlich eher mal keinen vanilla ping, um Dich im Netz zu finden. Ansonsten verursacht es zB Probleme beim Connecten von Servern, die auf ping angewiesen sind (zB auch bei Gruppenrichtlinien, Routermeldungen, teilweise ftp, irc etc.).
Grundsätzlich ist es richtig, die Angriffsfläche zu minimieren. Ping zu deaktivieren bringt aber imho nicht viel.
Grüße,
fritzo
jede Browserverbindung ist gefährlicher als icmp 8. Ping zu deaktivieren bringt nicht viel oder ist kontraproduktiv. Die Leute, die Deinen Rechner erfolgreich infiltrieren können, benutzen höchstwahrscheinlich eher mal keinen vanilla ping, um Dich im Netz zu finden. Ansonsten verursacht es zB Probleme beim Connecten von Servern, die auf ping angewiesen sind (zB auch bei Gruppenrichtlinien, Routermeldungen, teilweise ftp, irc etc.).
Grundsätzlich ist es richtig, die Angriffsfläche zu minimieren. Ping zu deaktivieren bringt aber imho nicht viel.
Grüße,
fritzo
und hilft das??
wenn ich da mal auf die Schnelle nachschlage finde ich was von Attacken auf OSPF
wenn ich da mal auf die Schnelle nachschlage finde ich was von Attacken auf OSPF
Ist euch eigentlich die Absurdität dieser Diskussion bewusst?
Mein Tipp: Schraube deinen Rechner auf und gieße ganz vorsichtig etwa einen Liter lauwarmes Wasser hinein ? ich verspreche dir, die Kiste antwortet nie wieder auf einen Ping.
... unglaublich
Mein Tipp: Schraube deinen Rechner auf und gieße ganz vorsichtig etwa einen Liter lauwarmes Wasser hinein ? ich verspreche dir, die Kiste antwortet nie wieder auf einen Ping.
... unglaublich
rofl
you make my day!!!
Grüße,
fritzo
you make my day!!!
Grüße,
fritzo
Ist euch eigentlich die Absurdität
dieser Diskussion bewusst?
dieser Diskussion bewusst?
Ja...
Mein Tipp: Schraube deinen Rechner auf und
gieße ganz vorsichtig etwa einen Liter
lauwarmes Wasser hinein ? ich verspreche dir,
die Kiste antwortet nie wieder auf einen
Ping.
gieße ganz vorsichtig etwa einen Liter
lauwarmes Wasser hinein ? ich verspreche dir,
die Kiste antwortet nie wieder auf einen
Ping.
aber spätestens mit dem Tip hat sich die Diskussion gelohnt.
Klar,
Redirect und so funktioniert aber auch, wenn ping reply deaktiviert ist. Generell hat derjenige, dessen Systeme noch für POD, TimeExceeded und DestinationUnrechable anfällig sind, die letzten 4 Jahre verschlafen und sollte endlich von Windows 95 auf XP updaten.
Grüße,
fritzo
Redirect und so funktioniert aber auch, wenn ping reply deaktiviert ist. Generell hat derjenige, dessen Systeme noch für POD, TimeExceeded und DestinationUnrechable anfällig sind, die letzten 4 Jahre verschlafen und sollte endlich von Windows 95 auf XP updaten.
Grüße,
fritzo
Bitte ich habe hier deine Lösung.
http://www.stud.tu-ilmenau.de/~traenk/scissors.htm
Alt aber mehr fällt mir dazu echt nimmer ein.
http://www.stud.tu-ilmenau.de/~traenk/scissors.htm
Alt aber mehr fällt mir dazu echt nimmer ein.
