Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Fedora Firewall: ICMP komplett ausschalten

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

22.10.2014, aktualisiert 23.10.2014, 3085 Aufrufe, 6 Kommentare

Seit Fedora 20 und auch Redhat (bald auch Fedora Server 21 (freu)) den "firewalld" Daemon statt direkt "iptables" für seine Firewall nutzt, ist es nicht mehr so leicht z.B. den Ping per icmp komplett auszuschalten (es geht nur ein Block und kein Deny über die Config-Files). So reagiert der Rechner/Server noch auf Anfragen und gibt dann ein "Destination Host Prohibited" beim Ping aus. Mein Wunsch ist es aber, dass der Server gar nichts ausgibt und nicht auf einen Ping reagiert.

Um dieses kleine Problem zu lösen, gibt es innerhalb der Shell und dem "firewall-cmd" Befehl die "--direct" Anweisung. Damit kann man direkte iptable Befehle zum firewalld senden (und speichern).

1) Hinzufügen der Regel um keinen eingehenden Ping zu erlauben:
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p icmp -j DROP
2) Reload der Firewall
firewall-cmd --reload
3) Testen, ob die Regle jetzt aktiv ist:
firewall-cmd --direct --get-rules ipv4 filter INPUT  
Ausgabe: 
0 -p icmp -j DROP
Ab jetzt sollte kein Ping zu diesem Server mehr möglich sein.

Um die Regel wieder zu löschen gibt man folgende Befehle hintereinander ein:
firewall-cmd --permanent --direct --remove-rule ipv4 filter INPUT 0 -p icmp -j DROP 
firewall-cms --reload 
firewall-cmd --direct --remove-rule ipv4 filter INPUT 0 -p icmp -j DROP 
firewall-cms --reload
Dann kann man mit Punkt 3 wieder nachschauen, ob die Regel noch aktiv ist.

Gruß
Frank


Mitglied: Lochkartenstanzer
23.10.2014, aktualisiert um 08:07 Uhr
Ganz nett,

aber ich sehe den Sinn nicht, das antworten auf ICMP-Echo-Requests zu unterbinden. "Verstecken" funktioniert nicht, solange man Serverdienste anbieten will. Böse Buben verlassen sich heutzutage nicht mehr auf Ping-Antworten. sondern machen ausgetüfteltere Scans, um festzustellen, ob eine Kiste da ist oder nicht. Das ist so, als wenn man sich beim Versteckspiel einen zu dünnen Baum aussucht und der Hintern und der Bauch guckt hinter dem Baum hervor.

Das einzige, was ein unterdrücktes ICMP-Echo bewirkt, ist, daß einem "Guten" eine einfache Diagnosemöglichkeit der konnektivität genommen wird.

lks
Bitte warten ..
Mitglied: Frank
23.10.2014, aktualisiert um 15:15 Uhr
Hi,

ob es sinnvoll ist oder nicht, muss jeder für sich selbst entscheiden. Es ist nur eine von vielen möglichen Maßnahmen. Wir haben damit die Scans zum größten Teil unterbunden (deutlich weniger). Die meisten "einfachen" Hacker Tools sind wir damit los - für die sind wir unsichtbar. Bei den "Pro" Tools sieht das sicherlich anders aus. Diesen begegnen wir mit anderen Sicherheitsmaßnahmen. Unsere Diagnosemöglichkeiten sind davon nicht betroffen, da sie nicht über ICMP-Dienste laufen.

Gruß
Frank
Bitte warten ..
Mitglied: Lochkartenstanzer
23.10.2014, aktualisiert um 15:16 Uhr
Zitat von Frank:

ob es sinnvoll ist oder nicht, muss jeder für sich selbst entscheiden.
Es ist nur eine von vielen möglichen Sicherheitsmaßnahmen.

Ich bin der Meinung, daß es überhaupt keine Sicherheitsmaßnahme ist, aber wie du schon sagst, muß das jeder für sich selbst entscheiden.

Wir haben damit die Scans zum größten Teil unterbunden (deutlich weniger). Die meisten
"einfachen" Hacker Tools sind wir damit los - für die sind wir unsichtbar. Bei den "Pro" Tools sieht das
sicherlich anders aus.

Die meisten Skriptt-Kiddietools, die ich kenne, haben auch schon eine "Pro"-Modus wenn Du das so nennen willst. Wenn es Dir hilft, ok. Aber meine Erfahrung ist, daß die wirklich bösen sich durch solceh Kinkerlitzen nicht abhalten lassen.

Diesen begegnen wir mit anderen Sicherheitsmaßnahmen. Unsere Diagnosemöglichkeiten sind davon nicht betroffen, da sie nicht über ICMP-Dienste laufen.

Klar. Aber ich habe es gerne wenn ich einfach nur mit einen Ping schauen kann, ob ein Ziel überhaupt da ist und nicht nmap anwerfen muß, um zu sehen, ob es da ist oder ob einfach nur mein system spinnt und ich deswegen keien verbindugn bekomme.

lks
Bitte warten ..
Mitglied: tikayevent
23.10.2014 um 11:01 Uhr
Ich bin auch der Meinung, dass es keinerlei Sicherheitsmaßnahme darstellt, da das Antwortverhalten durch geblockte ICMP-Anfragen ein anderes ist, als wenn der Host gar nicht da wäre.

Bei geblockten ICMP-Anfragen kommt es einfach zum Timeout, während es bei einem Host, der nicht erreichbar ist, zu Antworten vom Router kommt, dass der Host nicht erreichbar ist.

Also in diesem Fall ist keine Antwort auch eine Antwort.
Bitte warten ..
Mitglied: Frank
23.10.2014, aktualisiert um 15:16 Uhr
Hi tikayevent,

Ich bin auch der Meinung, dass es keinerlei Sicherheitsmaßnahme darstellt, da das Antwortverhalten durch geblockte ICMP-Anfragen ein anderes ist, als wenn der Host gar nicht da wäre.

Das stimmt schon, aber es reicht bisher noch für die meisten Tools aus, einfach nicht zu antworten. Es ist jetzt auch nicht "die Sicherheitsmaßnahme", es verringert nur deutlich die Last auf unseren Systemen (weniger Scans, weniger Logs zum Auswerten, etc). Nicht mehr, nicht weniger.

Gruß
Frank
Bitte warten ..
Mitglied: aqui
03.11.2014 um 17:28 Uhr
Bei geblockten ICMP-Anfragen kommt es einfach zum Timeout
Das ist ja eigentlich auch der Sinn, denn so wehrt man wenigstens alle Gelegenheits Hacker ab. Auch bei Routern macht das Sinn.
Frank hat aber Recht und jeder der öffentliche Server betreibt weiss das das die Angriffsrate erheblich runtergeht wenn ICMP echo requests deaktiviert sind.
Schlimm ist eher Frank's Schrotschuss ICMP so gleich ganz zu killen, denn das killt auch alle sinnvollen und notwendigen ICMP Service Typen für den TCP Betrieb.
Mit "iptables -A INPUT -p icmp --icmp-type echo-request -j DROP" würde man es etwas behutsamer machen und wenigstens nur die Echo-requests auf den Server blocken alles andere Sinnvolle aber belassen.
Bitte warten ..
Ähnliche Inhalte
RedHat, CentOS, Fedora
Steam für Fedora installieren
Tipp von FrankRedHat, CentOS, Fedora6 Kommentare

Da es für Steam hauptsächlich eine Ubuntu Installationsdatei (latest_steam.deb) gibt, hier eine sehr einfache Methode, um Steam auch unter ...

RedHat, CentOS, Fedora

Spotify Client für Fedora installieren

Tipp von FrankRedHat, CentOS, Fedora

Da Spotify bisher nur ein Debian/Ubuntu Repository für seinen Linux-Client anbietet, hier nun eine sehr einfache Methode, den neuesten ...

RedHat, CentOS, Fedora

Powerline für Fedora installieren

Anleitung von FrankRedHat, CentOS, Fedora1 Kommentar

Powerline ist eine sehr praktische optische Erweiterung für vim und der Linux Shell (bash, zsh, tmux, IPython, Awesome und ...

RedHat, CentOS, Fedora

Fedora 27 ist verfügbar

Information von FrankRedHat, CentOS, Fedora

Ab sofort kann man Fedora 27 in den Varianten "Atomic Host" und "Workstation" herunterladen. Die Serverversion soll erst in ...

Neue Wissensbeiträge
Internet

Europa baut Zensurinfrastruktur auf: EU-Parlament stimmt für Upload-Filter, Leistungsschutzrecht und gegen KI-Forschung

Information von Frank vor 2 TagenInternet9 Kommentare

Eine sehr schlechte Entscheidungen für die Zukunft Europas ist gefallen: Der Rechtsausschuss im EU-Parlament stimmte heute morgen in einer ...

Windows 10

Mikrofon von Headset geht nach Update auf Windows 10 1803 nicht mehr

Tipp von Deepsys vor 4 TagenWindows 102 Kommentare

Ich verwende ein Plantronics Headset das per USB mit dem Windows 10 PC verbunden ist. Damit kann ich auch ...

Video & Streaming

Ruckelfreies Fernsehen auf Smartphone oder Tablet - in SD oder gar HD - Eine Alternative zum Fritz DVB-C Receiver

Anleitung von power-user vor 5 TagenVideo & Streaming9 Kommentare

Wer kennt das nicht: Man möchte gemütlich auf dem Balkon sitzen und vielleicht grillen und dabei das WM-Spiel gucken ...

Erkennung und -Abwehr
Trendmicro WFBS 10 ist in deutsch verfügbar!
Tipp von VGem-e vor 5 TagenErkennung und -Abwehr4 Kommentare

Servus Kollegen, downloadbar unter

Heiß diskutierte Inhalte
LAN, WAN, Wireless
WLAN-Übersicht wie FritzWLAN jedoch für PC gesucht
gelöst Frage von HenereLAN, WAN, Wireless16 Kommentare

Servus, ich suche für einen Windows PC eine Anwendung die so ähnlich wie die FritzWLAN App auf dem Smartphone ...

Netzwerke
Netzwerkkommunikation von Windows 10 aus Freigabe mit Windows XP funktioniert nicht
gelöst Frage von KLinnebankNetzwerke14 Kommentare

Hallo werte Gemeinde, ja, es ist Freitag. Aber das ist KEINE Freitagsfrage Ich habe ein für mich völlig wirres ...

Festplatten, SSD, Raid
Server Architektur mit RAID 5 - wozu interne Platten?
Frage von Pierre78Festplatten, SSD, Raid10 Kommentare

Hallo, ich beschäftige mich gerade mit RAID Systemen. Ich habe mir einen gebrauchten Dell PowerEdge R515 gekauft. Dieser hat ...

Samba
Netzlaufwerk über VPN hat Probleme
Frage von geocastSamba8 Kommentare

Hallo Zusammen Ich habe hier ein QNAP TS-269 Pro (aktuellste Firmware) NAS in einem entfernten Standort, der über VPN ...