Hi to all!
Da über unseren Proxy (AVM KEN!DSL) kein Ping funktioniert hat, habe ich den Hinweis bekommen, ich müsse den ICMP-Filter deaktivieren.
Was würde das bewirken? Welche Nachteile würde das mit sich bringen?
Hoffe auf eure Tipps.
Bye, Jens
Hi to all!
Da über unseren Proxy (AVM KEN!DSL) kein Ping funktioniert
hat, habe ich den Hinweis bekommen, ich müsse den ICMP-Filter
deaktivieren.
Dann kommen Ping´s durch. ansonsten ändert das nicht viel. verschiedene Anwedungen laufen flüssiger, ftp kann auch besser gehen, allerdings kann auch der Transfer geringfüllig steigen (
Hi Pumpkin,
Dann kommen Ping´s durch. ansonsten ändert das nicht viel.
Nutz den nur Ping ICMP ?
verschiedene Anwedungen laufen flüssiger, ftp kann auch besser
Wieso werden den Anwendungen schneller. Überträg ICMP die komprimiert ?
gehen, allerdings kann auch der Transfer geringfüllig steigen
(
Hi Jens,
siehe hierzu.
http://www.netzmafia.de/skripten/netze/netz8.html#8.4 (aus der FAQ dieses Brettes)
http://www.little-idiot.de/firewall/zusammen-57.html
----snip
Pakete, die man nicht filtern sollte
ICMP Pakete
ICMP Pakete werden benutzt, um Fehler zu übermitteln, die bei anderen Protokollen aufgetreten sind, z.B. TCP und UDP. Hier gibt es verschiedenste Fehlermeldungen, z.B. destination-unreachable, Host unreachable oder No route to host. Ohne diese Fehlermeldung würde der Host immer wieder versuchen, den Server zu kontaktieren. Das kann eine erhebliche Belastung der Netzwerkbandbreite bedeuten. In einigen Fällen kann dies dazu führen, daß die Firewall „hängt“.
Ein schwierigeres Problem ist die Rolle der ICMP Pakete in der MTU (Maximun Transfer Unit). Alle guten TCP/IP Stacks benutzen diese, um herauszufinden, welche maximalen Paketgrößen bei der Übertragung verwendet werden können, ohne daß diese fragmentiert werden müssen. Die Ermittlung erfolgt schrittweise, es werden Pakete in absteigender Paketgröße mit dem dont fragment bit gesetzt. Der Router würde dann zurückmelden: fragmentation needed. Wenn keine Fehlermeldung mehr kommt, dann ist die maximale Größe für ein Fragment erkannt worden. Werden also diese Fehlermeldungen gesperrt, dann ist mit Fehlern bei der Übertragung oder mit Einbrüchen der Performance zu rechnen.
----snap
----snip
Das Abschalten von ICMP Source Quench ist nicht zu empfehlen, da z.B beim schnellen Auftreffen von Paketen auf eine langsame Leitung diese völlig überlastet würde. Andererseits läuft man mit ICMP Source Quench in Gefahr, Opfer eines DoS-Angriffs zu werden.
----snap
Mit anderen Worten, man muß abwegen ob man es haben möchte oder nicht.
Ich persönlich lasse die nützlichen ICMP Typs durch…
reinkommend:
0 Echo Reply (Pong:smile: [RFC792]
3 Destination Unreachable [RFC792]
11 Time Exceeded [RFC792]
12 Parameter Problem [RFC792]
+ rausgehend
8 Echo (Ping) [RFC792]
alles andere blockiere ich. Das ist mein Kompromis.
Solange du keine Probleme hast, würde ich an deiner Stelle aber den ICMP Filter oben lassen. Auch wenn Pumpkins brute-force-ping (cooler Begriff:smile:\*grins\*) rein Theoretisch möglich ist, in der Praxis aber eher unrealistisch.
Mein Tip:
Informiere dich was ICMP genau macht.
Dann entscheide was für dich am besten ist. (Auf little-idiot findest du noch einiges mehr zu diesem Thema).
Meinen Kompromis kennst du ja schon:smile:
nacht
polarix
Weiterführende Links
http://www.faqs.org/rfcs/std/std1.html
http://www.faqs.org/rfcs/std/std5.html
http://www.iana.org/assignments/icmp-parameters
http://www.faqs.org/faqs/firewalls-faq/index.html
Hi Pumpkin,
Dann kommen Ping´s durch. ansonsten ändert das nicht viel.
Nutz den nur Ping ICMP ?
ICMP heist Internet Controll Massage Protokoll.
Es sind also kleinst Meldungen die über Verbindungszustand, „netz“-Entfernung zu einem Rechner, Anzahl der Hops,… informieren. Das einzig wirklich sinnvolle für den „home-user“ ist dabei ping. (Windows versteht eh nur ping, anwortet also nicht auf die ganzen anderen Varianten.) Das einzige was wirklich davon habhängt sind Router. Sie tasten sich so durch´s Netz und finden raus wer wo und wie an schnellsten und zuverlässigsten zu erreichen ist. Das Protokoll an sich ist Narrensicher, die letzte M$-Vuln. liegt auch schon Jahre zurück.
verschiedene Anwedungen laufen flüssiger, ftp kann auch besser
Wieso werden den Anwendungen schneller. Überträg ICMP die
komprimiert ?
Nein. Aber durch permanentes Anpingen des Server soll werden die Zwischenstellen auf die Verbindung aufmerksam und schalten die eigentlichen Daten-Packete schneller durch. Es funzt. allerdings nur bei alten Server die eine 2 oder mehrstüfige Verbindungstabelle halten. Bei neuen ist es Blödsinn.
Man kann durch brute-force-pingen die IP der Rechner hinter
dem Proxy rausfinden… wenn der Proxy nicht ganz dicht ist.
An sich nichts schlimmes, die IP´s kann man auch auf anderem
Wege rausfinden.
Das macht mir Angst…
Kannst du mir erklären was brute-force-pingen ist ?
(setzte vorraus der Proxy ist nicht ganz in Ordnung:smile:
Der „Angriffer“ sucht deinen IP-bereich ab in dem e alle möglichen IP´s anpingt (dauert Stunden bei Class-B Netzwerken) (stichwort portscanner). Die IP´s der Rechner die antworten sind ihm dann bekannt. entweder läst der Proxy gleich ganz durch, oder er läst die Hop´s im Info-Feld des Pings stehen). An die IP´s kann man aber auch noch auf viele andere Art und Weisen kommen (sniffer, den Proxy fragen,…) und die IP´s an sich sind wertlos. Erst wenn auf einer gefundenen (sichtbaren) IP ein Rechner läuft der „unsicher“ ist, also z.b. unter windows läuft (ohne Update, nicht hauen) wirds gefährlich.
Wie kann man denn sonst noch IP’s rausfinden?
sniffen. Bei jedem Internet-zugriff gehen die IP´s (in irgendeiner Form) raus. Gute Proxy´s schicken nur die eigene IP, schlechte schicken 2 Packete, eines mit der interen, eines mit der externen IP. (hatte das mal und wundere mich seitdem übr gar nichts mehr. war aber zum Teil unser Fehler, die Konfig. war etwas „komplex“). wenn du kontrolieren willts was alles rausgeht ist „Dsniff“ optimal. Das Ding listet alle Verbindungen auf die durch einen Rechner gehen und kann die meisten SSL (z.b. für Bankverbinbungen) entschlüsseln.
Ich hoffe du kannst sie beantworten.
6 semster Info-studium helfen…
cu
informieren. Das einzig wirklich sinnvolle für den „home-user“
ist dabei ping.
Nun ja…
„Hilfe, mein GMX funzt nich“.
Der „Angriffer“ sucht deinen IP-bereich ab in dem e alle
möglichen IP´s anpingt (dauert Stunden bei Class-B Netzwerken)
Class-B? Wann hatten wir das noch?
sniffen. Bei jedem Internet-zugriff gehen die IP´s (in
irgendeiner Form) raus. Gute Proxy´s schicken nur die eigene
IP, schlechte schicken 2 Packete,
Pakete? Hm. Was? Wie? Wo?
BTW: Squid kann man auch leicht so konfigurieren, daß die ursprüngliche IP übermittelt wird…
alles rausgeht ist „Dsniff“ optimal. Das Ding listet alle
Verbindungen auf die durch einen Rechner gehen
netstat
und kann die
meisten SSL (z.b. für Bankverbinbungen) entschlüsseln.
Ohne das gesehen zu haben, aber das glaube ich rundweg nicht.
Du kannst mir gerne das Gegeneil beweisen, aber das Du mit „Dsniff“ meine Bankverbindung über den Browser[1] mitlesen kannst (Inhalt, nicht Quelle und Ziel der Pakete) nehme ich Dir nicht ab.
6 semster Info-studium helfen…
Wow. Wir sind stolz auf Dich.
Sebastian
[1] TLS, 128 bit…
Hi Seb*,
6 semster Info-studium helfen…
Wow. Wir sind stolz auf Dich.
Da bin ich ja froh das ich kein Info studiere. Ansonsten würde sich das wohl auf meine Fähigkeiten auswirken.
cu
polarbear
Hi 6Semester:smile:,
(stichwort portscanner). Die IP´s der Rechner die antworten
sind ihm dann bekannt. entweder läst der Proxy gleich ganz
Erkläre mir doch bitte mal was du unter Proxy verstehst.
BTW Wie schafft es ein potenzieller Angreifer inoffizelle IP’s anzupingen die hinter dem (Proxy), Packetfilter oder einfach nur einen Router liegen.
sich sind wertlos. Erst wenn auf einer gefundenen (sichtbaren)
IP ein Rechner läuft der „unsicher“ ist, also z.b. unter
Ein Rechner läuft nicht auf einer IP Adresse.
Ein Rechner (HOST) hat einen TCP/IP Stack und zum Beispiel eine Netzwerkkarte auf die dann eine IP-Addr. gebunden ist.
Jetzt ist entweder der TCP/IP Stack potenziell angreifbar oder auf einem Port (TCP/UDP) ist ein Dienst gebunden der potenziell angreifbar ist.
windows läuft (ohne Update, nicht hauen) wirds gefährlich.
Was ist an Windows gefährlich ?
sniffen. Bei jedem Internet-zugriff gehen die IP´s (in
irgendeiner Form) raus. Gute Proxy´s schicken nur die eigene
IP, schlechte schicken 2 Packete, eines mit der interen, eines
Hey damit halbiere ich ja meine Bandbreite. Son mist.
Ich dachte immer ein Proxy ist unter anderem dafür da um Bandbreite zusparen (Caching).
mit der externen IP. (hatte das mal und wundere mich seitdem
übr gar nichts mehr. war aber zum Teil unser Fehler, die
Konfig. war etwas „komplex“). wenn du kontrolieren willts was
Egal wie komplex eine konfiguration ist, sowas darf einfach nicht passieren. Vorrausgestezt der Proxy wurde aus Sicherheitsgründen installiert.
alles rausgeht ist „Dsniff“ optimal. Das Ding listet alle
Verbindungen auf die durch einen Rechner gehen und kann die
meisten SSL (z.b. für Bankverbinbungen) entschlüsseln.
Cool. Wenn du mir zeigst wie eine 128 Bit SSL verbindung entschlüsselt wird dann bist du eingestellt.
Ich hoffe du kannst sie beantworten.
6 semster Info-studium helfen…
Dann hoffe ich mal das weitere 6 Semster noch mehr helfen …
polarbear, der Halbwissende, die meinen sie haben Ahnung absolut nicht austehen kann.
Danke…
…für eure Antworten. Da ich keine Firewall habe, wird’s wohl nix mit differenzierter Freigabe. Also werde ich den Filter stehen lassen und nur dann deaktivieren, wenn ich ins Internet pingen will.
Bye, Jens
alles rausgeht ist „Dsniff“ optimal. Das Ding listet alle
Verbindungen auf die durch einen Rechner gehen und kann die
meisten SSL (z.b. für Bankverbinbungen) entschlüsseln.Cool. Wenn du mir zeigst wie eine 128 Bit SSL verbindung
entschlüsselt wird dann bist du eingestellt.
Ich habe mir die Anleitung zu Dsniff mal angesehen. Also: SSL-Verbindungen „enschluesseln“ ist nicht (puh!). Dsnif leitet via arp-Manipulation allen Verkehr bei sich durch und schiebt dem
Client ein falches Zertifikat unter (wie das geht, ohne dass der Benutzer das explizit akzeptiert, weiss ich nicht, da stand irgendwas von „weakly bound“ bezgl. herkömmlicher Zertifikate, aber was ich spontan denke kanns nicht sein - so blöd darf einfach keiner sein) Was dann passiert ist ein normaler Man (monkey?) in the middle Attack.
Ich hoffe du kannst sie beantworten.
6 semster Info-studium helfen…
Dann hoffe ich mal das weitere 6 Semster noch mehr helfen …
Derartige Dinge lernt man im Informatik-Studium (Uni) normalerweise nicht, die bringen sich die meisten „so nebenbei“ bei. Es werden normalerweise primaer die grundlegenden Konzepte vermittelt (denn mit IPv6 wird eh alles anders 
. „Hands on“-Uebungen mit einem Sniffer koennte man evtl mal in einem Praktikum oder in einer Uebung machen. Ich habe 2 semester Rechnernetze gehört und ein Seminar dazu besucht, bin dabei aber mit der „boesen“ Seite gar nicht und den technischen Frickeleien nur im Rahmen einzelner Seminarvorträge begegnet.
In diesem Sinne sagen „6 Semester Informatik“ nichts. Enteweder man hat zufällig die „richtige“ Veranstalung erwischt oder eben nicht.
MFG
Martin Loehnertz (15 Sem. Inf.
[oT]
Hi Seb*,
6 semster Info-studium helfen…
Wow. Wir sind stolz auf Dich.
Da bin ich ja froh das ich kein Info studiere. Ansonsten würde
sich das wohl auf meine Fähigkeiten auswirken.
dito, hab manchmal das Gefühl, die abstrahieren sich zu Tode
Zum Glück gibt’s ja alternative Studiengänge, die etwas bodenständiger sind (Wenn’s denn schon ein Studium in dem Bereich sein soll)…
Gruß,
Doc „Ein Semester Informatik, glücklicherweise gewechselt“ Valde
Du kannst mir gerne das Gegeneil beweisen, aber das Du mit
„Dsniff“ meine Bankverbindung über den Browser[1] mitlesen
kannst (Inhalt, nicht Quelle und Ziel der Pakete) nehme ich
Dir nicht ab.
Das hängt nur von der Bank ab. SSH-1 benutzt das Diff-Hellman-Schüsselaustausch-Protokoll, Dsniff braucht als nur die Hand aufzuhalten und „kreative“ Anworten von sich zu geben. Die Schlüssellänge ist dann egal.
SSH-2 wird drekig, aber die Referenzimplementierung lässt ja \O-Zertifikate zu.
cu
Das hängt nur von der Bank ab. SSH-1 benutzt das
Diff-Hellman-Schüsselaustausch-Protokoll, Dsniff braucht als
nur die Hand aufzuhalten und „kreative“ Anworten von sich zu
geben. Die Schlüssellänge ist dann egal.SSH-2 wird drekig,
?
aber die Referenzimplementierung lässt ja
\O-Zertifikate zu.
Was für Zertifikate?
BTW: Banking per SSH habe ich noch nie gesehen.
Sebastian
6 semster Info-studium helfen…
Wow. Wir sind stolz auf Dich.
Da bin ich ja froh das ich kein Info studiere. Ansonsten würde
sich das wohl auf meine Fähigkeiten auswirken.dito, hab manchmal das Gefühl, die abstrahieren sich zu Tode
Dagegen hätte ich nichteinmal was einzuwenden… Der Volksmund meint ja leider, Informatik zu studieren würde bedeuten , daß man dann irre toll mit PowerPoint umgehen kann.
Doc „Ein Semester Informatik, glücklicherweise gewechselt“
Valde
Se „kein Semester Informatik, glücklicherweise irgendwas anderes“ bastian
aber die Referenzimplementierung lässt ja
\O-Zertifikate zu.Was für Zertifikate?
die IP des Servers und des Client’s werden vom Protokoll über einen 3. Server verschlüsselt ausgetauscht. Dadurch ist man vor MITM (siehe SSH 1) einigermassen sicher. (nicht ganz, wenn das Netz über einen NAT läuft… der Umstand ist ja eher selten.)
Aber die Referenzimplemtierung hatte einen leichten Fehler, sie akzeptierte JEDEN String der Länge 0 als Zertifikat für JEDE IP. (=> ab hier wie MITM weitermachen).
BTW: Banking per SSH habe ich noch nie gesehen.
SSH/SSL ist grundlage für 3/4 aller verschlüsselter Protokolle.
TLS zählt übrigens auch dazu, benutzt aber SSH 2.0a, ist also mit dsniff nicht knackbar (dsniff wurde nach 1.4.2001 nicht weiterentwickelt, war eh nur ein tech-demo).
128 bit an sich ist ja sicher, aber wenn der Angreifer den Schüssel selbst wählen darf…
ausser man hat etwas im Styl Deep-crack (EFF, 150.000 Dollar Budget) im Keller stehen. Der braucth etwa 2 Stunden pro Verbindung bei normalen Blockverschlüsselungen.
cu
TLS zählt übrigens auch dazu, benutzt aber SSH 2.0a,
Möglicherweise habe ich eine eklatante Wissenlücke, aber diesen Satz halte ich bestenfalls für extrem ungenau.
Ich würde aber eher „falsch“ sagen.
Sebastian
Hallo,
TLS zählt übrigens auch dazu, benutzt aber SSH 2.0a,
Möglicherweise habe ich eine eklatante Wissenlücke, aber
diesen Satz halte ich bestenfalls für extrem ungenau.Ich würde aber eher „falsch“ sagen.
Ich schließe mich deiner Aussage an.
Und schalte bei pumpkin in den ignore Modus.
cu
polarbear
naja wenn die user server sicher sein soll, der server ist es nicht:
naja wenn die user server sicher sein soll, der
server ist es nicht:
Toll. Das hat jetzt genau nichts mit der Diskussion zu tun und ist ein völlig anderes Thema.
Und wenn die NSA seinen sämtlichen mit PGP gesicherten Mailverkehr im Klartext ausdruckt und ein Mitarbeiter die Ausdrucke in Kabul liegen lässt, heißt das noch lange nicht, daß PGP geknackt wurde.
Oder was wolltest Du uns sagen?
Sebastian