Öhm ... ICMP Ping generell blocken?

Hallo,

immer häufiger sieht man es auch in durchaus professionell gewarteten Netzen, dass ICMP Echo Request/Reply Nachrichten komplett geblockt werden. Meiner Meinung nach zunächst ein wenig sinnvoll erscheiendes Vorgehen, da ein „böser Bube“ dank des nicht erfolgenden „destination/host unreachable“ durchaus den Schluss ziehen kann, dass der Zielrechner existiert (nur gerade defekt oder per Firewall geschützt ist). Lediglich die Diagnosemöglichkeiten bei Netzwerkfehlern werden stark eingeschränkt (kein ping und kein traceroute möglich).

Jetzt stellt sich aber die Frage nach dem Nutzen eines generellen Blocks von ICMP bei einem größeren Netzwerk. Angenommen man hat folgende Konstellation:

FW_0 — DMZ — FW_1 — LAN

und FW_0 blockt bereits ICMP komplett. Dann sind doch immerhin sämtliche Rechner im LAN de facto „unsichtbar“ für Pings von Außen. D.h. ein potentieller Angreifer kennt u.U. die Netzwerkadresse, aber nicht die IPs einzelner Clients oder Server im LAN. Bedeutet das nicht doch einen gewissen Sicherheitsgewinn? Auch wenn man davon ausgeht, dass FW_1 ohnehin keinen (unzulässigen) Traffic aus Richtung DMZ ins LAN lässt?

Bitte um Erörterung

Danke

Fritze

FW_0 — DMZ — FW_1 — LAN

und FW_0 blockt bereits ICMP komplett. Dann sind doch immerhin
sämtliche Rechner im LAN de facto „unsichtbar“ für Pings von
Außen. D.h. ein potentieller Angreifer kennt u.U. die
Netzwerkadresse, aber nicht die IPs einzelner Clients oder
Server im LAN. Bedeutet das nicht doch einen gewissen
Sicherheitsgewinn?

Machst du hier nicht ein entoder weder? Sollte es nicht gerade umgekehrt sein?

Entweder die Rechner im Lan stellen Dienste im Internet zur Verfügung, dann müssen sie über eine öffentliche Adresse erreichbar sein. Dann fragt man sich allerdings, wofür die DMZ noch gut sein soll.

Oder die Rechner stellen keine Dienste zur Verfügung, dann bekommen sie auch keine öffentliche Adresse und sind per se von aussen nicht erreichbar. Wofür soll dann das Blocken von icmp noch gut sein?

Verwirrt
Schorsch

Hallo,

immer häufiger sieht man es auch in durchaus professionell
gewarteten Netzen, dass ICMP Echo Request/Reply Nachrichten
komplett geblockt werden. Meiner Meinung nach zunächst ein
wenig sinnvoll erscheiendes Vorgehen, da ein „böser Bube“ dank
des nicht erfolgenden „destination/host unreachable“ durchaus
den Schluss ziehen kann, dass der Zielrechner existiert (nur
gerade defekt oder per Firewall geschützt ist). Lediglich die
Diagnosemöglichkeiten bei Netzwerkfehlern werden stark
eingeschränkt (kein ping und kein traceroute möglich).

traceroute nutzt nicht unbedingt ICMP Echo Request/Reply. JFTR.

Jetzt stellt sich aber die Frage nach dem Nutzen eines
generellen Blocks von ICMP bei einem größeren Netzwerk.
Angenommen man hat folgende Konstellation:

FW_0 — DMZ — FW_1 — LAN

und FW_0 blockt bereits ICMP komplett. Dann sind doch immerhin
sämtliche Rechner im LAN de facto „unsichtbar“ für Pings von
Außen. D.h. ein potentieller Angreifer kennt u.U. die
Netzwerkadresse, aber nicht die IPs einzelner Clients oder
Server im LAN. Bedeutet das nicht doch einen gewissen
Sicherheitsgewinn?

Was genau soll nun sicherer sein? Ich meine, welchen Ping-Exploit willst Du mit dem Vorgehen verhindern? Iegendeinen speziellen? Wenn es mir nur im IPs geht, kann ich als Angreifer ja mal einfach den Schrotschuß in das Netz machen. Vieleicht wäre es sinnvoll, die gefährlichen Dienste auf den Rechner so zu konfigurieren, daß sie nicht uneingeschränkt von außen exploitbar sind?

Hm, aber was Du mit Filtern von „Ping“ bezwecken willst, ist mir jetzt escht nicht ganz klar.

Ja, es gibt ICMP-Typen, mit denen man Unsinn[tm] machen kann, viellecht sollte man die Unter Umständen tatsächlich filtern, aber ein armseliges Ping und dazu noch die anderen Dinge, die ICMP macht? Man macht damit irgendwie mehr kaputt.

Schon dieses dämliche MTU-Problem, was hier mit schöner Regelmäßigkeit entlangeistert müsste nicht sein, wenn sich jemand darüber im Klaren wäre, daß ICMP eine sehr nützliches Protokoll ist und für bestimmte Dinge im Netz (hier PMTU discovery) notwendig ist.

Auch wenn man davon ausgeht, dass FW_1
ohnehin keinen (unzulässigen) Traffic aus Richtung DMZ ins LAN
lässt?

ich weiß nicht, was „unzulässig“ meint. Wenn Du das „unzulässig“ aus Deiner Security-Policy meinst und eine Antwort auf ein Ping diese verletzt, dann filtere eben Ping. Ich habe aber immernoch ncht verstanden, was Du damit gewinnst.

Gruß,

Sebastian

Hallo,

Was genau soll nun sicherer sein? Ich meine, welchen
Ping-Exploit willst Du mit dem Vorgehen verhindern?

Das frage ich mich eben. Es geht nicht darum, dass *ich* das so machen würde. Ich versuche nur nachzuvollziehen, warum so verdammt viele Firewalls ICMP pauschal blocken. Und zwar auch bei großen Firmen, die mit großem Etat doch auch entsprechend große Experten in ihren IT-Abteilungen haben. Es muss doch einen vernünftigen Grund geben. Daher meine Frage, ich bin selbst auf der Suche

Hm, aber was Du mit Filtern von „Ping“ bezwecken willst, ist
mir jetzt escht nicht ganz klar.

Mir auch nicht.

Ja, es gibt ICMP-Typen, mit denen man Unsinn[tm] machen kann,

redirect z.B.

viellecht sollte man die Unter Umständen tatsächlich filtern,
aber ein armseliges Ping und dazu noch die anderen Dinge, die
ICMP macht? Man macht damit irgendwie mehr kaputt.

Das war auch meine Meinung.

ich weiß nicht, was „unzulässig“ meint. Wenn Du das
„unzulässig“ aus Deiner Security-Policy meinst und eine
Antwort auf ein Ping diese verletzt, dann filtere eben Ping.
Ich habe aber immernoch ncht verstanden, was Du damit
gewinnst.

Man sollte einen Preis drauf aussetzen

Gruß

Fritze

Das frage ich mich eben. Es geht nicht darum, dass *ich* das
so machen würde. Ich versuche nur nachzuvollziehen, warum so
verdammt viele Firewalls ICMP pauschal blocken. Und zwar auch
bei großen Firmen, die mit großem Etat doch auch entsprechend
große Experten in ihren IT-Abteilungen haben. Es muss doch
einen vernünftigen Grund geben. Daher meine Frage, ich bin
selbst auf der Suche

Ai, du bist spaßig. Entoder weder. Entoder gibt es grosse Experten, weder kauft man sich den Verstand ein. Meine Firewall blockt auch icmp, sogar von innen, und ich habe keine Ahnung wofür das gut ist. Aber ich habe auch keinen großen Etat, ich muß mit den paar tausend Euro leben, die meine GF für Externe pro Manntag bezahlt.

Deine Idee mit der DMZ war Blödsinn, wesentlich vernünftigere Gründe wüsste ich auf Anhieb viele nicht zu nennen.

Halt, einen hab ich noch: Kollege xyz versucht am GF-PC zu pingen, scheitert. Kollege Schorsch pingt nicht, sondern traceroutet und erklärt xyz, warum beim ersten Hop drei Sterne auftauchen müssen. Rat mal, welcher Kollege die GF mehr beeindruckt.

Vernünftige Gründe? Da bin ich gerade auch überfragt.

Schorsch

Hallo Fritze

Ich versuche nur nachzuvollziehen, warum so
verdammt viele Firewalls ICMP pauschal blocken.

Professionelle Firewall-Lösungen? Oder redest Du von Personal Firewalls (PFW)? Falls Du PFW meinst: Die Hersteller dieser Dinger müssen ja irgendwelche Sachen einbauen, die sie als ‚nützliche‘ Features anpreisen können. Und da gehört es dazu, dass ‚Stealth‘ oder einfach ‚unsichtbar machen‘ als hip angesehen wird.

Dass man durch Blocken von ICMP einen Rechner nicht unsichtbar machen kann, wissen wir beide. Aber gegen die Marketing-Maschinerie von diversen Firmen ist kaum etwas auszurichten.

Und zwar auch
bei großen Firmen, die mit großem Etat doch auch entsprechend
große Experten in ihren IT-Abteilungen haben. Es muss doch
einen vernünftigen Grund geben. Daher meine Frage, ich bin
selbst auf der Suche

Da könnte es vielleicht daran liegen, dass die ‚Experten‘ vielleicht MCSE-ler sind. Und weil denen vielleicht immer noch der ach so bedrohliche ‚Ping of Death‘ im Kopf rumspukt…

Nur weil eine Firma einen grossen Etat hat und sich teure ‚Experten‘ leistet, heisst nicht zwangsläufig, dass sie auch die besten Experten findet…

CU
Peter

Noch ne Idee …
Hallo,

vielleicht liegts ja daran?

http://securityresponse.symantec.com/avcenter/venc/d…

Gruß

Fritze

Hi,

vielleicht liegts ja daran?

http://securityresponse.symantec.com/avcenter/venc/d…

eher nicht. Ich glaube nicht, daß der ICMP-Traffic so dermaßen hoch ist, daß das ein Thema ist. Es gibt eigentlich - von den seltenen schon erwähnten Bösartigkeiten, die mit ICMP möglich sind mal abgesehen - nur einen Grund, ICMP einzuschränken: Security by Obscurity. Man verschleiert damit die Struktur des internen Netzwerkes. Damit das halbwegs wirksam ist, reicht das Blocken von nur ICMP aber nicht aus.

Dennoch ist es „best practice“, auf einer Firewall erstmal alles zu blocken und dann nur das zuzulassen, was notwendig ist - dazu gehört aber im Falle der von Dir skizzierten DMZ, daß die dort plazierten Server per Ping erreichbar sind. In dem Falle wäre also die Firewall schlecht konfiguriert.

Die internen Clients und Server jedoch müssen von außen ja gar nicht erreichbar sein, also gibt es auch keinen Grund, sie erreichbar zu machen.

Eigentlich^tm ist Firewalling also ne ziemlich banale Angelegenheit, die von vielen Leuten mit Halbwissen stark überschätzt wird und diese Leute dazu verleitet, mehr auf Buzzwords anzuspringen („ICMP komplett geblockt, kewle Sache das!“) als sie einfach sinnvoll zu benutzen. Eine Firewall zu konfigurieren, ist in erster Linie Fleißarbeit - viel Planung im voraus, viel Kontrolle/Analyse, viel Testen.

Wenn das von Dir skizzierte Szenario vernünftig realisiert wirde, dann interessiert der verlinkte Wurm nicht die Bohne. Auch intern nicht.

Gruß,

Malte.

Hallo,

eher nicht. Ich glaube nicht, daß der ICMP-Traffic so dermaßen
hoch ist, daß das ein Thema ist.

das meinten aber die dortigen Admins. Es hätte derartig viel ICMP-Traffic gegeben, dass das Netz nahezu lahm gelegt war. Ob es nun genau *der* Wurm war, weiß ich freilich nicht. Aber etwas ähnliches soll es gewesen sein.

Gruß

Fritze

Hallo,

eher nicht. Ich glaube nicht, daß der ICMP-Traffic so dermaßen
hoch ist, daß das ein Thema ist.

das meinten aber die dortigen Admins. Es hätte derartig viel
ICMP-Traffic gegeben, dass das Netz nahezu lahm gelegt war. Ob
es nun genau *der* Wurm war, weiß ich freilich nicht. Aber
etwas ähnliches soll es gewesen sein.

das kann schon sein, dann liegt das aber nicht daran, daß da zu ausgewählten Rechnern ICMP zugelassen war, sondern daß schon im Vorfeld gepfuscht wurde. Wie gesagt, es gibt keinen Grund, zu allen internen Rechnern ICMP-Anfragen von außen zuzulassen. Aber das bedeutet nicht, ICMP an exponierter Stelle komplett zu sperren.

Die andere Variante ist, daß sich der oder ein Wurm intern ausgebreitet hat - das kann immer mal passieren, bspw. wenn jemand sein Notebook verseucht hat und ins Firmennetzwerk einbringt. Davon abgesehen, daß dann auch schon was schiefgelaufen ist, hat auch dies nichts mit den Firewalls zu tun.

Im Prinzip ist es dieselbe Krux wie mit Personal Firewalls: Von den Admins wird an Symptomen herumgedoktort anstatt die Ursachen anzugehen. Ursachenbekämpfung tut manchmal weh, so ist das nunmal, aber dafür hat man schneller und zuverlässiger wieder ein sauberes Netz.

Ein Blocke von ICMP kann da zeitweise(!) Sinn machen, damit man überhaupt die befallenen Segmente trennen kann, ohne das gesamte Netz lahmzulegen, aber als dauerhafte Sicherheitsmaßnahme ist es Quatsch.

Gruß,

Malte.

Hallo,

das meinten aber die dortigen Admins. Es hätte derartig viel
ICMP-Traffic gegeben, dass das Netz nahezu lahm gelegt war. Ob
es nun genau *der* Wurm war, weiß ich freilich nicht. Aber
etwas ähnliches soll es gewesen sein.

das kann schon sein, dann liegt das aber nicht daran, daß da
zu ausgewählten Rechnern ICMP zugelassen war, sondern daß
schon im Vorfeld gepfuscht wurde.

Du meist die Vir-dows-Kisten?

Wie gesagt, es gibt keinen
Grund, zu allen internen Rechnern ICMP-Anfragen von außen
zuzulassen. Aber das bedeutet nicht, ICMP an exponierter
Stelle komplett zu sperren.

Ja. Und wenn man schon seine ungepatchten Schrottmühlen weiter benutzen will, kann man mit rate-limiting den Kollateralschaden deutlich begrenzen.

http://www.penguinsecurity.net/pensec/modules.php?na…

HTH,

Sebastian

Hi,

das meinten aber die dortigen Admins. Es hätte derartig viel
ICMP-Traffic gegeben, dass das Netz nahezu lahm gelegt war. Ob
es nun genau *der* Wurm war, weiß ich freilich nicht. Aber
etwas ähnliches soll es gewesen sein.

das kann schon sein, dann liegt das aber nicht daran, daß da
zu ausgewählten Rechnern ICMP zugelassen war, sondern daß
schon im Vorfeld gepfuscht wurde.

Du meist die Vir-dows-Kisten?

Nö. Ich meine den offensichtlichen Bruch der SecPol oder eine Nichtexistenz jenerwelcher. Und ich meine Dinge wie Patchmanagement und durchdachte Konfiguration der Arbeitsplatz-PCs, unabhängig vom Betriebssystem. Ich weiß sehr wohl, daß das gerade in wirklich großen Unternehmen eine schwierige Sache ist, aber immerhin werden die entsprechenden Leute gut bezahlt.

Wie gesagt, es gibt keinen
Grund, zu allen internen Rechnern ICMP-Anfragen von außen
zuzulassen. Aber das bedeutet nicht, ICMP an exponierter
Stelle komplett zu sperren.

Ja. Und wenn man schon seine ungepatchten Schrottmühlen weiter
benutzen will, kann man mit rate-limiting den
Kollateralschaden deutlich begrenzen.

Intern funzt das nicht wirklich, idR hast Du ja intern flache Netze, die nicht durch Firewalls segmentiert sind (explizite Sicherheitsbereiche mal außen vor). Inwiefern man auf Switchen sowas wie rate limiting machen kann, hängt stark vom Hersteller ab - mit den allerorts üblichen Sparmaßnahmen im Hinterkopf bin ich da aber eher pessimistisch. Auf Routern dürften die Chancen da schon besser sein, aber dann hast Du immer noch recht große betroffene Bereiche.

Das Hauptproblem dürfte meiner Erfahrung nach in grottenschlechten Reaktionszeiten der entsprechenden Admins liegen. Wenn man schon einen breitgestreute lasche Sicherheitspolitik hinnimmt, und dann am Freitag abend ein Wurm wie MS Blaster o.ä. bekannt wird, dann darf man sich nicht wundern, wenn es Chaos gibt, weil sich da firmenseitig erst am Montag mittag jemand drum kümmert. Da wäre es erheblich effizienter und billiger, wenigstens ein kleines Team in 24/7 Rufbereitschaft vorzuhalten und denen noch die Auflage mitzugeben, die entsprechenden Mailinglisten zu humanen Zeiten zu verfolgen.

Gruß,

Malte.