Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Hoe kan ik PING uitschakelen?

17-10-2012, 16:13 door Rubber Bug, 40 reacties
IK heb naar aanleiding van een bericht hier op Security.nl een portscan gedaan. Nu zijn al mijn porten 'stealth'. Echter, ik krijg wel deze melding:

"Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP Echo) requests, making it visible on the Internet. Most personal firewalls can be configured to block, drop, and ignore such ping requests in order to better hide systems from hackers. This is highly recommended since "Ping" is among the oldest and most common methods used to locate systems prior to further exploitation."

Kan iemand mij vertellen hoe ik dit kan uitschakelen in WIndows 7?
Reacties (40)
17-10-2012, 16:16 door SirDice
Het is compleet zinloos om het uit te schakelen. Het enige wat ze te weten kunnen komen is dat jouw machine aanstaat.

Maar goed, het is gewoon een instelling van de Windows firewall.
17-10-2012, 16:19 door Anoniem
http://lmgtfy.com/?q=disable+ping+response
17-10-2012, 16:20 door SirDice
Overigens bedenk ik me net dat je waarschijnlijk achter een router zit. Het is dan niet jouw machine waar je die instelling moet doen maar op jouw router.
17-10-2012, 16:27 door Anoniem
Als het in je router is ingesteld, kun je het best bij Google even zoeken naar
disable ICMP router
, waarbij router staat voor het merk & model van jouw router.
17-10-2012, 16:31 door Rubber Bug
Door SirDice: Overigens bedenk ik me net dat je waarschijnlijk achter een router zit. Het is dan niet jouw machine waar je die instelling moet doen maar op jouw router.
Is dat een kwestie van een vinkje weghalen bij de instellingen van router? Dat kan dan verder geen kwaad? Of loop ik dan gelijk het risico dat ik dan straks geen internet meer heb?
17-10-2012, 16:35 door SirDice
Door Bastos:
Door SirDice: Overigens bedenk ik me net dat je waarschijnlijk achter een router zit. Het is dan niet jouw machine waar je die instelling moet doen maar op jouw router.
Is dat een kwestie van een vinkje weghalen bij de instellingen van router?
Geen idee, dat hangt van de router software af.

Dat kan dan verder geen kwaad? Of loop ik dan gelijk het risico dat ik dan straks geen internet meer heb?
Nee, dat heeft verder geen risico.
17-10-2012, 16:39 door Rubber Bug
Door SirDice:
Door Bastos:
Door SirDice: Overigens bedenk ik me net dat je waarschijnlijk achter een router zit. Het is dan niet jouw machine waar je die instelling moet doen maar op jouw router.
Is dat een kwestie van een vinkje weghalen bij de instellingen van router?
Geen idee, dat hangt van de router software af.

Dat kan dan verder geen kwaad? Of loop ik dan gelijk het risico dat ik dan straks geen internet meer heb?
Nee, dat heeft verder geen risico.
Ik heb het hele menu doorlopen van de router, incl. de submenus. Maar ik zie nergens iets met 'ping'. Ik ga maar eens googlen. Bedankt voor je reactie SirDice.
17-10-2012, 16:52 door Anoniem
kijk eens voor icmp type 8 en 1.
8 staat voor echo request en 1 voor de reply.
je zult heus niemand moete pinge of een ping reply terugsture. uitschakele die handel :)
17-10-2012, 16:57 door Anoniem
Het ligt er aan hoe je dat uitzet.
Als er een specifiek filter is voor 'ping' dan kun je dat wel met weinig risico toepassen.
Maar als je als beginnende firewall administrator uitzoekt wat ping is (een ICMP pakketje) en dan heel ICMP blokkeert, dan zul je de raarste problemen krijgen.
Daar zijn al heel wat beheerders tegenaan gelopen.
In het begin lijkt alles gewoon te werken, maar bepaalde sites doen het ineens niet meer, of de boel blijft hangen als je een mailtje van meer dan 1 woord probeert te sturen, enz.
Niet doen dus, dat blokkeren van ICMP.
17-10-2012, 17:04 door ernie
Ping (ik ga even uit van ICMP type 8 en 0, respectievelijk "echo request" en "echo reply") blokkeren als beveiligings-tactiek is een beetje achterhaald. Het is ontworpen om te zien of op een bepaald IP-adres een machine aanstaat/bereikbaar is of niet (host discovery), oorspronkelijk bedacht om sysadmins makkelijk te laten checken welke machines in het netwerk bereikbaar zijn (of ze aan of uit staan, vastgelopen systemen traceren etc.). Door ping te blokkeren zou een (mogelijke) aanvaller denken dat er op jouw IP-adres geen systeem actief is en zodoende je met rust laten.

Tegenwoordig is ICMP echo niet meer de enige manier van host discovery en heeft het niet meer zoveel zin om het te blokkeren. Met o.a. de komst van zeer geraffineerde portscanners is je aanwezigheid verbergen voor de buitenwereld bijna onmogelijk geworden.

Mijn conclusie is: ping blokkeren, kun je doen, maar maak je er niet te druk om; andere beveiligingsmaatregelen zijn vele malen belangrijker, zoals achter een NAT/PAT router zitten, je systeem goed (proactief) gepatched houden, geen services draaien die je niet nodig hebt en alles uitschakelen wat je systeem direct vanaf het grote boze internet benaderbaar maakt (zoals UPnP).

[edit]En niet op netwerken zitten die je niet vertrouwt. Dat klinkt simpel, maar heb je wel eens nagedacht hoe gevaarlijk het kan zijn om op een gratis McDonalds Wifi netwerk te gaan zitten Facebooken/Internetbankieren?[/edit]
17-10-2012, 17:06 door RBI_
Door Bastos:
Door SirDice:
Door Bastos:
Door SirDice: Overigens bedenk ik me net dat je waarschijnlijk achter een router zit. Het is dan niet jouw machine waar je die instelling moet doen maar op jouw router.
Is dat een kwestie van een vinkje weghalen bij de instellingen van router?
Geen idee, dat hangt van de router software af.

Dat kan dan verder geen kwaad? Of loop ik dan gelijk het risico dat ik dan straks geen internet meer heb?
Nee, dat heeft verder geen risico.
Ik heb het hele menu doorlopen van de router, incl. de submenus. Maar ik zie nergens iets met 'ping'. Ik ga maar eens googlen. Bedankt voor je reactie SirDice.

Batos, zoek eens op ICMP op je router daar vind je wellicht wel wat op.
17-10-2012, 17:07 door Rubber Bug
Door ernie: Ping (ik ga even uit van ICMP type 8 en 0, respectievelijk "echo request" en "echo reply") blokkeren als beveiligings-tactiek is een beetje achterhaald. Het is ontworpen om te zien of op een bepaald IP-adres een machine aanstaat/bereikbaar is of niet (host discovery), oorspronkelijk bedacht om sysadmins makkelijk te laten checken welke machines in het netwerk bereikbaar zijn (of ze aan of uit staan, vastgelopen systemen traceren etc.). Door ping te blokkeren zou een (mogelijke) aanvaller denken dat er op jouw IP-adres geen systeem actief en zodoende je met rust laten.

Tegenwoordig is ICMP echo niet meer de enige manier van host discovery en heeft het niet meer zoveel zin om het te blokkeren. Met o.a. de komst van zeer geraffineerde portscanners is je aanwezigheid verbergen voor de buitenwereld bijna onmogelijk geworden.

Mijn conclusie is: ping blokkeren, kun je doen, maar maak je er niet te druk om; andere beveiligingsmaatregelen zijn vele malen belangrijker, zoals achter een NAT/PAT router zitten, je systeem goed (proactief) gepatched houden, geen services draaien die je niet nodig hebt en alles uitschakelen wat je systeem direct vanaf het grote boze internet benaderbaar maakt (zoals UPnP).
Bedankt voor je uitgebreide reactie Ernie. Ik kwam UPnP tegen bij mijn instellingen van de router, en volgens mij is die ingeschakeld. Moet ik die uitschakelen? Heeft dat verder geen consequenties?
17-10-2012, 17:07 door Rubber Bug
Door RBI^:
Door Bastos:
Door SirDice:
Door Bastos:
Door SirDice: Overigens bedenk ik me net dat je waarschijnlijk achter een router zit. Het is dan niet jouw machine waar je die instelling moet doen maar op jouw router.
Is dat een kwestie van een vinkje weghalen bij de instellingen van router?
Geen idee, dat hangt van de router software af.

Dat kan dan verder geen kwaad? Of loop ik dan gelijk het risico dat ik dan straks geen internet meer heb?
Nee, dat heeft verder geen risico.
Ik heb het hele menu doorlopen van de router, incl. de submenus. Maar ik zie nergens iets met 'ping'. Ik ga maar eens googlen. Bedankt voor je reactie SirDice.

Batos, zoek eens op ICMP op je router daar vind je wellicht wel wat op.
ICMP is ingeschakeld, moet ik die uitschakelen?
17-10-2012, 17:32 door SirDice
Door Bastos: Ik kwam UPnP tegen bij mijn instellingen van de router, en volgens mij is die ingeschakeld. Moet ik die uitschakelen? Heeft dat verder geen consequenties?
Dat is een beetje afhankelijk van de software die je gebruikt. Azureus (Vuze) bijvoorbeeld gebruikt het om dynamisch een poortje te openen. Hetzelfde geldt voor MSN messenger. Juist dat 'automatische' is waardoor mensen het uitschakelen. Het nadeel is dan weer dat je voor P2P zelf een poortje moet openen/forwarden.

Maar goed, UPnP heeft in ieder geval niets met ping of ICMP te maken.
17-10-2012, 17:36 door Rubber Bug
Door SirDice:
Door Bastos: Ik kwam UPnP tegen bij mijn instellingen van de router, en volgens mij is die ingeschakeld. Moet ik die uitschakelen? Heeft dat verder geen consequenties?
Dat is een beetje afhankelijk van de software die je gebruikt. Azureus (Vuze) bijvoorbeeld gebruikt het om dynamisch een poortje te openen. Hetzelfde geldt voor MSN messenger. Juist dat 'automatische' is waardoor mensen het uitschakelen. Het nadeel is dan weer dat je voor P2P zelf een poortje moet openen/forwarden.

Maar goed, UPnP heeft in ieder geval niets met ping of ICMP te maken.
Haha, oke... dus we wijken een beetje af. Vraag blijft hoe ik ping uitschakel. Maar ik heb begrepen dat dat helemaal niet belangrijk is.
17-10-2012, 18:12 door [Account Verwijderd]
[Verwijderd]
17-10-2012, 18:21 door Rubber Bug
Door Solaris: Bastos, ik zou je willen adviseren om onderstaande link te kopieren in je browser en na het lezen van het stukje voor jezelf te beoordelen of het zinvol is.
Gr,
Solaris

http://www.sslhq.com/info/ICMP-blocking-bad-idea-security-improvement
Bedankt voor de link, Solaris. Duidelijk verhaal. Na het lezen ervan ben ik tot de conclusie gekomen dat het voor een huis-tuin-en-keuken-gebruiker van het internet als ik, het niet nodig is om PING uit te schakelen.
18-10-2012, 08:40 door S-q.
"...het niet nodig is om PING uit te schakelen...."

Dat zei SirDice in de 1e reactie al!!
18-10-2012, 10:35 door Security Scene Team
Door SirDice: Het is compleet zinloos om het uit te schakelen. Het enige wat ze te weten kunnen komen is dat jouw machine aanstaat.

Maar goed, het is gewoon een instelling van de Windows firewall.

Luister naar deze man, hij liegt niet. waarschijnlijk bent u te paranoïde. Patchen, Firewall, AV Zijn ruim voldoende. oh ja en een kritisch oog.
18-10-2012, 16:43 door Anoniem
Stel je eens voor:

Halfdonkere slaapkamer. Manneke zit achter zijn kompjoeter, weetikhetwat te doen, en krijgt dan ineens grote rode schermen voor zijn neus vol met lijsten onbegrijpelijke nummers en een bericht eronder dat dit eventueel mischien potentieel toch wel een aanwijzing voor mogelijke gemene dingen met zijn kompjoeter betekenen. En eventeel of'ie even toestemming wil geven.

En wat doet de beste man? Die geeft geen toestemming. Hij gaat aan de lijn naar de hellepdesk. Of hij schrijft emailtjes. Met screen captures. En eisen dat er OnMiDdElIjK aCtIe ondernomen moet worden of dat er dan toch in ieder geval verteld wordt welleke HaXx0r er achter deze aanval zit! En Wel Nu Anders Maatregelen!

Blijkt het om, bijvoorbeeld, retourpakketten van HTTP-aanvragen te gaan. Of DNS-antwoorden, het komt voor.

Het komt zelfs vaak genoeg voor dat er een term voor is: Goober With Firewall.

Dat soort voorvallen moet ik aan denken als ik vragen zie waar de vraagsteller ogenschijnlijk zijn hele domeinkennis haalt uit de halve paragraaf "informatie" die zijn "personal firewall" programma of een vergelijkbare "dienst" hem verschaft heeft.

Zoals al opgemerkt, er is helemaal niets mis met ICMP ECHO en ICMP ECHO REPLY, gezamelijk "ping". De meeste massascanners hebben opties om dat pingen vooraf maar gewoon te laten en gelijk die ene poort die ze hebben willen te proberen. Dat is nog sneller ook. En het betekent ook dat als je problemen hebt met je verbinding de helpdesk niet jou kan pingen om te zien waar het probleem zit. Je snijdt dus vooral jezelf in de vingers.

Wat dan weer minder verstandig is, is om een peecee met redmondsoftware er op direct aan het internet te hangen, zelfs met zo'n "personal firewall". Want voor je het weet blijkt die personal firewall niet tegen zekere hele oude exploits te kunnen, en gaat'ie stilletjes dood van een enkel vreemd pakketje. Dan zet je er dus maar een natroutertje tussen, in lekentaal een soort van eenwegspiegel voor netwerkverkeer.

Wil je meer snappen van internetwerken en veiligheid, dan moet je toch een ietsje meer huiswerk doen. En bronnen die vinden dat ping uitzetten "highly recommended" is, zijn nou niet de beste om van te leren. Integendeel zelfs.

Huiswerk: Kijk eens welke ICMP types er allemaal bestaan en wat ze betekenen. Sommige wil je wel uitzetten, andere helemaal niet. Om het te snappen moet je weten welke rol ICMP eigenlijk in IP speelt. Zoek het maar eens uit.
20-10-2012, 15:48 door Fwiffo
Ik heb een heel kleinschalig onderzoekje gedaan. Een XS4All klant met een Fritz!Box 7360 was bij mij op bezoek en die heb ik gepingt. Kwam keurig terug (hoewel alle computers daar uit stonden). Zelf heb ik een Speedtouch 780WL, en die is perfect stealth volgens GRC. Kennelijk zijn de modemfabrikanten het ook niet eens over het (on)nut van ICMP..

Zelf vind ik het wel een goed gevoel als alle niet noodzakelijke protocollen en services uit staan op mijn computer. Dus als het makkelijk kan, zet ik ICMP helemaal uit. Nooit vage problemen met mijn connectie gehad daardoor zover ik weet. Punt is dat ik het ook weer aan kan zetten als die problemen wel gaan ontstaan.

O, en omdat we hier op security.nl zitten: Door te pingen kan je dus achterhalen welk type modem waarschijnlijk achter een IP adres van XS4All schuilt ;-)
20-10-2012, 18:20 door Anoniem
Nooit vage problemen met mijn connectie gehad daardoor zover ik weet.

Nogal wiedes, want omdat je het feedbackmechanisme uitschakelt ("dit is er mis") merk je niet dat als er vage dingen gebeuren dat het dan daar aan ligt. Met andere woorden, jouw anectodische "bewijs" is geen bewijs van je gelijk.

Je bent overigens verre van de enige die niet genoeg achtergrondkennis heeft om te snappen dat deze redenering fout zit. Heb het zelfs "internet consultants" horen verkondigen. Maargoed, een duur pak is dan ook geen garantie van weten wat je doet. Meestal wel van gepeperde uurtarieven, en dan flink fouten maken verdient extra. Joepie!

ICMP doet meer dan alleen "ping", en als je alles uitschakelt gaan er dingen mis.

Veiligheid is geen gevoel. Het is wetenschap. Je moet dus weten wat je doet. Ga je op je warme veilige gevoel af dan bedonder je jezelf. Dus alweer: Eerst je huiswerk doen.
20-10-2012, 18:35 door Anoniem
Kennelijk zijn de modemfabrikanten het ook niet eens over het (on)nut van ICMP..

De modemfabrikanten zijn niet allemaal even goed. Speedtouch, bijvoorbeeld, maakt extreem brakke hardware, en hun software is niet veel beter. Schijnt overigens een linux-derivaat te zijn waarvan ze "even vergeten" zijn om de source ook weer te openbaren. Maargoed, ik heb vaak genoeg met die dingen gevochten om te weten dat ik dat nooit meer wil. Wat een lutsers. Zo slecht dat zelfs certified bottom feeder kpn op een andere fabrikant is overgestapt. Niet dat die beter is voor de klant.

AVM (de makers van de fritz!box) hebben wat dat betreft een veel betere naam. Het is dan ook niet raar dat xs4all (met de naam Goede Qualiteit te leveren) voor hun producten kiest. Ze hebben kennelijk ook genoeg vertrouwen in hun product dat ze zich niet met domme verschuiltruukjes hoeven in te laten.

Door te pingen kan je dus achterhalen welk type modem waarschijnlijk achter een IP adres van XS4All schuilt ;-)

Je kan ook zonder dat "ping aanstaat" dat soort inferentieanalyse uitvoeren; er hoeven maar een paar poortjes toch open te staan om heel aardig te kunnen vertellen wat er de pakketjes al dan niet retourneert. En het ding wat je van de kpn krijgt heeft ook poortjes openstaan --aan de andere kant dan die jij ziet-- anders kan de kpn er zelf niet bij. Sterker, ze pushen volautomatisch updates naar binnen. En bij kpn-branded spul kan je dat niet uitzetten.
21-10-2012, 13:11 door Fwiffo
Door Anoniem: Dus alweer: Eerst je huiswerk doen.
Huiswerk doen? Ben jij mijn leraar ofzo dan? Ik zie je niet weerleggen dat ICMP dan ook maar ergens voor nodig is. Maar misschien komt dat dus omdat ik mijn huiswerk niet heb gedaan. Het enige wat ik wel kan vinden is de Ping of Death onder oude versies van Windows. Maar die hoefde niet persé via ICMP lees ik nu (wist ik nog niet).
21-10-2012, 15:01 door Anoniem
Door Fwiffo:
Door Anoniem: Dus alweer: Eerst je huiswerk doen.
Huiswerk doen? Ben jij mijn leraar ofzo dan? Ik zie je niet weerleggen dat ICMP dan ook maar ergens voor nodig is. Maar misschien komt dat dus omdat ik mijn huiswerk niet heb gedaan. Het enige wat ik wel kan vinden is de Ping of Death onder oude versies van Windows. Maar die hoefde niet persé via ICMP lees ik nu (wist ik nog niet).

Je hebt wel een leraar nodig in elk geval, op netwerk/security gebied. Je kunt makkelijk genoeg vinden waar ICMP voor nodig is naast ping.

Gezien je schrijven denk ik niet dat jij het soort vage problemen wat je krijgt door het bot blokkeren van icmp zou herkennen.
Een site laadt (een deel van) de eerste pagina , maar daarna niet meer. Een ftp download/upload , je kunt inloggen, maar een lange directory listing gaat niet. En een download/upload start wel, maar blijft hangen.
De rest van "internet", en "andere" sites doen het wel, dus dan zal het wel niet bij jou zitten, toch . Denk je er dan aan om icmp maar weer eens aan te zetten om te kijken of het daar aan lag ?

Twee van de icmp types (type 8 en 0 ) zijn echo request en echo reply en worden door ping gebruikt. Er zijn meer types, en subtypes/codes .

Type 3 (en met name type 3 code 4 ) blokkeren is waarmee veel firewall nitwits zich "vage" problemen bij "sommige" sites op de hals halen. En veel wachttijd bij dingen die toch niet gaan werken vanwege de overige type 3 codes .

Om toch even de leraar uit te hangen laat ik je even zelf het google woord vinden voor de vele, vele sites waar het probleem in detail wordt uitgelegd.
De laatste hint is dat heel veel , maar niet alles bereikbaar is via verbindingen waarbij een pakket tot 1500 bytes groot mag zijn.
21-10-2012, 16:11 door Anoniem
Maar misschien komt dat dus omdat ik mijn huiswerk niet heb gedaan.
Precies.

Je kan beginnen met te lezen waar ICMP goed voor is en wat de verschillende types allemaal doen. ICMP staat in een RFC en IANA heeft een bijgewerkt lijstje types. Niet alle ICMP types bleken een goed idee, en dus staan die ondertussen wel standaard uit, net als een paar andere features in de TCP/IP protocol suite. Welke precies en waarom dan mag je zelf uitzoeken. Maar gewoon de introductie van RFC792 legt al prima uit waar ICMP goed voor is.

Oh, en zoek ook eens op "Path MTU Discovery". Zeker in de begintijd van ADSL kwam je er regelmatig hardhandig achter wie er willens en wetens de boel stukgemaakt had. Veel banken, staat me bij. Maargoed, die huren dan ook graag en veel dure pakken in.

Specifiek voor ping staat ergens boven jouw eerdere bericht al best aardig wat er gaat wringen als je dat uitzet, en ook nog waarom het uitzetten je security niet verbetert.

Lijkt me dat je leesvoer genoeg hebt.
22-10-2012, 18:24 door Fwiffo
Dank voor reacties 15:01 en 16:11.

Ik herken de problemen met ftp, maar die heb ik opgelost door poort 20 open te prikken in de Speedtouch en in Windows. Sommige sites laden ook wat traag, maar dat gooi ik op het ontbreken van cookies voor die sites (die wis ik bij het sluiten van de browser).

Ik laat mijn computer 'TrueStealth' bij grc omdat ik het gevoel heb dat de Speedtouch dat doet (in het modem zit ook een 'IDS' pagina met daar ook 'ICMP Echo' als ik het goed herinner). Verder werkt ping (uitgaand) wel, dus de Speedtouch blokkeert niet alles wat binnenkomt met ICMP. De komende maanden deelt xs4all Fritz!Boxen uit begreep ik, dus dan is het probleem opgelost wat betreft het modem (waar ik toch al jaren heel tevreden over ben). De Fritz heeft meer instellingen tenminste als je 'Expert' aanzet. Is een beetje bloated aan het worden naar mijn mening.
26-10-2012, 12:58 door Fwiffo
Hmm, zeker schoolvakantie hier.

Ik heb mijn huiswerk gedaan (hoewel alles dus gewoon al werkte hier. "If it ain't broken don't fix it"), en in 2000 was er al een oplossing in de vorm van "black hole detection" in RFC 2923:
How to detect
This shows up as a TCP connection which hangs (fails to make
progress) until closed by timeout (this often manifests itself as
a connection that connects and starts to transfer, then eventually
terminates after 15 minutes with zero bytes transfered). This is
particularly annoying with an application like ftp, which will
work perfectly while it uses small packets for control
information, and then fail on bulk transfers.

In RFC 4821 is helemaal geen ICMP meer nodig (hoewel toch backward compatible met RFC 1191):
Since PLPMTUD is designed for robust operation without any ICMP or
other messages from the network, it can be configured to ignore all
ICMP messages, either globally or on a per-application basis.

Ik zeg niet dat iedereen alle ICMP moet blokkeren (al is het alleen maar om 'Ping' uit te schakelen). Ik zeg alleen dat ik nog geen problemen ben tegengekomen hiermee. Nu moet ik zeggen dat ik veel onder Ubuntu zit en daar ICMP niet gefilterd is door mijn firewall (vroeger weer wel, maar die firewall wordt niet meer ontwikkeld). Onder Windows bezoek ik maar een heel beperkt aantal websites (voor internet bankieren of het downloaden van updates voor software). Ik gebruik daar F-Secure met een volledige blokkade van ICMP en IGMP. YMMV.
26-10-2012, 13:12 door Anoniem
Ik zou ICMP niet direct blokkeren , zou eerst maar even op welke functies er hiermee worden uitgevoerd (WIKI maar dan engels) geeft een redelijk goede bron :

http://en.wikipedia.org/wiki/Internet_Control_Message_Protocol
26-10-2012, 14:03 door SirDice
*verwijderd*
26-10-2012, 15:24 door Preddie
wat dachten jullie van poortje 8 sluiten voor inkomende verkeer ????
26-10-2012, 16:10 door Anoniem
Door Predjuh: wat dachten jullie van poortje 8 sluiten voor inkomende verkeer ????

ICMP kent geen poorten.

UDP/TCP 8 is unassigned, dus daar verwacht je weinig verkeer op inderdaad.
26-10-2012, 16:32 door Anoniem
Door Fwiffo: Hmm, zeker schoolvakantie hier.

Ik heb mijn huiswerk gedaan (hoewel alles dus gewoon al werkte hier. "If it ain't broken don't fix it"), en in 2000 was er al een oplossing in de vorm van "black hole detection" in RFC 2923:
How to detect
This shows up as a TCP connection which hangs (fails to make
progress) until closed by timeout (this often manifests itself as
a connection that connects and starts to transfer, then eventually
terminates after 15 minutes with zero bytes transfered). This is
particularly annoying with an application like ftp, which will
work perfectly while it uses small packets for control
information, and then fail on bulk transfers.

In RFC 4821 is helemaal geen ICMP meer nodig (hoewel toch backward compatible met RFC 1191):
Since PLPMTUD is designed for robust operation without any ICMP or
other messages from the network, it can be configured to ignore all
ICMP messages, either globally or on a per-application basis.

Ik zeg niet dat iedereen alle ICMP moet blokkeren (al is het alleen maar om 'Ping' uit te schakelen). Ik zeg alleen dat ik nog geen problemen ben tegengekomen hiermee. Nu moet ik zeggen dat ik veel onder Ubuntu zit en daar ICMP niet gefilterd is door mijn firewall (vroeger weer wel, maar die firewall wordt niet meer ontwikkeld). Onder Windows bezoek ik maar een heel beperkt aantal websites (voor internet bankieren of het downloaden van updates voor software). Ik gebruik daar F-Secure met een volledige blokkade van ICMP en IGMP. YMMV.

(ben anoniem zondag 15:01)

Als ik een beetje rond google lijkt het erop dat ongeveer nergens RFC 4821 geimplementeerd is, en dan kun je het niet echt als oplossing voor firewall nitwits met een ping complex beschouwen.
PMTU blackhole detection bestaat al wat langer, maar is ook niet universeel genoeg om het aantal vage klachten dat terugvoert naar een firewall nitwit te beperken, die komen toch te vaak langs op netwerk gerelateerde lijsten en fora.

(net als trouwens TCP large windows, RFC 1185,1323 uit *1992* wat default nog uit staat tot en met Windows 2000. Dan wordt het traag als je een tiental milliseconden weg zit. )

Ik kan niet zeker zeggen dat je FTP probleem van maandag 18:24 PMTU is (zou ook active/passive ftp kunnen zijn), maar ik denk nog steeds niet dat jij uberhaupt een pmtu probleem goed herkend kunt hebben als zijnde "ligt aan icmp blokkeren" .
Vrijwel iedereen negeert een sporadisch probleem bij een "enkele" site en gaat verder, tenzij het heel misschien een "moet er echt absoluut op" site is.

Nu *zijn* pmtu problemen voor de meeste mensen gelukkig ook zeldzaam, omdat websites vrijwel altijd met MTU 1500 bereikbaar zijn, en de meeste huisaansluitingen dat ook hebben.
Als de end-to-end MTU even groot is als de MTU direct op de aansluiting loop je niet tegen een probleem aan.
26-10-2012, 19:43 door Anoniem
In RFC 4821 is helemaal geen ICMP meer nodig (hoewel toch backward compatible met RFC 1191)

Je hebt dit stukje gemist:

This document does not update RFC 1191 or RFC 1981; however, since it
supports correct operation without ICMP, it implicitly relaxes some
of the requirements for the algorithms specified in those documents.
PLPMTUD is een toevoeging aan PMTUD, geen vervanging van. Dus je wil nog steeds niet alle ICMP uitzetten, voor het geval een "gesprekspartner" geen PLPMTUD ondersteunt, of je een protocol gebruiken wil dat het niet aankan, of dergelijks. PLPMTUD ondersteunen beperkt de schade als PMTUD kapotgemaakt is, bijvoorbeeld uit misplaatste veiligheidsgevoelsmaatregels, maar vangt niet alle faalscenarios af.

Overigens zit de bottleneck waarschijnlijk op of voor je NATroutertje (van de andere kant gezien), dus maakt geklooi op je peeceetje weinig uit. Zodra je dat peeceetje als router gaat inzetten loop je kans zulk gedonder ook daar te zien.
27-10-2012, 14:35 door Fwiffo
@16:32: Het is de FTP van Windows Vista, en die kan niet passief las ik op internet. Maar dat is 21 uit naar de server, dan terug vanaf poort 20. Dus een beetje vreemd dat het zo werkt (met de poort 20 aan mijn kant). Verder is poort 20 dan het enige wat ik open heb staan. Ook providers raadden aan poort 20 en 21 open te zetten, maar dat kan ik nu niet zo goed meer vinden. Geen behoefde aan ftp en homepages denk ik maar.
Ik kreeg onder Windows XP problemen met bestanden van tientallen megabytes groot. Nu heeft XP nog geen black hole detection (Windows 2003 Server wel met SP2). Het performance verlies neem ik op de koop toe. Zit immers niet op dialup meer :-) Misschien dat Windows 8 ook RFC 4821 krijgt, of anders met SP1. Linux zal nog wel eerder als dat zijn. Probleem opgelost.

Ik moet trouwens verduidelijken wat ik blokkeer. Dat is namelijk alleen inkomend ICMP (eigenlijk alles met een IP adres moet ik toegeven, waarom zou een black hole iets slechts moeten zijn? Ik draai immers geen servers op mijn machine). Ping naar buiten gaat goed en komt ook weer terug. "Fragment too big" kan ik niet zo goed testen hier, maar ik neem aan dat die naar buiten gewoon werken met mijn setup. (Of met mijn router zoals @19:43 post, waar ik niet al te veel in ga zitten hacken, bang dat ik iets stuk maak).

Maar ik heb wel problemen gehad met Steam, dus misschien draaien die nog Windows 2000 hier en daar. Hij haalt wat op, en dan stopt die. Met het inloggen al (client update) dus ik kan dan geen andere server selecteren. Al twee keer gehad zo. Soms gaat het ook gewoon goed dus de servers kunnen overbelast zijn of ik moet wat poorten openzetten (ben ik niet zo happig op). Proces killen en opnieuw proberen is dan de oplossing voor mij (na een kwartier wachten).

Bedankt voor alle reacties hier, was leerzaam. Misschien onnodig, maar wel leerzaam (ik bedoel, ik doe nog steeds hetzelfde, heb alleen meer kennis erover nu).
28-10-2012, 17:05 door Anoniem
Door Fwiffo:
Bedankt voor alle reacties hier, was leerzaam. Misschien onnodig, maar wel leerzaam (ik bedoel, ik doe nog steeds hetzelfde, heb alleen meer kennis erover nu).

(ben 15:01 , 16:32)
Het gaat natuurlijk niet alleen om jou en hoe goed of slecht je systeem werkt.
Zo af en toe geloof/hoop ik dat er hier ook nog gelezen wordt door security professionals (hier als in: mensen die beroepsmatig firewall policies moeten maken) , en dan is zo'n posting hier hopelijk een bijdrage aan het vermijden van nodeloos kapot gemaakte bereikbaarheid.
Dat is gewoon jammer, en doet geen goed aan het beroepsimago.
29-10-2012, 12:51 door Fwiffo
Door Anoniem: (ben 15:01 , 16:32)
Het gaat natuurlijk niet alleen om jou en hoe goed of slecht je systeem werkt.
Zo af en toe geloof/hoop ik dat er hier ook nog gelezen wordt door security professionals (hier als in: mensen die beroepsmatig firewall policies moeten maken) , en dan is zo'n posting hier hopelijk een bijdrage aan het vermijden van nodeloos kapot gemaakte bereikbaarheid.
Dat is gewoon jammer, en doet geen goed aan het beroepsimago.
Het is maar net hoe paranoïde je bent. Uit MS11-064:
Workarounds for ICMP Denial of Service Vulnerability - CVE-2011-1871

Workaround refers to a setting or configuration change that does not correct the underlying vulnerability but would help block known attack vectors before you apply the update. Microsoft has tested the following workarounds and states in the discussion whether a workaround reduces functionality:

Block ICMP at the firewall

Blocking all ICMP messages at the network boundary firewall or at the router will help protect systems that are behind that firewall or router from attempts to exploit this vulnerability. We recommend that you block all unsolicited inbound communication from the Internet.

Impact of workaround. This workaround can negatively impact performance by preventing TCP from optimizing network communication. ICMP network packets can eliminate fragmentation at routers connecting networks with different MTUs. Fragmentation reduces TCP throughput and increases network congestion.
Nu werkt de firewall van F-Secure waarschijnlijk pas na deze exploit, maar ik zie het als hardening. En ja, soms gaat er dan wat stuk, daar is Google dan weer handig voor. In mijn geval kan Steam bijvoorbeeld adviseren om ICMP niet te blokkeren. Maar dat doen ze niet dus, of ze weten het niet, of het probleem ligt bij hun zoals ik vermoed (vooral vanwege black hole detection in alle ms operating systems die nog support hebben).
29-10-2012, 15:43 door ernie
Door Bastos:
Door ernie: ......
Mijn conclusie is: ping blokkeren, kun je doen, maar maak je er niet te druk om; andere beveiligingsmaatregelen zijn vele malen belangrijker, zoals achter een NAT/PAT router zitten, je systeem goed (proactief) gepatched houden, geen services draaien die je niet nodig hebt en alles uitschakelen wat je systeem direct vanaf het grote boze internet benaderbaar maakt (zoals UPnP).
Bedankt voor je uitgebreide reactie Ernie. Ik kwam UPnP tegen bij mijn instellingen van de router, en volgens mij is die ingeschakeld. Moet ik die uitschakelen? Heeft dat verder geen consequenties?
Dat hangt ervan af of je UPnP nodig hebt. Een paar applicaties die UPnP gebruiken:
- Bittorrent software (Vuze, uTorrent enz); voor het mogelijk maken van directe binnenkomende verbindingen achter een (NAT/PAT) router. Vaak werkt bittorrent ook prima zonder UPnP, afhankelijk van de beschikbare seeds en peers.
- MSN, Skype en dergelijke chatsoftware; voor het oversturen van bestanden en audio- en videochat

Mijn advies is schakel het uit in je router (is geheel ongevaarlijk) en kijk wat er gebeurt. Mocht blijken dat je het toch perse nodig hebt (Skype werkt niet meer o.i.d.), kun je het later altijd weer inschakelen.
31-10-2012, 14:16 door Rubber Bug
Even een bijvraagje... Ik ben echt een leek op dit gebied. Is ping een benadering van de router/modem en/of een benadering van de pc?
31-10-2012, 16:10 door ernie
@Bastos Dat hangt van je netwerkconfiguratie af. Meestal heeft de router/modem zijn eigen IP-adres; in dat geval kan hij zelf gepinged worden. Soms heeft de router/modem geen IP-adres (bijv. in een "bridged" mode of DMZ) en valt hij zelf dus niet te pingen en komt de ping terecht bij de eerstvolgende netwerk-hop erna (bijv jouw pc).

Als je router/modem een eigen IP-adres heeft, zoals de meeste thuismodems dat tegenwoordig hebben, ben jij met de traditionele methodes niet van buitenaf te pingen en zal de persoon die je pingt hoogstens een response van je modem/router krijgen (mits die dat niet blokkeert uiteraard).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.