Na Herzchen, bist Du heute wieder gut drauf? ;D
..daß ein Rechner/Router oder sonstwas nicht auf Ping reagiert, kann allenfalls einen 6-Jährigen Buben oder ganz mies programmierte Soft beeindrucken.
Das ist doch schon mal etwas. 
Cu Rippraff
Na Herzchen, bist Du heute wieder gut drauf? ;D
Ja - bin ich! :zunge:
Nun erkläre mir doch mal bitte, was es Dir schadet, wenn jemand Deinen Rechner/Router anpingt? Gut - überlange ICMP-Pakete konnen schon mal Deine Inet-Performance beeinträchtigen - die kommen aber auch an, wenn Du nicht antwortest. Dagengen kannst Du schlich gar nix machen - außer den Rechner auszuschalten....
..auch eine PFW (bzw. auch eine richtige) hilft da nix!
Gruß Karl
Zitat von Der KarlNun erkläre mir doch mal bitte, was es Dir schadet, wenn jemand Deinen Rechner/Router anpingt?
Also bei mir Ping'ts ganz schön.. Also hab nix dagegen und brauch es ja auch zur Prüfung, ob da jemand ist...
Aber es ist durch div. PINGs+Packeten möglich einen Troja div. Kommandos zu übergeben. Hab selber mal ein RoutKit gehabt um bei meiner Mutti etwas zu installieren und dieser konnte darüber auch "sprechen". "Leider" wurde er schon seit Jahren Indiziert 
Zitat von Der KarlNun erkläre mir doch mal bitte, was es Dir schadet, wenn jemand Deinen Rechner/Router anpingt?
Andersrum gefragt, weshalb sollte mein Router irgendwelche Pings beantworten statt sich einfach um meinen Datenverkehr zu kümmern?
Wenn jemand meiner Freunde/Bekannten das zum Testen braucht, gerne, aber generell ist das bei mir aus, was auch einfach der Standardeinstellung meines DrayTeks entspricht.
Cu Rippraff
Andersrum gefragt, weshalb sollte mein Router irgendwelche Pings beantworten statt sich einfach um meinen Datenverkehr zu kümmern?
Wenn jemand meiner Freunde/Bekannten das zum Testen braucht, gerne, aber generell ist das bei mir aus, was auch einfach der Standardeinstellung meines DrayTeks entspricht.
Eben - sag ich ja! "Ich weiß zwar nicht, wozu das gut ist, aber nicht zu antworten gibt mir ein Gefühl der Sicherheit..."
Wie ich schon schrub: Keine Antwort ist auch eine Antwort. Da sagtst: "Ich bin da" - Genau das gleiche sagst Du, wenn du auf Ping antwortest"
Hast Du die FAQ mal gelesen?
Merke: Bei ICMP ist keine Antwort gleichbedeutend mit "ich bin hier". Weil wenn Du nicht da wärst, würde jemand anderes sagen "Der ist nicht da". Nämlich der nächste Router. (Der steht bei Deinem Provider und Du hättest kein Internet.)
Aus einem (sehr subjektiven) Sicherheits(un)verständnis wird also bei vielen Leuten der TCP/IP-Stack um elementare Funktionen kastriert, was überhaupt nix nützt, aber bei einer eventuell nötigen Fehlersuche sehr wohl schadet.... - Deshalb der Vergleich zu UN-CDs!
Ist REJECT oder DENY sinnvoller?
Als REJECT bezeichnet man die aktive Ablehnung einer Verbindungsanfrage mit einem ICMP Paket vom Inhalt "Der Admin hat's verboten" oder "Dienst nicht verfügbar".Als DENY bezeichnet man das kommentarlose Wegwerfen der Verbindungsanfrage. Damit läuft der Anfragende in einen Timeout.
Admins, die sich über Script Kiddies ärgern, glauben oft, diese durch DENY aufhalten zu können. Dies ist jedoch falsch. Es ist problemlos möglich, viele tausend Scans gleichzeitig zu starten und so auf alle Timeout gleichzeitig zu warten. Ein Scanner wird so nicht gebremst. Andererseits bremst man mit DENY alle legitimen Nutzer und Server massiv aus. Das betrifft insbesondere die ident Anfragen.
Ident dient dazu, dem Admin eines ordentlich gepflegten Systems eine Hilfestellung bei der Identifizierung seiner, sich daneben benehmenden Nutzer zu geben. DENY für ident bewirkt nur, daß diese Hilfestellungen bei anderen Servern nicht mehr aufgezeichnet werden. Wenn Du als Schutzpatron für Spammer und Scriptkiddies auftreten willst, nimm DENY.
Sieh das Ganze doch so, wie in einer offenen Beziehung:
Es ist besser seinem Partner direkt zu sagen, daß man über ein bestimmtes Thema nicht sprechen möchte (REJECT): Der Partner weiß sofort, was Sache ist und und kann dann ohne Zeitverzögerung seine Entscheidung darüber treffen, ob er die Beziehung fortsetzen möchte oder nicht.
Geht man auf ein Thema allerdings gar nicht ein (DENY) und stellt die Ohren auf Durchzug, kostet das a) einem selber Zeit dem Geschwafel des Partners zuzuhören und b) dem Partner ebenfalls Zeit; er möchte nämlich ein für ihn wichtiges Thema/Problem loswerden, und hätte das dann ja wohl besser woanders getan. Ein anderes Beispiel aus dem Leben:
Du gehst durch die Einkaufstraße deiner Stadt, und irgendein "Penner" quatscht dich an, und will 'nen Euro. Hier könnte man sagen "Ach ne, habe selbst kein Geld" (REJECT) oder einfach die fortgesetzte Bettelei ertragen.
Und noch einer:
Vom Fragenden ganz unbeabsichtigt liest sich der Beitrag eines Anfängers aus der Sicht einer Fachperson leider nicht selten so: "Mein Haus steht an einer öffentlichen Straße. Ich möchte nicht, daß man das Haus von dort aus sehen kann. Ich habe gehört, daß man mit Hilfe von Taschenlampen auch bei ausgeschalter Sonne, Mond und Beleuchtung mein Haus sehen kann. Wie kann ich mich nun schützen?"
Gruß Karl
Schön zu sehen, dass wenigstens der Karl in etwa auch meine Meinung vertritt
Zitat von katjarella
Aber es ist durch div. PINGs+Packeten möglich einen Troja div. Kommandos zu übergeben. Hab selber mal ein RoutKit gehabt um bei meiner Mutti etwas zu installieren und dieser konnte darüber auch "sprechen".
Da werde ich nicht ganz schlau daraus. Wie soll das gehen, durch einen reinen Ping alleine einem Rechner ein Kommando zu übergeben? Dies kann nur funktionieren, wenn im Zielrechner ein Schwachpunkt bezüglich des Pings existiert und hier gibt es meines Wissens nach keine. Die Overflow-Möglichkeit von früher durch übergroße Pakete wurde ja bereits lange schon behoben, wenn ich mich nicht täusche.
Und sonst ist die Übermittlung von Befehlen an den Zielrechner nur möglich, wenn dieser über einen angreifbaren Schwachpunkt wie z.B. einen offenen Port in Verbindung mit einem laufenden Dienst hat (wie beispielsweise einem Trojaner) oder auch nur eine unzureichend programmierte Schnittstelle im Windows wo man mit Hilfe eines Overflows einen Code in den Speicher schreiben kann (wie beispielsweise durch den Blaster-Wurm demonstriert).
Aus diesem Grund habe ich bei mir u.a. alle nicht notwendigen Dienste im Windows deaktiviert, sodass bei mir beispielsweise die Ports 139 und 445 erst gar nicht geöffnet werden und ich diese demnach auch nicht durch eine Firewall schützen muss. Bei mir sind definitiv nur die Ports offen, die ICH brauche, nicht die, die das Windows standardmäßig öffnet. Dazu muss ich anmerken, dass ich hier einen Einzelplatzrechner habe. Im Netzwerk sieht das natürlich wieder anders aus und ein Netzwerk muss auch durch eine entsprechende Firewall geschützt werden (die aber üblicherweise KEINE Personal Desktop Firewall ist!) 
So das war wieder ein wenig offtopic, aber ich hoffe, dafür auch das Verständnis in Bezug von Sinn und Zweck einer Firewall geringfügig erhöht zu haben.
Zitat von GorbagDa werde ich nicht ganz schlau daraus. Wie soll das gehen, durch einen reinen Ping alleine einem Rechner ein Kommando zu übergeben?
da fragst Du mich? Es war halt im RootKit-Baukasten mit drin. Da konnt mal mehrere Protokolle verwenden. Auch gab es mal ein Tool, da konnte man über die PING-Pakette Nachrichten im Netzwerk verschicken... mal sehn, evt. finde ichs ja wieder.
Es war mal eine Zeit lang große Mode, sog. "Ping of Deaths" (Ping-Pakete mit mehr als 64KB Länge) durch die Gegend zu schicken. Bei einigen Betriebssystemen hat das den TCP/IP-Stack zum Überlaufen gebracht, was einen Absturz des angepingten Systems zur Folge hatte.
Auch wenn es immer wieder zu der Frage kommt. Sinn oder Unsinn einer Desktop Firewall, möchte ich für meinen Teil sagen: Sie macht Sinn. Schon alleine um evt. Werbezeuch zu blocken oder div. Programm daran zu hindern, irgendwelche Port oder Daten zu senden. Oder einfach mal nachzuverfolgen, wo die div. Programme im Netz hinwollen.
Fakt ist aber: Sicherheit wird es durch sowas nicht geben. Und keiner Braucht sich da Illusionen machen.
Schade das es einfach keine "einfache" GUI gibt, die auf IPSec setzt. Glaubt mir, das würde vieeeeles Sicherer machen.
Resume: Desktop-Firewall zur Analyse und als kleine Brandschutzmauer hat Ihren Sinn. Und es regt doch den einen oder andern zum Nachdenken über Sicherheit an.
Bevor Ihr in Zukunft Eure ausgedienten alten PCs wegwerft/verschenkt, setzt sie lieber als dedizierte Firewall ein. IPCop ist in wenigen Minuten installiert. Dafür genügt schon ein 486er.
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!
