Zum Inhalt springen

Server soll nicht auf ping antworten


Empfohlene Beiträge

Geschrieben

Halli Hallo,

Ich hab da mal ein Problem :confused:

Ich soll es hinbekommen das unser Server auf Arbeit nicht mehr auf einen ping antwortet, aber trozdem erreichbar bleibt.

Ich hab schon rumgesucht und auch etwas gefunden.

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

Ich weiß das klingt jetzt vielleicht etwas doof aber...

wie benutzt man iptables und kann ich mit dem Code da oben wirklich die pinganfrage stoppen?

Also ich mein das sieht ja mal net schwer aus, alle Anfragen und Antworten werden genommen und kommen dadurch nicht raus (wenn ich es richtig verstanden hab)

Wäre nett wenn mir jemand erklären könnte wie das mit dem iptable funzt (weis ja net ob das als batch klappt...)

Geschrieben

Hab noch etwas vergessen:

- Also es ist ein Windows Web-Server

- als Firewall läuft nur die Windows Firewall

- wie oben schon gesagt, soll nur die Pingantwort nterdückt werden aber die Website trozdem erreichbar bleiben.

So ich glaub das wars erstmal ;)

Geschrieben

Ein ping ist eine ICMP Echo Anfrage.

Die Antwort ist ein ICMP Echo Reply.

Windows hat eine eingebaute "Firewall" die sich ziemlich umfangreich konfigurieren lässt.

Aber nicht auf Pings zu antworten ist ziemlich 90er Jahre...

Geschrieben

Gut über den Sinn und Unsinn einer solchen Aktion kann man streiten, aber das lass ich an dieser Stelle mal :D

Unter Linux würdest das btw. nicht über ne Firewall machen wollen, sondern eher so:

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

Geschrieben (bearbeitet)

Sorry das mit dem iptable hab ich vorhin selber noch rausgefunden.

Aber gibts sowas nicht irgendwie auch für Windows bzw. was wäre ne gute allternative?

Hab viel über Ports sperren gelesen usw. aber so wirklich schlauer bin ich duch google und wikipedia auch nicht gewurden.

Hat jemand ne gute Lösung :mod:

"Chef hat gerade gesagt: Es ist ein Windows 2000 mit ms-ftp oder so :D

Naja gestern hat irgendjemand im 2 Sekundentakt über den FTP Port pinganfragen geschickt und das warscheinlich ziemlich lange"

Gruß Light

Bearbeitet von Light
Geschrieben
Sorry das mit dem iptable hab ich vorhin selber noch rausgefunden.

Aber gibts sowas nicht irgendwie auch für Windows bzw. was wäre ne gute allternative?

Hab viel über Ports sperren gelesen usw. aber so wirklich schlauer bin ich duch google und wikipedia auch nicht gewurden.

Hat jemand ne gute Lösung :mod:

"Chef hat gerade gesagt: Es ist ein Windows 2000 mit ms-ftp oder so :D

Naja gestern hat irgendjemand im 2 Sekundentakt über den FTP Port pinganfragen geschickt und das warscheinlich ziemlich lange"

Gruß Light

OK OK OK

STOP STOP STOP

Also hab nochmal mit Chef geredet und es sieht sooo aus:

Der angreifer hat über den Ping nur rausgefunden das ein Pc/Server da ist und dann über ein Anmeldescript versucht sich über den FTP Port bei uns einzuloggen.

Das Problem ist aber weiterhin das der Server nicht auf einen Ping antworten soll.

Geschrieben

Der angreifer hat über den Ping nur rausgefunden das ein Pc/Server da ist und dann über ein Anmeldescript versucht sich über den FTP Port bei uns einzuloggen.

Das ist völlig sinnlos, denn wenn ich mir schon die Mühe mache Server zu suchen, werde ich sicher einen Portscan ohne Ping machen und auch so sehr schnell herausfinden, dass ihr einen FTP betreibt.

Das Problem ist aber weiterhin das der Server nicht auf einen Ping antworten soll.

Ein soll sollte auf ein ICMP Paket antworten, nur ihr sollten den Dienst schützen. Wer FTP einsetzt handelt meines Erachtens grob fahrlässig, da die Authentifizierungsdaten unverschlüsselt über das Netz gehen. Wenn solltet ihr sFTP einsetzen und wenn ihr den FTP Dienst "unsichtbar" machen wollt, ihn an einen anderen Port als den Standardport binden bzw einen Knocking Dämon betreiben

Geschrieben

Hi,

portknocking ist meines erachtens nur auf *nix und linux Systemen realiserbar.

Unter Windows Sytemen geht das über die ******* Firewall, falls ich mich nicht irre!

Systemsteuerung > Windows Firewall > Erweitert > ICMP

(bin mir aber nicht ganz sicher)

mfg

shrek

Geschrieben

Es bringt null Punkte icmp echo request/reply (ping) zu unterdruecken.

Frueher war das mal sinnvoll, da einige ICMP-Implementationen Probleme mit speziell praeparierten ICMP-Paketen hatten.

Ein Portscan ist schnell durchgefuehrt und dann sieht man auch, dass dort ein FTP-Server auf dem Standardport lauscht.

Womoeglich sieht man anhand des FTP-Banners auch noch welche Windowsversion und welche FTP-Server Version eingesetzt werden. Dann ist es ein Leichtes, speziell fuer diese Versionen existierende Exploits zu benutzen und den Server zu kompromittieren.

Stellt Euch mal die Frage wofuer Ihr den FTP braucht und ob nicht sichere FTP-Alternativen (scp, ssh ftp, ftps) fuer Euren Verwendungszweck besser geeignet sind.

Dann solltet Ihr auch mal ueberlegen, das museumsreife Windows 2000 durch ein neueres System zu ersetzen.

Windows 2000 wird ab 13.07.2010 aus dem Support von MS komplett rausgenommen. Ab da wird es keine Windows-Updates mehr fuer Windows 2000 geben.

Geschrieben

Windows hat eine eingebaute "Firewall" die sich ziemlich umfangreich konfigurieren lässt.

Das hier verwendete Windows 2000 hat keine eingebaute Windows Firewall.

Diese gibt es erst bei Server 2003 (bzw. bei den Clientversionen ab Windows XP).

Geschrieben

port knocking ist völlig unabhängig von betriebssystem...ist eine stinknormale client <> server anwendung...das hat also absolut nichts mit der eingebauten oder nicht eingebauten firewall zu tun.

server lauscht...client sendet...server öffnet port

PORTKNOCKING - A system for stealthy authentication across closed ports. : IMPLEMENTATIONS : implementations

über icmp blocken brauchen wir garnicht reden...am besten noch icmp komplett sperren...und sich dann spätestens bei ipv6 wundern das garnichts mehr kommt.

-----------------------------------------------------------------------------

im grossen und ganzen ist das prinzip doch total einfach...server dienst anbieten und wissen das er funktioniert und kein risiko darstellt

ODER

keinen server dienst anbieten. icmp sperren ist ähnlich schwachsinnig wie den port zu verlegen

Security through obscurity ? Wikipedia

Geschrieben

@hades

Zum zeitpunkt meiner Antwort hatte der Op diese Information leider noch nicht offenbart. Vielmehr hatte er soagr geschrieben, daß die Windows "Firewall" läuft.

Insgesamt halte ich es auch für Sinnvoll von Win2000 wegzukommen.

Spätestens mit den IIS 7 stellt auch Microsoft einen sicheren Weg über FTPS (oder FTPES) bereit. Da hat man auch gleich noch die Authentifizierung per Active Directory. Da kann man dann spezielle User für FTP anlegen und hat eigentlich eine ziemlich saubere Lösung. Vor allem, wenn der Server hauptsächlich für die eigene Belegschaft ist. Ansonsten kann es denke ich mit den CALs unübersichtlich werden.

Ansonsten kann der FileZilla Server zum Beispiel auch FTPS.

Oder man setzt eine spezielle Unixbox auf und hat dann eh alle Möglichkeiten.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...