Jump to content

Recommended Posts

musst eignetlich nur hier das ICMP Echo (Reply In) ausstellen. brauchst du aber eigentlich nicht.

Und genau da stimmt m. E. etwas nicht. Ich stelle dazu mal ein Bild rein:

 

post-25843-1208918469_thumb.jpg

 

Bild 1:

In den Paketregeln ist Echo Reply (also Typ 0 bzw. Antwort auf Ping-Anfrage) eingehend erlaubt.

Außerdem sind alle anderen ICMP-Typen eingehend verboten.

So, wenn ich nun jemanden mit Echo Request (Typ 8) anpinge, erhalte ich ein eingehendes Echo Reply als Antwort. Das ist laut Regel erlaubt und funktioniert auch.

Andersherum, wenn mich der ShieldsUp-Server anpingt, erhalte ich ein eingehendes Echo Request (Bild 2). Laut Paketregel ist aber nur Echo Reply eingehend erlaubt und sonst nichts. Der eingehende Ping (Request) müsste also eigentlich verworfen werden. Tatsächlich wird er aber erlaubt (Bild 5) und mit einem ausgehenden Echo Reply beantwortet (Bild 3). Das führt zu dem Ergebnis "Failed" gemäß Bild 4.

Folgerung: Die Erlaubnisregel "ICMP Echo Reply (in)" lässt offensichtlich auch eingehende Echo Requests passieren. Für mich riecht das nach Bug.

 

Deaktiviere ich die Regel "ICMP Echo Reply (in)", kommt aufgrund der Blockregel "Any incoming ICMP" keinerlei ICMP-Typ, also auch kein Ping mehr rein und entsprechend geht auch keine Antwort raus. Das Ergebnis bei ShieldsUp ist dann "Passed". Allerdings kann ich dann auch selber niemanden mehr anpingen, weil die zurückkommende Antwort blockiert wird.

Um selbst pingen zu können, aber Antworten des eigenen PCs auf Pings zu verhindern, wäre es also sinnvoll, den Standard-Paketregeln eine Verbotsregel für "ICMP Echo Reply (out)" hinzuzufügen. Auch dann bekomme ich "Passed" bei ShieldUp.

 

Etwas anderes fällt mir auch noch auf:

Die Richtungspfeile in der Analyse (Bild 2) sind genau andersherum, als im Monitor (Bild 5). Beides sind eingehende Verbindungen.

Außerdem werden einmal die Farben rot/grün verwendet und beim Monitor nur grün.

Überhaupt weiß man zunächst nicht, welcher Pfeil denn für welche Richtung steht. Bei der Paketanalyse lässt sich die Richtung über Quelle/Ziel ersehen, aber nicht im Netzwerkmonitor. Eindeutigere Piktogramme wären hilfreich, z. B. in der Art:

 

post-25843-1208926640.gif

 

 

 

Share this post


Link to post

Hast du mal versucht, diese Regel hinzuzufügen post-93339-1208951316_thumb.jpg weil ICMP Echo Request (Out) ist ja standartmässig nicht vordefiniert.

Wenn du diese Regel einfach hinzufügst dürfte eigentlich kein Ping request zurückgesendet werden.

Share this post


Link to post

Wieso Echo Request (out)?

Wenn ich auf Pings antworte, geht doch ein Echo Reply raus (Reply = Antwort, Request = Anfrage). Wenn ich das mit einer zusätzlichen Regel verbiete, zeigt mir ShieldsUp an, dass mein PC nicht auf Pings antwortet. Das hatte ich ja oben auch geschrieben.

 

Zitat aus Wikipedia ("Ping"):

Ping sendet ein ICMP-„Echo-Request“-Paket (ping) an die Zieladresse des zu überprüfenden Hosts. Der Empfänger muss, sofern er das Protokoll unterstützt, laut Protokollspezifikation eine Antwort zurücksenden: ICMP „Echo-Reply“ (pong).

 

Echo Request = ICMP Typ 8, ausgehend: ich sende ein ping, eingehend: ich werde angepingt

Echo Reply = ICMP Typ 0, ausgehend: ich antworte auf ping, eingehend: ich bekomme Antwort auf mein ping

 

Und was ich nicht kapiere:

Nach den Standard-Paketregeln müsste ein "Echo Request (in)" eigentlich verworfen werden, weil es unter die Verbotsregel "Any incoming ICMP" fällt. Ergo dürfte es dann auch nicht mit einem "Echo Reply (out)" beantwortet werden. Genau das passiert aber, was meine Screenshots oben beweisen.

Wenn das so funktionieren würde, wie es sollte, bräuchte man keine zusätzliche Regel.

Share this post


Link to post
...

Wenn das so funktionieren würde, wie es sollte, bräuchte man keine zusätzliche Regel.

 

+1

:bravo: ganz genau!

 

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.