silvesterlangen.de

Seite
Menü

FW - Ping deaktivieren?

Je restriktiver, desto besser. Ist das so? Ich meine, dass die Antwort irgendwas zwischen Vernunft und Glauben ist und vor allem davon abhängig wo sich der Server/Computer befindet bzw. mit welchen Netzwerken er verbunden ist.

Bin ich recht locker, dann reicht mir, wenn alle eigehenden Verbindungen geblockt werden und nur die Ports offen sind, wo mein Dienst hinter ist. Bin ich für deutlich mehr Restriktivität, dann sperre ich nicht nur sämtlichen Traffic für ein- und ausgehende Verbindungen, sondern lasse den Server nur über einen Reverse Proxy seine Dienste der Außenwelt anbieten. Selbstverständlich blocke ich dann auch den ICMP Verkehr.

Ist das so eine gute Idee?

ICMP steht für Internet Control Message Protocol und ist gerade für Diagnosezwecke eine wirklich gute Sache. Die Echo-Anforderung ist Bestandteil des ICMP. Einige Leute mögen es gerne abstellen, weil sie glauben auf diese Weise etwas mehr Sicherheit zu bekommen. Zumindest findet man den Server nicht so schnell mit einem Netzwerkscan.

Möglicherweise lässt sich so ein Laie von dem Versuch abhalten einen Angriff auf ein System zu starten, weil er denkt, dass er offline ist. Was ist aber mit dem funktionierenden Webserver? Angreifer mit mehr Erfahrung wissen, dass das Abschalten des Pings ein gern genutztes Vorgehen ist. Aber was nützt es, wenn der Server mit einem Dienst online ist und man anhand dessen sieht, dass der Server da ist? Spätestens der Portscan zeigt, dass der Server eben doch online ist und somit ein Ziel sein kann.

Stellt man aber Ping ab, so kann die Fehlersuche erheblich schwerer werden, wenn man eine Störung im Netzwerk hat. Natürlich muss das jeder für sich entscheiden. Bleibt noch zu erwähnen, dass einige Netzwerktools auf einen Ping zurückgreifen und somit nicht mehr gescheit arbeiten können bzw. falsche Ergebnisse liefern.

Was denn jetzt? Ping an oder aus?

Betreibe ich einen Webserver, dann kann ich wohl kaum verbergen, dass er online ist. Schließlich funktioniert die Website ja. Hier den Ping abzustellen halte ich für wenig wirkungsvoll. Sinnvoller ist das aber bei einem Router, da für gewöhnlich ohnehin von außen nichts zu erreichen ist. Ping für die Richtung Internet abzustellen ist hier sinnvoll.

« vorige Seite Seitenanfang nächste Seite »
Seite
Menü
Earned Certificates:
LPIC-1 LPIC-1 LPIC-1
Powered by CMSimple | Template by CMSimple | Login