On Thursday 18 January 2007 13:58, André Schulze wrote:
Am Thu den 18 Jan 2007 um 12:05:00PM +0100 schrieb Christian Perle:
echo "Sperre gesamten Netzwerkverkehr..." iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROPDas ist blöd, ein REJECT mit einem ICMP Port Unreachable o.ä. ist sinnvoller. Durch ein DROP wird dein Rechner noch lange nicht unsichtbar, er stellt sich blos taub.
Unsichtbar genug: sehr viele Bots und Würmer greifen nur Rechner an, die auch auf Ping antworten - ich habe mit DROP die Angriffe auf meine Kiste um 50% reduziert.
Abgesehen davon: eine *Policy* von DROP ist völlig korrekt, wenn man allen ICMP Messages vertraut kann man immernoch "-p ICMP -j ACCEPT" als erste Regel in die Queue schreiben. Besser ist es sich herauszusuchen welche ICMPs man als harmlos erachtet.
Wenn man an die IP deines Rechners was schickt und der wäre tatsächlich weg, würde der zuständige Router eine Fehlermeldung generieren,
...nur wenn er auch weiß, dass der andere weg ist und er standardkonform ist...
da er das aber nicht tut, wenn dein Rechner da ist, weiß ein Angreifer, daß du da bist... .
...weiß ein intelligenter Angreifer...
Der Effekt eines DROPs besteht darin, daß fehlgeleitete Pakete ewig wiederholt werden, bis mal ein Timeout kommt. Das kann schon mal Stunden dauern.
Bei welchem Protokoll kommt bitteschön der Timeout erst nach Stunden?
TCP: 30s plus 3 Wiederholungen -> Timeout nach 2 Minuten. Die meisten UDP-basierten Protokolle nehmen UDP damit sie schneller(!!) merken, dass es nicht geht.
Konrad