Mitschützer: Apropos Firewall

Hi,

Eure Meinung isg gefragt.

Sollte eine Firewall bei Ablehnung eines Requests mit DROP oder mit REJECT reagieren? Gibt es weitere Möglichkeiten?

IMHO gibt es im TCP-Protokoll nur das RST-Flag, um ein REJECT von einer normalen Antwort zu unterscheiden. Bei DROP kommt gar keine Antwort.

Kann/darf man bei RST in der Payload eine eigene Nachricht hinterlegen?

Damit müsste es zumindest Großprovidern möglich sein, Missbrauch ihrer Systeme z.B. für Portscans, Einbruchsversuche, o.ä. bei Anderen feststellen zu können!?

LG
Mitschützer

  1. Sollte eine Firewall bei Ablehnung eines Requests mit DROP oder mit REJECT reagieren?

    Das kommt darauf an, ob Du den Versender informieren willst - oder halt nicht. Bei „bösen“ Hosts würde ich das eher nicht tun: Mag er eben auf eine Antwort warten bis er schwarz wird.

    1. (droppen:) Mag er eben auf eine Antwort warten bis er schwarz wird.

      Das hat zwei Vorteile:

      • Dein eigenes System und die Carrier werden nicht mit dem Verkehr belastet.
      • Wenn der (vermeintliche) Angreifer ein Tool auf einem höheren OSI-Level benutzt, dann wartet das bis zum jeweiligen Timeout mit dem nächsten Schritt. Also wirst Du so - jedenfalls bei Skriptkiddies - die Effektivität des Angreifers bedeutend senken, wenn er z.B. 30 Sekunden wartet statt nach ein paar Millisekunden genau zu wissen wohin er gegriffen hat…
      1. Hi,

        (droppen:) Mag er eben auf eine Antwort warten bis er schwarz wird.

        Das hat zwei Vorteile:

        • Dein eigenes System und die Carrier werden nicht mit dem Verkehr belastet.
        • Wenn der (vermeintliche) Angreifer ein Tool auf einem höheren OSI-Level benutzt, dann wartet das bis zum jeweiligen Timeout mit dem nächsten Schritt. Also wirst Du so - jedenfalls bei Skriptkiddies - die Effektivität des Angreifers bedeutend senken, wenn er z.B. 30 Sekunden wartet statt nach ein paar Millisekunden genau zu wissen wohin er gegriffen hat…

        und was ist mit apache ab und ähnlichen Tools? Die eröffnen mal eben 150 Request-Threads und mehr.

        LG
        Mitleser

          • Wenn der (vermeintliche) Angreifer ein Tool auf einem höheren OSI-Level benutzt, dann wartet das bis zum jeweiligen Timeout mit dem nächsten Schritt. Also wirst Du so - jedenfalls bei Skriptkiddies - die Effektivität des Angreifers bedeutend senken, wenn er z.B. 30 Sekunden wartet statt nach ein paar Millisekunden genau zu wissen wohin er gegriffen hat…

          und was ist mit apache ab und ähnlichen Tools? Die eröffnen mal eben 150 Request-Threads und mehr.

          Die einfache Anwort:

          https://code.fastix.org/Projekte/Apache%2Cmod_evasive%2Ciptables%3AHelfer-Skripte zum (zeitweisen) Blockieren von IP-Adressen/

          Des Pudels Kern:

          https://code.fastix.org/showFile.php?file=Projekte/Apache%2Cmod_evasive%2Ciptables%3AHelfer-Skripte zum (zeitweisen) Blockieren von IP-Adressen/fwblock

          Freilich muss man bei Verwendung vom mod_evasive den ersten Angriff erstmal bis zu einem gewissen Grad überstehen. Für ganz harte Fälle gibt es natürlich explizite Firewalls mit eigener Hardware, welche ein derartiges Fluten feststellen und dann auch die Pakete „droppen“.