SDR für Arme...

"Ping gesperrt" muß nicht notwendigerweise ein unsinniges pauschales wegwerfen von ICMP bedeuten. Was auch immer die mit "Ping gesperrt" konkret meinen.

/ralph

Entweder das.

Oder die Übersetzung lautet "wir haben keinen Bock mehr, an der Hotline den aufgebrachten Anrufern, die von Security-Suite-Rot oder Security- Suite-Gelb in großen Buchstaben ein Popup "du wurdest angepingt" angezeigt bekommen haben, zu erklären, dass der ping harmlos ist."

Stefan

Klar, die normalen Server erlauben immer Ping. Um den ging es aber nicht.

Fuer Tests koennte ich das auch, aber es ging darum das generell zu machen oder nicht. Und da bleibe ich bei "nicht".

Ich bleibe beim erprobten. Was sich jahrelang bewaehrt hat kann nicht schlecht sein.

Es geht nicht darum was man rausfinden kann, sondern dass man nicht alles an die grosse Glocke haengt. Genauso wie es natuerlich kein Problem ist alles moegliche ueber Dich und mich rauszufinden wird keiner von uns dass alles als Gesamtwerk an eine Litfassaeule in Berlin haengen.

Anderes Beispiel, so oft passiert dass ich es nicht mehr zaehlen kann: "Nein, wir duerfen laut innerbetrieblicher Vorschrift keine Durchwahlen unserer Mitarbeiter rausgeben". Nach wenige Minuten Internet Recherche habe ich diese Durchwahl in vielen Faellen. Und dennoch kann ich die Firmen verstehen, denn sie wollen nicht dass Hinz und Kunz Harrassment Calls machen kann. Sherlock Holmes koennte, tut sowas aber nicht. Hinz und Kunz kommen jedoch nicht drauf wie sie es rauskriegen. Und genau das ist Sinn und Zweck.

Es heisst dass der Server auf "ping " nicht antwortet.

Am 04.07.2012 21:10, schrieb Joerg:

IP Adressen im Internet sind aber immer oeffentlich ...

... die hängen an der großen Litfaßsäule ;-)

Es hörte sich aber immer so an, als ob der Grund für die Verheimlichung der IP Adressen die Sicherheit wäre. Und das ist absoluter Blödsinn. Denn die bösen Jungs finden auch alle öffentlichen IP Adressen.

Google, Nummer der Zentrale raussuchen, 0 wegstreichen, irgendeine Durchwahl nehmen, anrufen und höflich bitten, mit der Serviceabteilung zu sprechen. Das weiß doch mittlerweile jedes Kind, seit dem es die teuren Servicenummern gibt.

W=C3=A4hle zwei.

Vinzent.

-- =

The most likely way for the world to be destroyed, most experts agree, is by accident. That's where we come in; we're computer professionals. We cause accidents. -- Nathaniel Borenstein

st

N=C3=B6, Einbildung.

|If no host discovery options are given, Nmap sends an ICMP echo request= , a |TCP SYN packet to port 443, a TCP ACK packet to port 80, and an ICMP ti= mestamp |request.

Das ist also der Scriptkiddie-Default. Um "stealthy" zu sein, sollte man= also nicht nur den Echo-Request nicht beantworten, sondern auch gleich noch d= en Webserver nach Port 666 schubsen.

Und wenn Scriptkiddies spezifisch nach bereits installierten Trojanern s= uchen, werden sie direkt den oder die relevanten Ports anfragen und sich mit Pi= ngs gar nicht aufhalten.

Man sollte n=C3=A4mlich nicht vergessen, da=C3=9F diese "stealthy"-Optio= n bereits vor guten 10 Jahren von Microsoft zum Default gemacht wurde. Inzwischen m=C3= =BC=C3=9Fte auch das vorletzte Scriptkiddie gemerkt haben, da=C3=9F die meisten Ziel= rechner (aka. Windowskisten) im Netz darauf eh nicht antworten. Eher im Gegentei= l. Mittlerweile d=C3=BCrfte ein Echo-Reply als Hinweis gelten, da=C3=9F der= Zielrechner besser konfiguriert und vermutlich kein ganz so leichtes Ziel ist. ;)

Vinzent.

Nun, Ping-Block wird mit Sicherheit nicht das einzige Security Feature an diesen Servers sein.

Mir kommt das alles langsam so vor wie die Frotzelei einer Managers beim ehemaligen AG. Der fand es "paranoid" dass wir unsere Autos in der geschlossenen Garage abgeschlossen parken. Bis eines Tages sein neuer Saab 900 nicht mehr in seiner Garage war ...

Riiiiight.

Nur zeichnet sich ein Server halt dadurch aus, daß er Dienste anbietet. Üblicherweise übers Netz. Und oft genug auf mehr oder weniger well known ports.

Und es ist gar nicht so unüblich, mal eben komplette Adressbereiche komplett zu portscannen. Mit genug Zombies (übernommenen Maschinen) dauert das auch nicht lange.

Die Idee, man könne einen Server im Netz "verstecken" ist albern.

Nicht auf ping zu reagieren schützt nur vor planlosen script kiddies und macht den eigenen Leute das Netzwerk troubleshooting schwerer.

Man liest sich, Alex.

Nach dem was ich so auf Web Sites sehe scheint das die im Internet inzwischen gaengiste Spezies Programmer zu sein. So wie heutzutage viele Autofahrer nichtmal wissen wie man eine Motorhaube aufmacht. Zuendkerzen? Was'n dette? Du schreibst einfach "No user serviceable parts" drauf und dann gehen mehr als 90% der Leute da auch nicht mehr dran.

Die schienen da ueberhaupt kein Problem mit zu haben. Ich sprach mit genau diesen Leuten darueber. Die sassen rund 10000km von diesem Server entfernt.

Am Thu, 5 Jul 2012 00:51:17 +0200 schrieb Alexander Schreiber:

Nun ja, man könnte ja auch noch die IP-Adressen beschränken denen er antwortet.

Lutz

Na irgendeinen Sinn mu=DF das Ding schon haben, irgendeinen Dienst mu=DF = das=20 Teil anbieten. B=F6se Menschen k=F6nnten ja auch bei geblocktem "ping"=20 darauf schlie=DFen, da=DF da ein paar MCSE* am werkeln sind und so gleich= =20 eine geeignete Windows-L=FCcke zum Angriff ausw=E4hlen.

Guido

Am 04.07.2012 19:26, schrieb Thomas 'tom' Malkus:

Nein, Du hast übersehen, daß Jörg zwar von erstaunlich vielen Dingen überhaupt keine Ahnung hat, aber auch auf diesen Gebieten _immer_ Recht hat!

IP-Adressen sind nicht geheimzuhalten, wenn sie öffentlich im Einsatz sind. Insofern ist so ein NDA sinnlos.

-ras

Tut es auch, aber der umfasst nicht den Zugang fuer Hinz und Kunz aus dem Web.

Böse Menschen könnten ja auch bei geblocktem "ping"

Gerade die wollen sie da raushalten :-)

Dann hast Du vermutlich noch nicht so viele NDAs unterschreiben muessen wie ich. Die gehen oft soweit dass mir das blosse Erwaehnen des Kundennamens untersagt ist bzw. dass ich fuer sie arbeite. Placement Agencies verstehen sowas meist nicht, weshalb ich mit denen i.d.R. nicht zusammenarbeite. Das geht alles nach diesem Motto:

1. Der Kunde hat Recht.

1. Wenn der Kunde mal nicht recht hat gilt Paragraph 1.

Das kenne ich alles zur Genüge.

1. Jörg erzählt nicht einmal andeutungsweise, daß ein Kunde existiert, daß er einen server hat, und da?er ihn beknackt konfiguriert hat.

Verstoß gegen 3. - mööööp!

-ras

Des derf'er. Diese Konfiguration ist naemlich bei weitem nicht auf diesen einen Kunden begrenzt. Es war nur ein Beispiel aus vielen. Und wie im Link gezeigt haelt das sogar Telekom Austria so, die sind nicht mein Kunde.