Moin,

Ist wohl eher was psychologisches (sowohl für den Computernutzer als auch für den Hacker). Nichts ist eben noch mal weniger als "Nö, darfst nicht"

Nein, schau mal in de.comp.security.firewall rein, da wird das einmal wöchentlich durchgekaut: Wenn ein Rechner keine Antwort kriegt (und sei es ein RST) dann wiederholt er die Verbindungsanfrage je nach Implementation zwischen 3 bis 11 mal. Durch eine idiotische DROP-Regel vervielfältigst du den Traffic also mindestens um den Faktor 2 bis etwa 10, davon dass die Dinge ausgebremst werden gar nicht zu reden. Ich merke das grade: Die Uni hat seit einiger Zeit einen Paketfilter vor ihrem Netz (in dem ich per WLAN hänge) mit einer blöden DROP-Regel. Das verzögert den Aufbau von verschiedenen Verbindungen (IRC, manche Mailserver) um gut 10 Sekunden.

Kenn' mich da ja auch nicht so aus, aber ein ICMP Echo Request (out) und Echo Replay (in) ist auch in vorbildlich konfigurierten Firewalls möglich. ;-)

Ja, Firewalls die hirnlos ICMP-Pakete wegschmeissen sind mindestens ebenso asozial: Hin und wieder soll es ja mal vorkommen dass ein {Port|Host|Net} unreachable, etc. ernst gemeint ist. Wenn der 'geschützte' Host den nicht empfängt schiebt das die Antwortzeiten und den nutzlosen Traffic abermals nach oben.
(Ein lustiges Beispiel aus der kürzeren Vergangenheit das zeigt wie schädlich hirnloses Droppen ist: http://groups.google.com/groups?hl=de&selm=slrnab5bq9.mb.lutz%40taranis.iks-jena.de&rnum=1)

"Das Internet Control Message Protocol dient hauptsächlich dem Austausch von Status- une Fehlermeldungen, kann aber unter gewissen Umständen [Verweis auf ct 11/97 S. 332: Jürgen Schmidt, Firewall getunnelt, Geheimer Datenashtausch über ICMP-Pakete] für Hintertüren genutzt werden."

Auweia ;-) Merke: _Jedes_ Protokoll kann als Tunnel dienen. Die einzige Möglichkeit einen Tunnel sicher zu verhindern wäre die bereits erwähnte Hardwarefirewall in Form einiger Zentimeter Luft.

--
Henryk Plötz
Grüße aus Berlin