Apropos Firewall – SELFHTML-Forum Forum als Ergänzung zum SELFHTML-Wiki und zur Dokumentation SELFHTML https://forum.selfhtml.org/self?srt=yes Apropos Firewall Fri, 15 May 20 07:19:44 Z https://forum.selfhtml.org/self/2020/may/15/apropos-firewall/1770498?srt=yes#m1770498 https://forum.selfhtml.org/self/2020/may/15/apropos-firewall/1770498?srt=yes#m1770498 <p>Hi,</p> <p>Eure Meinung isg gefragt.</p> <p>Sollte eine Firewall bei Ablehnung eines Requests mit DROP oder mit REJECT reagieren? Gibt es weitere Möglichkeiten?</p> <p>IMHO gibt es im TCP-Protokoll nur das RST-Flag, um ein REJECT von einer normalen Antwort zu unterscheiden. Bei DROP kommt gar keine Antwort.</p> <p>Kann/darf man bei RST in der Payload eine eigene Nachricht hinterlegen?</p> <p>Damit müsste es zumindest Großprovidern möglich sein, Missbrauch ihrer Systeme z.B. für Portscans, Einbruchsversuche, o.ä. bei Anderen feststellen zu können!?</p> <p>LG<br> Mitschützer</p> Apropos Firewall Fri, 15 May 20 08:08:24 Z https://forum.selfhtml.org/self/2020/may/15/apropos-firewall/1770510?srt=yes#m1770510 https://forum.selfhtml.org/self/2020/may/15/apropos-firewall/1770510?srt=yes#m1770510 <blockquote> <p>Sollte eine Firewall bei Ablehnung eines Requests mit DROP oder mit REJECT reagieren?</p> </blockquote> <p>Das kommt darauf an, ob Du den Versender informieren willst - oder halt nicht. Bei „bösen“ Hosts würde ich das eher nicht tun: Mag er eben auf eine Antwort warten bis er schwarz wird.</p> Erläuterung Fri, 15 May 20 08:21:33 Z https://forum.selfhtml.org/self/2020/may/15/apropos-firewall/1770512?srt=yes#m1770512 https://forum.selfhtml.org/self/2020/may/15/apropos-firewall/1770512?srt=yes#m1770512 <blockquote> <p>(droppen:) Mag er eben auf eine Antwort warten bis er schwarz wird.</p> </blockquote> <p>Das hat zwei Vorteile:</p> <ul> <li>Dein eigenes System und die Carrier werden nicht mit dem Verkehr belastet.</li> <li>Wenn der (vermeintliche) Angreifer ein Tool auf einem höheren OSI-Level benutzt, dann wartet das bis zum jeweiligen Timeout mit dem nächsten Schritt. Also wirst Du so - jedenfalls bei Skriptkiddies - die Effektivität des Angreifers bedeutend senken, wenn er z.B. 30 Sekunden wartet statt nach ein paar Millisekunden genau zu wissen wohin er gegriffen hat…</li> </ul> Erläuterung Fri, 15 May 20 08:26:39 Z https://forum.selfhtml.org/self/2020/may/15/apropos-firewall/1770513?srt=yes#m1770513 https://forum.selfhtml.org/self/2020/may/15/apropos-firewall/1770513?srt=yes#m1770513 <p>Hi,</p> <blockquote> <blockquote> <p>(droppen:) Mag er eben auf eine Antwort warten bis er schwarz wird.</p> </blockquote> <p>Das hat zwei Vorteile:</p> <ul> <li>Dein eigenes System und die Carrier werden nicht mit dem Verkehr belastet.</li> <li>Wenn der (vermeintliche) Angreifer ein Tool auf einem höheren OSI-Level benutzt, dann wartet das bis zum jeweiligen Timeout mit dem nächsten Schritt. Also wirst Du so - jedenfalls bei Skriptkiddies - die Effektivität des Angreifers bedeutend senken, wenn er z.B. 30 Sekunden wartet statt nach ein paar Millisekunden genau zu wissen wohin er gegriffen hat…</li> </ul> </blockquote> <p>und was ist mit apache <code>ab</code> und ähnlichen Tools? Die eröffnen mal eben 150 Request-Threads und mehr.</p> <p>LG<br> Mitleser</p> Erläuterung Fri, 15 May 20 08:56:49 Z https://forum.selfhtml.org/self/2020/may/15/apropos-firewall/1770522?srt=yes#m1770522 https://forum.selfhtml.org/self/2020/may/15/apropos-firewall/1770522?srt=yes#m1770522 <blockquote> <blockquote> <ul> <li>Wenn der (vermeintliche) Angreifer ein Tool auf einem höheren OSI-Level benutzt, dann wartet das bis zum jeweiligen Timeout mit dem nächsten Schritt. Also wirst Du so - jedenfalls bei Skriptkiddies - die Effektivität des Angreifers bedeutend senken, wenn er z.B. 30 Sekunden wartet statt nach ein paar Millisekunden genau zu wissen wohin er gegriffen hat…</li> </ul> </blockquote> <p>und was ist mit apache <code>ab</code> und ähnlichen Tools? Die eröffnen mal eben 150 Request-Threads und mehr.</p> </blockquote> <p>Die einfache Anwort:</p> <p><a href="https://code.fastix.org/Projekte/Apache%2Cmod_evasive%2Ciptables%3AHelfer-Skripte%20zum%20%28zeitweisen%29%20Blockieren%20von%20IP-Adressen/" rel="nofollow noopener noreferrer">https://code.fastix.org/Projekte/Apache%2Cmod_evasive%2Ciptables%3AHelfer-Skripte zum (zeitweisen) Blockieren von IP-Adressen/</a></p> <p>Des Pudels Kern:</p> <p><a href="https://code.fastix.org/showFile.php?file=Projekte/Apache%2Cmod_evasive%2Ciptables%3AHelfer-Skripte%20zum%20%28zeitweisen%29%20Blockieren%20von%20IP-Adressen/fwblock" rel="nofollow noopener noreferrer">https://code.fastix.org/showFile.php?file=Projekte/Apache%2Cmod_evasive%2Ciptables%3AHelfer-Skripte zum (zeitweisen) Blockieren von IP-Adressen/fwblock</a></p> <p>Freilich muss man bei Verwendung vom <code>mod_evasive</code> den ersten Angriff erstmal bis zu einem gewissen Grad überstehen. Für ganz harte Fälle gibt es natürlich explizite Firewalls mit eigener Hardware, welche ein derartiges Fluten feststellen und dann auch die Pakete „droppen“.</p>