[gelöst] Absetzen eines ping = Sicherheitsgewinn?

[buhtz]

Ich bewege mich hier in einem instiutionellen Netzwerk, das von einer teilweise bizarren IT-Abteilung betreut wird. Ein Phänomen ist, dass man keine pings nach Draußen absetzen kann. Gibt es dadurch irgendeinen Sicherheitsgewinn?

Es geht nicht um pings von Draußen, sondern nach Draußen.

[eggy]

Ich geh mal davon aus, dass die einfach nur nen "alles was nichts explizit erlaubt ist, ist verboten"-Ansatz fahren.
Gabs bisher nen Grund warum "Sachbearbeiter" irgendwas pingen müsste? Nein. Also gibts auch keine Firewall-Regel die das erlauben würde.
Andere Erklärung: Es gab mal Zeiten (gibts immer mal wieder) da hat nen falsch formatiertes ICMP-Paket NT Kisten geplättet ("ping of death", bzw dessen Neuauflagen alle paar Jahre), und dann gabs ne Handvoll Würmchen, die angefangen haben aus Firmennetzen planlos die Welt zu fluten. Und jetzt überleg Dir mal nen Szenario, das die beiden Sachen kombiniert, dann machts aus paranoider-"ich-will-an-sowas-lieber-nicht-beteiligt-sein"-Admin-Sichtweise schon Sinn einfach mal ausgehendes ICMP zu verbieten, zumal es offensichtlich von den Usern nicht gebraucht wird.
Und auch ICMP kann man (eingeschränkt) als "Transportprokoll" missbrauchen.

[MSfree]

Gibt es dadurch irgendeinen Sicherheitsgewinn?

Ja, die Leute können dadurch z.B. keinen Ping Tunnel nach aussen aufbauen. Mit ptunnel kann man z.B. eine VPN-Kanal über Ping-Pakete nach aussen aufbauen und geheime Firmeninterna aus der Entwicklungsabteilung nach aussen schleusen.

[spiralnebelverdreher]

Ich bewege mich hier in einem instiutionellen Netzwerk, das von einer teilweise bizarren IT-Abteilung betreut wird. Ein Phänomen ist, dass man keine pings nach Draußen absetzen kann. Gibt es dadurch irgendeinen Sicherheitsgewinn?

Vorstellbar ware, dass verhindert werden soll, dass mittels ping ein Tunnel nach draußen aufgebaut wird, der Informationen über diesen Weg nach draußen befördert und existierende Verbote für IP-Pakete umgeht. Such mal nach "ICMP Tunnel" für nähere Details.

Interessant sind da vielleicht auch die amerikanischen NIST Empfehlungen zu ICMP in Netzwerken https://ws680.nist.gov/publication/get_ ... id=901083 in 4.1.4 .

Hast du die bizarre IT-Abteilung eigentlich mal nach dem Grund gefragt? Manches ist halt nur so, weil ein es halt schon immer so war. Das muss aber nicht so bleiben.

[hikaru]

Ja, die Leute können dadurch z.B. keinen Ping Tunnel nach aussen aufbauen. Mit ptunnel kann man z.B. eine VPN-Kanal über Ping-Pakete nach aussen aufbauen und geheime Firmeninterna aus der Entwicklungsabteilung nach aussen schleusen.

Ich bin nicht so der Netzwerk-Profi. Daher höre ich von Ping-Tunneln gerade das erste mal. Interessantes Konzept!
Um sensible Daten rauszuschmuggeln braucht man aber wohl noch nicht mal das. Man könnte auch einfach mit normalen Pings Daten nach draußen morsen. Das kriegt auch ein "Sachbearbeiter" hin, nachdem er ein Shell-Tutorial überflogen hat.

[BenutzerGa4gooPh]

Um sensible Daten rauszuschmuggeln braucht man aber wohl noch nicht mal das. Man könnte auch einfach mit normalen Pings Daten nach draußen morsen. Das kriegt auch ein "Sachbearbeiter" hin, nachdem er ein Shell-Tutorial überflogen hat.

Bissel kompliziert. Die pings kann die Firewall aufzeichnen. Schlage dir Mini-Kamera/Smartphone oder Stift und Schmierzettel vor, selbst Letzteres sollte schneller und unbeobachteter/unaugezeichneter gehen. Alles Weitere von außerhalb.

[heisenberg]

Ping-Tunnel kannte ich auch noch nicht.

Ist da vielleicht der Upload in ein Webformular nicht einfacher?

[MSfree]

Ping-Tunnel kannte ich auch noch nicht.

Schon lustig, für was man den ptunnel nutzen kann.

Dieser Blogspoteintrag ist 10 Jahre alt und beschäftigt sich damit, wie man kostenpflichtige WLAN Hotspots mittels ptunnel ohne zu bezahlen mißbrauchen kann.

http://psung.blogspot.com/2008/05/break ... -ping.html

[inne]

Ping-Tunnel kannte ich auch noch nicht.

Schon lustig, für was man den ptunnel nutzen kann.

Dieser Blogspoteintrag ist 10 Jahre alt und beschäftigt sich damit, wie man kostenpflichtige WLAN Hotspots mittels ptunnel ohne zu bezahlen mißbrauchen kann.

http://psung.blogspot.com/2008/05/break ... -ping.html

Gibt es dafür auch eine Android-App die mit ptunnel kompatibel ist? Denn das ist eine schöne Alternative zu iodine und braucht den DNS-Eintrag nicht.

[MSfree]

Gibt es dafür auch eine Android-App die mit ptunnel kompatibel ist?

Auf Github findet man ptunnel für Android.

[wanne]

Denn das ist eine schöne Alternative zu iodine und braucht den DNS-Eintrag nicht.

Und dafür einen gepachteten Linux-Kernel! Lass die Finger davon. Du willst das wirklich nicht haben.

instiutionellen Netzwerk

ICMP-Tunnel sind mit großem Abstand die komplizierteste Variante zu tunneln, da sie Code im Kernel ausführen müssen und ICMP auchnoch ganz gerne besonders lossy geroutet wird. Und das ping-kammando selbst in der Bash zu verwenden ist eher unbrauchbar. Das macht keiner mehr. (Weswegen das auch keiner verwendet.) Wer sowas in so einem Netzwerk machen will nimmt Cisco-Annyconnect, HideMyAss oder im extremfall Facebook-VPN oder Tor. Alles samt tarnt sich als Webseite und ist deswegen in größeren Netzwerken defakto nicht zu blocken, weil eine Whitelist mit Webseiten auf die man Zugreifen darf nicht zu pflegen ist und eine Blacklist ca. Wöchentlich veraltet.
Wenn überhaupt macht man DNStunnel, die nochmal eine Nummer schwieriger zu blocken sind. Aber auch da nur in Umgebungen wo wirklich gar keine Kommunkation ins Internet angedacht ist. (Wie z.B. unbezahlte Hotspots.)
Wo sowas zum Einsatz kommt sind ganz gerne mal DDOS-Angriffe. Aber eben nur weil ping so derartig harmlos ist, dass selbst in den Abgeschottetsten Netzwerken, typischerweise tut.
Sobald die merken, dass das nicht geht probieren sie halt das nächste (Typischwerseise dann tcp-syn auf Port 80 als enem so selten geblocklte Variante.)
Ich würde mal ganz stark auf das tippen:

Ich geh mal davon aus, dass die einfach nur nen "alles was nichts explizit erlaubt ist, ist verboten"-Ansatz fahren.

Und damit auch gleich die Performance von ihrem Netzwerk zerschossen haben, weil sie auch ICMP 3 und 11 mitblocken. Die zur Performance-Optimierung dienen.

[BenutzerGa4gooPh]

Und damit auch gleich die Performance von ihrem Netzwerk zerschossen haben, weil sie auch ICMP 3 und 11 mitblocken. Die zur Performance-Optimierung dienen.

Meinst du mit "besser freigeben" (oder Antwort erlauben), Typen 3 und 11 das WAN-IF des Routers / der FW? ICMP direkt auf Host im LAN (hinter NAT/SPI) dürfte ja nur durch dessen Request (vom Host hinter FW selbst initiiert) funktionieren. Am ICMP-Thema knobele ich noch.

[wanne]

Und dafür einen gepachteten Linux-Kernel

Halt: Habe mir das gerade mal angeguckt: Mit pcap gibt es mittlerweile eine stabiele API für sowas im Stock-Kernel. Damit läuft das unter Debian vergleichswiese Problemlos. (Performance wird trotzdem unter aller Sau sein.) Natürlich wird das nur unter den wenigsten Androiden auf implementiert sein.
Nimm für sowas Tinc oder OpenVPN. Das ist für sowas gedacht und wird in weit mehr Umgebungen funktionieren als solche Absurdlösungen.
Im Gegensatz zu iodine, dass dir deine Absender IP ändert und so durch einige andere Filter geht.

[MSfree]

Und dafür einen gepachteten Linux-Kernel! Lass die Finger davon.

ptunnel benötigt keinen gepatchten Kernel.

ICMP-Tunnel sind mit großem Abstand die komplizierteste Variante zu tunneln, da sie Code im Kernel ausführen müssen

Nein, das läuft out-of-the Box mit einem standard Linuxkernel.

Code: Alles auswählen

apt-get install ptunnel

auf Client und Sever und los geht's.

und ICMP auchnoch ganz gerne besonders lossy geroutet wird.

Das macht nichts, ptunnel ist robust gegen Packetloss. Es wird halt ggfls. sehr lahm.

Wer sowas in so einem Netzwerk machen will nimmt Cisco-Annyconnect, HideMyAss oder im extremfall Facebook-VPN oder Tor.

ROFL, nichts einfacher als die Dinger in der Firewall zu blockieren. (OK, du kannst auch ICMP/8 blockieren).

Wenn überhaupt macht man DNStunnel, die nochmal eine Nummer schwieriger zu blocken sind.

Wow, dafür habe ich in meinem Heimnetz einen einzigen iptables-Befehl auf meiner Firewall abgesetzt. Clients, die meinen, als DNS irgendetwas anderes als meine per DHCP verteilten zu verwenden, bekommen gar keine Namensauflösung mehr hin. Und Tschüß DNStunnel.

[wanne]

Meinst du mit "besser freigeben" (oder Antwort erlauben), Typen 3 und 11 das WAN-IF des Routers / der FW? ICMP direkt auf Client (hinter NAT/SPI) dürfte ja nur durch dessen Anfrage (selbst initiiert) funktionieren.

Freigeben. Wenn da eh NAT ist, filterst du nur doppelt. Für alle anderen Fälle ist es durchaus sinnovl.
Im allgemeinen finde ich diese Firewalllösungen allesamt ziemlich dämlich. Natürlich nutzen auch Angreifer ping fürs debuging. Es wird aber garantiert keinen Angreifer abhalten, wenn er kein ping mehr nutzen kann. Da gibt es zig alternativen, die halt etwas unbequemer/langsamer sind. Aber die aller meisten der Benutzer deines Netzwerks sind eben keine Angreifer. Und für die wird die Nutzung genauso unangenehmer. Wenn ich direkt ein TTL error bekomme, weiß ich, dass ich mich direkt bei den Netzwerkern beschweren kann. Wenn man keine Betriebssysteme aus der Zeit von OS/2 mehr am laufen hat sind ICMP-Nachrichten harmlos. ICMP 5 befolgt niemand mehr und ping of death ist auch seit Jahrzehnten gepatched. Im großen und ganzen kann man zu ICMP sagen: Alles harmlos. Aber einiges davon doch ganz nützlich. Wenn du ultra paranoid bist, kannst du 5 und die ganzen veralteten (13-39) Filtern.
Aber ich sehe nicht den Sinn davon. Gibt doch echt gar niemand mehr, der auf sowas reagiert. Aber schon die unasighneten (44-255) würde ich auf jeden Fall drin lassen. Irgend wann werden die vielleicht mal wirklich benutzt. Und dann tut das schöne neue Feature halt nicht weil die Firewall dazwichen hängt. Bevor das definiert ist, kann man niemanden damit angreifen. Danach ist es auf jeden Fall erwünscht.

[BenutzerGa4gooPh]

Freigeben ...

Also so wie ich deinen Text verstehe, meinst du, ICMP aus LAN -> WAN komplett freigeben - ausser redirect (5)?
(Ich filtere auch egress/outbound, lasse bislang bezüglich ICMP outgoing aus LAN nur echo request (8) und traceroute (30) zu. Entsprechende Antworten / Rückweg werden per SPI automatisch zugelassen.)

[wanne]

Wow, dafür habe ich in meinem Heimnetz einen einzigen iptables-Befehl auf meiner Firewall abgesetzt. Clients, die meinen, als DNS irgendetwas anderes als meine per DHCP verteilten zu verwenden, bekommen gar keine Namensauflösung mehr hin.

Na dann propier mal aus und geh dich wundern, wie iodine schlicht und einfach den von dir per DHCP verteilten DNS Server nutzt. Du wirst iodine nicht auf iptables-ebene blocken können, ohne dich aus sämtlichen anderen Webseiten auch rauszuwerfen. Genau so wenig wie die anderen Lösungen.

ROFL, nichts einfacher als die Dinger in der Firewall zu blockieren.

Wenn du das so cool kannst: Statt hier im Forum rumzuschreiben melde dich mal bei Ali Chamene’i. Der gibt dir garantiert ein paar Milliönchen für so eine Lösung. Der sucht nämlich schon seit einer ganzen weile nach so einer Lösung und bekommt es nicht auf die Reihe. Abr klar MSfree hat da keine Probleme. Der schüttelt das mal kurz aus dem Handgelenk. Als Anmerkung: Alle tunneln über HTTPS zu ständig wechselnden geheimen IPs. (Außer das über Facebook. Das nimmt die Server von Facebook. Was auch äußerst ungerne geblockt wird.)

Nein, das läuft out-of-the Box mit einem standard Linuxkernel.

Habe ich ja schon geschrieben:

Mit pcap gibt es mittlerweile eine stabiele API für sowas im Stock-Kernel. Damit läuft das unter Debian vergleichswiese Problemlos.

Also so wie ich deinen Text verstehe, meinst du, ICMP aus LAN -> WAN komplett freigeben - ausser redirect (5)?

Ja. Bei externen Firewalls bin ich ein Fan von Blacklisten. Am Ende schießt du dir mit Withelisten vor allem neuere Protokolle ab. (Und die sind meist sicherer als ihre Vorgänger.)
Bei schmalbandigen Verbindungen (<=10G) würde ich aber ein Ratelimiting rein machen. Sinnvolle ICMP in größeren Mengen gibt es nicht. Wenn irgend ein Gerät ammok läuft braucht es dir nicht die Leitung voll spammen.
Defakto sind heute die einzig relevanten 0/8, 3 und 11 und vielleicht noch 30. Alles andere wird von Clienten aus dem Jahrtausend eh ignoriert.
3 willst du auf jeden Fall haben. Ist aber im einem RELATED in den meisten Fällen schon mit drin. 0/8 und 11 finde ich sinnvoll.
In sofern kannst du da gar nicht so viel bewirken, wie es sich Anhört.
Wenn du historische Kisten schützen willst, blockst du 5 und 15-39. Daneben sind 9 und 10 noch unerwünscht. Die blockt der Linux-Kernel aber auch ohne expliziten iptables-Eintrag.
Interessanter ist dann ICMPv6. Da wird deutlich mehr über ICMP abgewickelt.

[BenutzerGa4gooPh]

Danke @wanne für die Erläuterungen! Muss mal die FW-Regeln überarbeiten.

Interessanter ist dann ICMPv6. Da wird deutlich mehr über ICMP abgewickelt.

Gibt es in meinem Dorf noch nicht. xDSL auch nicht. Von Glasfaser träume ich nicht mal nachts. Das Leben geht auch ohne.

[buhtz]

Mal wieder ne banale Frage: Wie findet man den heraus ob eine Internetverbindung besteht? Ich habe hier ein Tablet-artiges Gerät, dass beim Einwählen (bzw. Konfiguren) ins WLAN, sofort per ping genau das prüft. Und dann eben (wie Eingangs beschrieben) meint, es wäre nicht online - weil ping nicht geht.

Bin mit dem Produzenten per du, aber fachlich steht er da aufm Schlauch. Was ist die Alternative ein Bestehen der Internetverbindung zu prüfen?

[wanne]

Wie findet man den heraus ob eine Internetverbindung besteht?

Genau dazu ist ping eigentlich gedacht. Wenn das Gefiltert wird ist die Verbindung ins Internet ja sozusagen kaputt. Genau das ist ja die Idee von ping filtern, dass man nicht mehr feststellen kann ob man eine Verbindung bekommt. Ich würde das nicht umstellen. Wenn im Netzwerk der Test für Verbindung gefiltert wird, dann sollte das erwartete Ergebnis sein, dass man dann fehlerhafte Ergebnisse bekommt. Genau das ist doch die Intension von sowas.
Die Androiden rufe typischerweise eine Webseite von Google auf um zu testen ob man online ist. Das funktioniert halt genau so lange wie Google nicht gefiltert wird.Ich finde den Weg eher schlechter.

[spiralnebelverdreher]

Mal wieder ne banale Frage: Wie findet man den heraus ob eine Internetverbindung besteht? Ich habe hier ein Tablet-artiges Gerät, dass beim Einwählen (bzw. Konfiguren) ins WLAN, sofort per ping genau das prüft. Und dann eben (wie Eingangs beschrieben) meint, es wäre nicht online - weil ping nicht geht.

Bin mit dem Produzenten per du, aber fachlich steht er da aufm Schlauch. Was ist die Alternative ein Bestehen der Internetverbindung zu prüfen?

Irgendeinen Dienst missbrauchen, der üblicherweise nicht geblockt wird.
Vielleicht NTP (mit hart kodierten Adressen)? Oder DNS?

[MSfree]

Irgendeinen Dienst missbrauchen, der üblicherweise nicht geblockt wird.
Vielleicht NTP (mit hart kodierten Adressen)? Oder DNS?

Dein Client bekommt üblicherweise die IP-Adresse des DNS-Servers per DHCP mitgeteilt. Eine DNS-Abfrage führt also normalerweise zu einer Abfrage beim lokalen DNS, der im übrigen auch Anfragen für Adressen ausserhalb des LANs beantwortet. Wenn ein nslookup www.google.com erfolgreich beantwortet wurde, weiß du also nicht, ob du eine Verbindung nach draussen hast.

Auch NTP kann man recht einfach umbiegen. Mir ist es z.B. auf den Geist gegangen, daß Androiden und andere Handschmeichler NTP auf einem fest verdrahteten Google/Apple-NTP-Server abfragen. Ich habe dem kurzum den Garaus gemacht, indem ich alle NTP-Abfragen auf einen internen NTP geforwarded habe. Folglich bekommt der Client eine gültige Zeitauskunft, weiß aber dennoch nicht, ob er (uneingeschränkten) Zugriff auf das Netz da drausen hat.

Das Feststellen, ob eine Internetverbindung existiert, ist also einierseits nicht einfach. Andererseits stellt sich schon die Frage, was das "Internet" überhaupt ist. Bin ich in China hinter der "big Firewall" auch schon im Internet oder doch eher in einem riesiegen LAN?

[spiralnebelverdreher]

Irgendeinen Dienst missbrauchen, der üblicherweise nicht geblockt wird.
Vielleicht NTP (mit hart kodierten Adressen)? Oder DNS?

Dein Client bekommt üblicherweise die IP-Adresse des DNS-Servers per DHCP mitgeteilt. Eine DNS-Abfrage führt also normalerweise zu einer Abfrage beim lokalen DNS, der im übrigen auch Anfragen für Adressen ausserhalb des LANs beantwortet. Wenn ein nslookup www.google.com erfolgreich beantwortet wurde, weiß du also nicht, ob du eine Verbindung nach draussen hast.

Auch NTP kann man recht einfach umbiegen. Mir ist es z.B. auf den Geist gegangen, daß Androiden und andere Handschmeichler NTP auf einem fest verdrahteten Google/Apple-NTP-Server abfragen. Ich habe dem kurzum den Garaus gemacht, indem ich alle NTP-Abfragen auf einen internen NTP geforwarded habe. Folglich bekommt der Client eine gültige Zeitauskunft, weiß aber dennoch nicht, ob er (uneingeschränkten) Zugriff auf das Netz da drausen hat.

Das Feststellen, ob eine Internetverbindung existiert, ist also einierseits nicht einfach. Andererseits stellt sich schon die Frage, was das "Internet" überhaupt ist. Bin ich in China hinter der "big Firewall" auch schon im Internet oder doch eher in einem riesiegen LAN?

Du hast natürlich recht: Wenn die Netzwerkabteilung (oder der staatlich gesteuerte ISP) nicht hart blockt, sondern alles geschickt umleitet und plausibel beantworten lässt, ist es schwer zu unterscheiden ob die Pakete ins Internet gelangen oder das Internet nur simuliert wird. Da können aber Protokolle helfen, die signierte Antworten erwarten und Man-in-the-Middle Konstruktionen sicher erkennen (zumindest so lange wie das Endgerät unter eigener Kontrolle ist). Browser haben nicht umsonst die Certificate Authorities hart einprogrammiert. DNSSEC, OCSP, SCVP könnten Ansatzpunkte für den Bin-ich-im-großen-Internet-Test sein.

[BenutzerGa4gooPh]

Auch NTP kann man recht einfach umbiegen. Mir ist es z.B. auf den Geist gegangen, daß Androiden und andere Handschmeichler NTP auf einem fest verdrahteten Google/Apple-NTP-Server abfragen. Ich habe dem kurzum den Garaus gemacht, indem ich alle NTP-Abfragen auf einen internen NTP geforwarded habe.

Hier dito (NTP). DNS habe ich nicht lokal redirected, nur per DHCP den lokalen DNS mitgegeben und DNS nach draußen gesperrt. Das Android-Tablet versucht immer wieder mal zu 8.8.8.8, funktioniert trotzdem. DNS habe ich nicht umgeleitet, da das m. E. noch ein "Honeypot" (Logs) ist, wenn in meinem WLAN mal jemand unerwünschtes sin sollte. Auf RADIUS/WPA2 Enterprise habe ich wegen nur einem Tablet und einem Eierfon im separiertem Gastnetz noch keinen Bock. Glaube jedoch nicht (mehr), dass ich immer richtig denke.

Browser haben nicht umsonst die Certificate Authorities hart einprogrammiert.

CAs gibt doch der "Brausehersteller" vor - und ändert diese per Update. Malware wohl auch. Und nicht alle CAs sind vertrauenswürdig, Symatec z. B. ist nach Abmahnungen und laaanger Zeit bei einigen Browsern (zunḿindest Chrome) rausgeflogen.
https://www.heise.de/security/meldung/Z ... 28578.html

Edit: Wieder mal alle Aluhüte versammelt ...

[spiralnebelverdreher]

Und nicht alle CAs sind vertrauenswürdig, Symatec z. B. ist nach Abmahnungen und laaanger Zeit bei einigen Browsern (zunḿindest Chrome) rausgeflogen.
https://www.heise.de/security/meldung/Z ... 28578.html

Das ist richtig. Wenn es aber allein um einen Test gibt, ob man tatsächlich ins große weite Internet kommt ist die Frage zweitrangig wie sorgfältig die CA ihre Zertifikate ausstellt. Es geht ja nur darum, eine oder mehrere CAs so anzufragen, dass ein Man-in-the-Middle erkannt wird.