icmp deaktivieren

[steffen006]

Hi,

ich betreue zur Zeit eine Schule und in der Schule haben wir ein paar Script-Kiddies. Die meinen die müssten immer pingen und nmap nutzen und versuchen über ssh reinzukommen. Gibt es eine möglichkeit das Protokol ICMP zudeaktivieren oder geht das auch das man ein "Störsignal" schickt, dass keiner unserer Pc mehr pingen können???

Steffen

[finupsen]

hallo,

> Die meinen die müssten immer pingen und nmap nutzen und versuchen über ssh reinzukommen.

Soetwas kann man auf dem zielhost sehr gut mit iptables unterbinden
und speziell ssh-angriffe (burteforce) lassen sich z.B. mit fail2ban reduzieren.

> oder geht das auch das man ein "Störsignal" schickt, dass keiner unserer Pc mehr pingen können???

Sei mir nicht böse, aber dann wärst du kein deut besser als die script-kiddies und würdest die gradezu
auffordern dieses micky-maus-spielchen mitzumachen ...

[storm]

Die meinen die müssten immer pingen und nmap nutzen und versuchen über ssh reinzukommen.

Gegen ping kann man ja schlecht was haben, das ist einfach eine Std-Anwendung zur Überprüfung der Funktionalität eines anderen Rechners im Netz. Mit nmap ist das nicht viel anders. Das ist die typische Werkzeug-Debatte: die Werkzeuge sind ja nicht dran schuld, oder? Versuchs doch mal anders rum, falls du die Kiddies kennst, bieten denen Verantwortung und neues Wissen, gib ihnen einen (normalen) Account und lass sie sich auf der Kiste umkucken. Und sag ihnen, wenn sie etwas kaputt machen sollten, müssen sie es selbst fixen. Das ist ein durchaus ernstgemeinter Vorschlag. *g
Wenn das partout nicht geht, kannst du immernoch mit iptables die Kiste annähernd zumachen, sowohl was ping angeht, abstruse Pakete (die verschiedene nmap-scans) und auch ssh (--limit). Aber das wird nicht auf Dauer funktionieren. Auch die Kids lernen dazu und irgendwann finden sie ein neues Loch und du machst das wieder zu, dann finden sie wieder eins und so weiter....
ICMP zu deaktivieren (zB die Pakete mit iptables droppen) ist eh witzlos, weil die recht schnell mitbekommen werden, dass es jede Menge andere Wege gibt, Rechner vom Netz her zu erkunden.

ciao, storm

[TRex]

ARP zum Beispiel

[incredibletimbo]

Gegen Login- Versuche per ssh sollte dein System schlicht gescheit gesichert sein, dann brauchst du dir deshalb nicht den Kopf zu zerbrechen! Auth per Passwort ist in meiner Schule nicht möglich, ohne Schlüssel kommt niemand rein.
Und vor Ping... ich habe noch nicht gehört, dass damit auf einem Debian- System was zu verbiegen wäre. Aber ich lasse mich belehren! iptables kann ICMP- Pakete je nach Typ filtern, falls du dann besser schläfst.

[Hosi]

Du kannst ICMP auch über den Kernel sperren:

Code: Alles auswählen

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

Wenn Du Debian nutzt, kannst Du diesen Eintrag auch permanent in der /etc/sysctl.conf vornehmen. Andernfalls müsstest Du den Befehl nach jedem Reboot einmal neu eingeben.

Willst Du die Zugriff feiner regeln (z.B. der darf pingen -- der nicht), wird Dir nur der Einstz von iptables über bleiben. Damit kannst Du dann allerdings auch so Sachen machen wie "Max. 4 pings pro Minute" oder "User A darf alles pingen, User B nur an die 141.1.1.1, User C gar nicht".

Den Vorschlag von storm finde ich übrigens sehr nett: gib den Schülern mehr Verantwortung und lass sie die Dinge einfach machen. Ich hab es als Schüler auch immer vermisst, nicht eigenverantwortlich und selbstständig arbeiten zu können.

[Simmel]

Hi,

ich betreue zur Zeit eine Schule und in der Schule haben wir ein paar Script-Kiddies. Die meinen die müssten immer pingen und nmap nutzen und versuchen über ssh reinzukommen.
Steffen

1. Was ist so schlimm daran das die den Befehl ping benutzen?

2. Was ist so schlimm daran das die einen Port-Scanner verwenden, um zu sehen welche Dienste auf Rechnern laufen?

3. Wenn du einen Key nutzt oder aber ein sehr gutes Passwort, lass sie doch machen, es kann ja eh nichts passieren?

Sorry aber ich kann deine "Probleme" nicht verstehen. Das ist auch nicht wirklich etwas was ich persönlich als kritisch betrachte. Wenn man Server im Netz stehen hat, passiert so etwas jeden Tag.

Solange du eine Firewall hast, die alles mitprotokolliert und einen rkhunter oder ein anderes Tool welches dich vor Rootkits "schützt" bzw. dich davor warnt, ist doch alles im grünen Bereich?

Hier etwas machen zu wollen halte ich für verschwendete Energie.

Falls du dennoch aktiv werden willst:

http://wiki.debianforum.de/SshLoginInKaefig (zusätzlich den Port ändern, z.B.)

und ein

Code: Alles auswählen

aptitude install rkhunter

Das sollte für deine Schul-Rechner mehr als reichen, was Sicherheit angeht.