Verstehe ich auch und gebe dem recht. Ich dachte aber, dass es hier um was anderes geht.
Das ist genau das was "Stealth mode" meint: Pakete im ICMP Protokoll ignorieren und einfach nicht darauf antworten. Du kannst das auch "disable WAN ping" nennen, wenn du willst, kommt sich immer aufs gleiche raus.
So ein Vorgehen macht nur dann einen erkennbaren Sinn wenn der Betreiber eines Gateways ein vitales Interesse daran hat, die weitere Paketroute *HINTER* seinem eigenen System zu verschleiern - ein gutes Beispiel dafür wäre das 'Tor' Netzwerk, das genau für diese Aufgabe erstellt wurde.
An einem Host der dagegen ohnehin nur als Endpunkt der Kommunikation fungiert, hinter dem gar nichts mehr kommt... "Hirnfresser, verhungere!"
Etwas "anderes" wäre wenigstens noch das blocken der TCP und UDP Pakete auf Zielport 7 (echo).
Dort kann eine absolut vergleichbare Funktion auch auf den höheren Protokollschichten angeboten werden, mit der gleichen Intention - Hilfestellung bei Problemdiagnosen. Dabei ist ein solcher "echo" Service derart primitiv zu implementieren dass man da wirklich keine Angst vor Sicherheitslücken haben muss. Dagegen erscheint sogar schon das obligatorische Aushandeln der eigenen IP mit einem DHCP Server beim Einstöpseln des Netzwerkkabels als eine "komplexe" und "fehleranfällige" Aktion. Wer sich vor sowas fürchtet sollte einen Arzt aufsuchen, oder noch besser absolut jeder Form von Netzwerk konsequent fern bleiben. Wer befürchtet ein Programm nicht wasserdicht zu bekommen, das in
nur einer einzigen Zeile Code zu realisieren ist, der sollte seine Finger ganz und gar von jeder Form von Computer lassen.
Wenn es sogar schon gefährlich sein soll, eingegangene Pakete mit verdrehten Sender- und Empfängeradressen und einer darüber neu berechneten Prüfsumme, dazu noch ein optionaler Zeitstempel, aber ansonsten lediglich 1:1 kopiertem Inhalt wieder auf die Reise zum Ursprung zu schicken... völlig absurdes Dummgeschwätz von und für reinrassige Kompetenzallergiker.
wichtig ist nur, dass alles andere dicht ist, richtig?
Auch das ist so eigentlich nicht richtig. Wichtig wäre vielmehr, potentielle Angriffsflächen überhaupt nicht erst zu eröffnen, und nur das an Services laufen zu lassen das auch wirklich benötigt wird. Dann braucht man auch nichts "abzuschirmen".
Was beim Thema "Firewall" immer wieder konsequent gedanklich ausgespart bleibt ist die simple Tatsache, dass eine selbige die Gesamtmenge der vom Netz her potentiell angreifbaren Softwareschnittstellen überhaupt
nicht im geringsten zu verringern vermag. Im Gegenteil, sie vermehrt sie sogar enorm, bis hin zum theoretisch und praktisch möglichen Maximum.
Schliesslich ist die Firewall selbst auch nur ein Stück potentiell fehlerhafte Software, das völlig schutzlos von allem bombardiert wird was das Netz so an viral herumschwirrendem binärem Sondermüll zu bieten hat. Schon rein prinzipiell kein Stück weniger verwundbar als jede andere Form von Paketverarbeitung auch, aber das vorgehalten mit einer maximal exponierbaren Angriffsfläche.
Wobei eine Antwort eventuell schon Infos über das System preisgibt, das habe ich zumindest gelesen.
Man liest viel von Leuten, für die selbst die offensten aller offenen Standards nur okkultes Hexenwerk und/oder störende mentale Nebengeräusche sind, neben all den vielen geheimnisvoll flüsternden Stimmen die sie sonst noch so hören.
Vorsicht, Faktencheck:
Code:
------ [B]RFC 792[/B] --------
...
[U]Echo or Echo Reply Message[/U]
[SIZE="-1"] 0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Code | Checksum |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Identifier | Sequence Number |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Data ...
+-+-+-+-+- [/SIZE]
[B]IP Fields:[/B]
[B]- Addresses[/B]
The address of the source in an echo message will be the destination of the echo reply message.
[COLOR="#0000FF"][B]To form an echo reply message, the source and destination addresses are simply reversed, the type code changed to 0, and the checksum recomputed[/B][/COLOR].
[B]- Type[/B]
8 for echo message;
0 for echo reply message.
[B]- Code[/B]
0
[B]- Checksum[/B]
The checksum is the 16-bit ones's complement of the one's complement sum of the ICMP message starting with the ICMP Type. For computing the checksum , the checksum field should be zero. If the total length is odd, the received data is padded with one octet of zeros for computing the checksum. This checksum may be replaced in the future.
[B]- Identifier[/B]
If code = 0, an identifier to aid in matching echos and replies, may be zero.
[B]- Sequence Number[/B]
If code = 0, a sequence number to aid in matching echos and replies, may be zero.
[B]Description[/B]
[B][COLOR="#0000FF"]The data received in the echo message must be returned in the echo reply message.[/COLOR][/B]
The identifier and sequence number may be used by the echo sender to aid in matching the replies with the echo requests. For example, the identifier might be used like a port in TCP or UDP to identify a session, and [COLOR="#0000FF"]the sequence number might be incremented on each echo request sent. The echoer returns these same values in the echo reply[/COLOR].
Code 0 may be received from a gateway or a host.
...
Wo bitte soll da der Raum für die angeblich schützenswerten Informationen sein, die da preisgegeben werden sollen?