next up previous contents
Next: IGMP - Internet Group Up: ICMP - Internet Control Previous: traceroute   Contents

Vorschläge für Filterung von ICMP-Paketen

Die meisten ICMP-Meldungen werden durch Fehlersituationen erzeugt und dienen dazu, die Datenübertragung effizienter zu gestalten. Andererseits können von Angreifern bewusst falsch eingesetzte ICMP-Meldungen die Datenübertragung behindern.

Die Typen 0 (echo reply) und 8 (echo request) wurden weiter oben im Zusammenhang mit ping und traceroute bereits besprochen. Man sollte diese Typen nur eingeschränkt zulassen, um ein Ausspionieren der im lokalen Netz vorhandenen Rechner zu verhindern.

Typ 3 (destination unreachable) besitzt zur genaueren Unterscheidung zusätzlich verwendete Codes. Pakete mit den Codes 0 (network unreachable), 3 (port unreachable), 4 (fragmentation needed), 11 (nework unreachable for TOS) und 12 (host unreachable for TOS) sollten im Allgemeinen - aus dem externen Netz kommend - zugelassen werden. Mit ICMP-Meldungen nach außen sollte man hingegen restriktiv sein, damit das Herausfinden vorhandener Rechner und offener Ports erschwert wird.

Der Meldungstyp 4 (source quench) veranlasst einen Rechner dazu, die Übertragungsgeschwindigkeit zu verringern, wenn die zu hohe Datenrate unnötige Sendewiederholungen verursacht. Böswillig eingesetzt, drosselt es die Sendegeschwindigkeit unnötigerweise. Source Quench sollte im Allgemeinen aber doch in beide Richtungen zugelassen werden, da die Vorteile vermutlich überwiegen.

Typ 5 (redirect) ist eine Aufforderung an den Absender, eine andere Route zu wählen. Solche Pakete sollten ignoriert werden. Angreifer könnten eine Umlenkung des Datenweges für sich ausnützen.

Typ 9 (router announcement) und Typ 10 (router selection) werden beide von Router Discovery verwendet und sollten blockiert werden. Näheres dazu im Kapitel sec:IRDP.

Der Meldungstyp 11 (time to live exceeded) wurde weiter oben schon besprochen und sollte in allen Richtungen erlaubt werden.

Typ 12 (parameter problem) wird gesendet, wenn irgendwelche Fehler im Zusammenhang mit dem IP-Header auftreten. ICMP-Pakete dieses Typs sollten in allen Richtungen erlaubt werden.

Die Typen 13 (timestamp request), 14 (timestamp reply), 15 (information request), 16 (information reply), 17 (address mask request) und 18 (address mask reply) sollten alle geblockt werden. Sie haben kaum praktischen Nutzen, ermöglichen es aber Angreifern Informationen über das Netz zu sammeln.


next up previous contents
Next: IGMP - Internet Group Up: ICMP - Internet Control Previous: traceroute   Contents
Ernst Pisch 2003-05-17