---

Jeg bruger Tiny Firewall og når jeg kigger Configuration ser jeg bla:

" Incomming ICMP "

.... er der nogle der kan forklare hvad en ICMP er ?

Jeg tror jeg ret tidlige blokerede for det, da jeg ikke var sikker på
hvad det pæcist var der blev sendt - og jeg synes stadigvæk man
engang imellem bliver spurgt om en "incomming" som man har
meget svært ved at tage stilling til ... de fleste gange kan man kun
se et IP-nummer - og så er det da lidt svært at vide hvad man skal *S*

.... jeg plejer at siger "nej tak" hvis jeg ikke kan "genkende" et eller
andet....

Er der nogle tips og tricks ?

På forhånd tak for hjælpen !

mvh.
Hallum

---

HALLUM wrote:

> Jeg bruger Tiny Firewall og når jeg kigger Configuration ser jeg bla:
>
> " Incomming ICMP "
>
> ... er der nogle der kan forklare hvad en ICMP er ?


http://sunsite.dk/RFC/rfc/rfc792.html


> Jeg tror jeg ret tidlige blokerede for det, da jeg ikke var sikker på
> hvad det pæcist var der blev sendt - og jeg synes stadigvæk man
> engang imellem bliver spurgt om en "incomming" som man har
> meget svært ved at tage stilling til ... de fleste gange kan man kun
> se et IP-nummer - og så er det da lidt svært at vide hvad man skal *S*
>
> ... jeg plejer at siger "nej tak" hvis jeg ikke kan "genkende" et eller
> andet....


Der er mange typer ICMP pakker.

Hvis du fx kontakter en server med en port/protokol der ikke er
understøttet vil serveren sende en besked tilbage om at porten ikke er
åben.


> Er der nogle tips og tricks ?


Først skal jeg vide hvilke typer ICMP pakker vi snakker om, kan du se dette?


> På forhånd tak for hjælpen !
>
> mvh.
> Hallum
>
>
>

---

> Først skal jeg vide hvilke typer ICMP pakker vi snakker om, kan du se
dette?

Nej det kan jeg ikke oplyse da jeg fra starten "afviste" ICMP pakker - både
ud og ind *S*

.... men jeg tror jeg er ved at komme på sporet af hvad ICMP så er,
læs også Kasper Dupont´s venlige indlæg i denne tråd.....


mvh. og tak for hjælpen !
Hallum

---

HALLUM wrote:

> Nej det kan jeg ikke oplyse da jeg fra starten "afviste" ICMP pakker - både
> ud og ind *S*


En firewall der afviser pakker kan godt logge dem, og fortælle hvilken
type pakke det er.

---

HALLUM wrote:
>
> Jeg bruger Tiny Firewall og når jeg kigger Configuration ser jeg bla:
>
> " Incomming ICMP "
>
> ... er der nogle der kan forklare hvad en ICMP er ?

Til min store overraskelse kunne jeg ikke finde ICMP nævnt
noget sted i OSS(FAQ) så jeg må vel i gang med at forklare
det.


ICMP er internet control messages protocol. Der kan sendes
en række forskellige beskeder med denne protokol og mange
af dem er fuldstændig harmløse, og nogen af dem er endda
til hjælp.

F.eks. virker det meget anvendte program ping ved at sende
en ICMP echo request til en computer som så svarer med en
ICMP echo reply.

Hvis du forsøger at tilgå en maskine kan der sendes ICMP
fejlbeskeder tilbage, en fejlbesked kan f.eks. fortælle
1. Der er for mange mellemstationer på vejen til den
anden computer.
2. Maskinen eksisterer ikke eller svarer ikke.
3. Maskinen kører men den forespurgte service findes ikke
på den pågældende maskine.

Uden disse fejlmedelelser vil din computer vente lidt og
prøve igen, og først efter flere forsøg vil den give op.

En god firewall kan genkende svar på de pakker du selv har
sendt, og kan dermed lukke dem igennem og holde andre ude.

Hvis andre skal kunne se om der er forbindelse til din
maskine lige nu skal du også tillade at echo-request kommer
ind igennem din firewall. Du vil opleve at nogle servere
sender en echo-request til dig, når du kontakter dem.


Burde noget af dette ikke nævnes i afsnittet "Jeg har
installeret en personlig firewall. Hvad skal jeg vide?" i
OSS'en?

--
Kasper Dupont

Notice: By sending SPAM (UCE/BCE) to this address, you are
accepting and agreeing to our charging a $1000 fee, per
email, for handling and processing, and you agree to pay any
and all costs for collecting this fee.

---

"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:3C377D52.39F055C5@daimi.au.dk...


> En god firewall kan genkende svar på de pakker du selv har
> sendt, og kan dermed lukke dem igennem og holde andre ude.

Kunne man sige lidt firkantet at det er OK at give lov til "outgoing" ICMP -
og de "incoming" der vil komme i umiddelbar forlængelse af en "outgoing" kan
accepteres ?

mvh.
Hallum

---

In <3c378338$0$37947$edfadb0f@dspool01.news.tele.dk> "HALLUM" <ph@hallums.dk> writes:

>"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
>news:3C377D52.39F055C5@daimi.au.dk...


>> En god firewall kan genkende svar på de pakker du selv har
>> sendt, og kan dermed lukke dem igennem og holde andre ude.

>Kunne man sige lidt firkantet at det er OK at give lov til "outgoing" ICMP -
>og de "incoming" der vil komme i umiddelbar forlængelse af en "outgoing" kan
>accepteres ?

Efter min mening er der ingen grund til at stoppe nogle ICMP-pakker overhovedet
af en firewall.

/Martin

---

"Martin Moller Pedersen" <tusk@daimi.au.dk> skrev i en meddelelse
news:a18189$iuk$1@news.net.uni-c.dk...

> Efter min mening er der ingen grund til at stoppe nogle ICMP-pakker
overhovedet
> af en firewall.


Vil det sige at ICMP-pakker ikke kan "indeholde" virus eller øvrige
hacker"angreb" / ulovlig tilgang til min maskine ?

mvh.
Hallum

---

"HALLUM" <ph@hallums.dk> wrote in message
news:3c378bbf$0$62863$edfadb0f@dspool01.news.tele.dk...
> "Martin Moller Pedersen" <tusk@daimi.au.dk> skrev i en meddelelse
> news:a18189$iuk$1@news.net.uni-c.dk...
>
> > Efter min mening er der ingen grund til at stoppe nogle ICMP-pakker
> overhovedet
> > af en firewall.
>
> Vil det sige at ICMP-pakker ikke kan "indeholde" virus eller øvrige
> hacker"angreb" / ulovlig tilgang til min maskine ?
>
> mvh.
> Hallum

Jeg er ikke sikker (og så i en Sikkerhedsnyhedsgruppe *sigh* :) men måske
vil DoS-attacks være mulige, f.eks. ping-floods, da ICMP er f.eks.
pingpakker... Der ud over vil en blokering af ICMP vel på et eller andet
plan være med til at "skjule" om der sidder en pc bag en given ip-adresse,
hvis f.eks. man valgte at scanne et subnet via. ICMP.

--
Mvh.
Lars [ZulFo] Jensen

---

HALLUM wrote:

> Vil det sige at ICMP-pakker ikke kan "indeholde" virus eller øvrige
> hacker"angreb" / ulovlig tilgang til min maskine ?


Det er trivielt med "icmp redirect" at ændre i din maskines
routningstabel. Således kan jeg din route trafik til
www.dendanskebank.dk over til min maskine, eller trafik til din lokale
filserver til min maskine.

Generelt kan det _ikke_ anbefaldes at åbne for ICMP da man kan
modificere maskiners opsætning og opførelse.

Et submænge at ICMP protokollen kan godt anbefaldes, type 0, 3 og 11.

Se http://www.iana.org/assignments/icmp-parameters for at se det
forskellige typer. Dette link referer også til de enkelte RFC'er der
gennemgår det mere i detalje.

---

On Sun, 06 Jan 2002 01:07:45 +0100, "Christian E. Lysel"
<chlyshoswmdatapunktumcom@example.net> wrote:

>Et submænge at ICMP protokollen kan godt anbefaldes, type 0, 3 og 11.

....hvad med 4, Source Quench?

/Jarlskov

---

Martin Moller Pedersen wrote:

> Efter min mening er der ingen grund til at stoppe nogle ICMP-pakker overhovedet
> af en firewall.


Hvad med icmp redirect?

---

Den Sun, 06 Jan 2002 00:58:46 +0100 skrev Christian E. Lysel:
>Martin Moller Pedersen wrote:
>
>> Efter min mening er der ingen grund til at stoppe nogle ICMP-pakker overhovedet
>> af en firewall.
>
>
>Hvad med icmp redirect?

Det gør vel ingen forskel for en hjemmebruger, der kun har en PC - al
trafik skal til routeren, så det værste der kan ske er at en angriber
for lukket forbindelsen, ved at redirecte trafikken til et andet
ip-nr. end gateway'en.

Mvh
Kent
--
Nu har jeg arbejdet i 40 år på at opnå den sublime "mærklighed" og så
har jeg da ikke tænkt mig at lave om på det.
- Asbjørn Christensen i dk.snak 3/1-2002.

---

Kent Friis wrote:

>>Hvad med icmp redirect?
> Det gør vel ingen forskel for en hjemmebruger, der kun har en PC - al
> trafik skal til routeren, så det værste der kan ske er at en angriber
> for lukket forbindelsen, ved at redirecte trafikken til et andet
> ip-nr. end gateway'en.


Umiddelbart har du ret, i ovennævnte simple setup.

Hvis han kører VPN ind imod sit arbejde er situationen en anden.

Eller hvis brugeren har flere interfaces.

---

Kasper Dupont <kasperd@daimi.au.dk> wrote:
> Til min store overraskelse kunne jeg ikke finde ICMP nævnt
> noget sted i OSS(FAQ) så jeg må vel i gang med at forklare
> det.
[..]
> Burde noget af dette ikke nævnes i afsnittet "Jeg har
> installeret en personlig firewall. Hvad skal jeg vide?" i
> OSS'en?

Da jeg saa HALLUM's spoergsmaal i gruppen begyndte jeg at skrive paa "Hvad
er IP, UDP, TCP og ICMP?" som et afsnit i ordforklaringen. Jeg vil bruge din
beskrivelse af ICMP; tak for den.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

> Da jeg saa HALLUM's spoergsmaal i gruppen begyndte jeg at skrive paa "Hvad
> er IP, UDP, TCP og ICMP?" som et afsnit i ordforklaringen. Jeg vil bruge din
> beskrivelse af ICMP; tak for den.



Har du også tænkt dig at skrive at ICMP er harmløst?

---

Christian E. Lysel <chlyshoswmdatapunktumcom@example.net> wrote:
> Alex Holst wrote:
>
>> Da jeg saa HALLUM's spoergsmaal i gruppen begyndte jeg at skrive paa "Hvad
>> er IP, UDP, TCP og ICMP?" som et afsnit i ordforklaringen. Jeg vil bruge din
>> beskrivelse af ICMP; tak for den.
>
> Har du også tænkt dig at skrive at ICMP er harmløst?

Ja, men teksten vil ogsaa tage hoejde for Loki:

http://phrack.org/show.php?p=49&a=6

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

>>Har du også tænkt dig at skrive at ICMP er harmløst?
>
> Ja, men teksten vil ogsaa tage hoejde for Loki:
>
> http://phrack.org/show.php?p=49&a=6


Mente du "ja"?

Hvad med, http://www.networkmagazine.com/article/NMG20000829S0003

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3C381A48.1070701@example.net

> > Da jeg saa HALLUM's spoergsmaal i gruppen begyndte jeg at skrive paa
"Hvad
> > er IP, UDP, TCP og ICMP?" som et afsnit i ordforklaringen. Jeg vil bruge
din
> > beskrivelse af ICMP; tak for den.

> Har du også tænkt dig at skrive at ICMP er harmløst?

Lige indtil næste ping of death

---

Flemming Riis <flemming@riis.nu> wrote:
> "Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
> news:3C381A48.1070701@example.net
>> Har du også tænkt dig at skrive at ICMP er harmløst?
>
> Lige indtil næste ping of death

Der var ikke noget fantastisk ved "Ping of Death." -- Det skyldes svjh et
buffer overflow, som der opdages adskellige af hver eneste dag. Det eneste
interessante punkt er, fejlen var i tcp stacken og ikke en applikation der
specifikt skulle binde sig til en BSD socket port.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk> wrote in message
news:slrna3gnj3.tmt.a@C-Tower.Area51.DK

> Der var ikke noget fantastisk ved "Ping of Death." -- Det skyldes svjh et
> buffer overflow, som der opdages adskellige af hver eneste dag. Det eneste
> interessante punkt er, fejlen var i tcp stacken og ikke en applikation der
> specifikt skulle binde sig til en BSD socket port.

ah :) man bliver jo klogere hver dag ty

---

"Christian E. Lysel" wrote:
>
> Alex Holst wrote:
>
> > Da jeg saa HALLUM's spoergsmaal i gruppen begyndte jeg at skrive paa "Hvad
> > er IP, UDP, TCP og ICMP?" som et afsnit i ordforklaringen. Jeg vil bruge din
> > beskrivelse af ICMP; tak for den.
>
> Har du også tænkt dig at skrive at ICMP er harmløst?

Jeg citerer lige mig selv: "mange af dem er fuldstændig harmløse".
Der står ikke, at alle ICMP pakker er harmløse. Jeg anbefalede
heller ikke at lukke alle ICMP pakker ind. Svar på egne udgående
pakker bør lukkes ind, og evt. ICMP echo request.

--
Kasper Dupont

Notice: By sending SPAM (UCE/BCE) to this address, you are
accepting and agreeing to our charging a $1000 fee, per
email, for handling and processing, and you agree to pay any
and all costs for collecting this fee.

---

On Sun, 6 Jan 2002 07:18:11 +0100, Alex Holst <a@area51.dk> wrote:

>Da jeg saa HALLUM's spoergsmaal i gruppen begyndte jeg at skrive paa "Hvad
>er IP, UDP, TCP og ICMP?" som et afsnit i ordforklaringen. Jeg vil bruge din
>beskrivelse af ICMP; tak for den.

Så se også disse fra dk.edb.netaerk's FAQ:
http://www.net-faq.dk/cgi-bin/faqmain.pl?get=tcpip
http://www.net-faq.dk/cgi-bin/faqmain.pl?get=tcp
http://www.net-faq.dk/cgi-bin/faqmain.pl?get=udp
http://www.net-faq.dk/cgi-bin/faqmain.pl?get=icmp

/Jarlskov