FBF reagiert auf Ping aus Internet --> wie abschalten?

malcolmz

Neuer User
Mitglied seit
11 Nov 2004
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hi,
wenn man mit Shields Up ( https://grc.com/x/ne.dll?bh0bkyd2 ) seine Firewall testet, kommt als Meldung, dass das System (ergo FritzBox) auf Pings antwortet und dass das nicht gut sei. Bin zwar nicht der große Netzwerk-Guru, aber ich glaube das kann man unterschreiben. Schließlich weiß jemand, der den IP-Bereich bei z.B. Freenet systematisch scannt dann schon mal deine IP und kann dann anfangen zu "spielen". Ich hatte gestern im Log meiner Softwarefirewall (Kerio PFW 2.1.5) einen Portscan von 1680-1900 verzeichnet, d.h. derjenige war durch die FW der Fritzbox und durch den SMC7004AWBR dahinter schon durch...

Lange Rede kurzer Sinn: Weiß irgendjemand, wie man bei der FB die Option "Discard Ping from WAN-Side" einschaltet, die es ja in jedem anderen vernünftigen DSL-Router gibt? Oder braucht VoIP die Ping-Antwort und man sollte es nicht deaktivieren?

Danke
malcolmz
 
Ich würde die Tatsache, dass dein Rechner "angepingt" wurde,
nicht überbewerten - ist ja kein Angriff.
Dein Rechner wird nicht unsichtbar im Netz, wenn auf Pings nicht
geantwortet wird.
 
@supasonic: Ich hab es vielleicht nicht genau beschrieben - aber da meine firewall auf dem rechner einen portscan verzeichnet hat, heißt das, das derjenige schon durch die FB Firewall durch war und auf den rechner zugreifen konnte. das sollte hinter einem NAT-Router (was die FB ist) gar nicht so ohne weiteres möglich sein. - Das mit dem Ping-Test war natürlich unabhängig von dieser Thematik gemeint. Ein System, das auf Pings von außen ne Antwort gibt, hat einfach eine weitere potenzielle Lücke.
(übrigens: win2000 SP4 mit Benutzerrechten, alle unnötigen Dienste mit nem Supertool vom CCC abgeschaltet: www.dingens.org )
 
Wie will der Rechner aussen denn Deinen Rechner scannen, wenn dazwischen ein NAT hängt? Wohin soll der NAT-Router die ganzen Anfragen denn weiterleiten? Ich kanns mir nicht vorstellen. Und Ich glaube auch nicht, daß jemand von außen die Fritzbox geentert hat, um von hier aus Dein lokales Netz zu scannen.
Oder hast Du vielleicht einen großen Portrange (1680-1900) freigegeben (evtl. mit uPNP von Deinem PC aus)? Für irgendein Spiel oder nen Chat-Proggi oder so? Dann ist klar, daß die ganzen Anfragen zu Deinem Rechner durchdringen, weil die Fritzbox sie ja wegen der Portfreigabe ganz brav an Deinen Rechner weiterroutet...
 
Also, hat alles eine Vor- und Rückseite.Ein Ping ist zunächst mal nichts "böses".Das ist ein ICMP Echo Request.ICMP ist zwar nicht zwingend erforderlich für die meisten Sachen, aber bei einigen Sachen kann es sich störend auswirken, wenn dieses Protokol einfach geblockt wird.Traceroute, PMTU Discovery und noch andere funktionieren nicht, wenn ICMP geblockt wird.Als Internet-Endpunkt ohne Serverdienste kann man sicher darauf verzichten.Auch stimmt es, das man schwerer zu finden ist für Attacken, wenn man nicht auf ICMP Echo request antwortet.
Nur heißt das ja eben nicht, das ICMP unnötiger Ballast ist, den man einfach nur unterdrücken muß, und schon ist man alle Probleme los.
Hinter einem Router braucht man einen Portscan nicht zu fürchten, da kann sowieso nicht viel passieren, weil alle Ports per Standard "stealth" sind ( außer Port 113, das hat wieder bestimmte Gründe).Insofern ist das relativ Jacke, ob man gescannt wird, weil dies ohnehin passiert ( Portscanner).Den Port 113 findet man auch immer ( es sei denn er ist auch stealthed), also was solls.
Port 1900 könnte vom SSDP Service kommen, der nach Internet Gateways in Deinem LAN sucht.Auch wenn SSDP abgeschaltet wurde,
wird der MSN Messenger weiterhin mit Broadcasts über UDP 1900 nach
Upstream Gateways suchen.Viel was anderes kann ich mir nicht vorstellen, da an Deinem Router keine Ports offen sein können, die Du nicht selber geöffnet hast oder die von UPnP für eine Anwendung geöffnet wurden.Bei der Fritz Fon sind standardmäßig noch eine Reihe von Ports offen, die VoIP/SIP benötigt.
Also nicht verrückt machen lassen, sondern die Firewall Logs mal genau ansehen und analysieren.
Den Ping Reply kannst Du an der FBF nicht ohne weiteres abschalten,
dafür müßtest Du per telnet die Firewall Config manuell editieren.

Grüße

TWELVE
 
@Novize
-------------
Zitat Novize:
Wie will der Rechner aussen denn Deinen Rechner scannen, wenn dazwischen ein NAT hängt? Wohin soll der NAT-Router die ganzen Anfragen denn weiterleiten? Ich kanns mir nicht vorstellen.
--------------
Eben - deswegen frag ich mich ja, wie das geht.

Vielleicht bin ich auch total auf dem Holzweg :lol: Daher hier mal der Link zu dem Protokollausschnitt der Kerio-Firewall auf dem Rechner:
http://www.kleinundpartner.net/temp/firewall-log.txt
Auf dem Server 38.118.142.196, von dem die Anfragen unter Port 80 kamen, war ich übrigens garantiert nicht vorher drauf.
Bitte keine fiesen bemerkungen, falls ich irgendwas total missverstanden hab :wink:

@Twelve:
Ich hab in der FB null Ports extra freigeschaltet, und auf meinem rechner lief zu diesem Zeitpunkt kein einziges Programm, dass irgendwelche Extraports aufmachen könnte. Der ganze Windows-Dienst-Schnickschnack ist eh abgeschaltet. Bei dem oben genannten testScan von außen werden auch die ersten 1024 Ports als stealthed angezeigt. Also alles paletti - aber warum seh ich dann im Log der Software-FW nen Portscan über 100 Ports?
 
Die IP 38.118.142.196 (lin2.infinology.com) ist ein Webserver, warum sollte der Dich scannen...? Sieht eher wie eine Antwort eines Webservers
auf eine Anfrage aus.Kann da nichts ungewöhnliches erkennen.Oft werden auch Sachen über (z.T.unsichtbare) Links in Webseiten von anderen Sites nachgeladen, daher kann dies auch von einer Webseite kommen, die man gar nicht besucht hat.Der Log ist in meinen Augen ok,
der Webserver versucht Dich zu kontaktieren, aber da er geblockt wird, bekommt er keine Antwort.Deshalb versucht er es auf dem nächsten Remote Port.
Ansonsten würde mir nur noch als Erklärung einfallen, das Du die Fritz Fon als DSL Modem betreibst.Dann biste natürlich NICHT hinter der NAT Firewall versteckt.

Grüße

TWELVE
 
@Twelve:
Ich vermute, du hast recht mit der Webserver-Rückfrage über mehrere Ports. Wahrscheinlich wurde der Request an den Server tatsächlich über das Laden eines Links im Hintergrund auf einer Webseite abgesetzt.
Danke für alle Antworten!
Grüße
malcolmz
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.