Ich hatte neulich mal wieder die beliebte Diskussion zur letzten Regel einer Check Point Firewall: „Was ist besser? Drop oder Reject?“ Ich finde, die Frage lässt sich gar nicht so einfach beantworten.
Drop, das ist klar, lässt ein Datenpaket einfach verschwinden. Weg. Futsch. Keine Antwort. Für einen NMap SYN-Scan schön erkennbar: open, closed, filtered. Keine Antwort = filtered. Bei UDP ist das jedoch ein wenig komplizierter, da lässt sich zwischen open und filtered nur schwer unterscheiden. Die IP-Adresse der Firewall krieg man meist trotzdem raus, zum Beispiel oft mit einem TCP-Traceroute. Cain& Abel kann so etwas.
Reject schickt eine Antwort zurück. Nur … welche? Und ist das konfigurierbar wie bei Netfilter?
- ICMP Type 3, Code 0 (Network Unreachable)
- ICMP Type 3, Code 1 (Host Unreachable)
- ICMP Type 3, Code 3 (Port Unreachable)
- ICMP Type 3, Code 13 (Communication Administratively Prohibited)
Zumindest die letzte Fehlermeldung gibt schon sehr genau Aufschluss darüber, dass ein Paketfilter vorhanden ist.
Andere Überlegung: Im Idealfall sollte es eigentlich egal sein, ob der Angreifer weiß, dass eine Firewall vorhanden ist, welche IP-Adresse die Firewall hat, von welchem Hersteller sie ist und welcher Regelsatz implementiert ist. Gut, in der Praxis trifft das oft nicht zu, aber wir glauben heute mal an das Gute im Firewall-Administrator. 🙂
Dann bleibt für mich übrig: Bei einem Reject schickt die Firewall Pakete an eine fremde (d.h. nicht näher bekannte) IP-Adresse. Wenn die Absenderadresse nun gefaked ist, kann man die Firewall leichter z.B. für einen DoS-Sturm missbrauchen und das will ich lieber nicht.
Das ist so ähnlich wie mit den Rückmeldungen per E-Mail, dass eine angeblich von mir verschickte Mail einen Virus enthalten hätte. Nur verwenden viele Viren gefälschte Absenderadressen aus den Adressbüchern und meistens ist genau der, der als Absender drinsteht für den Virus gar nicht verantwortlich. Und ich freue mich bestimmt nicht über die penetrante Werbung einzelner Virenscannerhersteller, dass sie wieder einen Virus vernichtet haben (aber nicht in der Lage sind zu erkennen, dass die Absenderadresse gefälscht war und eine Rückmeldung daher sinnlos).