|
|
| ICMP |
Das Internet Control Message Protocol
Ein Teiprotokoll von IP
Insbesondere sollten folgende ICMP-Nachrichten nicht von
Paketfiltern blockiert werden:
- echo-request(8)/echo-reply(0)
Ein "Ping" ist kein Angriff, sondern ein wichtiges Diagnosewerkzeug
bei Netzwerkproblemen. Diesen Dienst nicht zu erlauben, erhöht die
Sicherheit nicht, erschwert aber die Lösung eigener Netzwerkprobleme.
- destination-unreachable(3)/time-exceeded(11)parameter-problem(12)
Blockiert man diese Meldungen, stört man sich im wesentlichen selbst.
Man kann von der Gegenseite nicht mehr sofort informiert werden,
wenn ein Problem aufgetreten ist, sondern muß den timeout abwarten.
Ein spezielles Problem stellt das Blockieren von
"dest unreach-fragmentation needed and DF set" dar. Diese Einstellung
verursacht Probleme mit der TCP-PMTUD, was zu eigenen Verbindungsproblemen
mit einem diffusen und schwer nachvollziehbarem Fehlerbild führt.
Besonders Nutzer von DSL-Anschlüssen haben unter diesem Effekt zu leiden.
- source-quench(4)
Ignoriert man Source-Quench, so wird man nicht rechtzeitig informiert,
daß die Verbindung das Netz überlastet. Man erzeugt weiter eine
Menge Pakete, die letztlich großenteils verworfen werden. Dieses
Verhalten ist weder nützlich, noch anderen Netzteilnehmern gegenüber
sozial.
|
| Integrität |
Der Schutz von Daten vor unbefugter Änderung.
|
|
