![[Inhalt]](toc.gif)
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |
SNMP ist ein Dienst auf Basis von UDP SNMP-Server in Netzgeräten überwachen sowohl TCP-Port 161 als auch UDP-Port 161 SNMP-trap-Server in Verwaltungsstationen überwachen sowohl TCP-Port 162 als auch UDP-Port 162. SNMP-Clients benutzen im allgemeinen Portnummern über 1023, um Verbindung zu normalen und Trap-Servern aufzunehmen.
Regel Richtung Protokoll Quellport Zielport Ergänzungen
1 ein UDP >1023 161
2 aus UDP 161 >1023
3 ein TCP >1023 161 SYN/ACK
4 aus TCP 161 >1023 ---/ACK
5 aus UDP >1023 161
6 ein UDP 161 >1023
7 aus TCP >1023 161 SYN/ACK
8 ein TCP 161 >1023 ---/ACK
9 ein UDP >1023 162
10 aus UDP 162 >1023
11 ein TCP >1023 162 SYN/ACK
12 aus TCP 162 >1023 ---/ACK
13 aus UDP >1023 162
14 ein UDP 162 >1023
15 aus TCP >1023 162 SYN/ACK
16 ein TCP 162 >1023 ---/ACK
1: Externe Verwaltungsstation (Client) nimmt Kontakt zu internem SNMP-Netzgerät (Server) auf
2: Internes SNMP-Netzgerät (Server) antwortet der externen Verwaltungsstation (Client)
3: Externe Verwaltungsstation (Client) nimmt Kontakt zu internem SNMP-Netzgerät (Server) auf. ACK gesetzt, außer im ersten Paket
4: Internes SNMP-Netzgerät (Server) antwortet der externen Verwaltungsstation (Client). ACK gesetzt
5: Interne Verwaltungsstation (Client) nimmt Kontakt zu externem SNMP-Netzgerät (Server) auf
6: Externes SNMP-Netzgerät (Server) antwortet der internen Verwaltungsstation (Client)
7: Interne Verwaltungsstation (Client) nimmt Kontakt zu externem SNMP-Netzgerät (Server) auf. ACK gesetzt, außer im ersten Paket
8: Externes SNMP-Netzgerät (Server) antwortet der internen Verwaltungsstation (Client). ACK gesetzt
9: Externes Netzgerät (Client) nimmt Kontakt zu interner SNMP-Verwaltungsstation (trap-Server) auf
10: Interne SNMP-Verwaltungsstation (trap-Server) antwortet dem externen Netzgerät (Client)
11: Externes Netzgerät (Client) nimmt Kontakt zu interner SNMP-Verwaltungsstation (trap-Server) auf. ACK gesetzt, außer im ersten Paket
12: Interne SNMP-Verwaltungsstation (trap-Server) antwortet dem externen Netzgerät (Client). ACK gesetzt
13: Internes Netzgerät (Client) nimmt Kontakt zu externer SNMP-Verwaltungsstation (trap-Server) auf
14: Externe SNMP-Verwaltungsstation (trap-Server) antwortet dem internen Netzgerät (Client)
15: Internes Netzgerät (Client) nimmt Kontakt zu externer SNMP-Verwaltungsstation (trap-Server) auf. ACK gesetzt, außer im ersten Paket
16: Externe SNMP-Verwaltungsstation (trap-Server) antwortet dem internen Netzgerät (Client). ACK gesetzt
RIP ist ein Dienst auf Basis von UDP. RIP-Server überwachen Port 520, lauschen den Broadcasts anderer Server und Anfragen von Clients. RIP-Server senden ihre Broadcasts gewöhnlich auf Port 520. RIP-Clients benutzen gewöhnlich Portnummern über 1023. RIP-PROXY ist ohne Sinn, da ein Router von jeder Netzwerkkarte und somit zu jeder Seite eigene, voneinander unabhängige Routing-Tabellen aufbaut.
Regel Richtung Protokoll Quellport Zielport
1 ein UDP >1023 520
2 aus UDP 520 >1023
3 aus UDP >1023 520
4 ein UDP 520 >1023
5 ein UDP 520 520
6 aus UDP 520 520
2: Antwort des internen Servers an den externen Client
3: Anfrage des internen Clients an den externen Server
4: Antwort des externen Servers an den internen Client
5: Broadcast des externen Servers an internen Server
6: Broadcast des internen Servers an externe Server
Regel Richtung Protokoll Meldungstyp Kommentar
1 ein ICMP 8 Eingehendes PING
2 aus ICMP 0 Antwort auf eingehendes PING
3 aus ICMP 8 Ausgehendes PING
4 ein ICMP 0 Antwort auf ausgehendes PING
TRACEROUTE ist ein Protokoll, mit welchem man die Wege der Pakete im Internet bestimmen kann. Hierbei werden die TTL-Werte von 1 anfangend bis zum Ziel stetig erhöht, und die Response-Zeiten gemessen. Es gibt z.B. bei Microsoft Implementierungen, die nicht auf ICMP, sondern auf UDP beruhen.
Regel Richtung Protokoll Meldungstyp
1 aus UDP
2 ein ICMP 11
3 ein ICMP 3
4 ein UDP
5 aus ICMP 11
6 aus ICMP 3
1: Ausgehender TRACEROUTE-Test; Quell- und Ziel-Port sind abhängig von der Implementierung
2: Eingehendes TLL exceeded
3: Eingehendes service unavailable
4: Eingehender TRACEROUTE-Test; Quell- und Ziel-Port sind abhängig von der Implementierung
5: Ausgehendes TLL exceeded
6: Ausgehendes service unavailable
Die große Frage bei ICMP Meldungen ist: Welche kann man sperren, welche sollte man sperren und welche Effekte sind dann zu erwarten:
ICMP Meldung 0 ist ein echo reply, also eine Antwort auf ping. ICMP Meldung 3 (destination unreachable) - kann unter anderem bedeuten, daß der Rechner, das Netz oder der Port nicht erreichbar ist. ICMP Meldung 4 (source quench) bedeutet daß der Empfänger den Absender bremsen möchte. Diese Meldung sollte erlaubt werden. Andererseits können so beliebige Angreifer den Host beliebig ausbremsen. ICMP Befehle sollten also nur direkt von dem nächsten Router akzeptiert werden. ICMP Meldung 5 (redirect) ist eine Aufforderung an den Absender, eine Route zu ändern. Diese sollte von dem Host ignoriert werden, falls es nicht von einem direkt angeschlossenen Router stammt. Sicherheitshalber sollte es ganz abgeschaltet werden. Man sollte vor allem dafür sorgen, daß es von den Routern innerhalb des Firewalls blockiert wird. ICMP Meldung 8 ist ein echo request, der wird von ping erzeugt wird. Diese Meldung kann erlaubt werden. ICMP Meldung 11 (time exceeded), bedeutet, daß ein Paket in einer Schleife hängt. Diese Meldung sollte zugelassen werden. ICMP Meldung 12 (parameter problem) bedeutet, daß es Probleme mit dem Paket-Header gibt. Diese Meldung kann erlaubt werden.
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |