Ich hatte neulich mal wieder die beliebte Diskussion zur letzten Regel einer Check Point Firewall: “Was ist besser? Drop oder Reject?” Ich finde, die Frage läßt sich gar nicht so einfach beantworten.
Drop, das ist klar, läßt ein Datenpaket einfach verschwinden. Weg. Futsch. Keine Antwort. Für einen NMap SYN-Scan schön erkennbar: open, closed, filtered. Keine Antwort = filtered. Bei UDP ist das jedoch ein wenig komplizierter, da läßt sich zwischen open und filtered nur schwer unterscheiden. Die IP-Adresse der Firewall krieg man meist trotzdem raus, zum Beispiel oft mit einem TCP-Traceroute. Cain& Abel kann sowas.
Reject schickt eine Antwort zurück. Nur … welche? Und ist das konfigurierbar wie bei Netfilter?
- ICMP Type 3, Code 0 (Network Unreachable)
- ICMP Type 3, Code 1 (Host Unreachable)
- ICMP Type 3, Code 3 (Port Unreachable)
- ICMP Type 3, Code 13 (Communication Administratively Prohibited)
Zumindest die letzte Fehlermeldung gibt schon sehr genau Aufschluß darüber, daß ein Paketfilter vorhanden ist.
Andere Überlegung: Im Idealfall sollte es eigentlich egal sein, ob der Angreifer weiß, daß eine Firewall vorhanden ist, welche IP-Adresse die Firewall hat, von welchem Hersteller sie ist und welcher Regelsatz implementiert ist. Gut, in der Praxis trifft das oft nicht zu, aber wir glauben heute mal an das Gute im Firewall-Administrator. 
Dann bleibt für mich übrig: Bei einem Reject schickt die Firewall Pakete an eine fremde (d.h. nicht näher bekannte) IP-Adresse. Wenn die Absenderadresse nun gefaked ist, kann man die Firewall leichter z.B. für einen DoS-Sturm mißbrauchen und das will ich lieber nicht.
Das ist so ähnlich wie mit den Rückmeldungen per E-mail, daß eine angeblich von mir verschickte Mail einen Virus enthalten hätte. Nur verwenden viele Viren gefälschte Absenderadressen aus den Adressbüchern und meistens ist genau der, der als Absender drinsteht für den Virus gar nicht verantwortlich. Und ich freue mich bestimmt nicht über die penetrante Werbung einzelner Virenscannerhersteller, daß sie wieder einen Virus vernichtet haben (aber nicht in der Lage sind zu erkennen, daß die Abenderadresse gefälscht war und eine Rückmeldung daher sinnlos).
Tags: Check Point, DoS, Drop, Firewall, ICMP, Reject