Vraag
Reacties
Aankondigingen
Nieuw op de Community? Laat ons in 3 minuten weten wat je verwacht van je bezoek. Vul nu de vragenlijst in.
almodovaris
Level 11

Ziggo modems zijn pingbaar - veiligheidsrisico

Hoe schakel ik uit ping vanaf buiten? Ik heb Compal Connect Box. Ik wil geen bridge mode. Ik wil dat de modem beantwoord geen ping. Pingbaar blijven is een veiligheidsrisico.

0 Kudos
e-mail meldingen
Aan Uit
27 Reacties 27
hanh
Oud Community-lid
Je ports zijn in elk geval Stealth. Dat is tenminte wat.
Ik heb een Arris met Dual Stack. Extern IPv4 en IPv6 address zijn pingable.
Bij de Firewalls zijn geen instellingen die dit kunnen verhinderen.
Het blijft een simpel Routertje voor de gemidelde klant.
0 Kudos
Dave
Level 20
T.E.A.M.
Dit geld ook voor de Compal Connect Box heeft precies hetzelfde alleen deze ondersteunt maar IPv4.

Zelfde antwoordt als hanh geeft behalve de IPv6 wordt niet door Compal Connect Box Ondersteunt.
0 Kudos
Ronihd
Level 18
T.E.A.M.
Ik schat het veiligheidsrisico niet zo hoog in .

Bijna alle websites zijn pingbaar

Mark
Oud Community Moderator
Oud Community Moderator
Hi almodovaris, of het een veiligheidsrisico is of niet weet ik niet. Die discussie ga ik niet voeren in ieder geval.

Maar heeft de ipv4 firewall geen ICMP flood opties? Daarin kun je ook een waarde aanpassen voor de snelheid of iets dergelijks. Is je modem nog te pingen als je die waarde op 0 zet (of 1000000)? Ik weet niet precies waar die snelheid voor staat...Ik heb hier helaas even geen Connectbox met IPv4 profiel om mee te testen.
0 Kudos
efok
Level 17
Ik zie geen veiligheidsrisico, waar ben je bang voor?
0 Kudos
almodovaris
Level 11
Topicstarter
0 is niet toegestaan als waarde voor TCP flood. 10000 helpt ook niet. 99999 is al niet toegestaan.
0 Kudos
hanh
Oud Community-lid
Heb Arris met Dual Stack. Kan in de Firewall geen waarde instellen voor IP Flood Detection.
Laat staan iets voor ICMP Echo (=ping).
Aanzeten van IP Flood Detection kan wel. Als aan, dan blijft mijn externe IP te pingen.
Dus ............
0 Kudos
Sparco1955
Level 16
almodovaris ,

Elk huis heeft een deurbel maar dat betekent niet dat je meteen binnen bent als je aanbelt. Tenzij men ramen en deuren open heeft staan dan komt ieder gek wel binnen. Een ping geeft alleen terug dat er een apparaat aanwezig is. Leuk leesvoer : https://www.security.nl/posting/38484/Hoe+kan+ik+PING+uitschakelen%3F
Gusto
Level 7
Die connectbox uitzetten, en de kabel er uit trekken, probleem opgelost. 😉
almodovaris
Level 11
Topicstarter
Ok, correctie: niet TCP flood, maar ICMP echo flood. 0 is niet toegestaan, 10000 helpt niet, 99999 is niet toegestaan.
0 Kudos
almodovaris
Level 11
Topicstarter
Ok, het risico is vrij laag. Dit geloof ik. Maar het is toch vreemd doen met de firmware van de modem (vreemd geprogrammeerd).
0 Kudos
RadioGuy
Level 4
Dit was wel fijn geweest als dat er in zat.

Een optie dus om alle ICMP te blokkeren om zo meer stealth te zijn op het net.

Nu moet dus de box in bridge omdat te regelen.
0 Kudos
hanh
Oud Community-lid
--------------------------------------------------------------------------------------
Nou het hele ICMP protocol blokkeren lijkt me niet zo handig. Er zijn aardig wat Requests waarop Response nodig is.
Bij sommige Routers zie je wel een Firewall optie om geen Response te geven op ICMP echo Requests = ping. Op de Connectbox Router niet.
0 Kudos
efok
Level 17
RadioGuy wrote:
Dit was wel fijn geweest als dat er in zat.

Een optie dus om alle ICMP te blokkeren om zo meer stealth te zijn op het net.

Nu moet dus de box in bridge omdat te regelen.

Ook zonder Ping reply is je IP wel te vinden/scannen hoor. Maak je geen illusies. Ik zie het probleem niet eigenlijk.
Zpiep
Level 1
efok wrote:

RadioGuy wrote:
Dit was wel fijn geweest als dat er in zat.

Een optie dus om alle ICMP te blokkeren om zo meer stealth te zijn op het net.

Nu moet dus de box in bridge omdat te regelen.
Ook zonder Ping reply is je IP wel te vinden/scannen hoor. Maak je geen illusies. Ik zie het probleem niet eigenlijk.


YUp vooral al degenen die ook hun ISP mail gebruiken ( en dan niet alleen de IP) haha
:wink:

nn de rest schrijf ik beter niet.
0 Kudos
RadioGuy
Level 4
Zpiep wrote:

efok wrote:

RadioGuy wrote:
Dit was wel fijn geweest als dat er in zat.

Een optie dus om alle ICMP te blokkeren om zo meer stealth te zijn op het net.

Nu moet dus de box in bridge omdat te regelen.
Ook zonder Ping reply is je IP wel te vinden/scannen hoor. Maak je geen illusies. Ik zie het probleem niet eigenlijk.
YUp vooral al degenen die ook hun ISP mail gebruiken ( en dan niet alleen de IP) haha
:wink:


nn de rest schrijf ik beter niet.

En waarom schrijf je de rest dan niet? Zucht.

Je gedraagt je alsof het een groot geheim is email headers.

Er word hier alleen gesproken om een netwerk device (het standaard modem) niet zichtbaar te laten zijn op de WAN kant d.m.v. ICMP.

Welke reden iemand daar voor heeft is totaal niet belangrijk, alleen dat het niet kan en nog geen feature wel.

Nu moet je het modem bridgen als je dit graag wilt hebben.
0 Kudos
Zpiep
Level 1
nen bedoelde natuurlijk niet de headers.

De rest kan je e.a. vinden op het web en hier in forum.

Efok gaf ook een voorzetje enz.

Zolang er geen werkelijk vrije modemkeuze is dus bridgemode wil je al iets zelf neerzetten en configureren. blijven er juist beperkingen wat veiligheid betreft.

DE ISP routers/modems enz. zijn wat veel zaken betreft nu niet echt een voorbeeld voor secure..

Daar is ping... maar een super super klein deeltje van. 🙂

Zelfs wat leken betreft is het jammer dat men zulke … modems/routers met alles eromheen als meer veilig zijn bestempeld dan bijv vrije router modemkeuze. ( drogreden van diverse ISP's en eerder in de praktijk het tegendeel! )
0 Kudos
Zpiep
Level 1
Sparco1955 wrote:
almodovaris ,

Elk huis heeft een deurbel maar dat betekent niet dat je meteen binnen bent als je aanbelt. Tenzij men ramen en deuren open heeft staan dan komt ieder gek wel binnen. Een ping geeft alleen terug dat er een apparaat aanwezig is. Leuk leesvoer : https://www.security.nl/posting/38484/Hoe+kan+ik+PING+uitschakelen%3F


UH behalve als je RING en co deurbelletje hebt zeer berucht niet dan?
0 Kudos
Nicksel
Level 3

Compal modem bedraad (firewall modem ingeschakeld). Volgens shieldsup zijn de poorten stealth met uitzondering van 80,443 en 8443 die closed zijn. Deze poorten krijg ik niet op stealth ook niet met de windows firewall. Is dat geen beveiligingsrisico?

0 Kudos