[server] is ping gevaarlijk?
Is het slim om ping-requests te blokkeren in de firewall? Ik lees op Google erg veel gemengde meningen. Veel mensen zeggen dat je de ping-service gewoon aan kunt laten staan, omdat het handig is om te zien of je server nog bereikbaar is en omdat het verder geen gevaar oplevert.
Andere mensen zeggen juist weer dat je het moet blokkeren, omdat het gevoelig is voor Ddos-aanvallen en omdat je eerder slachtoffer kunt worden van hackers, omdat die door jouw server te pingen weten dat de server online is.
Wat is wijsheid? Moet ik het ingeschakeld laten (handig voor monitoring) of moet ik het juist uitschakelen omdat het een kwetsbaarheid van de server is?
Reacties zijn welkom.
De vraag is, kun je de ping-service veilig ingeschakeld laten, of kun je deze beter blokkeren?
Als het geen kwaad kan, dan laat ik het graag ingeschakeld staan. Als het echter wel kwaad kan, waarbij ik denk aan Ddos-aanvallen, exploits e.d., dan zet ik 'm liever uit.
Maar ik weet hier dus te weinig van af om een goede keuze te kunnen maken. Dus ik hoop dat iemand mij goede argumenten kan geven om de ping-service ingeschakeld te laten of om 'm uit te schakelen. Ik weet het even niet meer namelijk.
Denk dat dit een gevalletje voorkeur is. Waarom zou ik als kwaadwillende alleen proberen je server plat te leggen met ping? Zoals Arien al aangeeft, kan ik ook een overload verzorgen op poort 80. Als poort 80 plat gaat, dan gaan er meer poorten plat he. Immers zal de database dit ook niet echt prettig vinden.
Dus zou ping nou echt zo voor de hand liggen om dit te doen?
Denk het niet.
Maar als iemand ook met een virtuele stormram op poort 80 staat in te beuken, en de server krijgt een hoge load, dan kan die wel weer MySQL meenemen omdat de server het te druk heeft. Maar dan moet er echt excessief grof geweld gebruikt worden.
Even als laatste dan ... is het niet zo dat ik door de ping-service in te schakelen EERDER kans heb om te worden aangevallen? Kan het bijvoorbeeld zijn dat er specifieke hack-tools zijn die eerst pingen om te zien of een server actief is, en dan pas verder gaan met hun hack-activiteiten?
Misschien maak ik me wel helemaal druk om niks hoor. Ariën staat bijv. op jouw eigen server de ping-service aan?
Dan is dit verder nogal koffiedik kijken. Als het echt zo makkelijk was om overal en masse (en geautomatiseerd) in te breken zou dit toch een veel wijdverbreider fenomeen zijn? Dit hangt ook af van de gebruikte hard- en software, hoe up to date alles is en eventuele pakketten die je gebruikt. Ik denk dat ook hier geldt dat je systeem zo sterk is als de zwakste schakel.
En wie zegt dat als er ingebroken is dat dat evident wordt? Ook hangt het af het doel waarmee men een server aanvalt. Als jij doelgericht wordt aangevallen met de insteek om de zaak plat te leggen... daar lijkt mij weinig tegen opgewassen?
Heb je voor de gein wel eens je access log doorgespit en eens uitgezocht waar al die IP's vandaan komen :). Er komt al een hele hoop voorbij zonder dat je er erg in hebt waarschijnlijk.
Wanneer je een grote vis bent en/of op een of andere manier interessant bent, ik denk dat je op dat moment pas interessanter wordt voor doelgerichte aanvallen. Als je enkel een websitetje host voor de lokale voetbalvereniging dan zal men wellicht proberen jouw site via een gestandaardiseerde manier over te nemen maar zal niet meer moeite nemen dan dat.
Ik denk dat er een zekere parallel is met dat hele privacy debat - mensen delen gegevens over zichzelf op het internet maar willen wel de regie houden (paradox?). Of men is paranoia dat links er rechts allerlei persoonlijke gegevens worden verzameld (die paranoia is waarschijnlijk wel terecht :p). Hier had een columnist wel een interessante repliek op: deze relativeerde het een en ander door de simpele stelling dat de persoon die zich hier zo druk over maakt simpelweg niet interessant genoeg is om onder de microscoop gelegd te worden. Voor sites en servers zal iets soortgelijks gelden: zolang je niet groot of speciaal bent, ben je simpelweg niet interessant genoeg om direct/doelgericht aangevallen te worden. Neemt niet weg dat je gewoon je spullen moet beveiligen, maar je hoeft hier niet speciaal voor uit je weg te gaan... tenzij hier aanleiding voor is.
Je zou natuurlijk ook gewoon je ping service een tijd kunnen monitoren en nagaan wat daar allemaal gebeurt, maar dan kom ik weer terug op mijn oorspronkelijke vraag en als het antwoord daarop nee is dan is de oplossing simpel.
Ik heb een monitoring tool aangeschaft waarmee ik o.a. kan controleren op ping (maar ook op http, mail enz.). Ping is echter wel zo'n ding waarvan je weet dat als die eruit ligt, je hele server plat ligt. Dus op zich zeker wel nuttig om te monitoren lijkt me.
Ik weet dat er heel veel shit aan hackpogingen voorbij komt. Ik heb e.e.a. al aardig dichtgetimmerd, maar dit was dus even zo'n dingetje waarvan ik me afvroeg of ik er iets mee moet. Liever laat ik het gewoon ingeschakeld staat, maar dan moet het niet extra (noemenswaardig) risico opleveren.
De grote vraag is dus eigenlijk:
Kan via de ping-service je server worden aangevallen / binnengedrongen / platgelegd? (Daarbij ga ik er vanuit dat alles up to date is.)
Gewijzigd op 31/12/2018 13:23:35 door Ozzie PHP
(Google: ways to check if server is up, 1e resultaat)
Ping only tests for the ability to respond to pings, so that's base OS, parts of the IP stack and the physical links - but that's all, everything else could be down and you'd not know.
De vraag is ook: als ping requests niets teruggeven, betekent dit dan ook dat de server down is? En wat probeer je precies te testen? Zoals in een van de reacties daar staat:
Quote:
the best way to tell if a server is currently offering service X is to request service X
Gewijzigd op 31/12/2018 14:03:09 door Thomas van den Heuvel
Ik heb dus bij mijn VPS een monitoring-tooltje waarmee ik om de zoveel minuten kan laten checken of www nog werkt, en de mail, mysql ed. En een van de dingen waarop je dus ook kunt laten checken is ping.
Als een service eruit ligt krijg je een mailtje of sms toegestuurd.
Het is inderdaad veel interessanter om te weten of je website niet meer werkt dan of je ping nog werkt. Daar heb je wel een punt. Misschien dan toch maar beter gewoon uitschakelen. Zouden er eventueel nog andere redenen kunnen zijn waarom ping wél ingeschakeld moet zijn? Bijvoorbeeld in verband met updaten van pakketten? Of heeft ping daar verder niks mee te maken en wordt dat uitsluitend gebruikt om handmatig aan te roepen om te zien of een server reageert?
De meerwaarde valt te betwisten, gezien de Linux kernel zelf een hoop beschermingen biedt. Allemaal configureerbaar via sysctl.
Ah oke, ik blokkeer alleen het inkomende verkeer.
>> Let ook vooral op dat je alleen ICMP echo uitgooit en niet meer dan dat. TCP is nogal afhankelijk van ICMP.
Wat bedoel je precies?
In de firewall (van Plesk) staat een optie "Ping service" en die heb ik geblokkeerd. Er staat echter niet nader gespecificeerd wat die service inhoudt. Maar ja, ik neem aan dat ze erover hebben nagedacht toch? :-s