
<div dir="ltr">I agree with mick that dropping packets is more secure, though probably bad practice. If everyone did this then, yes, the network would suffer on average but when securing a vital server, e.g a tor node, i think it is acceptable.<div>

It really doesnt make it any harder to troubleshoot since any services running can still respond on those ports you specify. You can always play with ACK and FIN scans as well if you drop SYNs. I usually drop everything except 113 IDENT which i reject.</div>

<div><br></div><div>Tom</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On 6 November 2013 13:52, mick <span dir="ltr"><<a href="mailto:mbm@rlogin.net" target="_blank">mbm@rlogin.net</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Wed, 06 Nov 2013 14:00:15 +0100<br>

Jeroen Massar <<a href="mailto:jeroen@massar.ch">jeroen@massar.ch</a>> allegedly wrote:<br>

<br>

> On 2013-11-06 13:47 , mick wrote:<br>

> > On Wed, 06 Nov 2013 14:00:09 +0200<br>

> > Lars Noodén <<a href="mailto:lars.nooden@gmail.com">lars.nooden@gmail.com</a>> allegedly wrote:<br>

> ><br>

> >> On 11/06/2013 01:26 PM, mick wrote:<br>

> >>> I disagree. Dropping all traffic other than that which is<br>

> >>> explicitly required is IMHO a better practice. (And how do you<br>

> >>> know in advance which ports get attacked?)<br>

> >><br>

> >> Using reject instead of drop simplifies troubleshooting.<br>

> >><br>

> >> <a href="http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject" target="_blank">http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject</a><br>

> >><br>

> >> Drop tends to get in the way.<br>

> ><br>

> > Again, I disagree. But I recognise that this can be a religious<br>

> > decision. My default policy is to drop rather than reject. I know<br>

> > that strict adherence to standards implies we should “REJECT” with a<br>

> > helpful ICMP error message.<br>

><br>

> Configure your host with DROP, do an nmap, then configure it with<br>

> REJECT thus for Linux:<br>

><br>

> IPv4: -j REJECT --reject-with icmp-port-unreachable"<br>

> IPv6: -j REJECT --reject-with icmp6-port-unreachable"<br>

><br>

> Now repeat that nmap; indeed, for the DROP it is shown that these<br>

> ports are filtered, for REJECT the ports are just 'closed'.<br>

><br>

> Hence, the adversary did not learn anything in the REJECT case<br>

> (services apparently are not there), but in the DROP case they<br>

> learned that you have a firewall configured and that those services<br>

> are likely there...<br>

<br>

</div></div>Not true. Since my default is to drop for ALL ports not expicitly open<br>

and receiving traffic, the adversary has learned nothing about what<br>

other services may or may not be there.<br>

<br>

I have no need to say politely to anyone connecting to any random port<br>

on my server, "Sorry, nothing here, you can close your connection". The<br>

only legitimate connections inbound to my server are those for which I<br>

advertise a service.<br>

<div class="im"><br>

><br>

> As you say it is one of those 'religious' decisions, but in this, the<br>

> facts show what should be preferred for multiple reasons ;)<br>

<br>

</div>I also prefer vi to emacs :-)<br>

<div class="im"><br>

> > But, doing that can mean that<br>

> > incoming packets with a spoofed source address can get replies sent<br>

> > back to that (innocent) source address. DDOS bots exploit this<br>

> > behaviour.<br>

><br>

> As there is no amplification (only a portion of the incoming packet is<br>

> included) this is not used; there are much better sources of attack.<br>

><br>

<br>

</div>I agree. DNS amplification is much more dangerous and useful to an<br>

adversary. But that does not mean that no adversary will attempt to<br>

use ICMP replies in an attack.<br>

<div class="HOEnZb"><div class="h5"><br>

Mick<br>

---------------------------------------------------------------------<br>

<br>

 Mick Morgan<br>

 gpg fingerprint: FC23 3338 F664 5E66 876B  72C0 0A1F E60B 5BAD D312<br>

 <a href="http://baldric.net" target="_blank">http://baldric.net</a><br>

<br>

---------------------------------------------------------------------<br>

<br>

</div></div><br>_______________________________________________<br>

tor-relays mailing list<br>

<a href="mailto:tor-relays@lists.torproject.org">tor-relays@lists.torproject.org</a><br>

<a href="https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays" target="_blank">https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays</a><br>

<br></blockquote></div><br></div>