<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
David L. Willson wrote:
<blockquote
 cite="mid:266500.861285195944872.JavaMail.dlwillson@dlwillson-laptop"
 type="cite">
  <style type="text/css">p { margin: 0; }</style>
  <div
 style="font-family: Times New Roman; font-size: 12pt; color: rgb(0, 0, 0);">
  <style>p { margin: 0; }</style>
  <div
 style="font-family: Times New Roman; font-size: 12pt; color: rgb(0, 0, 0);">Nate:
Turning off ping responses ~does~ "add security", just like running ssh
on a non-default port, and not returning specific version numbers for
PHP, and other things of that sort. Not providing more info/access than
needed is part of a good security policy.&nbsp; Turning off ping responses
~might~ be appropriate, depending on the circumstances.<br>
  </div>
  </div>
</blockquote>
Well I have to challenge this because as a senior network engineer who
troubleshoots strange problems that confuse everyone else, I find that
a disproportionate share of incidents that land on my desk have to do
with blocked ICMP.&nbsp; I agree with Nate, in almost every case a sysadmin
who blocks ICMP echo request or reply is a doofus.&nbsp; They may be well
meaning but if they actually do it (or if they aren't careful about it)
then they are a doofus.<br>
<br>
Blocking ICMP usually adds nearly nothing in security and serves only
to create a lot of confusion.&nbsp; ICMP is an important part of the IP
protocols and people generally expect it to work, so when it doesn't
people tend to make incorrect assumptions about what's not working.&nbsp;
Also, those pesky insecurity-causing type 3 packets are absolutely
critical to allow through from end to end if there is any chance there
is a network connection somewhere along the line with a smaller MTU
than what the sending system expects.&nbsp; Over the years I have seen
several weird application issues caused by ICMP type 3 blocking, so
much so that based on the symptoms that might be one of the first
things I check when I start troubleshooting.<br>
<br>
Sure there used to be the old smurf etc. attacks based on incorrect
ICMP handling, but I don't think there have been widespread issues with
ICMP for years now.<br>
<blockquote
 cite="mid:266500.861285195944872.JavaMail.dlwillson@dlwillson-laptop"
 type="cite">
  <div
 style="font-family: Times New Roman; font-size: 12pt; color: rgb(0, 0, 0);">
  <div
 style="font-family: Times New Roman; font-size: 12pt; color: rgb(0, 0, 0);"><br>
OTOH, once on the same IP subnet, an arp request is rarely (never)
declined, and so might make a better test.<br>
  </div>
  </div>
</blockquote>
I think ARP traffic wouldn't be forwarded through a VPN router, since I
think it is on the ethernet segment only.<br>
<blockquote
 cite="mid:266500.861285195944872.JavaMail.dlwillson@dlwillson-laptop"
 type="cite">
  <div
 style="font-family: Times New Roman; font-size: 12pt; color: rgb(0, 0, 0);">
  <div
 style="font-family: Times New Roman; font-size: 12pt; color: rgb(0, 0, 0);"><br>
Dennis: Are you sure the VPN needs to be up to get to the TS? There are
an increasing number of networks with TS available directly to the
Internet.<br>
  </div>
  </div>
</blockquote>
That might be a good idea and Dennis you could try suggest that to your
sysadmin/IT people.<br>
<br>
Jim<br>
<br>
</body>
</html>