<html><head><style type='text/css'>p { margin: 0; }</style></head><body><div style='font-family: Times New Roman; font-size: 12pt; color: #000000'>Jim,<br><br>I don't know if I'm a "senior" network engineer. I know I'm a darn busy one. Maybe I'm a darn busy doofus? I will say that you walk your talk, though. Even "www.ockers.net" is ping-able. I ... can't honestly say I agree with leaving that on, but I see value in your consistency. :-)<br><br>When I recommend turning it off, BTW, I'm referring mostly to ping-sweeps, not to smurf/POD/DDOS attacks. A ping-sweep of a range is often a moron's first step in "target discovery" and sometimes it's just wiser to avoid the morons.<br><br>David L. Willson<br>Trainer, Engineer, Enthusiast<br>MCT MSCE Network+ A+ Linux+ LPIC-1 NovellCLA UbuntuCP<br>tel://720.333.LANS<br>Freeing people from the tyranny (or whatevery) of Microsofty-ness<br><br>----- "Jim Ockers" &lt;ockers@ockers.net&gt; wrote:
<br>&gt; 


  

David L. Willson wrote:
<blockquote cite="mid:266500.861285195944872.JavaMail.dlwillson@dlwillson-laptop">
  <style>p { margin: 0; }</style>
  <div style="font-family: Times New Roman; font-size: 12pt; color: rgb(0, 0, 0);">&gt; 
  <style>p { margin: 0; }</style>
  <div style="font-family: Times New Roman; font-size: 12pt; color: rgb(0, 0, 0);">&gt; Nate:
Turning off ping responses ~does~ "add security", just like running ssh
on a non-default port, and not returning specific version numbers for
PHP, and other things of that sort. Not providing more info/access than
needed is part of a good security policy.&nbsp; Turning off ping responses
~might~ be appropriate, depending on the circumstances.<br>&gt; 
  </div>
  </div>
</blockquote>
Well I have to challenge this because as a senior network engineer who
troubleshoots strange problems that confuse everyone else, I find that
a disproportionate share of incidents that land on my desk have to do
with blocked ICMP.&nbsp; I agree with Nate, in almost every case a sysadmin
who blocks ICMP echo request or reply is a doofus.&nbsp; They may be well
meaning but if they actually do it (or if they aren't careful about it)
then they are a doofus.<br>&gt; 
<br>&gt; 
Blocking ICMP usually adds nearly nothing in security and serves only
to create a lot of confusion.&nbsp; ICMP is an important part of the IP
protocols and people generally expect it to work, so when it doesn't
people tend to make incorrect assumptions about what's not working.&nbsp;
Also, those pesky insecurity-causing type 3 packets are absolutely
critical to allow through from end to end if there is any chance there
is a network connection somewhere along the line with a smaller MTU
than what the sending system expects.&nbsp; Over the years I have seen
several weird application issues caused by ICMP type 3 blocking, so
much so that based on the symptoms that might be one of the first
things I check when I start troubleshooting.<br>&gt; 
<br>&gt; 
Sure there used to be the old smurf etc. attacks based on incorrect
ICMP handling, but I don't think there have been widespread issues with
ICMP for years now.<br>&gt; 
<blockquote cite="mid:266500.861285195944872.JavaMail.dlwillson@dlwillson-laptop">
  <div style="font-family: Times New Roman; font-size: 12pt; color: rgb(0, 0, 0);">&gt; 
  <div style="font-family: Times New Roman; font-size: 12pt; color: rgb(0, 0, 0);">&gt; <br>&gt; 
OTOH, once on the same IP subnet, an arp request is rarely (never)
declined, and so might make a better test.<br>&gt; 
  </div>
  </div>
</blockquote>
I think ARP traffic wouldn't be forwarded through a VPN router, since I
think it is on the ethernet segment only.<br>&gt; 
<blockquote cite="mid:266500.861285195944872.JavaMail.dlwillson@dlwillson-laptop">
  <div style="font-family: Times New Roman; font-size: 12pt; color: rgb(0, 0, 0);">&gt; 
  <div style="font-family: Times New Roman; font-size: 12pt; color: rgb(0, 0, 0);">&gt; <br>&gt; 
Dennis: Are you sure the VPN needs to be up to get to the TS? There are
an increasing number of networks with TS available directly to the
Internet.<br>&gt; 
  </div>
  </div>
</blockquote>
That might be a good idea and Dennis you could try suggest that to your
sysadmin/IT people.<br>&gt; 
<br>&gt; 
Jim<br>&gt; 
<br>&gt; 
<br>&gt; _______________________________________________
clue-tech mailing list
clue-tech@cluedenver.org
http://cluedenver.org/mailman/listinfo/clue-tech</div></body></html>