Apakah pengalihan ICMP dan haruskah mereka diblokir?

22

Setelah mengaktifkan ufw dan auditor keamanan Tiger, saya melihat peringatan yang mengatakan:

The system accepts ICMP redirection messages

Apa pesan pengalihan ICMP? Haruskah mereka dinonaktifkan untuk tujuan keamanan? Jika demikian, apa cara yang benar untuk melakukannya dengan menggunakan ufw firewall?

jrdioko
sumber

Jawaban:

28

Sesuai artikel ini

Ada kasus-kasus tertentu di mana paket ICMP dapat digunakan untuk menyerang jaringan. Meskipun jenis masalah ini tidak umum hari ini, ada situasi di mana masalah seperti itu bisa terjadi. Ini adalah kasus dengan ICMP redirect, atau paket ICMP Type 5. Pengalihan ICMP digunakan oleh router untuk menentukan jalur routing yang lebih baik dari satu jaringan, berdasarkan pada pilihan host, jadi pada dasarnya itu mempengaruhi cara paket diarahkan dan tujuan.

Melalui pengalihan ICMP, host dapat mengetahui jaringan mana yang dapat diakses dari dalam jaringan lokal, dan router mana yang akan digunakan untuk setiap jaringan tersebut. Masalah keamanan berasal dari fakta bahwa paket ICMP, termasuk pengalihan ICMP, sangat mudah dipalsukan dan pada dasarnya akan lebih mudah bagi penyerang untuk memalsukan paket pengalihan ICMP.

Atacker pada dasarnya dapat mengubah tabel routing host Anda dan lalu lintas penyelam menuju host eksternal di jalur pilihannya; jalur baru tetap aktif oleh router selama 10 menit. Karena fakta ini dan risiko keamanan yang terlibat dalam skenario tersebut, masih merupakan praktik yang disarankan untuk menonaktifkan pesan pengalihan ICMP (abaikan) dari semua antarmuka publik.

Anda perlu mengedit file /etc/sysctl.conf

dan berubah

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0

UNTUK

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0

Kemudian terapkan modifikasi parameter kernel di atas dengan:

$ sudo sysctl -p
Manish Sinha
sumber
Terima kasih. Anda mungkin perlu menghapus tanda komentar pada baris itu juga, bukan? :)
jrdioko
Oh ya. Kesalahanku. Diperbarui.
Manish Sinha
4
Anda harus melakukan ini untuk menerima perubahan: sudo sysctl -p
Saya tidak berpikir mengatur net.ipv4.conf.all.accept_redirects = 0 melakukan apa-apa; catat or_ dalam file. Jika saya membaca secure_redirects [ frozentux.net/ipsysctl-tutorial/chunkyhtml/… ] dengan benar, ini menimpa net.ipv4.conf.all.accept_redirects = 0
gerardw
3

Pikiran bahwa jika penerusan dinonaktifkan (kami bukan router) nilai net.ipvX.conf.all.accept_redirects akan menjadi nilai spesifik antarmuka ORed misalnya net.ipvX.conf.eth0.accept_redirects. send_redirects selalu ORed.

Perbaikan penuh akan menjadi:

net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0

Untuk menggunakan pengaturan jaringan antarmuka 'default' harus diatur ulang.

Marek
sumber