หลังจากเปิดใช้งาน ufw และผู้ตรวจสอบความปลอดภัยของ Tiger ฉันเห็นคำเตือนว่า:
The system accepts ICMP redirection messages
ข้อความการเปลี่ยนเส้นทาง ICMP คืออะไร ควรปิดใช้งานเพื่อความปลอดภัยหรือไม่ ถ้าเป็นเช่นนั้นวิธีที่ถูกต้องในการใช้ไฟร์วอลล์ ufw คืออะไร?
คำตอบ:
มีบางกรณีที่แพ็คเก็ต ICMP สามารถใช้โจมตีเครือข่ายได้ แม้ว่าปัญหาประเภทนี้จะไม่เกิดขึ้นในทุกวันนี้ แต่ก็มีสถานการณ์ที่ปัญหาดังกล่าวเกิดขึ้น นี่เป็นกรณีที่มีการเปลี่ยนเส้นทาง ICMP หรือแพ็คเก็ต ICMP Type 5 ICMP redirects ถูกใช้โดยเราเตอร์เพื่อระบุเส้นทางการเราต์ที่ดีกว่าจากเครือข่ายเดียวโดยขึ้นอยู่กับตัวเลือกของโฮสต์ดังนั้นโดยทั่วไปแล้วมันจะส่งผลกระทบต่อวิธีการส่งแพ็กเก็ตและเส้นทาง
ผ่านการเปลี่ยนเส้นทาง ICMP โฮสต์สามารถค้นหาเครือข่ายที่สามารถเข้าถึงได้จากภายในเครือข่ายท้องถิ่นและเราเตอร์ใดที่จะใช้สำหรับแต่ละเครือข่ายดังกล่าว ปัญหาด้านความปลอดภัยมาจากข้อเท็จจริงที่ว่าแพ็คเก็ต ICMP รวมถึงการเปลี่ยนเส้นทาง ICMP นั้นเป็นเรื่องง่ายมากที่จะปลอมแปลงและโดยทั่วไปแล้วมันจะค่อนข้างง่ายสำหรับผู้โจมตีที่จะปลอมแปลงแพ็คเก็ต ICMP
Atacker สามารถเปลี่ยนตารางเส้นทางของโฮสต์และทราฟฟิกนักดำน้ำไปยังโฮสต์ภายนอกบนเส้นทางที่เขา / เธอเลือกได้ เส้นทางใหม่จะถูกใช้งานโดยเราเตอร์เป็นเวลา 10 นาที เนื่องจากข้อเท็จจริงนี้และความเสี่ยงด้านความปลอดภัยที่เกี่ยวข้องในสถานการณ์ดังกล่าวจึงยังคงเป็นวิธีปฏิบัติที่แนะนำให้ปิดใช้งานข้อความเปลี่ยนเส้นทาง ICMP (ละเว้นข้อความ) จากส่วนต่อประสานสาธารณะทั้งหมด
คุณต้องแก้ไขไฟล์ /etc/sysctl.conf
และการเปลี่ยนแปลง
###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0
TO
###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0
จากนั้นใช้การแก้ไขพารามิเตอร์เคอร์เนลด้านบนด้วย:
$ sudo sysctl -p
โปรดทราบว่าหากการส่งต่อถูกปิดใช้งาน (เราไม่ใช่เราเตอร์) ค่าของ net.ipvX.conf.all.accept_redirects จะเป็นค่าเฉพาะอินเตอร์เฟสของ ORed เช่น net.ipvX.conf.eth0.accept_redirects send_redirects มักจะ ORed
การแก้ไขแบบเต็มจะเป็นเช่นนั้น:
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
เพื่อที่จะใช้ประโยชน์จากการเชื่อมต่อเครือข่ายการตั้งค่า 'เริ่มต้น' จะต้องตั้งค่าอีกครั้ง