ICMP redirects คืออะไรและควรถูกบล็อกหรือไม่


22

หลังจากเปิดใช้งาน ufw และผู้ตรวจสอบความปลอดภัยของ Tiger ฉันเห็นคำเตือนว่า:

The system accepts ICMP redirection messages

ข้อความการเปลี่ยนเส้นทาง ICMP คืออะไร ควรปิดใช้งานเพื่อความปลอดภัยหรือไม่ ถ้าเป็นเช่นนั้นวิธีที่ถูกต้องในการใช้ไฟร์วอลล์ ufw คืออะไร?

คำตอบ:


28

ตามบทความนี้

มีบางกรณีที่แพ็คเก็ต ICMP สามารถใช้โจมตีเครือข่ายได้ แม้ว่าปัญหาประเภทนี้จะไม่เกิดขึ้นในทุกวันนี้ แต่ก็มีสถานการณ์ที่ปัญหาดังกล่าวเกิดขึ้น นี่เป็นกรณีที่มีการเปลี่ยนเส้นทาง ICMP หรือแพ็คเก็ต ICMP Type 5 ICMP redirects ถูกใช้โดยเราเตอร์เพื่อระบุเส้นทางการเราต์ที่ดีกว่าจากเครือข่ายเดียวโดยขึ้นอยู่กับตัวเลือกของโฮสต์ดังนั้นโดยทั่วไปแล้วมันจะส่งผลกระทบต่อวิธีการส่งแพ็กเก็ตและเส้นทาง

ผ่านการเปลี่ยนเส้นทาง ICMP โฮสต์สามารถค้นหาเครือข่ายที่สามารถเข้าถึงได้จากภายในเครือข่ายท้องถิ่นและเราเตอร์ใดที่จะใช้สำหรับแต่ละเครือข่ายดังกล่าว ปัญหาด้านความปลอดภัยมาจากข้อเท็จจริงที่ว่าแพ็คเก็ต ICMP รวมถึงการเปลี่ยนเส้นทาง ICMP นั้นเป็นเรื่องง่ายมากที่จะปลอมแปลงและโดยทั่วไปแล้วมันจะค่อนข้างง่ายสำหรับผู้โจมตีที่จะปลอมแปลงแพ็คเก็ต ICMP

Atacker สามารถเปลี่ยนตารางเส้นทางของโฮสต์และทราฟฟิกนักดำน้ำไปยังโฮสต์ภายนอกบนเส้นทางที่เขา / เธอเลือกได้ เส้นทางใหม่จะถูกใช้งานโดยเราเตอร์เป็นเวลา 10 นาที เนื่องจากข้อเท็จจริงนี้และความเสี่ยงด้านความปลอดภัยที่เกี่ยวข้องในสถานการณ์ดังกล่าวจึงยังคงเป็นวิธีปฏิบัติที่แนะนำให้ปิดใช้งานข้อความเปลี่ยนเส้นทาง ICMP (ละเว้นข้อความ) จากส่วนต่อประสานสาธารณะทั้งหมด

คุณต้องแก้ไขไฟล์ /etc/sysctl.conf

และการเปลี่ยนแปลง

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0

TO

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0

จากนั้นใช้การแก้ไขพารามิเตอร์เคอร์เนลด้านบนด้วย:

$ sudo sysctl -p

ขอบคุณ คุณอาจจำเป็นต้องยกเลิกการใส่เครื่องหมายในบรรทัดเหล่านั้นด้วยใช่ไหม :)
jrdioko

โอ้ใช่. ความผิดพลาดของฉัน. อัปเดตมัน
Manish Sinha

4
คุณต้องทำเช่นนี้เพื่อยอมรับการเปลี่ยนแปลง: sudo sysctl -p

ฉันไม่คิดว่าการตั้งค่า net.ipv4.conf.all.accept_redirects = 0 ทำทุกอย่าง บันทึกor_ในไฟล์ ถ้าฉันอ่าน secure_redirects [ frozentux.net/ipsysctl-tutorial/chunkyhtml/ … ] อย่างถูกต้องสิ่งนี้จะแทนที่ net.ipv4.conf.all.accept_redirects = 0
gerardw

3

โปรดทราบว่าหากการส่งต่อถูกปิดใช้งาน (เราไม่ใช่เราเตอร์) ค่าของ net.ipvX.conf.all.accept_redirects จะเป็นค่าเฉพาะอินเตอร์เฟสของ ORed เช่น net.ipvX.conf.eth0.accept_redirects send_redirects มักจะ ORed

การแก้ไขแบบเต็มจะเป็นเช่นนั้น:

net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0

เพื่อที่จะใช้ประโยชน์จากการเชื่อมต่อเครือข่ายการตั้งค่า 'เริ่มต้น' จะต้องตั้งค่าอีกครั้ง

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.