ICMP yönlendirmeleri nedir ve engellenmeli mi?

19

ufw ve Tiger güvenlik denetçisini etkinleştirdikten sonra şu uyarıları görüyorum:

The system accepts ICMP redirection messages

ICMP yeniden yönlendirme mesajları nedir? Güvenlik nedeniyle engellenmeli mi? Öyleyse, ufw güvenlik duvarını kullanarak bunu yapmanın doğru yolu nedir?

    
sordu jrdioko 02.04.2012 20:04

2 cevap

24

Bu makaleye göre

  

ICMP paketlerinin bir ağa saldırmak için kullanılabileceği belirli durumlar var. Bu tür bir sorun bugün yaygın olmamasına rağmen, bu tür sorunların meydana geldiği durumlar vardır. ICMP yönlendirmesi veya ICMP Tip 5 paketinde durum böyle. ICMP yönlendirmeleri, yönlendiriciler tarafından, bir ağdan daha iyi yönlendirme yolları belirlemek için, ana bilgisayar seçimine bağlı olarak kullanılır, bu nedenle temel olarak paketlerin yönlendirildiği ve hedeflerin etkilenme biçimini etkiler.

     

ICMP yönlendirmeleri sayesinde, bir ana bilgisayar, yerel ağ içinde hangi ağlara erişilebileceğini ve bu tür ağlar için kullanılacak yönlendiriciler olduğunu öğrenebilir. Güvenlik sorunu, ICMP yönlendirmesi de dahil olmak üzere ICMP paketlerinin sahte olması oldukça kolay ve temel olarak bir saldırganın ICMP yönlendirme paketlerini oluşturması oldukça kolay olacaktır.

     

Ardından ataıcı ana makinenizin yönlendirme tablolarını temelde değiştirebilir ve trafiği kendi seçtiği bir yol üzerinde harici ana bilgisayarlara yönlendirebilir; Yeni yol, yönlendirici tarafından 10 dakika süreyle aktif tutulur. Bu durum ve bu senaryoda yer alan güvenlik riskleri nedeniyle ICMP yönlendirme mesajlarını (yok saymak) tüm ortak arabirimlerden devre dışı bırakmak hala tavsiye edilen bir uygulamadır.

/etc/sysctl.conf

dosyasını düzenlemeniz gerekiyor

ve değiştir

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0

TO

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0

Ardından, yukarıdaki çekirdek parametresi değişikliklerini şu şekilde uygulayın:

$ sudo sysctl -p
    
verilen cevap Manish Sinha 02.04.2012 20:14
1

İletim devre dışı bırakılmışsa (biz yönlendirici değiliz) net.ipvX.conf.all.accept_redirects değerinin ORed arabirimine özgü değerinin örn. net.ipvX.conf.eth0.accept_redirects. send_redirects her zaman ORed'dir.

Tam düzeltme şu durumda olurdu:

net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0

'Varsayılan' ayarlarından yararlanmak için ağ arayüzleri tekrar kurulmalıdır.

    
verilen cevap Marek 16.03.2017 08:20

Etiketlerdeki diğer soruları oku