ICMPリダイレクトとは何ですか?ブロックする必要がありますか?

22

ufwとTigerのセキュリティ監査を有効にすると、次のような警告が表示されます。

The system accepts ICMP redirection messages

ICMPリダイレクトメッセージとは何ですか?セキュリティの目的で無効にする必要がありますか?もしそうなら、UFWファイアウォールを使用してそれを行う正しい方法は何ですか?

networking  security  firewall  ufw 
jrdioko
ソース

回答:

28

この記事によると

ICMPパケットを使用してネットワークを攻撃できる特定のケースがあります。この種の問題は今日では一般的ではありませんが、そのような問題が発生する状況があります。これは、ICMPリダイレクトまたはICMPタイプ5パケットの場合です。ICMPリダイレクトは、ホストの選択に基づいて1つのネットワークからのより良いルーティングパスを指定するためにルーターによって使用されるため、基本的にパケットのルーティング方法と宛先に影響します。

ICMPリダイレクトを介して、ホストはローカルネットワーク内からアクセスできるネットワーク、およびそのような各ネットワークに使用されるルーターを見つけることができます。セキュリティの問題は、ICMPリダイレクトを含むICMPパケットは偽造が非常に簡単であり、基本的には攻撃者がICMPリダイレクトパケットを偽造するのがかなり容易であるという事実に由来しています。

その後、攻撃者は基本的にホストのルーティングテーブルを変更し、選択したパスで外部ホストにトラフィックを分散できます。新しいパスは、ルーターによって10分間アクティブに保たれます。この事実とこのようなシナリオに伴うセキュリティリスクのため、すべてのパブリックインターフェイスからのICMPリダイレクトメッセージを無効にする(無視する)ことをお勧めします。

ファイルを編集する必要があります /etc/sysctl.conf

そして変化

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0


###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0

次に、上記のカーネルパラメーターの変更を適用します。

$ sudo sysctl -p
マニッシュシンハ
ソース
ありがとう。これらの行もコメント解除する必要があるでしょう。:)
jrdioko
そうそう。私の間違い。更新しました。
マニッシュシンハ
4
変更を受け入れるには、これを行う必要があります
net.ipv4.conf.all.accept_redirects = 0の設定は何もしないと思います。ファイル内のor_に注意してください。secure_redirects [ frozentux.net/ipsysctl-tutorial/chunkyhtml/… ]を正しく読んでいる場合、これはnet.ipv4.conf.all.accept_redirects = 0
gerardwを
3

転送が無効になっている場合(ルーターではない場合)、net.ipvX.conf.all.accept_redirectsの値は、インターフェース固有の値(たとえば、net.ipvX.conf.eth0.accept_redirects)の論理和がとられることに注意してください。send_redirectsは常にORされます。

完全な修正は次のとおりです。

net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0

「デフォルト」設定を使用するには、ネットワークインターフェイスを再度セットアップする必要があります。

マレック
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.