Sau khi kích hoạt kiểm toán viên bảo mật ufw và Tiger, tôi thấy các cảnh báo cho biết:
The system accepts ICMP redirection messages
Tin nhắn chuyển hướng ICMP là gì? Họ có nên bị vô hiệu hóa cho mục đích bảo mật? Nếu vậy, cách đúng đắn để làm điều đó bằng cách sử dụng tường lửa ufw là gì?
Câu trả lời:
Có một số trường hợp nhất định trong đó các gói ICMP có thể được sử dụng để tấn công mạng. Mặc dù loại vấn đề này không phổ biến ngày nay, nhưng có những tình huống xảy ra như vậy. Đây là trường hợp với chuyển hướng ICMP, hoặc gói ICMP Loại 5. Chuyển hướng ICMP được sử dụng bởi các bộ định tuyến để chỉ định đường dẫn định tuyến tốt hơn từ một mạng, dựa trên lựa chọn máy chủ, vì vậy về cơ bản, nó ảnh hưởng đến cách các gói được định tuyến và đích.
Thông qua các chuyển hướng ICMP, một máy chủ có thể tìm ra mạng nào có thể được truy cập từ bên trong mạng cục bộ và các bộ định tuyến sẽ được sử dụng cho mỗi mạng như vậy. Vấn đề bảo mật xuất phát từ thực tế là các gói ICMP, bao gồm cả chuyển hướng ICMP, cực kỳ dễ giả mạo và về cơ bản, kẻ tấn công sẽ giả mạo các gói chuyển hướng ICMP khá dễ dàng.
Sau đó, atacker về cơ bản có thể thay đổi các bảng định tuyến của máy chủ lưu trữ và chuyển hướng lưu lượng truy cập sang các máy chủ bên ngoài theo đường dẫn mà anh ấy / cô ấy chọn; đường dẫn mới được giữ bởi bộ định tuyến trong 10 phút. Do thực tế này và các rủi ro bảo mật liên quan đến kịch bản như vậy, việc tắt các thông báo chuyển hướng ICMP (bỏ qua chúng) khỏi tất cả các giao diện công cộng vẫn là một thực tế được khuyến nghị.
Bạn cần chỉnh sửa tập tin /etc/sysctl.conf
và thay đổi
###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0
ĐẾN
###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0
Sau đó áp dụng các sửa đổi tham số kernel ở trên với:
$ sudo sysctl -p
Lưu ý rằng nếu chuyển tiếp bị vô hiệu hóa (chúng tôi không phải là bộ định tuyến) giá trị của net.ipvX.conf.all.accept_redirects sẽ là giá trị cụ thể của giao diện ORed, ví dụ net.ipvX.conf.eth0.accept_redirects. send_redirects luôn được OR.
Sửa chữa đầy đủ sẽ là sau đó:
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
Để sử dụng giao diện mạng cài đặt 'mặc định' phải được thiết lập lại.