ICMP 리디렉션이란 무엇이며 차단해야합니까?


22

ufw 및 Tiger 보안 감사를 활성화하면 다음과 같은 경고가 표시됩니다.

The system accepts ICMP redirection messages

ICMP 리디렉션 메시지 란 무엇입니까? 보안 목적으로 비활성화해야합니까? 그렇다면 ufw 방화벽을 사용하여 올바른 작업을 수행하는 방법은 무엇입니까?

답변:


28

이 기사에 따라

ICMP 패킷을 사용하여 네트워크를 공격 할 수있는 경우가 있습니다. 오늘날 이러한 유형의 문제는 흔하지 않지만 이러한 문제가 발생하는 상황이 있습니다. ICMP 리디렉션 또는 ICMP Type 5 패킷의 경우입니다. ICMP 리디렉션은 호스트 선택에 따라 라우터가 하나의 네트워크에서 더 나은 라우팅 경로를 지정하는 데 사용되므로 기본적으로 패킷 라우팅 및 대상 방식에 영향을줍니다.

호스트는 ICMP 리디렉션을 통해 로컬 네트워크 내에서 액세스 할 수있는 네트워크와 이러한 네트워크에 사용할 라우터를 찾을 수 있습니다. 보안 문제는 ICMP 리디렉션을 포함하여 ICMP 패킷이 위조하기가 매우 쉽고 기본적으로 공격자가 ICMP 리디렉션 패킷을 위조하기가 쉽다는 사실에서 비롯됩니다.

그러면 공격자는 기본적으로 호스트의 라우팅 테이블을 변경하고 자신이 선택한 경로에서 외부 호스트로 트래픽을 전환 할 수 있습니다. 새 경로는 라우터에 의해 10 분 동안 활성 상태로 유지됩니다. 이러한 사실과 이러한 시나리오와 관련된 보안 위험으로 인해 모든 공용 인터페이스에서 ICMP 리디렉션 메시지를 비활성화 (무시)하는 것이 좋습니다.

파일을 편집해야합니다 /etc/sysctl.conf

그리고 변화

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0

그런 다음 위의 커널 매개 변수 수정 사항을 다음과 같이 적용하십시오.

$ sudo sysctl -p

감사. 아마도 그 줄의 주석을 제거해야 할 수도 있습니다. :)
jrdioko

아, 네. 내 실수. 업데이트했습니다.
Manish Sinha

4
변경 사항을 적용하려면이 작업을 수행해야합니다. sudo sysctl -p

net.ipv4.conf.all.accept_redirects = 0으로 설정하면 아무것도하지 않는다고 생각합니다. 파일 에서 or_ 를 적어 둡니다 . secure_redirects [ frozentux.net/ipsysctl-tutorial/chunkyhtml/… ]를 올바르게 읽으면 net.ipv4.conf.all.accept_redirects = 0
gerardw

3

전달이 비활성화 된 경우 (라우터가 아님) net.ipvX.conf.all.accept_redirects 값은 인터페이스 별 값 (예 : net.ipvX.conf.eth0.accept_redirects)이됩니다. send_redirects는 항상 OR입니다.

그러면 전체 수정은 다음과 같습니다.

net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0

'기본'설정을 사용하려면 네트워크 인터페이스를 다시 설정해야합니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.