Nachdem ich ufw und den Tiger-Sicherheitsauditor aktiviert habe, werden folgende Warnungen angezeigt:
The system accepts ICMP redirection messages
Was sind ICMP-Umleitungsnachrichten? Sollten sie aus Sicherheitsgründen deaktiviert werden? Wenn ja, was ist der richtige Weg, um dies mit der UFW-Firewall zu tun?
Antworten:
Wie in diesem Artikel beschrieben
In bestimmten Fällen können ICMP-Pakete verwendet werden, um ein Netzwerk anzugreifen. Obwohl diese Art von Problem heutzutage nicht verbreitet ist, gibt es Situationen, in denen solche Probleme auftreten. Dies ist bei ICMP-Umleitung oder ICMP-Paket vom Typ 5 der Fall. ICMP-Umleitungen werden von Routern verwendet, um basierend auf der Auswahl des Hosts bessere Routing-Pfade aus einem Netzwerk heraus anzugeben. Dies wirkt sich also im Wesentlichen auf die Art und Weise aus, wie Pakete geroutet werden und Ziele.
Über ICMP-Umleitungen kann ein Host herausfinden, auf welche Netzwerke innerhalb des lokalen Netzwerks zugegriffen werden kann und welche Router für jedes dieser Netzwerke verwendet werden sollen. Das Sicherheitsproblem ergibt sich aus der Tatsache, dass ICMP-Pakete, einschließlich der ICMP-Umleitung, extrem einfach zu fälschen sind und es für einen Angreifer im Grunde ziemlich einfach wäre, ICMP-Umleitungspakete zu fälschen.
Der Angreifer kann dann die Routing-Tabellen Ihres Hosts und den Datenverkehr von Tauchern zu externen Hosts auf einem Pfad seiner Wahl grundlegend ändern. Der neue Pfad wird vom Router 10 Minuten lang aktiv gehalten. Aufgrund dieser Tatsache und der mit einem solchen Szenario verbundenen Sicherheitsrisiken wird weiterhin empfohlen, ICMP-Umleitungsnachrichten von allen öffentlichen Schnittstellen zu deaktivieren (zu ignorieren).
Sie müssen die Datei bearbeiten /etc/sysctl.conf
und ändern
###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0
ZU
###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0
Wenden Sie dann die obigen Änderungen der Kernel-Parameter an:
$ sudo sysctl -p
Beachten Sie, dass bei deaktivierter Weiterleitung (wir sind kein Router) der Wert von net.ipvX.conf.all.accept_redirects ein OR-Wert für die Schnittstelle ist, z. B. net.ipvX.conf.eth0.accept_redirects. send_redirects ist immer ORed.
Vollständige Lösung wäre dann:
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
Um die Standardeinstellungen zu verwenden, müssen die Netzwerkschnittstellen erneut eingerichtet werden.