Was sind ICMP-Weiterleitungen und sollten sie blockiert werden?


22

Nachdem ich ufw und den Tiger-Sicherheitsauditor aktiviert habe, werden folgende Warnungen angezeigt:

The system accepts ICMP redirection messages

Was sind ICMP-Umleitungsnachrichten? Sollten sie aus Sicherheitsgründen deaktiviert werden? Wenn ja, was ist der richtige Weg, um dies mit der UFW-Firewall zu tun?

Antworten:


28

Wie in diesem Artikel beschrieben

In bestimmten Fällen können ICMP-Pakete verwendet werden, um ein Netzwerk anzugreifen. Obwohl diese Art von Problem heutzutage nicht verbreitet ist, gibt es Situationen, in denen solche Probleme auftreten. Dies ist bei ICMP-Umleitung oder ICMP-Paket vom Typ 5 der Fall. ICMP-Umleitungen werden von Routern verwendet, um basierend auf der Auswahl des Hosts bessere Routing-Pfade aus einem Netzwerk heraus anzugeben. Dies wirkt sich also im Wesentlichen auf die Art und Weise aus, wie Pakete geroutet werden und Ziele.

Über ICMP-Umleitungen kann ein Host herausfinden, auf welche Netzwerke innerhalb des lokalen Netzwerks zugegriffen werden kann und welche Router für jedes dieser Netzwerke verwendet werden sollen. Das Sicherheitsproblem ergibt sich aus der Tatsache, dass ICMP-Pakete, einschließlich der ICMP-Umleitung, extrem einfach zu fälschen sind und es für einen Angreifer im Grunde ziemlich einfach wäre, ICMP-Umleitungspakete zu fälschen.

Der Angreifer kann dann die Routing-Tabellen Ihres Hosts und den Datenverkehr von Tauchern zu externen Hosts auf einem Pfad seiner Wahl grundlegend ändern. Der neue Pfad wird vom Router 10 Minuten lang aktiv gehalten. Aufgrund dieser Tatsache und der mit einem solchen Szenario verbundenen Sicherheitsrisiken wird weiterhin empfohlen, ICMP-Umleitungsnachrichten von allen öffentlichen Schnittstellen zu deaktivieren (zu ignorieren).

Sie müssen die Datei bearbeiten /etc/sysctl.conf

und ändern

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0

ZU

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0

Wenden Sie dann die obigen Änderungen der Kernel-Parameter an:

$ sudo sysctl -p

Vielen Dank. Sie müssen diese Zeilen wahrscheinlich auch auskommentieren, nicht wahr? :)
jrdioko

Oh ja. Mein Fehler. Aktualisiert es.
Manish Sinha

4
Sie müssen dies tun, um die Änderungen zu akzeptieren: sudo sysctl -p

Ich glaube nicht, dass das Setzen von net.ipv4.conf.all.accept_redirects = 0 etwas bewirkt. Beachten Sie das or_ in der Datei. Wenn ich secure_redirects [ frozentux.net/ipsysctl-tutorial/chunkyhtml/… ] richtig lese , überschreibt dies net.ipv4.conf.all.accept_redirects = 0
gerardw

3

Beachten Sie, dass bei deaktivierter Weiterleitung (wir sind kein Router) der Wert von net.ipvX.conf.all.accept_redirects ein OR-Wert für die Schnittstelle ist, z. B. net.ipvX.conf.eth0.accept_redirects. send_redirects ist immer ORed.

Vollständige Lösung wäre dann:

net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0

Um die Standardeinstellungen zu verwenden, müssen die Netzwerkschnittstellen erneut eingerichtet werden.

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.