आईसीएमपी पुनर्निर्देशन क्या हैं और क्या उन्हें अवरुद्ध किया जाना चाहिए?

Ufw और टाइगर सिक्योरिटी ऑडिटर को सक्षम करने के बाद, मुझे चेतावनी देते हुए कहा गया है:

The system accepts ICMP redirection messages

ICMP पुनर्निर्देशन संदेश क्या हैं? क्या उन्हें सुरक्षा उद्देश्यों के लिए अक्षम किया जाना चाहिए? यदि हां, तो ufw फ़ायरवॉल का उपयोग करने का सही तरीका क्या है?

इस लेख के अनुसार

ऐसे कुछ मामले हैं जहां आईसीएमपी पैकेट का उपयोग नेटवर्क पर हमला करने के लिए किया जा सकता है। हालाँकि आज इस प्रकार की समस्या आम नहीं है, फिर भी ऐसी स्थितियाँ हैं जहाँ ऐसी समस्याएँ होती हैं। यह ICMP रीडायरेक्ट या ICMP टाइप 5 पैकेट के मामले में है। ICMP रिडायरेक्ट्स का उपयोग राउटर्स द्वारा होस्ट नेटवर्क के आधार पर एक नेटवर्क से बेहतर राउटिंग पाथ को निर्दिष्ट करने के लिए किया जाता है, इसलिए मूल रूप से यह पैकेट्स रूट और डेस्टिनेशन के तरीके को प्रभावित करता है।

ICMP रीडायरेक्ट के माध्यम से, एक होस्ट यह पता लगा सकता है कि कौन से नेटवर्क को स्थानीय नेटवर्क के भीतर से एक्सेस किया जा सकता है, और जो प्रत्येक ऐसे नेटवर्क के लिए उपयोग किए जाने वाले राउटर हैं। सुरक्षा समस्या इस तथ्य से आती है कि आईसीएमपी पैकेट, जिसमें आईसीएमपी पुनर्निर्देशन भी शामिल है, नकली के लिए बेहद आसान है और मूल रूप से यह एक हमलावर के लिए आईसीएमपी पुनर्निर्देशित पैकेट बनाना आसान होगा।

तब Atacker मूल रूप से अपने मेजबान के रूटिंग टेबल में परिवर्तन कर सकता है और उसकी पसंद के रास्ते पर बाहरी मेजबानों की ओर ट्रैफ़िक निकाल सकता है; नया पथ 10 मिनट के लिए राउटर द्वारा सक्रिय रखा गया है। इस तथ्य और इस तरह के परिदृश्य में शामिल सुरक्षा जोखिमों के कारण, सभी सार्वजनिक इंटरफेस से ICMP रीडायरेक्ट संदेशों (उन्हें अनदेखा करना) को अक्षम करना अभी भी एक अनुशंसित अभ्यास है।

आपको फ़ाइल को संपादित करने की आवश्यकता है /etc/sysctl.conf

और बदल जाते हैं

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0

सेवा मेरे

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0

फिर ऊपर के साथ कर्नेल पैरामीटर संशोधन लागू करें:

$ sudo sysctl -p

ध्यान रखें कि यदि अग्रेषण अक्षम है (हम एक राउटर नहीं हैं) net.ipvX.conf.all.all.accept_redirects का मूल्य Ored इंटरफ़ेस-विशिष्ट मान होगा, जैसे net.ipvX.conf.eth0.acceptor-redirects। send_redirects हमेशा Ored होता है।

पूर्ण सुधार तब होगा:

net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0

'डिफ़ॉल्ट' सेटिंग्स का उपयोग करने के लिए नेटवर्क इंटरफेस को फिर से सेटअप करना होगा।