Після ввімкнення ufw та ревізора безпеки Tiger я бачу попередження:
The system accepts ICMP redirection messages
Що таке повідомлення про переадресацію ICMP? Чи повинні вони бути відключені з метою безпеки? Якщо так, то який правильний спосіб зробити це за допомогою брандмауера ufw?
Відповіді:
Існують певні випадки, коли пакети ICMP можуть використовуватися для атаки на мережу. Незважаючи на те, що подібний тип проблем сьогодні не поширений, є ситуації, коли такі проблеми трапляються. Це стосується переадресації ICMP або пакета ICMP типу 5. Перенаправлення ICMP використовуються маршрутизаторами для визначення кращих маршрутів маршрутів з однієї мережі на основі вибору хоста, тому в основному це впливає на спосіб маршрутизації пакетів та пункти призначення.
За допомогою переспрямувань ICMP хост може з’ясувати, до яких мереж можна отримати доступ у межах локальної мережі та які маршрутизатори слід використовувати для кожної такої мережі. Проблема безпеки пов'язана з тим, що пакети ICMP, включаючи перенаправлення ICMP, надзвичайно легко підробити, і в основному зловмисникові було б досить легко підробити пакети переадресації ICMP.
Потім атакуючий може в основному змінити таблиці маршрутів вашого хоста і перенаправити трафік до зовнішніх хостів шляхом, який він обрав; новий шлях маршрутизатор підтримує активність протягом 10 хвилин. Зважаючи на цей факт та ризики для безпеки, пов'язані з таким сценарієм, рекомендується відключати повідомлення про переадресацію ICMP (ігнорувати їх) з усіх публічних інтерфейсів.
Вам потрібно відредагувати файл /etc/sysctl.conf
і змінити
###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0
ДО
###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0
Потім застосуйте вище змінені параметри ядра за допомогою:
$ sudo sysctl -p
Майте на увазі, що якщо переадресація відключена (ми не маршрутизатор), значення net.ipvX.conf.all.accept_redirects буде ORED значенням для інтерфейсу, наприклад net.ipvX.conf.eth0.accept_redirects. send_redirects завжди ORED.
Повне виправлення було б тоді:
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
Для того, щоб скористатися налаштуваннями за замовчуванням, мережеві інтерфейси потрібно знову налаштувати.