O que são redirecionamentos ICMP e devem ser bloqueados?

19

Depois de ativar o ufw e o auditor de segurança Tiger, vejo avisos dizendo:

The system accepts ICMP redirection messages

O que são mensagens de redirecionamento ICMP? Eles devem ser desativados por motivos de segurança? Se sim, qual é a maneira correta de fazer isso usando o firewall ufw?

    
por jrdioko 02.04.2012 / 20:04
fonte

2 respostas

24

De acordo com este artigo

  

Existem alguns casos em que os pacotes ICMP podem ser usados ​​para atacar uma rede. Embora esse tipo de problema não seja comum hoje em dia, há situações em que esses problemas acontecem. Esse é o caso do redirecionamento ICMP ou do pacote ICMP Tipo 5. Os redirecionamentos ICMP são usados ​​pelos roteadores para especificar melhores caminhos de roteamento de uma rede, com base na escolha do host, de modo que basicamente afeta a forma como os pacotes são roteados e os destinos.

     

Por meio de redirecionamentos de ICMP, um host pode descobrir quais redes podem ser acessadas de dentro da rede local e quais são os roteadores a serem usados ​​para cada rede. O problema de segurança vem do fato de que os pacotes ICMP, incluindo o redirecionamento ICMP, são extremamente fáceis de falsificar e, basicamente, seria muito fácil para um atacante falsificar os pacotes de redirecionamento ICMP.

     O atacante pode então basicamente alterar as tabelas de roteamento de seu host e o tráfego de mergulhadores para hosts externos em um caminho de sua escolha; o novo caminho é mantido ativo pelo roteador por 10 minutos. Devido a esse fato e aos riscos de segurança envolvidos em tal cenário, ainda é uma prática recomendada desabilitar as mensagens de redirecionamento ICMP (ignorá-las) de todas as interfaces públicas.

Você precisa editar o arquivo /etc/sysctl.conf

e altere

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0

PARA

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0

Em seguida, aplique as modificações do parâmetro do kernel acima com:

$ sudo sysctl -p
    
por Manish Sinha 02.04.2012 / 20:14
fonte
1

Lembre-se de que se o encaminhamento estiver desativado (não somos um roteador), o valor de net.ipvX.conf.all.accept_redirects será o valor específico da interface ORed, por exemplo, net.ipvX.conf.eth0.accept_redirects. send_redirects é sempre ORed.

A correção completa seria:

net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0

Para utilizar as configurações 'default', as interfaces de rede devem ser configuradas novamente.

    
por Marek 16.03.2017 / 08:20
fonte