Che cosa sono i reindirizzamenti ICMP e dovrebbero essere bloccati?

19

Dopo aver abilitato ufw e il controllore della sicurezza Tiger, vedo degli avvertimenti che dicono:

The system accepts ICMP redirection messages

Che cosa sono i messaggi di reindirizzamento ICMP? Dovrebbero essere disabilitati per motivi di sicurezza? In tal caso, qual è il modo giusto per farlo usando il firewall ufw?

    
posta jrdioko 02.04.2012 - 20:04

2 risposte

24

Secondo questo articolo

  

Ci sono alcuni casi in cui i pacchetti ICMP possono essere utilizzati per attaccare una rete. Sebbene questo tipo di problema non sia comune oggi, ci sono situazioni in cui tali problemi si verificano. Questo è il caso del reindirizzamento ICMP o del pacchetto di tipo ICMP di tipo 5. I reindirizzamenti ICMP vengono utilizzati dai router per specificare i migliori percorsi di routing da una rete, in base alla scelta dell'host, quindi fondamentalmente influisce sul modo in cui i pacchetti vengono instradati e le destinazioni.

     

Attraverso i reindirizzamenti ICMP, un host può scoprire a quali reti è possibile accedere dalla rete locale e quali sono i router da utilizzare per ciascuna di tali reti. Il problema di sicurezza deriva dal fatto che i pacchetti ICMP, incluso il reindirizzamento ICMP, sono estremamente facili da falsificare e fondamentalmente sarebbe piuttosto facile per un utente malintenzionato forgiare pacchetti di reindirizzamento ICMP.

     

L'atacker può quindi sostanzialmente modificare le tabelle di routing del tuo host e il traffico del subacqueo verso host esterni su un percorso a sua scelta; il nuovo percorso è mantenuto attivo dal router per 10 minuti. A causa di questo fatto e dei rischi per la sicurezza coinvolti in tale scenario, è comunque consigliabile disattivare i messaggi di reindirizzamento ICMP (ignorarli) da tutte le interfacce pubbliche.

Devi modificare il file /etc/sysctl.conf

e cambia

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0

a

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0

Quindi applica le modifiche ai parametri del kernel sopra con:

$ sudo sysctl -p
    
risposta data Manish Sinha 02.04.2012 - 20:14
1

Ricorda che se l'inoltro è disabilitato (non siamo un router) il valore di net.ipvX.conf.all.accept_redirects sarà il valore specifico dell'interfaccia OR ad es. net.ipvX.conf.eth0.accept_redirects. send_redirects è sempre OR.

La correzione completa sarebbe quindi:

net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0

Per poter utilizzare le impostazioni di "default", le interfacce di rete devono essere nuovamente configurate.

    
risposta data Marek 16.03.2017 - 08:20

Leggi altre domande sui tag