আইসিএমপি পুনঃনির্দেশগুলি কী এবং সেগুলি ব্লক করা উচিত?


22

ইউএফডাব্লু এবং টাইগার সিকিউরিটি অডিটর সক্ষম করার পরে, আমি সতর্কতাগুলি দেখছি:

The system accepts ICMP redirection messages

আইসিএমপি পুনঃনির্দেশ বার্তা কি? সুরক্ষার প্রয়োজনে তাদের কি অক্ষম করা উচিত? যদি তা হয় তবে ufw ফায়ারওয়াল ব্যবহার করে এটি করার সঠিক উপায় কী?

উত্তর:


28

এই নিবন্ধ অনুযায়ী

আইসিএমপি প্যাকেটগুলি কোনও নেটওয়ার্ক আক্রমণ করার জন্য ব্যবহার করা যেতে পারে এমন কয়েকটি ক্ষেত্রে রয়েছে। যদিও এই ধরণের সমস্যাটি আজ সাধারণ নয়, এমন পরিস্থিতি রয়েছে যেখানে এই জাতীয় সমস্যাগুলি ঘটে। আইসিএমপি পুনর্নির্দেশ বা আইসিএমপি টাইপ 5 প্যাকেটের ক্ষেত্রে এটিই ঘটে। হোস্ট নির্বাচনের উপর ভিত্তি করে আইসিএমপি পুনঃনির্দেশগুলি রাউটারগুলির মাধ্যমে একটি নেটওয়ার্কের বাইরে থেকে আরও ভাল রাউটিং পাথ নির্দিষ্ট করতে ব্যবহৃত হয়, সুতরাং মূলত এটি প্যাকেটগুলি রাউটেড এবং গন্তব্যস্থলগুলিকে প্রভাবিত করে।

আইসিএমপি পুনঃনির্দেশগুলির মাধ্যমে একটি হোস্ট স্থানীয় নেটওয়ার্কের মধ্যে থেকে কোন নেটওয়ার্কগুলি অ্যাক্সেস করা যায় এবং কোনটি এই জাতীয় প্রতিটি নেটওয়ার্কের জন্য ব্যবহৃত রাউটারগুলি তা জানতে পারে। সুরক্ষা সমস্যাটি এ থেকে আসে যে আইসিএমপি পুনর্নির্দেশসহ আইসিএমপি প্যাকেটগুলি জাল করা অত্যন্ত সহজ এবং মূলত আক্রমণকারীটির জন্য আইসিএমপি পুনর্নির্দেশের প্যাকেটগুলি জাল করা বরং বরং সহজ হবে easy

অ্যাটেকার তারপরে মূলত আপনার হোস্টের রাউটিং টেবিলগুলিকে পরিবর্তন করতে পারে এবং তার পছন্দসই পথে বাইরের হোস্টগুলির দিকে ট্র্যাফিক ডাইভারে ডাইভার্ট করতে পারে; নতুন পথটি 10 ​​মিনিটের জন্য রাউটার দ্বারা সক্রিয় রাখা হয়েছে। এই সত্য এবং এই জাতীয় দৃশ্যের সাথে জড়িত সুরক্ষা ঝুঁকির কারণে, সমস্ত পাবলিক ইন্টারফেস থেকে আইসিএমপি পুনর্নির্দেশ বার্তাগুলি (সেগুলি উপেক্ষা করুন) অক্ষম করার জন্য এটি এখনও একটি প্রস্তাবিত অনুশীলন।

আপনার ফাইলটি সম্পাদনা করতে হবে /etc/sysctl.conf

এবং পরিবর্তন

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0

প্রতি

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0

তারপরে উপরের কার্নেল প্যারামিটার পরিবর্তনগুলি প্রয়োগ করুন:

$ sudo sysctl -p

ধন্যবাদ। আপনারও সম্ভবত এই লাইনগুলিকে খুব খারাপ করা দরকার, না? :)
jrdioko

হ্যাঁ. আমার ভুল. এটি আপডেট।
মনিশ সিনহা

4
পরিবর্তনগুলি গ্রহণ করতে আপনাকে এটি করতে হবে: sudo sysctl -p

আমি নেট.ipv4.conf.all.accept_redirects = 0 সেট করে কিছু করি না বলে মনে করি; ফাইলটিতে or_ নোট করুন। আমি যদি নিরাপদ_আরদীকরণগুলি [ ফ্রোজেন্টাক্স.না. / সিপিসিটল- টিউটোরিয়াল / শঙ্কিহিটএমএল / ] সঠিকভাবে পড়ছি তবে এটি নেট.আইপিভি 4 সিএনএফ.আল.এসেপ্ট_ডায়ারেক্টস = 0
জেরার্ডউ

3

মনে রাখবেন যে যদি ফরওয়ার্ডিং অক্ষম করা হয় (আমরা কোনও রাউটার নই) নেট.আইপিভিএক্সএক্সফোন.এল.একসেপ্ট_ডায়ারেক্টসটি ওআরএড ইন্টারফেস-নির্দিষ্ট মান যেমন নেট.আইপিভিএক্সএকএনএফ0.অ্যাকসেপ্ট_ডায়ারেক্টস হবে। send_redirects সর্বদা ORed হয়।

সম্পূর্ণ ফিক্স তখন হবে:

net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0

'ডিফল্ট' সেটিংস ব্যবহার করার জন্য নেটওয়ার্ক ইন্টারফেসগুলি আবার সেটআপ করতে হবে।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.