¿Qué son los redireccionamientos ICMP y deberían bloquearse?

19

Después de habilitar ufw y el auditor de seguridad de Tiger, veo advertencias que dicen:

The system accepts ICMP redirection messages

¿Qué son los mensajes de redirección ICMP? ¿Deben ser deshabilitados por razones de seguridad? Si es así, ¿cuál es la forma correcta de hacerlo utilizando el firewall ufw?

    
pregunta jrdioko 02.04.2012 - 18:04

2 respuestas

24

Según este artículo

  

Existen ciertos casos en los que los paquetes ICMP se pueden usar para atacar una red. Aunque este tipo de problema no es común hoy en día, hay situaciones en las que ocurren tales problemas. Este es el caso con el redireccionamiento ICMP, o el paquete ICMP tipo 5. Los enrutadores utilizan los redireccionamientos ICMP para especificar mejores rutas de enrutamiento fuera de una red, según la elección del host, por lo que básicamente afecta la forma en que se enrutan los paquetes y los destinos.

     

A través de los redireccionamientos de ICMP, un host puede averiguar a qué redes se puede acceder desde la red local y cuáles son los enrutadores que se utilizarán para cada una de dichas redes. El problema de seguridad proviene del hecho de que los paquetes ICMP, incluido el redireccionamiento ICMP, son extremadamente fáciles de falsificar y, básicamente, sería bastante fácil para un atacante forjar paquetes de redirección ICMP.

     

El atacante puede básicamente alterar las tablas de enrutamiento y el tráfico de buceadores de su host hacia hosts externos en un camino de su elección; la nueva ruta se mantiene activa por el enrutador durante 10 minutos. Debido a este hecho y los riesgos de seguridad involucrados en dicho escenario, sigue siendo una práctica recomendada deshabilitar los mensajes de redirección de ICMP (ignórelos) de todas las interfaces públicas.

Necesita editar el archivo /etc/sysctl.conf

y cambiar

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0

PARA

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0

A continuación, aplique las modificaciones de parámetros del kernel anteriores con:

$ sudo sysctl -p
    
respondido por el Manish Sinha 02.04.2012 - 18:14
1

Tenga en cuenta que si el reenvío está deshabilitado (no somos un enrutador), el valor de net.ipvX.conf.all.accept_redirects será el valor específico de la interfaz ORed, p. net.ipvX.conf.eth0.accept_redirects. send_redirects siempre está ORed.

La solución completa sería entonces:

net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0

Para hacer uso de la configuración 'predeterminada', las interfaces de red deben configurarse nuevamente.

    
respondido por el Marek 16.03.2017 - 07:20

Lea otras preguntas en las etiquetas