Que sont les redirections ICMP et doivent-elles être bloquées?
Après avoir activé ufw et l'auditeur de sécurité de Tiger, je vois des avertissements disant:
The system accepts ICMP redirection messages
Que sont les messages de redirection ICMP? Devraient-ils être désactivés pour des raisons de sécurité? Si oui, quelle est la bonne façon de le faire en utilisant le pare-feu ufw?
Dans certains cas, les paquets ICMP peuvent être utilisés pour attaquer un réseau. Bien que ce type de problème ne soit pas courant aujourd'hui, il existe des situations où de tels problèmes se produisent. C'est le cas de la redirection ICMP ou du paquet ICMP de type 5. Les routeurs utilisent les redirections ICMP pour spécifier de meilleurs chemins de routage à partir d'un réseau, en fonction du choix de l'hôte, ce qui a donc une incidence sur la façon dont les paquets sont acheminés et les destinations.
Grâce aux redirections ICMP, un hôte peut savoir quels réseaux sont accessibles depuis le réseau local et quels sont les routeurs à utiliser pour chacun de ces réseaux. Le problème de sécurité provient du fait que les paquets ICMP, y compris la redirection ICMP, sont extrêmement faciles à simuler et qu’il serait en fait assez facile pour un attaquant de forger des paquets de redirection ICMP.
L'attaquant peut alors essentiellement modifier les tables de routage de votre hôte et le trafic de plongeur vers des hôtes externes sur le chemin de son choix; le nouveau chemin est maintenu actif par le routeur pendant 10 minutes. En raison de ce fait et des risques de sécurité inhérents à un tel scénario, il est toujours recommandé de désactiver les messages de redirection ICMP (les ignorer) à partir de toutes les interfaces publiques.
Vous devez éditer le fichier /etc/sysctl.conf
et changer
###################################################################
# Additional settings - these settings can improve the network
# security of the Host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0
À
###################################################################
# Additional settings - these settings can improve the network
# security of the Host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0
Appliquez ensuite les modifications de paramètres de noyau ci-dessus avec:
$ Sudo sysctl -p
Notez que si le transfert est désactivé (nous ne sommes pas un routeur), la valeur de net.ipvX.conf.all.accept_redirects sera la valeur ORed spécifique à l'interface, par exemple. net.ipvX.conf.eth0.accept_redirects. send_redirects est toujours ORed.
Le correctif complet serait alors:
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
Pour utiliser les paramètres "par défaut", les interfaces réseau doivent être configurées à nouveau.