Dopo aver abilitato ufw e l'auditor di sicurezza Tiger, vedo degli avvertimenti che dicono:
The system accepts ICMP redirection messages
Cosa sono i messaggi di reindirizzamento ICMP? Dovrebbero essere disabilitati per motivi di sicurezza? In tal caso, qual è il modo giusto per farlo utilizzando il firewall ufw?
Risposte:
Ci sono alcuni casi in cui i pacchetti ICMP possono essere utilizzati per attaccare una rete. Sebbene questo tipo di problema non sia comune oggi, ci sono situazioni in cui si verificano tali problemi. Questo è il caso del reindirizzamento ICMP o del pacchetto ICMP Tipo 5. I reindirizzamenti ICMP vengono utilizzati dai router per specificare percorsi di routing migliori da una rete, in base alla scelta dell'host, quindi in pratica influisce sul modo in cui i pacchetti vengono instradati e le destinazioni.
Tramite i reindirizzamenti ICMP, un host può scoprire a quali reti è possibile accedere dalla rete locale e quali sono i router da utilizzare per ciascuna di tali reti. Il problema di sicurezza deriva dal fatto che i pacchetti ICMP, incluso il reindirizzamento ICMP, sono estremamente facili da falsificare e fondamentalmente sarebbe piuttosto facile per un utente malintenzionato creare pacchetti di reindirizzamento ICMP.
L'atacker può quindi modificare sostanzialmente le tabelle di routing del tuo host e deviare il traffico verso host esterni su un percorso di sua scelta; il nuovo percorso viene mantenuto attivo dal router per 10 minuti. A causa di questo fatto e dei rischi per la sicurezza associati a tale scenario, è ancora consigliabile disabilitare i messaggi di reindirizzamento ICMP (ignorarli) da tutte le interfacce pubbliche.
Devi modificare il file /etc/sysctl.conf
e cambia
###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0
A
###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0
Quindi applicare le modifiche ai parametri del kernel sopra con:
$ sudo sysctl -p
Tieni presente che se l'inoltro è disabilitato (non siamo un router) il valore di net.ipvX.conf.all.accept_redirects sarà un valore specifico dell'interfaccia OR, ad esempio net.ipvX.conf.eth0.accept_redirects. send_redirects è sempre ORed.
La correzione completa sarebbe quindi:
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
Per utilizzare le impostazioni "predefinite", è necessario configurare nuovamente le interfacce di rete.