En matière de sécurité, la meilleure pratique consiste à vérifier que le système hôte ignore les messages de redirection ICMP (Internet Control Message Protocol) IPv4. Un message de redirection ICMP malveillant peut provoquer une attaque de type « intercepteur ». Les routeurs utilisent des messages de redirection ICMP pour informer les hôtes qu'un itinéraire plus direct existe pour une destination. Ces messages modifient le tableau de routage de l'hôte et ne sont pas authentifiés.
Procédure
- Exécutez la commande # grep [01] /proc/sys/net/ipv4/conf/*/accept_redirects|egrep "default|all" sur le système hôte pour vérifier que le système hôte ignore les messages de redirection IPv4.
- Configurez le système hôte pour ignorer les messages de redirection ICMP IPv4.
- Ouvrez le fichier /etc/sysctl.conf.
- Si les valeurs ne sont pas définies sur
0, ajoutez les entrées suivantes au fichier ou mettez à jour les entrées existantes en conséquence. Définissez la valeur sur0.net.ipv4.conf.all.accept_redirects=0 net.ipv4.conf.default.accept_redirects=0
- Enregistrez les modifications et fermez le fichier.
- Exécutez
# sysctl -ppour appliquer la configuration.
