보안 모범 사례로 VMware 가상 장치 호스트 시스템에서 IPv4 ICMP Redirect 메시지를 거부하는지 확인합니다.

이 태스크 정보

라우터는 ICMP Redirect 메시지를 사용하여 대상에 보다 직접적인 경로가 있다는 사실을 호스트에 알려줍니다. 악성 ICMP Redirect 메시지는 메시지 가로채기 공격을 용이하게 만들 수 있습니다. 이러한 메시지는 호스트의 경로 테이블을 수정하며 인증되지 않습니다. 달리 필요한 경우가 아니라면 시스템에서 이러한 메시지를 무시하도록 구성해야 합니다.

프로시저

  1. VMware 장치 호스트 시스템에서 # grep [01] /proc/sys/net/ipv4/conf/*/accept_redirects|egrep "default|all" 명령을 실행하여 시스템이 IPv4 리디렉션 메시지를 거부하는지 확인합니다.

    호스트 시스템이 IPv4 리디렉션을 거부하도록 구성되어 있는 경우, 이 명령은 다음을 반환합니다.

    /proc/sys/net/ipv4/conf/all/accept_reidrects:0

    /proc/sys/net/ipv4/conf/default/accept_redirects:0

  2. 가상 장치 호스트 시스템이 IPv4 리디렉션 메시지를 거부하도록 구성하려면 /etc/sysctl.conf 파일을 텍스트 편집기에서 엽니다.
  3. net.ipv4.conf로 시작하는 줄의 값을 확인합니다.

    다음 항목의 값이 0으로 설정되어 있지 않거나 해당 항목이 없는 경우 항목을 파일에 추가하거나 기존 항목을 이에 맞게 업데이트합니다.

    net.ipv4.conf.all.accept_redirects=0
    net.ipv4.conf.default.accept_redirects=0
  4. 변경한 사항을 저장하고 파일을 닫습니다.