보안 Best Practice로, 호스트 시스템이 IPv4 ICMP(Internet Control Message Protocol) 리디렉션 메시지를 무시하는지 확인합니다. 악의적인 ICMP 리디렉션 메시지는 메시지 가로채기(man-in-the-middle) 공격이 발생하도록 허용할 수 있습니다. 라우터는 ICMP 리디렉션 메시지를 사용하여 더욱 직접적인 경로가 특정 대상에 대해 존재함을 호스트에 알립니다. 이러한 메시지는 인증되지 않은 것이며, 호스트의 경로 테이블을 수정합니다.
프로시저
- 호스트 시스템에서 # grep [01] /proc/sys/net/ipv4/conf/*/accept_redirects|egrep "default|all" 명령을 실행하여 호스트 시스템이 IPv4 리디렉션 메시지를 무시하는지 여부를 확인합니다.
- IPv4 ICMP 리디렉션 메시지를 무시하도록 호스트 시스템을 구성합니다.
- /etc/sysctl.conf 파일을 엽니다.
- 값이
0
로 설정되어 있지 않은 경우 다음 항목을 파일에 추가하거나 기존 항목을 이에 맞게 업데이트합니다. 값을0
로 설정합니다.net.ipv4.conf.all.accept_redirects=0 net.ipv4.conf.default.accept_redirects=0
- 변경 사항을 저장하고 파일을 닫습니다.
-
# sysctl -p
를 실행하여 구성을 적용합니다.