728x90
|
[Unix-보안] IP 라우팅 서비스 제한 미비 |
IP 포워딩은 동일 시스템에 있는 두 개 이상의 네트워크 인터페이스간의 IP 패킷들을 라우팅
■ 취약점
- IP 포워딩 및 소스 라우팅 기능이 설정되어 있는 경우 시스템 성능 저하 발생 가능성 존재
■ 조치방법
- 라우팅 불가능 설정 방법
1. 다음 명령 실행
$ ndd -set /dev/ip ip_forwarding 0
$ ndd -set /dev/ip ip_forward_src_routed 0
$ ndd -set /dev/ip ip_forward_src_routed 0
2. 부팅시 항상 적용될 수 있도록 아래 설정파일의 해당 항목 수정
$ vi /etc/rc.config.d/nddconf
※ 아래 항목은 안전하게 설정된 /etc/rc.config.d/nddconf 파일의 예
TRANSPORT_NAME[1]=ip
NDD_NAME[1]=ip_forwarding
NDD_VALUE[1]=0
TRANSPORT_NAME[2]=ip
NDD_NAME[2]=ip_forward_directed_broadcast
NDD_VALUE[2]=0
TRANSPORT_NAME[3]=ip
NDD_NAME[3]=ip_forward_src_routed
NDD_VALUE[3]=0
TRANSPORT_NAME[4]=ip
NDD_NAME[4]=ip_respond_to_echo_broadcast
NDD_VALUE[4]=0
NDD_NAME[1]=ip_forwarding
NDD_VALUE[1]=0
TRANSPORT_NAME[2]=ip
NDD_NAME[2]=ip_forward_directed_broadcast
NDD_VALUE[2]=0
TRANSPORT_NAME[3]=ip
NDD_NAME[3]=ip_forward_src_routed
NDD_VALUE[3]=0
TRANSPORT_NAME[4]=ip
NDD_NAME[4]=ip_respond_to_echo_broadcast
NDD_VALUE[4]=0
728x90
'IT Infra & OS & Security > Unix' 카테고리의 다른 글
| [보안] Sendmail 서비스 거부 방지 설정 (0) | 2017.02.28 |
|---|---|
| [보안] SMTP 서비스 실행 (0) | 2017.02.27 |
| [보안] cron 파일 소유자 및 권한 설정 (0) | 2017.02.25 |
| [보안] tftp, talk 서비스 비활성화 (0) | 2017.02.24 |
| [보안] automountd 제거 (0) | 2017.02.23 |