Tuesday, May 1, 2007

ICMP 所引出的核心網路安全性議題

更新:2007-05-01
歸屬:
Topic.212.System.Security
Topic.214.Network.Troubleshooting

內文:
記得在考202時被問到一個情況(回憶):
一部伺服器會回應送出 ICMP Echo-Request 封包給對它進行廣播的來源位址主機,
要如何去停用回應...

果然設計題目的人是有唸書的@@"""
考不考認證是其次, 但重點是人的習慣會對考試中的題目不管對錯, 事後總是會印象較深, 再回頭去找解答時, 無形中更加深了"連帶關係"的系統架構...

來解剖一下小僧的大腦解題行為...
題目的選擇中大約分成三大方向思考, 一是用 ifconfig 來停用廣播, 這太極端了吧...
二是用 iptables 來拒絕全部的 ICMP 封包, 還是太極端, 會導致一些 Service 問題...
三是針對核心選項調整...
(小僧心想明明是單選題, 為啥背後的函義是要了解三個地方...~"~)

導出LPIC要您了解...
1./proc 不是一個實體的儲存體, 是開機後被映射到 RAM 的核心內容目錄化
2.我們可以透過調整 /proc/sys/net/ipv4/* 來調整核心的 ipv4 網路支持
3./proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 的值 =1 即為本題答案
4.Debian 預設值 = 1
4.我們可以用
#echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
來即時改變值內容(其它檔也可同此法操作)
5.
安全性議題屬"阻斷式服務 SYN Flooding"範圍.
6.想在開機時即能對核心選項做調校(較正規的做法), /etc/sysctl.conf 這檔就該要好好了解囉.
7.花點時間了解 /proc/sys/net/ipv4/* 對於提升系統網路安全是很值得投資的項目.

題外話:
寫了才知道, 原來這種教學文章花一個小時才能寫一題~"~, 看來這 Blog 前途甚慮...

1 comment:

BlueT said...

剛剛在某個 irc channel 看到學弟 post 這個 blog 的 url, 進來讀讀發現是你, 特來問聲好 :-)
還希望以後有機會能常來 KaLUG, 也多多推廣 Ubuntu 囉 :P

CSO Online Data Security Briefing

CIO Executive Briefing

LinuxWorld News

DesktopLinux.com