Netzwerksicherheit

Der Bereich der Sicherheit spielt vor Allem in Netzwerken eine große Rolle.
Gentoo hat eine gute Dokumentation, die ich (noch) nicht übersetzt gefunden habe. Daher stelle ich diese hier in Deutsch zur Verfügung. Das Orginal ist unter https://wiki.gentoo.org/wiki/Security_Handbook/Network_security  zu finden. 

Das proc-Dateisystem

Viele Kernel-Parameter können über das Dateisystem / proc oder mithilfe von sysctl geändert werden.
Um Kernel-Parameter und Variablen dynamisch dynamisch ändern zu können, muss CONFIG_SYSCTL im Kernel aktiviert sein.Dies ist standardmäßig in einem Standard 4.0+ Kernel aktiviert.
IP-Weiterleitung deaktivieren:

root #/bin/echo "0" > /proc/sys/net/ipv4/ip_forward

Stellen Sie sicher, dass die IP-Weiterleitung deaktiviert ist. Wir wollen das nur für einen Multi-Homed-Host. Es wird empfohlen, dieses Flag vor allen anderen Flags zu setzen oder zu deaktivieren, da es auch andere Flags aktiviert / deaktiviert.

Drop-Ping-Pakete:

root #/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

Dies wird dazu führen, dass der Kernel einfach alle Ping-Nachrichten ignoriert (auch als ICMP-Typ 0-Nachrichten bekannt). Der Grund dafür ist, dass ein IP-Paket, das eine ICMP-Nachricht enthält, eine Payload mit anderen Informationen enthalten kann, als Sie denken. Administratoren verwenden Ping als Diagnose-Tool und beschweren sich oft, wenn es deaktiviert ist, aber es gibt keinen Grund für einen Außenseiter, Ping zu können. Da es jedoch für Insider manchmal von Vorteil sein kann, Ping-Nachrichten zu senden, können Sie ICMP-Nachrichten vom Typ 0 in der Firewall deaktivieren (damit lokale Administratoren dieses Tool weiterhin verwenden können).

Sendepings ignorieren:

root #/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

Dies deaktiviert die Reaktion auf ICMP-Broadcasts und verhindert Smurf-Angriffe. Der Smurf-Angriff sendet eine ICMP-Nachricht vom Typ 0 (Ping) an die Broadcast-Adresse eines Netzwerks. Normalerweise verwendet der Angreifer eine gefälschte Quelladresse. Alle Computer im Netzwerk werden auf die Ping-Nachricht antworten und dadurch den Host unter der gefälschten Quelladresse überfluten.

Deaktivieren Sie geroutete Pakete:

root #/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

Akzeptieren Sie keine von der Quelle gerouteten Pakete. Angreifer können mithilfe von Quellrouting Verkehr generieren, der so aussieht, als käme er aus dem Netzwerk, aber er wird tatsächlich entlang des Pfads zurückgeleitet, von dem er stammt. Angreifer können also Ihr Netzwerk gefährden. Das Quellenrouting wird selten für legitime Zwecke verwendet, daher ist es sicher, es zu deaktivieren.

Deaktivieren der Weiterleitungsakzeptanz:

root #/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects

Akzeptieren Sie keine ICMP-Redirect-Pakete. ICMP-Redirects können verwendet werden, um Ihre Routingtabellen möglicherweise zu einem schädlichen Ende zu ändern.

Aktivieren Sie den Schutz vor schlechten / gefälschten Fehlernachrichtenantworten:

root # / bin / echo "1"> / proc / sys / netz / ipv4 / icmp_ignore_bogus_error_responses

Aktivieren Sie die umgekehrte Pfadfilterung:

root #for i in /proc/sys/net/ipv4/conf/*; do

/bin/echo "1" > $i/rp_filter

done

Aktivieren Sie die umgekehrte Pfadfilterung. Dies stellt sicher, dass Pakete legitime Quelladressen verwenden, indem eingehende Pakete automatisch zurückgewiesen werden, wenn der Routing-Tabelleneintrag für ihre Quelladresse nicht mit der Netzwerkschnittstelle übereinstimmt, an der sie ankommen. Dies hat Sicherheitsvorteile, da es IP-Spoofing verhindert. Sie müssen es für jedes net / ipv4 / conf / * aktivieren, andernfalls ist die Quellenvalidierung nicht voll funktionsfähig.

 
Warnung
Das Aktivieren der umgekehrten Pfadfilterung kann jedoch ein Problem darstellen, wenn Sie asymmetrisches Routing verwenden (Pakete von Ihnen zu einem Host nehmen einen anderen Pfad als Pakete von diesem Host zu Ihnen) oder wenn Sie einen Host ohne Routing betreiben, der mehrere IP-Adressen und Schnittstellen hat.

Gespoofte Pakete protokollieren, geroutete Pakete routen und Pakete umleiten:

root # / bin / echo "1"> / proc / system / net / ipv4 / conf / all / log_martians

Alle diese Einstellungen werden zurückgesetzt, wenn das Gerät neu gestartet wird. Ich schlage vor, dass Sie sie zu /etc/sysctl.conf hinzufügen, was automatisch vom Init-Skript /etc/init.d/bootmisc stammt.

Die Syntax für /etc/sysctl.conf ist ziemlich einfach. Entfernen Sie / proc / sys / von den zuvor genannten Pfaden und ersetzen Sie / durch:
FILE /etc/sysctl.conf

net.ipv4.ip_forward = 0

Es ist auch möglich, den Befehl echo zu verwenden, um die obige Anpassung an ip_forward manuell vorzunehmen:

root # / bin / echo "0"> / proc / sys / net / ipv4 / ip_forward