N-33 ICMP unreachable, Redirect 차단
■ 점검영역 : 기능관리
■ 항목 중요도 : 중
■ 점검내용
ICMP unreachable, ICMP redirect를 차단하는지 점검
■ 점검목적
ICMP unreachable 차단으로 DoS 공격을 차단하고 공격자가 네트워크 스캔시 소요되는 시간을 길어지게 하여 스캔 공격을 지연 및 차단함
ICMP redirect 차단으로 라우팅 테이블이 변경되는 것을 차단하기 위함
■ 보안위협
ICMP unreachable을 차단하지 않을 경우, 공격자의 스캔 공격을 통해 시스템의 현재 운영되고 있는 상태 정보가 노출될 수 있음
ICMP redirect을 차단하지 않을 경우, 호스트 패킷 경로를 다시 지정하는 과정에서 특정 목적지로 가기 위해 고의적으로 패킷 경로를 변경하여 가로챌 수 있음
연속적으로 ICMP의 port-unreachable frame을 보내서 시스템의 성능을 저하시키거나 마비시킬 수 있음
■ 참고
※ ICMP unreachable: ICMP unreachable 메시지에는 특정 호스트 및 게이트웨이에 패킷을 보냈을 때 어떠한 이유로 전달될 수 없는지 나타내는 코드들을 포함하고 있음
※ ICMP redirect: ICMP redirect는 라우터가 송신 측 호스트에 적합하지 않은 경로로 설정되어 있으면 해당 호스트에 대한 최적 경로를 다시 지정해주는 용도로 사용됨
점검대상 및 판단기준(네트워크 취약점 진단)
■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등
양호
ICMP unreachable, ICMP Redirect를 차단하는 경우
취약
ICMP unreachable, ICMP Redirect를 차단하지 않는 경우
■ 조치방법
각 인터페이스에서 ICMP Unreachables, ICMP Redirects 비활성화
점검 및 조치 방법(파이오링크, 시스코, 주니퍼)
■ 장비별 점검방법 예시
Cisco IOS
Router> enable
Router# show running-config
각 인터페이스에서 no ip unreachables과 no ip redirects 설정을 확인
※ Global Configuration 모드의 ip icmp redirects 명령어는 ICMP 리다이렉션 메시지 유형을 호스트 또는 서브넷으로 지정하는 명령어로 ICMP 리다이렉션 차단과 무관
Juniper Junos
user@host# show
ICMP Unreachables , ICMP redirects 적용 확인
■ 장비별 조치방법 예시
Cisco IOS
Interface Configuration 모드에서 no ip unreachables과 no ip redirects 명령어를 실행
※ 널 인터페이스(Null0)는 no ip unreachables 외 다른 모든 명령어는 무시됨
Router# config terminal
Router(config)# interface <인터페이스>
Router(config-if)# no ip unreachables
Router(config-if)# no ip redirects
Router(config-if)# end
Juniper Junos
Step 1) ICMP Redirect 차단
전체 장비에서 ICMP Redirect 비활성화
[edit system]
user@host#set no-redirects
또는 특정 인터페이스에서 ICMP Redirect 비활성화
[edit interfaces]
user@host#set <인터페이스> unit <유닛> family <패밀리> no-redirects
■ 조치 시 영향 : 특정 경로를 찾아갈 때 많은 시간이 경과 될 수 있음