中国IT动力,最新最全的IT技术教程
最新100篇 | 推荐100篇 | 专题100篇 | 排行榜 | 搜索 | 在线API文档 | 网通镜像
首 页 | 程序开发 | 操作系统 | 软件应用 | 图形图象 | 网络应用 | 精文荟萃 | 教育认证 | 硬件维护 | 未整理篇 | 站长教程
ASP JS PHP工程 ASP.NET 网站建设 UML J2EESUN .NET VC VB VFP 网络维护 数据库 DB2 SQL2000 Oracle Mysql
服务器 Win2000 Office C DreamWeaver FireWorks Flash PhotoShop 上网宝典 CorelDraw 协议大全 网络安全 微软认证
硬件维护  CPU  主板  硬盘  内存  显卡  显示器  键盘鼠标  声卡音箱  打印机  机箱电源  BIOS  网卡  C#  Java  Delphi  vs.net2005
  当前位置:> 操作系统 > Linux > SlackWare
Slackware缺省网络配置安全问题
作者:佚名 时间:2007-12-05 17:01 出处:绿盟科技 责编:月夜寒箫
              摘要:Slackware缺省网络配置安全问题
 

受影响系统:

Slackware 7.0
描述:
概要:


    由于启动脚本文件/etc/rc.d/rc.inet2中不当的缺省网络设置,易使Slackware系统受到三种常见攻击:IP转发、IP欺骗(源端确认)和SYN攻击。这个问题可能在其它的发布版本中也存在。



详细资料:


Slackware的缺省设置允许下列攻击:


1、 IPV4 数据包转发(缺省打开)


    在脚本大约19行处的IP数据包转发设置,缺省为ON。这个缺省值是不合适的,因为连接了网络的计算机缺省是不应该允许数据转发的。例如当一个在局域网内的拨号用户在与其ISP保持互联网连接时,这样的设置易受到局域网内的数据包转发攻击。

    解决方法:在/etc/rc.d/rc.inet2中将'IPV4_FORWARD=1' 改为 'IPV4_FORWARD=0'。


2、 RP_FILTER (不合理的假设)


    紧跟着脚本对IP数据包转发设置,是一段关于rp_filter设置的注释。rp_filter用于对数据包源地址进行检查,以过滤外部攻击者使用IP欺骗进入内部网络。如果在允许IP转发的情况下没有打开这个设置,将易导致受到来自内部网的IP欺骗。按照这段注释和内核文档的内容,当允许IP转发时系统(缺省地)将隐式打开该项设置。然而实际上,如果只显式打开允许IP转发(IPV4_FORWARD=1),在/proc内的rp_filter的值仍旧为'0',这意味对数据包的来源不进行任何检查,从而成为导致这个漏洞的根源。


-------- 绿色兵团 --------


在察看了/etc/rc。d/rc。inet2的脚本后,这段说明是这样写的:

  

# When using IPv4 packet forwarding, you will also get the rp_filter, which

*^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^*

# automatically rejects incoming packets if the routing table entry for their

# source address doesn't match the network interface they're arriving on.  This

# has security advantages because it prevents the so-called IP spoofing,

# however it can pose problems if you use asymmetric routing (packets from you

# to a host take a different path than packets from that host to you) or if

# you operate a non-routing host which has several IP addresses on different

# interfaces.  To turn rp_filter off, uncomment the lines below:

# if [ -r /proc/sys/net/ipv4/conf/all/rp_filter ]; then

#   echo "Disabling rp_filter..."

#   echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter

# fi

  

可见,slackware7的系统没有显式打开rp_filter,因此我们建议的解决方法是:

  

在说明后面加入

  

echo "Enableing rp_filter..."

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

  

这样就可以打开rp_filter设置。


-------- 绿色兵团 --------


3、 TCP_SYNCOOKIES(在2.2.x内核下关闭)


    用于防止TCP_SYN攻击的syn-cookies在2.0.x内核下是打开的(缺省),但在2.2.x内核下却被关闭(缺省)了。管理员应该将其恢复为打开状态,这样能保护系统免受'SYN flood'攻击。
关闭本页
 
首页 | 投资与合作 | 服务条款 | 隐私政策 | 收藏本站 | 设为首页 | 新用户注册 | 免责声明 | 使用帮助
Copyright ©2005-2008 chinaitpower.com All rights reserved. www.chinaitpower.com 版权所有