Consigli CIS - disabilitazione inoltro ip

3

Sto esaminando i consigli CIS per debian 8.

In un test di conformità CIS che utilizza nessus, vedo che il test per disabilitare l'inoltro ip non è riuscito. Ma quando guardo il sistema, posso vedere che è in realtà disabilitato.

$ cat /proc/net/ipv4/ip_forward
0

Sembra che la raccomandazione del CIS sia quella di disattivare esplicitamente l'inoltro ip. Ma per quanto posso dire, se non abiliti esplicitamente ip_forwarding, rimarrà disabilitato.

C'è una ragione più grande per fare ciò che dice la raccomandazione, oltre a fare in modo che il parametro predefinito sia impostato?

Per riferimento, ho aggiunto il capitolo per ip_forwarding di seguito:

7.1.1 Disabilitazione dell'inoltro IP (Scored)

Applicabilità del profilo:

Livello 1

Descrizione: Il flag net.ipv4.ip_forward viene utilizzato per indicare al server se può inoltrare pacchetti o non. Se il server non deve essere utilizzato come router, impostare il flag su 0.

Motivazione: L'impostazione del flag su 0 garantisce che un server con più interfacce (ad esempio, un disco rigido proxy), non sarà mai in grado di inoltrare i pacchetti e, quindi, non servire mai come router.

Audit:

Effettuare quanto segue per determinare se net.ipv4.ip_forward è abilitato sul sistema.

# /sbin/sysctl net.ipv4.ip_forward

net.ipv4.ip_forward = 0

Remediation:

Imposta il parametro net.ipv4.ip_forward su 0 in /etc/sysctl.conf:

net.ipv4.ip_forward = 0

Modifica i parametri del kernel attivi in modo che corrispondano:

# /sbin/sysctl -w net.ipv4.ip_forward=0

# /sbin/sysctl -w net.ipv4.route.flush=1

    
posta Dog eat cat world 03.10.2016 - 14:02
fonte

1 risposta

2

Is there a bigger reason to do what the recommendation says, other than to make sure the default parameter is set?

Come per la configurazione degli ACL del firewall, la procedura migliore è configurare esplicitamente le impostazioni desiderate e non fare affidamento sull'impostazione predefinita (che potrebbe essere diversa da dispositivo a dispositivo. Ad esempio, gli ACL dovrebbero terminare in negare tutto e registrare .

Ci sono molti motivi per essere espliciti nelle tue configurazioni:

  • Non tutti i sistemi hanno lo stesso valore predefinito
  • L'impostazione del valore desiderato favorisce esplicitamente la responsabilità
  • Requisiti di verifica
risposta data 03.10.2016 - 16:30
fonte

Leggi altre domande sui tag