sysctl ipv4 보안취약점 관련 사항

1. Environment

     – MDRM

 2. Symptoms

     –  국정원 보안 취약점 항목

2.1

ip_forward 설정이 활성화 되어있어 취약
/proc/sys/net/ipv4/ip_forward 1

2.2

accept_redirects 설정되어있어 취약
/proc/sys/net/ipv4/conf/default/accept_redirects 1

수정 요구 사항

2.1

vi /etc/sysctl.conf
net_ipv4.ip_forward = 0
으로 수정 또는 추가하여 값 변경
sysctl -p
명령어 입력하여 적용

2.2

vi /etc/sysctl.conf
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
ex) 네트워크 디바이스 이름마다 적용(eth0)
net.ipv4.conf.eth0.accept_redirects = 0
으로 수정 또는 추가하여 값 변경
sysctl -p
명령어 입력하여 적용

 3. Solution

  2.1 의 사항 조치 

ip_forward 설정 활성화 필요


/proc/sys/net/ipv4/ip_forward 1

cause 

MDRM 관제서버는 Docker 기반 컨테이너로 동작합니다.
Docker는 IPv4 Forwading을 통해 컨테이너 내부로 패킷을 전달 합니다.
따라서, IPv4 Forwading 비활성화시 아래와 같은 메시지가 발생하며, MDRM 동작에 문제가 발생 할 수 있습니다.
“WARNING: IPv4 forwarding is disabled”
“WARNING: IPv4 forwarding is disabled. Networking will not work.”

2.2의 사항 조치 

accept_redirects 설정 비활성화 가능

net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0

4. cause 

MDRM 테스트 진행 후 영향도 없음 직접 확인.