Linux ETC
/proc/sys/net/ipv4 활용 서버보안 -1-
2015.09.17 16:07
1. 외부의 ping 테스트 막기
원격지에서 가능한 과다한 ping 테스트를 막기 위해서 ICMP를 차단하는 설정이 가능합니다.
[root@jhp_test ~]# cat /proc/sys/net/ipv4/icmp_echo_ignore_all
0
위 파일 값을 1로 설정하면 ICMP 패킷을 차단할 수 있게 됩니다. 그러나 이는 서버가 정상적인 상태일때도 ICMP 패킷을 차단하게 되므로 신중하게 결정해야 합니다.
2. smurf 공격 방지를 위한 broadcast 패킷 방지하기
실제로 특정 네트워크의 Broadcast 주소를 대상으로 ping 테스트를 악의적으로 하는 것이 가능합니다.
[root@jhp_test ~]# cat /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
0
위 파일 값을 1로 설정하면 특정 네트워크의 Broadcast 주소를 대상으로 한 ICMP 패킷을 차단합니다. Broadcast 주소로 패킷을 보내게 되면 그 네트워크에 존재하는 모든 호스트들이 패킷을 받게 되어 그 네트워크 내의 트래픽 부하를 발생하게 됩니다. 이를 방지하는 조치가 되겠습니다.
3. 세션 종료시간 조정
"tcp_fin_timeout" 은 TCP 세션이 종료된 후에 얼마나 오랫동안 세션연결을 유지하고 있을 것인가를 설정한다. 기본값은 60초입니다. TCP 세션을 과다하게 발생시켜 대상 호스트를 마비시키는 것이 실제로 가능하기 때문에 다음 파일의 값을 더 낮게 설정하여 호스트를 보호할 수 있습니다.
[root@jhp_test ~]# cat /proc/sys/net/ipv4/tcp_fin_timeout
60
