Salut la liste, ICMP redirect est en effet un vecteur d'attaque, j'ai bossé sur la question récemment (http://wr0ng.name/other/Thesis.pdf - en anglais).
Pour ce qui est de son utilité, très intéressant, la redondance est un gros point d'application, meme si la RFC (https://tools.ietf.org/html/rfc792) exprime une question de vitesse. De ce que j'en pense, il est activé par défaut pour des raisons de retro compatibilité, et le désactiver est une très bonne chose. Toujours en lien avec mon document, je n'ai pas trouvé de solution efficace pour le rendre sécurisé sans se retrouver avec des hacks fait-maison. Si ca peut aider a y voir plus clair, Florent Original Message From: David Ponzone Sent: Thursday, November 19, 2015 06:48 To: Pierre Colombier Cc: frnog@frnog.org Subject: Re: [FRnOG] [TECH] icmp_redirect A mon avis, c'est juste un déchet historique dont Cisco entre autres n'a pas jugé bon de changer la valeur par défaut (contrairement à ce qui été fait pour ip source-route et ip classless). Wikipedia mentionne même que c'est un vecteur d'attaque mais j'ai pas approfondi. https://fr.m.wikipedia.org/wiki/Internet_Control_Message_Protocol David Ponzone > Le 19 nov. 2015 à 02:43, Pierre Colombier <pcdw...@pcdwarf.net> a écrit : > > Bonjour David, > > Ce sont bien des machines linux (le routeur aussi) > > Je connaissais bien la méthode pour désactiver les icmp_redirect, et > usuellement ça fait même partie de mon script d'install. > (parce que ça m'était déjà arrivé il y a plusieurs années) > Simplement ça n'avait pas été fait sur ces serveurs là. > > Je confirme que changer d'IP m'aurait évité des déboires mais le routeur > cumulait d'autres fonctions que je n'avais pas envie de reproduire sur la > passerelle temporaire. > > > Ma question est plus de l'ordre du théorique : > 1) Pourquoi ça existe ? > 2) En pratique, dans quelle situation est-réellement utile ? > La seule situation à laquelle je peux penser est d'éviter un aller-retour > inutile sur un même segment. > Mais ça signifie qu'il y a soit une erreur dans les règles de routage et que > c'est un cache-misère soit que c'est fait exprès et qu'alors il faudrait > justement éviter d'apporter des corrections automatiques à une situation qui > est voulue par l'admin. > 3°) Pourquoi est-ce activé par défaut ? Cette fonctionnalité n'est-elle pas > intrinsèquement une faille de sécurité ? > 4°) Dans la mesure où il s'agit d'un contournement des règles de routage > "normales", pourquoi la durée du cache est-elle si longue ? (plus de quelques > secondes) > > > > >> On 18/11/2015 22:23, David Ponzone wrote: >> Pour ne pas prendre en compte les redirect sur Linux: >> http://linuxpoison.blogspot.fr/2010/01/how-to-disable-icmp-redirects-in-linux.html >> >> <http://linuxpoison.blogspot.fr/2010/01/how-to-disable-icmp-redirects-in-linux.html> >> >> Pour comprendre l’algo d’expiration du cache des routes de Linux (bon >> courage): >> http://vincent.bernat.im/fr/blog/2011-ipv4-route-cache-linux.html >> <http://vincent.bernat.im/fr/blog/2011-ipv4-route-cache-linux.html> >> :) >> >> Ca aurait été plus simple pour toi de déplacer l’IP d’un routeur vers >> l’autre. >> Le cache ARP est lui rafraichi de manière prévisible par Linux. >> Ptet même par Windows. >> >>> Le 18 nov. 2015 à 20:19, Pierre Colombier <pcdw...@pcdwarf.net> a écrit : >>> >>> Bonjour la liste, >>> >>> suite à un lien mort, j'ai demandé à mon routeur de tout rediriger vers une >>> passerelle temporaire située dans le même segment. >>> ça m'évitait de changer la route par défaut sur tout mes serveurs. >>> >>> Retour à la normal, pas de bol, tous mes serveurs continuent de passer par >>> la passerelle temporaire. >>> Je viens de passer une heure en debug et à virer les route icmp_redirect.... >>> >>> Alors je ne suis peut-être pas totalement objectif rapport au temps que je >>> viens de perdre mais en fait, icmp_redirect, ça sert à quoi ? (à part >>> foutre la merde) ? >>> j'ai l'impression qu'au mieux c'est un pansement sur une jambe de bois. Et >>> qu'au pire c'est... enfin pire quoi.... >>> >>> Quelqu'un a des info/doc sur pourquoi ce truc existe et surtout pourquoi il >>> n'est pas désactivé par défaut ? >>> >>> >>> >>> >>> >>> >>> >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
