라우팅과 라우팅 프로토콜에는 몇 가지의 문제가 있다. IP 소스(source) 라우팅은 IP 패킷 내에 의도하는 목적지의 경로가 상세하게 포함되어 있는데 RFC 1122 에 의해 목적지 호스트와 같은 경로를 반응해야 하기 때문에 매우 위험하다. 만약 공격자가 소스 라우팅된 패킷을 여러분의 네트워크 내부에 발송할 수 있다면 반응하는 메시지를 가로채어 여러분의 호스트를 마치 신뢰 관계에 있는 호스트와 통신하는 것처럼 만들 수 있기 때문이다.
따라서 모든 네트워크 인터페이스에서 IP 소스 라우팅을 사용할 수 없도록 설정하여 이 보안 결함을 차단하는 것이 좋다. 여기서는 모든 인터페이스에 대해 IP 소스 라우팅을 차단한다. 물론 두 번째 카드인 eth1에 대해서도 차단하는데 만약 이더넷 카드가 1개라면 sysctl.conf 파일에서 eth1 관련 설정은 제외하고 명령을 입력한다.
- 1단계
IP 소스 라우팅을 차단하기 위해 아래와 같이 입력한다.
'vi /etc/sysctl.conf'로 sysctl.conf 를 읽어 아래와 같이 추가한다.
#IP 소스 라우팅을 차단한다.
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.lo.accept_source_route = 0
net.ipv4.conf.eth0.accept_source_route = 0
net.ipv4.conf.eth1.accept_source_route = 0
net.ipv4.conf.defalut.accept_source_route = 0
- 2단계
일단 설정이 완료된 후에는 변경된 내용이 적용되도록 네트워크를 다시 시작한다.
네트워크를 재시작하는 명령은 아래와 같다.
모든 네트워크 장치를 수동으로 재시작하려면 아래와 같이 입력한다.
#/etc/rc.d/init.d/network restart
이 옵션은 커널 설정과 관계가 있다. 만약 호스트에서 이 옵션이 yes로 설정 되었다면 IP 소스 라우팅을 허용한다는 것이므로 반드시 no로 설정되어 있어야 한다. 1은 yes의 의미이고 0은 no의 의미이다. 네트워크를 재시작하지 않고도 아래와 같이하면 변경된 내용을 적용할 수 있다.
#sysctl -w net.ipv4.conf.all.accept_source_route=0
#sysctl -w net.ipv4.conf.lo.accept_source_route=0
#sysctl -w net.ipv4.conf.eth0.accept_source_route=0
#sysctl -w net.ipv4.conf.eth1.accept_source_route=0
#sysctl -w net.ipv4.conf.default.accept_source_route=0
