NessusでCentOS6.2のVPSサーバーに脆弱性診断を行った際、ICMPタイムスタンプリクエストの脆弱性がレポートされました。

重要度は”info”ですが、内容を調べ対策を施しました。
　
●ICMPタイムスタンプリクエストとは？
　
PINGと同じICMP（Internet Control Message Protocol）というプロトコルの通信で、PINGは、ICMPのタイプ8でエコー要求し、タイプ0のエコー応答を受け取っています。
　
一方、ICMPタイムスタンプリクエストは、ICMPのタイプ13を使用し、タイプ14のタイムスタンプ応答を受け取り、リモートシステムから現在の時間を受け取ります。
　
●ICMPタイプスタンプリクエストの脆弱性
　
下記サイトの情報によると、下記懸念があるようです。
ICMP time stamp request (ICMP_Timestamp_Request)
　
・時刻を知ることで、攻撃者がTCP初期化シーケンス番号をより正確に推測する。
・攻撃者が特定の暗号攻撃を仕掛ける可能性がある。
・他の手法と組み合わせてリモートシステムのOSを識別をする。
　
●CentOSでICMPタイムリクエスト、応答のパケットをドロップする
　
CentOSでは、iptablesでICMPタイムリクエスト、応答のパケットをドロップする事ができます。
　
/etc/sysconfig/iptablesに次のルールを追加します。
　
-A INPUT -p ICMP –icmp-type timestamp-request -j DROP
-A OUTPUT -p ICMP –icmp-type timestamp-reply -j DROP
　
設定変更後、iptablesを再起動。
　
# service iptables restart