VPSサーバーでWebサイト公開 備忘録 ~Linux、MySQLからAJAXまで

NessusでVPSサーバーの脆弱性診断 ICMPタイムスタンプリクエスト

NessusでCentOS6.2のVPSサーバーに脆弱性診断を行った際、ICMPタイムスタンプリクエストの脆弱性がレポートされました。

重要度は”info”ですが、内容を調べ対策を施しました。
 
●ICMPタイムスタンプリクエストとは?
 
PINGと同じICMP(Internet Control Message Protocol)というプロトコルの通信で、PINGは、ICMPのタイプ8でエコー要求し、タイプ0のエコー応答を受け取っています。
 
一方、ICMPタイムスタンプリクエストは、ICMPのタイプ13を使用し、タイプ14のタイムスタンプ応答を受け取り、リモートシステムから現在の時間を受け取ります。
 
●ICMPタイプスタンプリクエストの脆弱性
 
下記サイトの情報によると、下記懸念があるようです。
ICMP time stamp request (ICMP_Timestamp_Request)
 
・時刻を知ることで、攻撃者がTCP初期化シーケンス番号をより正確に推測する。
・攻撃者が特定の暗号攻撃を仕掛ける可能性がある。
・他の手法と組み合わせてリモートシステムのOSを識別をする。
 
●CentOSでICMPタイムリクエスト、応答のパケットをドロップする
 
CentOSでは、iptablesでICMPタイムリクエスト、応答のパケットをドロップする事ができます。
 
/etc/sysconfig/iptablesに次のルールを追加します。
 
-A INPUT -p ICMP –icmp-type timestamp-request -j DROP
-A OUTPUT -p ICMP –icmp-type timestamp-reply -j DROP
 
設定変更後、iptablesを再起動。
 
# service iptables restart

モバイルバージョンを終了