NessusでCentOS6.2のVPSサーバーに脆弱性診断を行った際、ICMPタイムスタンプリクエストの脆弱性がレポートされました。
重要度は”info”ですが、内容を調べ対策を施しました。
●ICMPタイムスタンプリクエストとは?
PINGと同じICMP(Internet Control Message Protocol)というプロトコルの通信で、PINGは、ICMPのタイプ8でエコー要求し、タイプ0のエコー応答を受け取っています。
一方、ICMPタイムスタンプリクエストは、ICMPのタイプ13を使用し、タイプ14のタイムスタンプ応答を受け取り、リモートシステムから現在の時間を受け取ります。
●ICMPタイプスタンプリクエストの脆弱性
下記サイトの情報によると、下記懸念があるようです。
ICMP time stamp request (ICMP_Timestamp_Request)
・時刻を知ることで、攻撃者がTCP初期化シーケンス番号をより正確に推測する。
・攻撃者が特定の暗号攻撃を仕掛ける可能性がある。
・他の手法と組み合わせてリモートシステムのOSを識別をする。
●CentOSでICMPタイムリクエスト、応答のパケットをドロップする
CentOSでは、iptablesでICMPタイムリクエスト、応答のパケットをドロップする事ができます。
/etc/sysconfig/iptablesに次のルールを追加します。
-A INPUT -p ICMP –icmp-type timestamp-request -j DROP
-A OUTPUT -p ICMP –icmp-type timestamp-reply -j DROP
設定変更後、iptablesを再起動。
# service iptables restart