Tietoturvan kohennusta? Vaikutukset?

[valtsu68]

Terve

Räpelsin päätteellä jotain ja yllättäen Gedittiin avautui sysctl.conf.

Sitä vähän aikaa tavattuani tulin seuraavaan käsitykseen, että kommenttimerkinnän poistaminen joiltain riveiltä voi parantaa tietoturvaa.

Onko näin?

Onko kukaan käyttänyt tällaista optiota? Kokemuksia?

Haittoja / hyötyjä?

Tietoturvan parantuminen marginaalista vai merkittävää?

# Uncomment the next two lines to enable Spoof protection (reverse-path filter)
# Turn on Source Address Verification in all interfaces to
# prevent some spoofing attacks

these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection.

# Do not send ICMP redirects (we are not a router)

# Do not accept IP source route packets (we are not a router)

[valtsu68]

Uppia. Otsikkokin muutettu populistisemmaksi 

Aika selvähän tuo on, mutta onko näillä mitään oikeaa vaikutusta?

Missähän ympäristöissä noista on haittaa, ts. miksi eivät ole oletuksena päällä, ts. miksi tuollainen liikenne oletuksena sallitaan?

[Jakke77]

en tiedä, otin kommentit pois kaikesta mitä tuolta löyty eikä tässä ainakaan mitään ongelmia ole tullut (vielä)

[valtsu68]

en tiedä, otin kommentit pois kaikesta mitä tuolta löyty eikä tässä ainakaan mitään ongelmia ole tullut (vielä)

Jospa se sitten minäkin jo tohtisin koettaa. Virtuaalista otin minäkin nuo heti pois kun löysin... 

[rikonen]

Räpelsin päätteellä jotain ja yllättäen Gedittiin avautui sysctl.conf.
Sitä vähän aikaa tavattuani tulin seuraavaan käsitykseen, että kommenttimerkinnän poistaminen joiltain riveiltä voi parantaa tietoturvaa.
Onko näin?
Onko kukaan käyttänyt tällaista optiota? Kokemuksia?
Haittoja / hyötyjä?
Tietoturvan parantuminen marginaalista vai merkittävää?

Ominaisuuden täytyy liittyä avahi-daemonin hoitamaan mDNS-ominaisuuteen, se hoitaa IGMP-pakettien lähettämisen ja vastaanottamisen UDP-portteihin 5353 ja 52521.

mDNS on ominaisuus, jolla lähiverkkoon kytketyt laitteet pystyvät keskustelemaan keskenään vaikka laitteilla ei olisi ip-osoitteita, se mahdollistaa myös multicastin.

mDNS-ominaisuus voi olla kätevä suljetussa ad-hock-verkoissa joissa ei ole DHCP:tä, mutta kääntöpuolena on tietoturvariski virusten ja DNS-väärenöksen muodossa (palvelu haetaan mDNS:n kautta jos sitä ei muuten saada).

Useimiten viisainta onkin poistaa avahi-daemon, se hoituu roottina seuraavasti:
Listataan kuuneltavat portit

Koodia: [Valitse]

netstat -anp | grep -e tcp -e udp
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1109/cupsd     
tcp6       0      0 ::1:631                 :::*                    LISTEN      1109/cupsd     
udp        0      0 0.0.0.0:68              0.0.0.0:*                           887/dhclient   
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           864/avahi-daemon: r
udp        0      0 0.0.0.0:52521           0.0.0.0:*                           864/avahi-daemon: rSammutetaan avahi

Koodia: [Valitse]

stop avahi-daemonTarkistetaan että avahi sammui

Koodia: [Valitse]

netstat -anp | grep -e tcp -e udp
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1109/cupsd     
tcp6       0      0 ::1:631                 :::*                    LISTEN      1109/cupsd     
udp        0      0 0.0.0.0:68              0.0.0.0:*                           887/dhclient  Poistetaan avahi

Koodia: [Valitse]

update-rc.d -f avahi-daemon remove
Jotta adsl-purkki ei myös kysele/lähettele IGMP-paketteja, kannattaa sieltä disabloida IGMP-välityspalvelu kokonaan, se omalta osaltaan pienentää riskiä lähiverkon koneiden saastumiselle.

Lisää asiasta voi lukea oheisista linkeistä
http://en.wikipedia.org/wiki/Zero_configuration_networking
http://rationallyparanoid.com/articles/ubuntu-10-lts-security.html