解决ICMP timestamp请求响应漏洞:在您的防火墙上过滤外来的ICMP timestamp(类型 13)报文以及外出的ICMP timestamp回复报文
解决ICMP timestamp请求响应漏洞:在您的防火墙上过滤外来的ICMP timestamp(类型 13)报文以及外出的ICMP timestamp回复报文
·
解决ICMP timestamp请求响应漏洞:在您的防火墙上过滤外来的ICMP timestamp(类型 13)报文以及外出的ICMP timestamp回复报文
解决ICMP timestamp请求响应漏洞:在您的防火墙上过滤外来的ICMP timestamp(类型 13)报文以及外出的ICMP timestamp回复报文
问题描述
服务器版本:CentOS 7.6
| 端口 | 协议 | 漏洞名称 | 漏洞风险值 | 风险等级 | 威胁分类 | 详细描述 | 解决办法 |
|---|---|---|---|---|---|---|---|
| – | ICMP | ICMP timestamp 请求响应漏洞 | 2.1 | [低] | 远程信息泄露 | 远程主机会回复 ICMP_TIMESTAMP 查询,并返回它们系统的当前时间。这可能允许攻击者攻击一些基于时间认证的协议。 | NSFOCUS 建议您采取以下措施以降低威胁:1. 在您的防火墙上过滤外来的 ICMP timestamp(类型 13)报文以及外出的 ICMP timestamp 回复报文。 |
解决方案
直接用命令添加防火墙规则:
firewall-cmd --permanent --zone=public --add-icmp-block=timestamp-reply
firewall-cmd --permanent --zone=public --add-icmp-block=timestamp-request
接下来,重启iptables服务,重启命令:
firewall-cmd --reload
检查新添加的规则是否有效,检查命令:
iptables -L -n
可以看到关键输出:
Chain FWDI_public_deny (1 references)
target prot opt source destination
REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 14 reject-with icmp-host-prohibited
REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 13 reject-with icmp-host-prohibited
Chain IN_public_deny (1 references)
target prot opt source destination
REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 14 reject-with icmp-host-prohibited
REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 13 reject-with icmp-host-prohibited
Firewalld 规则链解析:IN_public_deny 和 FWDI_public_deny
1. Chain IN_public_deny
IN_public_deny 是 firewalld 规则链的一部分,主要用于 拒绝进入(Inbound)“public”区域的流量。
作用:
- 该链用于处理进入 public zone(公共区域) 的流量,阻止或拒绝特定的数据包。
- 适用于 外部访问服务器 时的安全控制,例如限制 SSH、HTTP、ICMP 等协议的访问。
- 规则根据
firewalld的策略配置,决定哪些流量被拒绝。
2. Chain FWDI_public_deny
FWDI_public_deny 规则链用于 转发(Forward)public 区域的流量,即服务器作为网关或路由器时的流量控制。
作用:
- 该链负责检查 public zone 相关的转发流量,并拒绝不符合安全策略的数据包。
- 适用于 NAT、路由或网关设备,确保 受控的转发策略,防止未授权的流量通过服务器转发。
这两个规则链在 firewalld 中配合 public 区域的安全策略,确保 不允许的流量被拒绝,增强服务器的安全性。
腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。
更多推荐
7
0- 0
已为社区贡献5条内容
所有评论(0)