Récapitulatif des options de service réseau
Pour atteindre un niveau supérieur de sécurité du système, il existe plusieurs options de réseau que vous pouvez modifier à l'aide de 0 pour désactiver et 1 pour activer. La liste suivante identifie ces paramètres que vous pouvez utiliser avec la commande no .
| Paramètre | Commande | Objectif |
|---|---|---|
| bcastping | /usr/sbin/no -o bcastping=0 | Autorise la réponse aux paquets écho ICMP à l'adresse de diffusion. La désactivation de cette situation empêche les attaques de Smurf. |
| clean_partial_conns | /usr/sbin/no -o clean_partial_conns=1 | Indique si les attaques SYN (synchronisation du numéro de séquence) sont évitées. |
| directed_broadcast | /usr/sbin/no -o directed_broadcast=0 | Indique s'il faut autoriser une diffusion dirigée vers une passerelle. La valeur 0 aide à empêcher les paquets dirigés d'atteindre un réseau distant. |
| icmpaddressmask | /usr/sbin/no -o icmpaddressmask=0 | Indique si le système répond à la requête du masque d'adresse ICMP. La désactivation empêche l'accès par des attaques de routage à la source. |
| transfert d'adresses IP | /usr/sbin/no -o ipforwarding=0 | Indique si le noyau doit transférer (forward) les paquets. La désactivation de ipforwarding empêche les paquets redirigés d'atteindre un réseau distant. |
| ipignoreredirects | /usr/sbin/no -o ipignoreredirects=1 | Indique s'il faut traiter les redirections reçues. |
| ipsendredirects | /usr/sbin/no -o ipsendredirects=0 | Indique si le noyau doit envoyer des signaux de redirection. La désactivation de ipforwarding empêche les paquets redirigés d'atteindre un réseau distant. |
| ip6srcrouteforward | /usr/sbin/no -o ip6srcrouteforward=0 | Indique si le système transfère (forward) les paquets ipv6 routés à la source. La désactivation empêche l'accès par des attaques de routage à la source. |
| ipsrcrouteforward | /usr/sbin/no -o ipsrcrouteforward=0 | Indique si le système transmet les paquets acheminés par la source. La désactivation empêche l'accès par des attaques de routage à la source. |
| ipsrcrouterecv | /usr/sbin/no -o ipsrcrouterecv=0 | Indique si le système accepte les paquets acheminés par la source. Cette désactivation empêche l'accès via des attaques de routage source. |
| ipsrcroutesend | /usr/sbin/no -o ipsrcroutesend=0 | Indique si les applications peuvent envoyer des paquets acheminés par la source. La désactivation empêche l'accès par des attaques de routage à la source. |
| nonlocsroute | /usr/sbin/no -o nonlocsrcroute=0 | Avertit le protocole Internet que seuls les paquets routés à la source doivent être adressés aux hôtes en dehors du réseau local. La désactivation empêche l'accès par des attaques de routage à la source. |
| tcp_icmpsecure | /usr/sbin/no -o tcp_icmpsecurer=1 | Protège les connexions TCP contre les attaques de source quench et PMTUD (Path MTU Discovery) ICMP (Internet Control Message Protocol). Vérifie la charge utile du message ICMP pour tester le numéro de séquence de l'en-tête TCP dans la plage des numéros de séquence acceptables. Valeurs : 0 = off (valeur par défaut) ; 1 = on. |
| ip_nfrag | /usr/sbin/no -o ip_nfrag=200 | Indique le nombre maximal de fragments d'un paquet IP qui peuvent être conservés dans la file d'attente de réassemblage IP à la fois (la valeur par défaut de 200 conserve jusqu'à 200 fragments d'un paquet IP dans la file d'attente de réassemblage IP). |
| tcp_pmtu_discover | /usr/sbin/no -o tcp_pmtu_discover=0 | La désactivation empêche l'accès par des attaques de routage à la source. |
| tcp_tcpsecure | /usr/sbin/no -o tcp_tcpsecure=7 | Protège les connexions TCP contre les vulnérabilités. Valeurs: 0=no ; 1=sending d'un faux SYN à une connexion établie ; 2=sending d'un faux RST à une connexion établie ; 3=injecting dans une connexion TCP établie ; 5–7=combination des vulnérabilités ci-dessus. |
| udp_pmtu_discover | /usr/sbin/no -o udp_pmtu_discover=0 | Active ou désactive la recherche de la MTU utilisée sur la route réseau pour les applications TCP. La désactivation empêche l'accès par des attaques de routage à la source. |
Pour plus d'informations sur les options optimisables sur le réseau, voir Performance management.