커널 : Kernel-2.6.9
내용 : Linux TCP_IP Network 보안 구성 및 설정 Dos 공격 차단, smurf, syn flooding 공격 차단
1. TCP SYN_Flooding 공격차단
> sysctl -w net.ipv4.tcp_syncookies=1
2. Ping 막기
> vi /proc/sys/net/ipv4/icmp_echo_ignore_all
0 (기본값) -> 1
3. smurf 공격방지 위한 브로드캐스트 패킷차단
> vi /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
0 (기본값) -> 1
4. 세션 종료시간 설정
> vi /proc/sys/net/ipv4/tcp_fin_timeout
60 (기본값 : 단위 초) -> 20
5. TCP 연결상태 유지시간 설정
> vi /proc/sys/net/ipv4/tcp_keepalive_time
7200 (기본값 : 단위 초) -> 1800 (30분)
6. 로컬 포트 범위
> vi /proc/sys/net/ipv4/ip_loacl_port_range
32768 61000
7. IP 포워딩 막기
> vi /proc/sys/net/ipv4/ip_forward
0 ( 기본값 ) -> 1
8. SYN_Flooding 공격 차단 ( DOS 서비스 거부 공격 차단)
1)TCP 세션연결을 위한 리소스 낭비 안함
> vi /proc/sys/net/ipv4/tcp_syncookies
0 ( 기본값 ) -> 1
2) 로그사이즈 확대
> vi /proc/sys/net/ipv4/tcp_max_syn_backlog
1024 ( 기본값 ) -> 4096
9. ICMP 리다이렉트 패킷차단 (ACCEPT 차단)
> vi /proc/sys/net/ipv4/conf/default/accept_redirects
1 ( 기본값 ) -> 0
10. ICMP 리다이렉트 패킷차단 (Send 차단)
> vi /proc/sys/net/ipv4/conf/default/send_redirects
1 ( 기본값 ) -> 0
11. DOS (서비스 거부공격) 사용차단 (IP 스푸칭 방지)
>vi /proc/sys/net/ipv4/conf/default/rp_filter
0 ( 기본값 ) -> 1
12. source 라우트 패킷허용 차단 ( 신뢰성있는 서버로 위장하는 것 막기)
> vi /proc/sys/net/ipv4/conf/default/accept_source_route
1 ( 기본값 ) -> 0
기타 : CPU 평균 부하율 체크
> cat /proc/loadavg
[출처] eslim 서버관리 실무자 모임
댓글