-----------------------------------------------------------------------------

Diese Datei enthält nachträgliche Ergänzungen des Buches "Linux-Sicherheit: 
Security mit Open-Source-Software - Grundlagen und Praxis", Tobias Klein,
iX Edition, 2001, ISBN 3-932588-04-5.

(letztes Update 04. April 2001)
  
-----------------------------------------------------------------------------


Ergänzung zu Anhang A
Unterkapitel A.8 'Der accept_redirects-Parameter'
S. 795

-----------

Verwendet man die Datei /etc/sysctl.conf, um den accept_redirects-Parameter
entsprechend zu konfigurieren, so sollte man dabei stets sämtliche 
Interfaces separat konfigurieren. Der Parameter 'all' (net.ipv4.conf.all.
accept_redirects) suggeriert zwar, dass alle Interfaces von der 
Konfigurationseinstellung berücksichtigt werden, dem ist allerdings nicht 
so. Verwendet man lediglich folgende Zeile in der /etc/sysctl.conf-Datei,
so überträgt sich diese Einstellung nicht auf alle Interfaces:

[root@linux]# cat /etc/sysctl.conf

...
#ICMP-Pakete werden verworfen
net.ipv4.conf.all.accept_redirects = 0
... 

[root@linux]# cat /proc/sys/net/ipv4/conf/all/accept_redirects
0

[root@linux]# ls /proc/sys/net/ipv4/conf/
all default eth0 lo

[root@linux]# cat /proc/sys/net/ipv4/conf/eth0/accept_redirects
1

Aus diesem Grund sollte man stets sämtliche Interfaces im Verzeichnis 
/proc/sys/net/ipv4/conf/ separat voneinander konfigurieren. In diesem 
Beispiel ist nur eine Netzwerkkarte (eth0) vorhanden. Um nun sicher-
zustellen, dass ICMP-Redirect Pakete auf sämtlichen Interfaces verworfen 
werden, sollte man folgendermaßen vorgehen:

[root@linux]# vi /etc/sysctl.conf

...
#ICMP-Pakete werden verworfen
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
... 

Dabei sollte man stets darauf achten, ein neu hinzugekommenes Interface 
ebenfalls in der sysctl.conf-Datei entsprechend zu konfigurieren.