Estoy buscando en Recomendaciones CIS para Debian 8.
En una prueba de conformidad CIS que usa nessus, veo que la prueba para deshabilitar el reenvío de IP ha fallado. Pero cuando miro el sistema, puedo ver que, de hecho, está deshabilitado.
$ cat /proc/net/ipv4/ip_forward 0
Parece que la recomendación de CIS es desactivar explícitamente el reenvío de IP. Pero por lo que puedo decir, si no habilitas ip_forwarding explícitamente, permanecerá deshabilitado.
¿Hay una razón más importante para hacer lo que dice la recomendación, aparte de asegurarnos de que se haya establecido el parámetro predeterminado?
Como referencia, agregué el capítulo para ip_forwarding a continuación:
7.1.1 Deshabilitar el reenvío de IP (marcado)
Aplicabilidad del perfil:
Nivel 1
Descripción: El indicador net.ipv4.ip_forward se utiliza para indicar al servidor si puede reenviar paquetes o no. Si el servidor no se va a utilizar como enrutador, configure el indicador en 0.
Justificación: Establecer el indicador en 0 garantiza que un servidor con varias interfaces (por ejemplo, un disco duro) proxy), nunca podrá reenviar paquetes y, por lo tanto, nunca servir como enrutador.
Audit:
Realice lo siguiente para determinar si net.ipv4.ip_forward está habilitado en el sistema.
# / sbin / sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 0
Remediación:
Establezca el parámetro net.ipv4.ip_forward en 0 en /etc/sysctl.conf:
net.ipv4.ip_forward = 0
Modificar los parámetros activos del kernel para que coincidan:
# / sbin / sysctl -w net.ipv4.ip_forward = 0
# / sbin / sysctl -w net.ipv4.route.flush = 1