VMware 仮想アプライアンスとホスト マシンが安全で不可欠な通信のみを許可するようにするには、ネットワーク通信設定を確認および編集します。 次に参照するドキュメント TCP バックログのキュー サイズの設定セキュリティ上のベスト プラクティスとして、VMware アプライアンス ホスト マシン上でデフォルトの TCP バックログのキュー サイズを構成します。TCP サービス拒否攻撃を緩和するために、TCP バックログ キューの適切なデフォルト サイズを設定します。推奨されるデフォルト設定は 1280 です。 ブロードキャスト アドレスへの ICMPv4 エコーを拒否するインターネット制御メッセージ プロトコル (ICMP) エコーのブロードキャストに応答すると、増幅攻撃に攻撃経路を知らせ、悪意のあるエージェントがネットワーク マッピングを行いやすくなる可能性があります。ICMPv4 エコーを無視するようにシステムを構成すると、このような攻撃から保護できます。 IPv4 プロキシ ARP を無効にするようにホスト システムを構成するIPv4 プロキシ ARP を使用すると、システムは、あるインターフェイスに接続されているホストの代理として別のインターフェイス上で ARP 要求への応答を送信できます。権限のない情報共有を防止するには、IPv4 プロキシ ARP を無効にする必要があります。接続されているネットワーク セグメント間のアドレス指定情報の漏えいを防止するには、この設定を無効にします。 IPv4 ICMP リダイレクト メッセージを無視するようにホスト システムを構成するセキュリティ上のベスト プラクティスとして、ホスト システムで IPv4 インターネット制御メッセージ プロトコル (ICMP) リダイレクト メッセージが無視されることを確認します。悪意のある ICMP リダイレクト メッセージが使用されると、中間者攻撃が発生する可能性があります。ルータは、ICMP リダイレクト メッセージを使用して、特定の転送先へのより直接的なルートが存在することをホストに通知します。これらのメッセージは、ホストのルート テーブルを変更しますが、認証を受けません。 IPv6 ICMP リダイレクト メッセージを無視するようにホスト システムを構成するセキュリティ上のベスト プラクティスとして、ホスト システムで IPv6 インターネット制御メッセージ プロトコル (ICMP) リダイレクト メッセージが無視されることを確認します。悪意のある ICMP リダイレクト メッセージが使用されると、中間者攻撃が発生する可能性があります。ルータは、ICMP リダイレクト メッセージを使用して、特定の転送先へのより直接的なルートが存在することをホストに知らせます。これらのメッセージは、ホストのルート テーブルを変更しますが、認証を受けません。 IPv4 ICMP リダイレクトを拒否するようにホスト システムを構成するセキュリティ上のベスト プラクティスとして、ホスト システムで IPv4 インターネット制御メッセージ プロトコル (ICMP) リダイレクトが拒否されることを確認します。ルータは、ICMP リダイレクト メッセージを使用して、特定の転送先への直接のルートが存在することをサーバに通知します。このメッセージには、システムのルート テーブルからの情報が含まれており、ネットワーク トポロジの各部分が明らかになる可能性があります。 IPv4 の出所不明パケットをログに記録するためのホスト システムの構成セキュリティ上のベスト プラクティスとして、ホスト システムが IPv4 の出所不明パケットをログに記録していることを確認します。出所不明パケットには、無効であると認識されているアドレスが含まれます。メッセージをログに記録するようにホスト システムを構成すると、不適切な構成や進行中の攻撃を特定できます。 IPv4 リバース パス フィルタリングを使用するようにホスト システムを構成するセキュリティ上のベスト プラクティスとして、IPv4 リバース パス フィルタリングを使用するようにホスト マシンを構成します。リバース パス フィルタリングは、ルートがないソース アドレスを持つパケット、またはルートが送信元のインターフェイスの方を指していないパケットをシステムに破棄させることで、偽装されたソース アドレスから保護します。 IPv4 転送を拒否するようにホスト システムを構成するセキュリティ上のベスト プラクティスとして、ホスト システムで IPv4 転送が拒否されることを確認します。指定されたルータでないシステムが IP 転送を行うように構成されている場合、このシステムを使用して、ネットワーク デバイスでフィルタ処理されない通信のパスを提供することにより、ネットワーク セキュリティがバイパスされることがあります。 IPv4 ソース ルーティングされたパケットの転送を拒否するようにホスト システムを構成するソース ルーティングされたパケットを使用すると、パケットのソースが、ルータで構成されている内容とは異なるパスに沿ってルータがパケットを転送するように指示できるようになります。これを使用して、ネットワークのセキュリティ対策がバイパスされることがあります。 IPv6 転送を拒否するようにホスト システムを構成するセキュリティ上のベスト プラクティスとして、ホスト システムで IPv6 転送が拒否されることを確認します。指定されたルータでないシステムが IP 転送を行うように構成されている場合、このシステムを使用して、ネットワーク デバイスでフィルタ処理されない通信のパスを提供することにより、ネットワーク セキュリティがバイパスされることがあります。 IPv4 TCP SYN Cookie を使用するためのホスト システムの構成セキュリティ上のベスト プラクティスとして、ホスト システムで IPv4 Transmission Control Protocol (TCP) SYN Cookie を使用していることを確認します。TCP SYN フラッディング攻撃は、システムの TCP 接続テーブルを SYN_RCVD 状態の接続で満たすことにより、サービス妨害を引き起こす可能性があります。SYN Cookie は、後続の ACK を受信してイニシエータが有効な接続を試みておりフラッディング ソースではないことが確認されるまで、接続の追跡を行わないようにする手法です。 IPv6 ルータ通知を拒否するようにホスト システムを構成するセキュリティ上のベスト プラクティスとして、ホスト システムで、必要でない限りルータ通知とインターネット制御メッセージ プロトコル (ICMP) リダイレクトの受け入れが拒否されることを確認します。IPv6 を使用すると、システムがネットワークからの情報を自動的に使用してネットワーク デバイスを構成できます。セキュリティ上の観点から、重要な構成情報は認証されていない方法でネットワークから受け入れるよりもむしろ、手動で設定することをお勧めします。 IPv6 ルータ要請を拒否するようにホスト システムを構成するセキュリティ上のベスト プラクティスとして、ホスト システムで、必要でない限り IPv6 ルータ要請が拒否されることを確認します。ルータ要請設定では、インターフェイスを構築するとき、近隣要請を何件送信するかを指定します。アドレスが静的に割り当てられる場合、要請を送信する必要はありません。 ルータ要請で IPv6 ルータ プリファレンスを拒否するようにホスト システムを構成するセキュリティ上のベスト プラクティスとして、ホスト システムで、必要でない限り IPv6 ルータ要請が拒否されることを確認します。要請設定のルータ プリファレンスにより、ルータ プリファレンスが決まります。アドレスが静的に割り当てられる場合、要請のルータ プリファレンスを受信する必要はありません。 IPv6 ルータ プリフィックスを拒否するようにホスト システムを構成するセキュリティ上のベスト プラクティスとして、ホスト システムで、必要でない限り IPv6 ルータ プリフィックス情報が拒否されることを確認します。accept ra pinfo 設定は、システムでルータからのプリフィックス情報を受け入れるかどうかを制御します。アドレスが静的に割り当てられる場合、システムでルータ プリフィックス情報を受信する必要はありません。 IPv6 ルータ通知のホップ制限設定を拒否するためのホスト システムの構成セキュリティ上のベスト プラクティスとして、必要な場合を除き、ホスト システムがルータ通知からの IPv6 ルータ通知のホップ制限設定を拒否していることを確認します。accept_ra_defrtr 設定は、システムがルータ通知からのホップ制限設定を受け入れるかどうかを制御します。これを 0 に設定すると、ルータは送信パケットに対するデフォルトの IPv6 ホップ制限を変更できなくなります。 IPv6 ルータ通知 autoconf 設定を拒否するようにホスト システムを構成するセキュリティ上のベスト プラクティスとして、ホスト システムで IPv6 ルータ通知 autoconf 設定が拒否されることを確認します。autoconf 設定は、ルータ通知によってシステムからインターフェイスにグローバル ユニキャスト アドレスを割り当てることができるかどうかを制御します。 IPv6 近隣要請を拒否するようにホスト システムを構成するセキュリティ上のベスト プラクティスとして、ホスト システムで、必要でない限り IPv6 近隣要請が拒否されることを確認します。目的のアドレスがネットワーク上で一意となるようにインターフェイスを構築するとき、グローバルおよびリンク ローカルを含むアドレスごとに近隣要請を何件送出するかを dad_transmits 設定で指定します。 IPv6 の最大アドレス数を制限するためのホスト システムの構成セキュリティ上のベスト プラクティスとして、ホストで割り当てることができる IPv6 アドレスの最大数が制限されていることを確認します。この最大アドレス数の設定によって、各インターフェイスに割り当てることができるグローバル ユニキャスト IPv6 アドレスの数が決定されます。デフォルトは 16 ですが、静的に構成されるグローバル アドレスとして必要な数を設定する必要があります。 親トピック: ネットワーク セキュリティと安全な通信