セキュリティのベスト プラクティスとして、VMware アプライアンス ホスト マシンが ICMP ブロードキャスト アドレスのエコー要求を無視することを確認します。

このタスクについて

ブロードキャスト Internet Control Message Protocol (ICMP) エコーへの応答は、増幅攻撃に対する攻撃ベクトルを提供し、悪意のあるエージェントによるネットワーク マッピングの利用を容易にする恐れがあります。ICMPv4 エコーを無視するようにアプライアンス ホスト マシンを構成することで、このような攻撃に対する保護を提供します。

手順

  1. IPv4 ブロードキャスト アドレスのエコー要求を拒否することを確認するために、VMware 仮想アプライアンス ホスト マシンで # cat /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts コマンドを実行します。

    IPv4 リダイレクトを拒否するようにホスト マシンが構成されている場合、このコマンドは /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts に対して 0 の値を返します。

  2. ICMPv4 ブロードキャスト アドレスのエコー要求を拒否するように仮想アプライアンス ホスト マシンを構成するには、Windows ホスト マシンで、/etc/sysctl.conf ファイルをテキスト エディタで開きます。
  3. net.ipv4.icmp_echo_ignore_broadcasts=0 というエントリを探します。このエントリの値がゼロに設定されていない場合、またはエントリがない場合は、追加するか、既存のエントリを更新します。
  4. 変更内容を保存し、ファイルを閉じます。