セキュリティのベスト プラクティスとして、VMware 仮想アプライアンス ホスト マシンが、IPv4 ICMP リダイレクト メッセージを拒否することを確認します。

このタスクについて

ルーターでは、ICMP リダイレクト メッセージを使用して、ターゲットに対するより直接的なルートがあることをホストに通知します。悪意のある ICMP リダイレクト メッセージによって、中間者攻撃が行われる恐れがあります。これらのメッセージは、ホストのルート テーブルを変更することで、認証されない状態になります。システムで必要な場合を除いて、これらのメッセージを無視するようにシステムが構成されていることを確認します。

手順

  1. IPv4 リダイレクト メッセージを拒否することを確認するために、VMware アプライアンス ホスト マシンで # grep [01] /proc/sys/net/ipv4/conf/*/accept_redirects|egrep "default|all" コマンドを実行します。

    IPv4 リダイレクトを拒否するようにホスト マシンが構成されている場合、このコマンドは次を返します。

    /proc/sys/net/ipv4/conf/all/accept_reidrects:0

    /proc/sys/net/ipv4/conf/default/accept_redirects:0

  2. IPv4 リダイレクト メッセージを拒否するように仮想アプライアンス ホスト マシンを構成する必要がある場合には、テキスト エディタで /etc/sysctl.conf ファイルを開きます。
  3. net.ipv4.conf で始まる行の値を確認します。

    次のエントリの値がゼロに設定されていない場合、またはこれらのエントリがない場合は、ファイルに追加するか既存のエントリを更新します。

    net.ipv4.conf.all.accept_redirects=0
    net.ipv4.conf.default.accept_redirects=0
  4. 変更内容を保存し、ファイルを閉じます。