セキュリティ上のベスト プラクティスとして、ホスト システムで IPv4 インターネット制御メッセージ プロトコル (ICMP) リダイレクトが拒否されることを確認します。ルータは、ICMP リダイレクト メッセージを使用して、特定の転送先への直接のルートが存在することをサーバに通知します。このメッセージには、システムのルート テーブルからの情報が含まれており、ネットワーク トポロジの各部分が明らかになる可能性があります。

手順

  1. ホスト システム上で # grep [01] /proc/sys/net/ipv4/conf/*/send_redirects|egrep "default|all" を実行して、IPv4 ICMP リダイレクトが拒否されることを確認します。
  2. IPv4 ICMP リダイレクトを拒否するようにホスト システムを構成します。
    1. /etc/sysctl.conf ファイルを開いて、ホスト システムを構成します。
    2. 値が 0 に設定されていない場合は、次のエントリをファイルに追加するか、それに合わせて既存のエントリを更新します。値を 0 に設定します。
      net.ipv4.conf.all.send_redirects=0
      net.ipv4.conf.default.send_redirects=0 
      
    3. 変更内容を保存し、ファイルを閉じます。
    4. # sysctl -p を実行して、構成を適用します。