VMware 가상 어플라이언스 및 호스트 시스템이 안전한 필수 통신만 허용하도록 하려면 해당 네트워크 통신 설정을 검토하고 편집해야 합니다. TCP 백로그의 대기열 크기 설정보안 모범 사례로, VMware 어플라이언스 호스트 시스템에 기본 TCP 백로그 대기열 크기를 구성합니다. TCP 서비스 거부 공격을 방지하려면 TCP 백로그 대기열 크기에 해당하는 기본 크기를 설정합니다. 권장되는 기본 설정은 1280입니다. 브로드캐스트 주소에 대한 ICMPv4 에코 거부브로드캐스트 ICMP(Internet Control Message Protocol) 에코에 대한 응답은 증폭 공격에 대한 공격 벡터를 제공하며 악의적인 에이전트에 의한 네트워크 매핑을 가능하게 할 수 있습니다. ICMPv4 에코를 무시하도록 시스템을 구성하면 이러한 공격으로부터 보호할 수 있습니다. IPv4 프록시 ARP를 사용하지 않도록 호스트 시스템 구성IPv4 프록시 ARP를 사용하면 시스템이 다른 인터페이스에 연결된 호스트를 대신하여 특정 인터페이스에서 ARP 요청에 대한 응답을 전송할 수 있습니다. 무단 정보 공유를 방지하려면 IPv4 프록시 ARP를 사용하지 않도록 설정해야 합니다. 연결된 네트워크 세그먼트 사이에 주소 정보가 누출되지 않도록 하려면 이 설정을 사용하지 않도록 지정하십시오. IPv4 ICMP 리디렉션 메시지를 무시하도록 호스트 시스템 구성보안 Best Practice로, 호스트 시스템이 IPv4 ICMP(Internet Control Message Protocol) 리디렉션 메시지를 무시하는지 확인합니다. 악의적인 ICMP 리디렉션 메시지는 메시지 가로채기(man-in-the-middle) 공격이 발생하도록 허용할 수 있습니다. 라우터는 ICMP 리디렉션 메시지를 사용하여 더욱 직접적인 경로가 특정 대상에 대해 존재함을 호스트에 알립니다. 이러한 메시지는 인증되지 않은 것이며, 호스트의 경로 테이블을 수정합니다. IPv6 ICMP 리디렉션 메시지를 무시하도록 호스트 시스템 구성보안 Best Practice로, 호스트 시스템이 IPv6 ICMP(Internet Control Message Protocol) 리디렉션 메시지를 무시하는지 확인합니다. 악의적인 ICMP 리디렉션 메시지는 메시지 가로채기(man-in-the-middle) 공격이 발생하도록 허용할 수 있습니다. 라우터는 ICMP 리디렉션 메시지를 사용하여 더욱 직접적인 경로가 특정 대상에 대해 존재함을 호스트에 알립니다. 이러한 메시지는 인증되지 않은 것이며, 호스트의 경로 테이블을 수정합니다. IPv4 ICMP 리디렉션을 거부하도록 호스트 시스템 구성보안 Best Practice로, 호스트 시스템이 IPv4 ICMP(Internet Control Message Protocol) 리디렉션을 거부하는지 확인합니다. 라우터는 ICMP 리디렉션 메시지를 사용하여 직접 경로가 특정 대상에 대해 존재함을 서버에 알립니다. 이러한 메시지에는 네트워크 토폴로지의 여러 부분을 나타낼 수 있는 시스템 경로 테이블의 정보가 포함됩니다. IPv4 Martian 패킷을 기록하도록 호스트 시스템 구성보안 모범 사례로, 호스트 시스템이 IPv4 Martian 패킷을 기록하는지 확인합니다. Martian 패킷에는 유효하지 않은 것으로 시스템에 알려진 주소가 포함됩니다. 메시지를 기록하도록 호스트 시스템을 구성하여 진행 중인 구성 오류 또는 공격을 식별할 수 있도록 하십시오. IPv4 역방향 경로 필터링을 사용하도록 호스트 시스템 구성보안 Best Practice로, IPv4 역방향 경로 필터링을 사용하도록 호스트 시스템을 구성합니다. 역방향 경로 필터링은 소스 주소에 경로가 없거나 경로가 원래 인터페이스를 가리키지 않을 경우 시스템이 해당 패킷을 삭제하도록 하여 스푸핑된 소스 주소로부터 보호합니다. IPv4 전달을 거부하도록 호스트 시스템 구성보안 Best Practice로, 호스트 시스템이 IPv4 전달을 거부하는지 확인합니다. 시스템이 IP 전달이 가능하도록 구성되어 있고 지정된 라우터가 아닌 경우, 네트워크 장치에서 필터링되지 않는 통신 경로를 제공함으로써 네트워크 보안을 우회하는 데 사용될 수 있습니다. IPv4 소스에서 라우팅된 패킷에 대한 전달을 거부하도록 호스트 시스템 구성소스에서 라우팅된 패킷을 통해 패킷의 소스는 라우터가 라우터에 구성된 경로가 아닌 다른 경로를 따라 패킷을 전달하는지 나타낼 수 있습니다. 이러한 경로는 네트워크 보안 조치를 우회하는 데 사용될 수 있습니다. IPv6 전달을 거부하도록 호스트 시스템 구성보안 Best Practice로, 호스트 시스템이 IPv6 전달을 거부하는지 확인합니다. 시스템이 IP 전달이 가능하도록 구성되어 있고 지정된 라우터가 아닌 경우, 네트워크 장치에서 필터링되지 않는 통신 경로를 제공함으로써 네트워크 보안을 우회하는 데 사용될 수 있습니다. IPv4 TCP SYN 쿠키를 사용하도록 호스트 시스템 구성보안 모범 사례로, 호스트 시스템이 IPv4 TCP(Transmission Control Protocol) SYN 쿠키를 사용하는지 확인합니다. TCP SYN 서비스 장애 공격이 시스템의 TCP 연결 테이블을 SYN_RCVD 상태의 연결로 채우면 서비스 거부가 발생할 수 있습니다. SYN 쿠키는 이니시에이터가 유효한 연결을 시도하고 서비스 장애 공격의 소스가 아닌지 확인하여 후속 ACK가 수신되기 전까지 연결을 추적하지 않도록 하는 데 사용됩니다. IPv6 라우터 알림을 거부하도록 호스트 시스템 구성보안 Best Practice로, 호스트 시스템이 필요하지 않은 경우 라우터 알림 및 ICMP(Internet Control Message Protocol) 리디렉션 수락을 거부하는지 확인합니다. IPv6의 기능은 시스템이 네트워크의 정보를 자동으로 사용하여 네트워킹 장치를 구성할 수 있는 방식입니다. 보안 측면에서 인증되지 않은 방법으로 네트워크로부터 중요한 구성 정보를 받는 대신 이러한 정보를 수동으로 설정하는 것이 좋습니다. IPv6 라우터 요청을 거부하도록 호스트 시스템 구성보안 Best Practice로, 호스트 시스템이 필요하지 않은 경우 IPv6 라우터 요청을 거부하는지 확인합니다. 라우터 요청 설정에 따라 인터페이스를 작동할 때 전송되는 라우터 요청의 수가 결정됩니다. 주소가 정적으로 할당된 경우 요청을 전송할 필요가 없습니다. 라우터 요청에서 IPv6 라우터 기본 설정을 거부하도록 호스트 시스템 구성보안 Best Practice로, 호스트 시스템이 필요하지 않은 경우 IPv6 라우터 요청을 거부하는지 확인합니다. 요청 설정의 라우터 기본 설정에 따라 라우터 기본 설정이 결정됩니다. 주소가 정적으로 할당된 경우 요청에 대해 라우터 기본 설정을 수신할 필요가 없습니다. IPv6 라우터 접두사를 거부하도록 호스트 시스템 구성보안 Best Practice로, 호스트 시스템이 필요하지 않은 경우 IPv6 라우터 접두사 정보를 거부하는지 확인합니다. accept ra pinfo 설정은 시스템이 라우터에서 접두사 정보를 받는지 여부를 제어합니다. 주소가 정적으로 할당된 경우 시스템이 라우터 접두사 정보를 수신하지 않습니다. IPv6 라우터 알림 홉 제한 설정을 거부하도록 호스트 시스템 구성보안 모범 사례로, 호스트 시스템이 필요한 경우를 제외하고 라우터 알림의 IPv6 라우터 알림 홉 제한 설정을 거부하는지 확인합니다. accept_ra_defrtr 설정은 라우터 알림의 홉 제한 설정에 대한 시스템의 수락 여부를 제어합니다. 0으로 설정하면 라우터가 송신 패킷에 대한 기본 IPv6 홉 제한을 변경하지 못합니다. IPv6 라우터 알림 Autoconf 설정을 거부하도록 호스트 시스템 구성보안 Best Practice로, 호스트 시스템이 IPv6 라우터 알림 autoconf 설정을 거부하는지 확인합니다. autoconf 설정은 라우터 알림으로 인해 시스템이 글로벌 유니캐스트 주소를 인터페이스에 할당할 수 있는지 여부를 제어합니다. IPv6 인접 라우터 요청을 거부하도록 호스트 시스템 구성보안 Best Practice로, 호스트 시스템이 필요하지 않은 경우 IPv6 인접 라우터 요청을 거부하는지 확인합니다. 인터페이스를 작동하여 원하는 주소가 네트워크에서 고유한지를 확인할 때 dad_transmits 설정에 따라 글로벌 및 링크-로컬을 비롯한 주소당 전송되는 인접 라우터 요청 수가 결정됩니다. IPv6 최대 주소 수를 제한하도록 호스트 시스템 구성보안 모범 사례로, 호스트가 할당 가능한 IPv6 주소의 최대 수를 제한하는지 확인합니다. 최대 주소 수 설정은 각 인터페이스에 할당할 수 있는 글로벌 유니캐스트 IPv6 주소의 수를 결정합니다. 기본값은 16이지만 이 수를 정적으로 구성된 필요한 글로벌 주소의 수로 설정해야 합니다. 상위 주제: 네트워크 보안 및 보안 통신