2.2.10. ソースルーティングの無効化


ソースルーティングは、IP パケットが情報を伝送できるようにするインターネットプロトコルメカニズムです。アドレスの一覧は、ルーターにパケットが取得する必要のあるパスを指示します。ルートがトラバースされると、ホップを記録するオプションもあります。取得したホップの一覧「ルートレコード」は、宛先にソースへの戻りパスを提供します。これにより、ソース(送信ホスト)はルートを緩やか、または厳密に指定でき、一部またはすべてのルーターのルーティングテーブルを無視できます。これにより、ユーザーは悪意のある目的でネットワークトラフィックをリダイレクトできます。そのため、ソースベースのルーティングを無効にする必要があります。
accept_source_route オプションを指定すると、ネットワークインターフェースが Strict Source Route ()のあるパケットを受信します。SSR)、または Roose ソースルーティングLSR)オプションを設定します。ソースルーティングパケットの受け入れは sysctl 設定によって制御されます。root で以下のコマンドを発行し、SSR オプションまたは LSR オプションが設定されたパケットを破棄します。
~]# /sbin/sysctl -w net.ipv4.conf.all.accept_source_route=0
パケットの転送の無効化は、可能な場合は上記と併せて行う必要があります(転送を無効にすると、仮想化に干渉する可能性があります)。root で以下に一覧表示されているコマンドを実行します。
このコマンドにより、全インターフェースでの IPv4 パケットおよび IPv6 パケットの転送が無効になります。
~]# /sbin/sysctl -w net.ipv4.conf.all.forwarding=0
~]# /sbin/sysctl -w net.ipv6.conf.all.forwarding=0
これらのコマンドは、すべてのインターフェースにおけるマルチキャストパケットの転送を無効にします。
~]# /sbin/sysctl -w net.ipv4.conf.all.mc_forwarding=0
~]# /sbin/sysctl -w net.ipv6.conf.all.mc_forwarding=0
ICMP リダイレクトを受け入れることは、正当な使用はほとんどありません。特に必要でない限り、ICMP リダイレクトされたパケットの受け入れと送信を無効にします。
以下のコマンドは、すべてのインターフェースで、すべての ICMP リダイレクトされたパケットの受け入れを無効にします。
~]# /sbin/sysctl -w net.ipv4.conf.all.accept_redirects=0
~]# /sbin/sysctl -w net.ipv6.conf.all.accept_redirects=0
このコマンドは、すべてのインターフェース上で、安全な ICMP リダイレクトされたパケットの受け入れを無効にします。
~]# /sbin/sysctl -w net.ipv4.conf.all.secure_redirects=0
このコマンドは、全インターフェースでの IPv4 ICMP リダイレクトされたパケットの送信を無効にします。
~]# /sbin/sysctl -w net.ipv4.conf.all.send_redirects=0
重要
net.ipv4.conf.all.send_redirects または net.ipv4.conf.interface.send_redirects オプションのいずれかが有効な場合でも、ICMP リダイレクトの送信は、アクティブのままになります。net.ipv4.conf.interface.send_redirects オプションを、すべてのインターフェース0 値に設定するようにしてください 新しいインターフェースを追加するたびに ICMP リクエストの送信を自動的に無効にするには、次のコマンドを実行します。
~]# /sbin/sysctl -w net.ipv4.conf.default.send_redirects=0
IPv4 リダイレクトされたパケットの送信を無効にするディレクティブのみがあります。の説明は、RFC4294 を 参照してください。 IPv6 ノード要件)。これにより、IPv4 と IPv6 間でこの差異が生じていました。
設定を永続化するには、に追加する必要があり /etc/sysctl.confます。
以下を参照してください。 sysctl(8) 詳細は man ページです。ソースベースのルーティングおよびそのバリアントに関連するインターネットオプションの説明は、RFC791 を参照してください。
警告
イーサネットネットワークは、ARP、MAC アドレススプーフィング、未承認の DHCP サーバー、IPv6 ルーター、周りの広告など、トラフィックをリダイレクトする方法を追加で提供します。さらに、ユニキャストトラフィックがブロードキャストされる可能性があるため、情報漏えいが生じます。これらの問題は、ネットワークオペレーターが実装した特定のカウンターのみで対応できます。ホストベースのカウンターは完全に有効ではありません。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.