ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 でのネットワークのセキュリティー保護 Oracle Solaris 11.1 Information Library (日本語) |
IP なりすましに対して保護するように IP アドレスを指定する方法
DHCP なりすましから保護するように DHCP クライアントを指定する方法
3. Web サーバーと Secure Sockets Layer プロトコル
4. Oracle Solaris の IP フィルタ (概要)
システム構成で仮想化の導入が増えることによって、ホスト管理者は、ゲスト仮想マシン (VM) に物理リンクまたは仮想リンクへの排他的アクセス権を付与することができます。この構成では、仮想環境のネットワークトラフィックを、ホストシステムによって送受信される幅広いトラフィックから分離できるため、ネットワークパフォーマンスが向上します。同時に、この構成はシステムとネットワーク全体をゲスト環境で生成される可能性のある有害なパケットのリスクにさらす可能性があります。
リンク保護は、潜在的に悪意のあるゲストVM がネットワークに対して引き起こす可能性のある損害を回避することを目的としています。この機能は、次の基本的な脅威から保護します。
IP、 DHCP、および MAC のなりすまし
Bridge Protocol Data Unit (BPDU) 攻撃などの L2 フレームのなりすまし
注 - リンク保護は、特に複雑なフィルタリング要件のある構成の場合に、ファイアウォールの展開に置き換わるものではありません。
Oracle Solaris でのリンク保護メカニズムは、次の保護のタイプがあります。
システムの MAC アドレスのなりすましに対する保護を有効にします。リンクがゾーンに属する場合、mac-nospoof を有効にすると、ゾーンの所有者がそのリンクの MAC アドレスを変更することを妨げます。
IP なりすましに対する保護を有効にします。デフォルトで、DHCP アドレスとリンクローカル IPv6 アドレスを含むアウトバウンドパケットが許可されます。
allowed-ips リンクプロパティーを使用して、アドレスを追加できます。IP アドレスの場合、パケットのソースアドレスは allowed-ips リスト内のアドレスに一致する必要があります。ARP パケットの場合、パケットの送信者のプロトコルアドレスが allowed-ips リスト内に存在する必要があります。
DHCP クライアントのなりすましに対する保護を有効にします。デフォルトでは、ID がシステムの MAC アドレスと一致している DHCP パケットを使用できます。
allowed-dhcp-cids リンクプロパティーを使用して、許可されるクライアントを追加できます。allowed-dhcp-cids リスト内のエントリは、dhcpagent(1M) のマニュアルページに指定されているとおりに書式設定されている必要があります。
送信パケットを IPv4、IPv6、および ARP に制限します。この保護のタイプは、潜在的に有害な L2 制御フレームがリンクから生成されるのを妨ぐよう設計されています。
注 - リンク保護のためにドロップされたパケットは、4 つの保護のタイプ (mac_spoofed、dhcp_spoofed、ip_spoofed、restricted) についてのカーネル統計情報によって追跡されます。これらのリンクごとの統計情報を取得するには、「リンク保護の構成と統計情報を表示する方法」を参照してください。