ネットワークのチューニング (タスクマップ)

ドキュメントの品質向上のためのご意見をください

Your rating has been updated

貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります内容の品質向上と追加コメントのためのアンケートに参加されますか？

タスク	説明	手順
ネットワークルーティングデーモンを無効にします。	不審なネットワーク侵入者によるシステムへのアクセスを制限します。	「ネットワークルーティングデーモンを無効にする方法」
ネットワークトポロジに関する情報の流布を回避します。	パケットのブロードキャストを回避します。	「ブロードキャストパケット転送を無効にする方法」
ネットワークトポロジに関する情報の流布を回避します。	ブロードキャストエコー要求およびマルチキャストエコー要求への応答を回避します。	「エコーリクエストへの応答を無効にする方法」
他のドメインへのゲートウェイであるシステム (ファイアウォールや VPN ノードなど) では、厳格な転送元および転送先のマルチホーミングをオンにします。	ヘッダーにゲートウェイのアドレスが指定されていないパケットがゲートウェイ外に移動することを回避します。	「厳密なマルチホームを設定する方法」
不完全なシステム接続の数を制御することによって、DOS 攻撃を回避します。	TCP リスナーに対する不完全な TCP 接続の許容数を制限します。	「不完全な TCP 接続の最大数を設定する方法」
許可される受信接続の数を制御することによって、DOS 攻撃を回避します。	TCP リスナーに対する中断中の TCP 接続のデフォルト最大数を指定します。	「中断中の TCP 接続の最大数を設定する方法」
初期の TCP 接続に対して強固な乱数を生成します。	RFC 6528 で規定されているシーケンス番号生成値に準拠します。	「初期の TCP 接続に強固な乱数を指定する方法」
ICMP リダイレクトを妨げます。	ネットワークトポロジのインジケータを削除します。	「ICMP リダイレクトを妨げる方法」
ネットワークパラメータをセキュアなデフォルト値に戻します。	管理操作によって削減されたセキュリティーを強化します。	「ネットワークパラメータをセキュアな値にリセットする方法」

ネットワークルーティングデーモンを無効にする方法

この手順を使用して、デフォルトルーターを指定したインストール後にネットワークルーティングを回避します。それ以外の場合は、手動でルーティングを構成したあとに、この手順を実行します。

注 - 多くのネットワーク構成の手順で、ルーティングデーモンを無効にする必要があります。したがって、より大規模な構成手順の一部として、このデーモンを無効にしておく場合があります。

始める前に

Network Management 権利プロファイルが割り当てられている管理者になる必要があります。詳細については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。

ルーティングデーモンが動作していることを確認します。

# svcs -x svc:/network/routing/route:default
svc:/network/routing/route:default (in.routed network routing daemon)
 State: online since April 10, 2011 05:15:35 AM PDT
   See: in.routed(1M)
   See: /var/svc/log/network-routing-route:default.log
Impact: None.

サービスが実行中でない場合は、ここで停止できます。

ルーティングデーモンを無効にします。

# routeadm -d ipv4-forwarding -d ipv6-forwarding
# routeadm -d ipv4-routing -d ipv6-routing
# routeadm -u

ルーティングデーモンが無効にされていることを確認します。

# svcs -x routing/route:default
svc:/network/routing/route:default (in.routed network routing daemon)
 State: disabled since April 11, 2011 10:10:10 AM PDT
Reason: Disabled by an administrator.
   See: http://support.oracle.com/msg/SMF-8000-05
   See: in.routed(1M)
Impact: This service is not running.

参照

routeadm(1M) のマニュアルページ

ブロードキャストパケット転送を無効にする方法

デフォルトでは、Oracle Solaris はブロードキャストパケットを転送します。サイトのセキュリティーポリシーでブロードキャストフラッディングの可能性を減少させる必要がある場合は、この手順を使用してデフォルトを変更します。

注 - _forward_directed_broadcasts ネットワークプロパティーを無効にすると、ブロードキャスト ping も無効になっています。

始める前に

IP パケットに対してブロードキャストパケット転送プロパティーを 0 に設定します。
```
# ipadm set-prop -p _forward_directed_broadcasts=0 ip
```

現在の値を検証します。

# ipadm show-prop -p _forward_directed_broadcasts ip
PROTO  PROPERTY                     PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _forward_directed_broadcasts  rw   0         --           0         0,1

参照

ipadm(1M) のマニュアルページ

エコーリクエストへの応答を無効にする方法

この手順を使用して、ネットワークトポロジに関する情報の流布を回避します。

始める前に

IP パケットに対してブロードキャストエコー要求への応答プロパティーを 0 に設定して、現在の値を検証します。

# ipadm set-prop -p _respond_to_echo_broadcast=0 ip

# ipadm show-prop -p _respond_to_echo_broadcast ip
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_echo_broadcast rw   0         --           1         0,1

IP パケットに対してマルチキャストエコー要求への応答プロパティーを 0 に設定して、現在の値を検証します。

# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv6

# ipadm show-prop -p _respond_to_echo_multicast ipv4
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _respond_to_echo_multicast rw   0         --           1         0,1
# ipadm show-prop -p _respond_to_echo_multicast ipv6
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _respond_to_echo_multicast rw   0         --           1         0,1

参照

詳細については、『Oracle Solaris 11.1 カーネルのチューンアップ・リファレンスマニュアル』の「_respond_to_echo_broadcast と _respond_to_echo_multicast (ipv4 または ipv6)」および ipadm(1M) のマニュアルページを参照してください。

厳密なマルチホームを設定する方法

他のドメインへのゲートウェイであるシステム (ファイアウォールや VPN ノードなど) では、この手順を使用して厳格なマルチホーミングをオンにします。hostmodel プロパティーは、マルチホームシステム上での IP パケットの送受信動作を制御します。

始める前に

IP パケットに対して hostmodel プロパティーを strong に設定します。

# ipadm set-prop -p hostmodel=strong ipv4
# ipadm set-prop -p hostmodel=strong ipv6

現在の値を確認し、可能な値に注目します。

# ipadm show-prop -p hostmodel ip
PROTO  PROPERTY    PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6   hostmodel   rw   strong    strong       weak      strong,src-priority,weak
ipv4   hostmodel   rw   strong    strong       weak      strong,src-priority,weak

参照

詳細については、『Oracle Solaris 11.1 カーネルのチューンアップ・リファレンスマニュアル』の「hostmodel (ipv4 または ipv6)」および ipadm(1M) のマニュアルページを参照してください。

厳密なマルチホームの使用の詳細については、トンネルモードの IPsec で VPN を保護する方法を参照してください。

不完全な TCP 接続の最大数を設定する方法

この手順を使用して、不完全な中断中の接続の数を制御することによってサービス拒否 (DOS) 攻撃を回避します。

始める前に

受信接続の最大数を設定します。

# ipadm set-prop -p _conn_req_max_q0=4096 tcp

現在の値を検証します。

# ipadm show-prop -p _conn_req_max_q0 tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _conn_req_max_q0  rw   4096      --           128       1-4294967295

参照

詳細については、『Oracle Solaris 11.1 カーネルのチューンアップ・リファレンスマニュアル』の「_conn_req_max_q0」および ipadm(1M) のマニュアルページを参照してください。

中断中の TCP 接続の最大数を設定する方法

この手順を使用して、許可される受信接続の数を制御することによって DOS 攻撃を回避します。

始める前に

受信接続の最大数を設定します。

# ipadm set-prop -p _conn_req_max_q=1024 tcp

現在の値を検証します。

# ipadm show-prop -p _conn_req_max_q tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _conn_req_max_q   rw   1024      --           128       1-4294967295

参照

詳細については、『Oracle Solaris 11.1 カーネルのチューンアップ・リファレンスマニュアル』の「_conn_req_max_q」および ipadm(1M) のマニュアルページを参照してください。

初期の TCP 接続に強固な乱数を指定する方法

この手順では、TCP の初期シーケンス番号生成パラメータを RFC 6528 に準拠するように設定します。

始める前に

solaris.admin.edit/etc.default/inetinit 承認が割り当てられている管理者になる必要があります。デフォルトでは、root 役割にこの承認が含まれています。詳細については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。

TCP_STRONG_ISS 変数のデフォルト値を変更します。

# pfedit /etc/default/inetinit
# TCP_STRONG_ISS=1
TCP_STRONG_ISS=2

システムをリブートします。
```
# /usr/sbin/reboot
```

ICMP リダイレクトを妨げる方法

ルーターは ICMP リダイレクトメッセージを使用して、ホストに宛先へのより直接的なルートを通知します。不正な ICMP リダイレクトメッセージは、中間者攻撃をまねく可能性があります。

始める前に

IP パケットに対して無視リダイレクトプロパティーを 1 に設定し、現在の値を確認します。

ICMP リダイレクトメッセージは、ホストのルートテーブルを変更し、認証されません。さらに、リダイレクトされたパケットの処理により、システムの CPU 要求が増加します。

# ipadm set-prop -p _ignore_redirect=1 ipv4
# ipadm set-prop -p _ignore_redirect=1 ipv6
# ipadm show-prop -p _ignore_redirect ipv4
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _ignore_redirect  rw   1         1            0         0,1
# ipadm show-prop -p _ignore_redirect ipv6
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _ignore_redirect  rw   1         1            0         0,1

ICMP リダイレクトメッセージの送信を妨げます。
これらのメッセージには、ネットワークトポロジの一部を明らかにする可能性のあるルートテーブルの情報が含まれます。
```
# ipadm set-prop -p _send_redirects=0 ipv4
# ipadm set-prop -p _send_redirects=0 ipv6
# ipadm show-prop -p _send_redirects ipv4
PROTO PROPERTY          PERM CURRENT  PERSISTENT   DEFAULT  POSSIBLE
ipv4  _send_redirects   rw   0        0            1        0,1

# ipadm show-prop -p _send_redirects ipv6
PROTO  PROPERTY        PERM CURRENT   PERSISTENT   DEFAULT  POSSIBLE
ipv6  _send_redirects  rw   0         0            1        0,1
```
詳細については、『Oracle Solaris 11.1 カーネルのチューンアップ・リファレンスマニュアル』の「_send_redirects (ipv4 または ipv6)」および ipadm(1M) のマニュアルページを参照してください。

ネットワークパラメータをセキュアな値にリセットする方法

デフォルトでセキュアな多くのネットワークパラメータはチューニング可能で、デフォルトから変更されている可能性があります。サイトの条件が許す場合は、次のチューニング可能パラメータをデフォルト値に戻します。

始める前に

IP パケットに対してソースパケット転送プロパティーを 0 に設定して、現在の値を検証します。

デフォルト値で、なりすましパケットからの DOS 攻撃が回避されます。

# ipadm set-prop -p _forward_src_routed=0 ipv4
# ipadm set-prop -p _forward_src_routed=0 ipv6
# ipadm show-prop -p _forward_src_routed ipv4
PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _forward_src_routed   rw   0         --           0         0,1
# ipadm show-prop -p _forward_src_routed ipv6
PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _forward_src_routed   rw   0         --           0         0,1

詳細は、『Oracle Solaris 11.1 カーネルのチューンアップ・リファレンスマニュアル』の「forwarding (ipv4 または ipv6)」を参照してください。

IP パケットに対してネットマスク応答プロパティーを 0 に設定して、現在の値を検証します。

デフォルト値で、ネットワークトポロジに関する情報の流布が回避されます。

# ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip
# ipadm show-prop -p _respond_to_address_mask_broadcast ip
PROTO PROPERTY                           PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_address_mask_broadcast rw   0         --           0         0,1

IP パケットに対してタイムスタンプ応答プロパティーを 0 に設定して、現在の値を検証します。
デフォルト値で、システムでの追加 CPU の要求が削除され、ネットワークに関する情報の流布が回避されます。
```
# ipadm set-prop -p _respond_to_timestamp=0 ip
# ipadm show-prop -p _respond_to_timestamp ip
PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_timestamp            rw   0         --           0         0,1
```
IP パケットに対してブロードキャストタイムスタンプ応答プロパティーを 0 に設定して、現在の値を検証します。
デフォルト値で、システムでの追加 CPU の要求が削除され、ネットワークに関する情報の流布が回避されます。
```
# ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip
# ipadm show-prop -p _respond_to_timestamp_broadcast ip
PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_timestamp_broadcast  rw   0         --           0         0,1
```
IP ソースルーティングを回避します。
デフォルト値により、パケットがネットワークセキュリティー対策をバイパスすることを回避します。ソースルーティングされたパケットにより、パケットの送信元は、ルーターに構成されているパスと異なるパスを提案できます。

注 - このパラメータは診断目的で 1 に設定できます。診断の終了後、値を 0 に戻します。
```
# ipadm set-prop -p _rev_src_routes=0 tcp
# ipadm show-prop -p _rev_src_routes tcp
PROTO PROPERTY          PERM CURRENT  PERSISTENT  DEFAULT  POSSIBLE
tcp   _rev_src_routes   rw   0        --          0        0,1
```
詳細は、『Oracle Solaris 11.1 カーネルのチューンアップ・リファレンスマニュアル』の「_rev_src_routes」を参照してください。

参照

ipadm(1M) のマニュアルページ

ナビゲーションリンクをスキップ
印刷ビューの終了
	Oracle Solaris 11.1 でのネットワークのセキュリティー保護 Oracle Solaris 11.1 Information Library (日本語)