ルーターは ICMP リダイレクトメッセージを使用して、ホストに宛先へのより直接的なルートを通知します。不正な ICMP リダイレクトメッセージは、中間者攻撃をまねく可能性があります。
始める前に
Network Management 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
ICMP リダイレクトメッセージは、ホストのルートテーブルを変更し、認証されません。さらに、リダイレクトされたパケットの処理により、システムの CPU 要求が増加します。
# ipadm set-prop -p _ignore_redirect=1 ipv4 # ipadm set-prop -p _ignore_redirect=1 ipv6 # ipadm show-prop -p _ignore_redirect ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _ignore_redirect rw 1 1 0 0,1 # ipadm show-prop -p _ignore_redirect ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _ignore_redirect rw 1 1 0 0,1
これらのメッセージには、ネットワークトポロジの一部を明らかにする可能性のあるルートテーブルの情報が含まれます。
# ipadm set-prop -p send_redirects=off ipv4 # ipadm set-prop -p send_redirects=off ipv6 # ipadm show-prop -p send_redirects ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 send_redirects rw off off on on,off # ipadm show-prop -p send_redirects ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 send_redirects rw off off on on,off
詳細は、Oracle Solaris 11.3 カーネルのチューンアップ・リファレンスマニュアル の および ipadm(1M) のマニュアルページを参照してください。