ネットワークに関してセキュリティを強化するためのカーネルパラメータを紹介します。
これらのパラメータが設定されていることを確認し、セキュリティを強化してください。強化するパラメータはこれ以外にもありますので、調査して設定してください。
初版:2015年4月19日
| TCPパラメータ | 対策する攻撃 | 対策内容 |
| /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts=1 | Smurf | Smurf 攻撃の対処。ブロードキャストPINGに対して応答しない。Smurf攻撃ではブロードキャストに対してソースIPアドレスを偽装して送信するため。 |
| /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses=1 | ログフル | 不正なICMPを受信した場合、エラーとして記録しない。この対策を行わないと、不正ICMPパケットを大量に送付することによりログフル攻撃が可能である。 |
| /proc/sys/net/ipv4/tcp_fin_timeout=30 | DOS | TIME_WAITから開放されるまでの時間(ソケット強制CLOSEの前にFINパケットを待つ時間)を設定する。単位は秒。DOS対策。 |
| /proc/sys/net/ipv4/tcp_timestamps=0 | リモートからカーネルのuptime(稼動時間)を探るのを防止する。uptimeが分かれば、最新セキュリティパッチ適用の有無が予測できる。(多くのセキュリティパッチやカーネルアップデートは適用と同時にOSの再起動が必要であるため。) | |
| /proc/sys/net/ipv4/tcp_syncookies=1 | syn flood | syn flood 攻撃を防御。 |
| /proc/sys/net/ipv4/conf/all/rp_filter=1 | IPアドレススプーフィリング | 送信元のIPアドレスが偽装されている場合は拒否する。 |
| /proc/sys/net/ipv4/conf/default/rp_filter | IPアドレススプーフィリング | 送信元のIPアドレスが偽装されている場合は拒否する。 |
| /proc/sys/net/ipv4/conf/all/accept_redirects=0 | ICMP リダイレクトの脆弱性 | ICMP リダイレクトパケットを拒否する。 |
| /proc/sys/net/ipv4/conf/default/accept_redirects = 0 | ICMP リダイレクトの脆弱性 | ICMP リダイレクトパケットを拒否する。 |
| /proc/sys/net/ipv4/conf/all/secure_redirects=0 | ICMP リダイレクトの脆弱性 | Gatewayからのリダイレクトパケットを拒否する。 |
| /proc/sys/net/ipv4/conf/all/secure_redirects=0 | ICMP リダイレクトの脆弱性 | Gatewayからのリダイレクトパケットを拒否する。 |
| /proc/sys/net/ipv4/tcp_ecn=0 | ECN(Explicit Congestion Notification)を無効化。 | |
| /proc/sys/net/ipv4/conf/all/send_redirects=0 | ICMP リダイレクトの脆弱性 | ICMP リダイレクトパケットを送信しない。 |
| /proc/sys/net/ipv4/conf/default/send_redirects=0 | ICMP リダイレクトの脆弱性 | ICMP リダイレクトパケットを送信しない。 |
| /proc/sys/net/ipv4/conf/all/accept_source_route=0 | ソースルートの脆弱性 | ソースルートが指定されたパケットを拒否する。ソースルートとは"始点経路制御"のことであり、経路を指定して送信するパケット。本来は経路のテストを行う目的であり、想定外の経路を経由する可能性があるため通常は使用すべきではない。 |
| /proc/sys/net/ipv4/conf/default/accept_source_route=0 | ソースルートの脆弱性 | ソースルートが指定されたパケットを拒否する。ソースルートとは"始点経路制御"のことであり、経路を指定して送信するパケット。本来は経路のテストを行う目的であり、想定外の経路を経由する可能性があるため通常は使用すべきではない。 |