はじめに
AIX のカーネル・パラメータ no (network option) にはネットワーク・セキュリティを向上するオプションが存在しています。
これらの設定は、主にno -o [パラメーター]=[値]というコマンドを使用して変更します。
・no コマンドを使用したネットワーク・パフォーマンス・チューニング
・AIX Security Expert ネットワーク・オプションの調整グループ
に AIX Security Expert というAIX推奨設定が定められた項目が存在しますが、内容が想像がしにくいと感じ、自分のための理解も兼ねて、機能と目的、セキュリティ上の効果をの言葉を直した表を作成しました。
AIX Security Expert 推奨項目の説明
| 設定項目 (Parameter) | 推奨値 (Recommended Value) | 機能と目的 (Function and Purpose) | セキュリティ上の効果 (Security Effect) |
|---|---|---|---|
| ipsrcrouteforward | 0 | システムが、送り主が「この道を通って!」と指定したデータ(送信元経路指定パケット)を、さらに他の場所に転送するかどうかを決めます。 | 発信元経路指定攻撃(攻撃者が通信経路を自由に指定して侵入する攻撃によるアクセスを防止します。 |
| ipignoreredirects | 1 | システムが、「このデータはこっちの道を通って!」という指示(リダイレクト)を無視するか、それとも受け入れるかを決めます。 | (ソースには特定の攻撃防止効果の記載はありませんが、システムの経路設定を攻撃者に悪用されないようにします)。 |
| clean_partial_conns | 1 | 未完了の通信(SYNアタックと呼ばれる攻撃者が仕掛けるもの)を、システムが自動的に片付けるかどうかを決めます。これにより、攻撃者がシステムのリソースを使い尽くすのを防ぎます。 | SYN攻撃(システムの通信処理能力を奪う攻撃を防ぎます。 |
| ipsrcrouterecv | 0 | システムが、送り主が「この道を通って!」と指定したデータ(送信元経路指定パケット)を、そもそも受け取るかどうかを決めます。 | 発信元経路指定攻撃(攻撃者が通信経路を自由に指定して侵入する攻撃によるアクセスを防止します。 |
| ipforwarding | 0 | システムが、自分宛てではない他の場所へ行くためのデータ(パケット)を、自動的に転送する必要があるかどうかを指定します。通常、ルーターではないPCでは「転送しない」が安全です。 | 外部に転送されるべきではないパケットが、リモートネットワークに到達するのを防ぎます。 |
| ipsendredirects | 0 | システムが、「このデータはもっと良い道があるよ!」という指示(リダイレクトシグナル)を他のシステムに送る必要があるかどうかを決めます。 | 外部に転送されるべきではないパケットが、リモートネットワークに到達するのを防ぎます。 |
| ip6srcrouteforward | 0 | システムが、送り主が「この道を通って!」と指定したIPv6データ(送信元経路指定パケット)を、さらに他の場所に転送するかどうかを決めます。 | 発信元経路指定攻撃(攻撃者がIPv6通信の経路を自由に指定して侵入する攻撃によるアクセスを防止します。 |
| directed_broadcast | 0 | 特定のネットワーク全体に送るメッセージを、別のネットワークへ転送することを許可するかどうかを決めます。許可しないことで、関係のないネットワークへの情報漏洩を防ぎます。 | 意図しないパケットが、関係のないリモートネットワークに到達するのを防ぎます。 |
| tcp_pmtu_discover | 0 | ネットワークのデータ転送効率を最大化するため、最適なデータサイズ(MTU)を自動で発見する機能(パスMTUディスカバリー)に関する設定です。この機能を無効にすることで、攻撃者がMTUの情報を悪用して、システムの処理能力を低下させたり、特定の経路への通信を妨害したりする攻撃(例:Path MTU Discovery Blackhole Attack)を防ぎます。 | 発信元経路指定攻撃(攻撃者が通信経路を自由に指定して侵入する攻撃によるアクセスを防止します。 |
| bcastping | 0 | システムが、ネットワーク全体に「ここにいる?」と尋ねるメッセージ(ICMPエコー要求に答えるかどうかを決めます。答えないことで、悪意のある攻撃に利用されるのを防ぎます。 | Smurf攻撃(大量の応答を発生させてネットワークを麻痺させる攻撃を防ぐのに役立ちます。 |
| icmpaddressmask | 0 | システムが、自分のネットワークアドレスに関する情報を尋ねるメッセージ(ICMPアドレスマスク要求に答えるかどうかを決めます。答えないことで、情報収集を目的とした攻撃を防ぎます。 | 発信元経路指定攻撃(攻撃者が通信経路を自由に指定して侵入する攻撃によるアクセスを防止します。 |
| udp_pmtu_discover | 0 | UDP通信において、最適なデータサイズ(MTU)を自動で発見する機能(パスMTUディスカバリー)に関する設定です。この機能を無効にすることで、攻撃者がMTUの情報を悪用して、システムの処理能力を低下させたり、特定の経路への通信を妨害したりする攻撃を防ぎます。(※UDPの場合はTCPとは異なり、直接的なパスMTUディスカバリー機能は持ちませんが、PMTUDに関連するICMPメッセージの処理が攻撃に利用される可能性があるため、その対策として解釈できます。より正確には、ICMPのエラーメッセージを悪用した攻撃の防止に繋がります。) | 発信元経路指定攻撃(攻撃者が通信経路を自由に指定して侵入する攻撃によるアクセスを防止します。 |
| ipsrcroutesend | 0 | アプリケーションが、送り主が「この道を通って!」と指定したデータ(送信元経路指定パケット)を、外部に送ることができるかどうかを決めます。 | 発信元経路指定攻撃(攻撃者が通信経路を自由に指定して侵入する攻撃によるアクセスを防止します。 |
| nonlocsrcroute | 0 | 「この道だけを通って!」と厳しく指定されたデータが、自分のネットワークの外にあるコンピューターにも届けられるようにするかどうかを決めます。 | 発信元経路指定攻撃(攻撃者が通信経路を自由に指定して侵入する攻撃によるアクセスを防止します。 |
| tcp_tcpsecure | 7 |
インターネット通信の土台となるTCP接続を、様々なずる賢い攻撃から守るための設定です。例えば、偽のメッセージを送って通信を乗っ取ろうとする攻撃などを防ぎます。7は多くの種類の攻撃(確立された接続に対する偽のSYN送信、偽のRST送信、データ注入の組み合わせ)から守る設定です。 |
偽のSYNやRSTの送信(通信を乗っ取ろうとする攻撃)や、データ注入(不正なデータを送り込む攻撃といったTCPの脆弱性から保護します。 |
| sockthresh | 60 |
ネットワーク・メモリーの使用限度を指定します。いずれの新規ソケット接続もsockthreshチューナブル値を超えることはできません。ソケットに割り当てることができるネットワーク・メモリーの最大量を指定します。 |
システムが不正に大量のソケット接続を処理させられてシステムのリソースを使い果たすのを防ぎ、サービス拒否攻撃に対する耐性を高めます。 |
ネットワーク・サービス・オプションの要約 には以下も記載がありました。
| 設定項目 (Parameter) | 推奨値 (Recommended Value) | 機能と目的 (Function and Purpose) | セキュリティ上の効果 (Security Effect) |
|---|---|---|---|
| tcp_icmpsecure | 1 | インターネットの基本的な通信で使うメッセージ(ICMP)や、データの最適なサイズを見つける仕組み(PMTUD)を使った攻撃から、大切なTCP通信を守るための設定です。送られてくるメッセージの中身を詳しく見て、怪しいものがないかチェックします。 | ICMPおよびPMTUD攻撃(通信を妨害したり、情報を不正に取得したりする攻撃からTCP接続を保護します。 |
| ip_nfrag | 200 | 大きなデータが細かく分割されて送られてきたときに、システムが一時的に保存できる分割データ(フラグメント)の数の上限を決めます。システムが混乱しないようにするための設定です。デフォルト値は200です。 | (直接的な攻撃防止ではありませんが、システムが不正に大量の分割データを処理させられてシステムダウンするのを防ぎます。) |
注記: 各設定によるパフォーマンスへ影響がある可能性はあります。
・AIX Security Expert ネットワーク・オプションの調整グループ の下方にセキュリティの項目もあります。
ご参考
no に限らず、下記のようなチェックリストもマニュアルにありますのでご参考ください。
ご参考まで、以上です。