SEPセキュリティアラートARP Cache Poison(Mac OS)通信エラー検知の対応

Security

ARP Cache Poinsonアラート通知が頻発しています

インターネットなどの閲覧をMacOSから作業していると、頻繁にこのエラーアラートが発生しています。

アラートはSEP14から発生しています(MacOS X10.13)High Sierra

Symantec Endopoint Protection14をクライアントにインストールしています。デフォルトのインストールパッケージを生成してクライアントPC(Mac)から発生。MacのOSは「High Sierra」10.13です。

アラートの原因は(SEP)

特定のホストに ARP(Address Resolution Protocol)要求が 
行われた場合、SEPは ARP トラフィックの着発信を許可します。その他の予期されていない ARP トラフィックはすべて遮断され、セキュリティログにエントリとして生成されます

「MAC 詐称対策を有効にする」を無効化させます

ポリシー設定内の「ファイアウォール」設定を無効化することでこの事象が改善されます。「MAC 詐称対策を有効にする」のチェックを外します。

Policy_firewall

MAC詐称対策を有効にする

特定のホストに対して要求が作成された場合のみ、着発信のトラフィックを許可します。他のすべての予想外のトラフィックは遮断されてセキュリティログに記載されます。ARPトラフィックと近隣探索トラフィックに適用されます。

ひとり情シスより

ARPトラフィックに対するセキュリティ強化は必須です。ネットワークの状態を確認する為にお隣さんのネットワーク機器との情報交換などで必須のプロトコルですが、悪意を持ったものがネットワークに忍び込んで「ARP」パケットを利用してネットワークを破壊することも出来てしまうのでこの取扱はとても重要です。今回の設定は「ARP」によるピンポイントだけではなくその他の機能で、侵入防止のシグネチャによって検知されている可能性が高くなるので侵入防止セキュリティの除外設定で今回のプロトコルをピンポイントで除外し、アラートを発生させないようにした方がよいです。

ARPとは

TCP/IPにおける「ARP(Address ResolutionProtocol。 アープ)」プロトコルとは、IPアドレスから物理層のネットワーク・アドレス(MACアドレス)を求めるために利用されるプロトコルのことである(TCP/IP以外でもARPという名称や同様の機能を持つプロトコルは広く使われている)

atmark.co.jpサイトより引用