セキュリティ

SEPセキュリティアラートARP Cache Poison(Mac OS)通信エラー検知の対応

ARP Cache Poinsonアラート通知が頻発しています

インターネットなどの閲覧をMacOSから作業していると、頻繁にこのエラーアラートが発生しています。

アラートはSEP14から発生しています(MacOS X10.13)High Sierra

Symantec Endopoint Protection14をクライアントにインストールしています。デフォルトのインストールパッケージを生成してクライアントPC(Mac)から発生。MacのOSは「High Sierra」10.13です。

アラートの原因は(SEP)

特定のホストに ARP(Address Resolution Protocol)要求が 
行われた場合、SEPは ARP トラフィックの着発信を許可します。その他の予期されていない ARP トラフィックはすべて遮断され、セキュリティログにエントリとして生成されます

「MAC 詐称対策を有効にする」を無効化させます

ポリシー設定内の「ファイアウォール」設定を無効化することでこの事象が改善されます。「MAC 詐称対策を有効にする」のチェックを外します。

MAC詐称対策を有効にする

特定のホストに対して要求が作成された場合のみ、着発信のトラフィックを許可します。他のすべての予想外のトラフィックは遮断されてセキュリティログに記載されます。ARPトラフィックと近隣探索トラフィックに適用されます。

SEP14:侵入防止ポリシーの除外設定でピンポイントで許可設定させます。

Symante Endpoint Protection14にて侵入防止ポリシーの…
1manit.work

SEP14:グローバルIP許可設定

グローバルIPアドレスを許可(除外リスト)してアクセス出来るようにします。 Sy…
1manit.work

ひとり情シスより

ARPトラフィックに対するセキュリティ強化は必須です。ネットワークの状態を確認する為にお隣さんのネットワーク機器との情報交換などで必須のプロトコルですが、悪意を持ったものがネットワークに忍び込んで「ARP」パケットを利用してネットワークを破壊することも出来てしまうのでこの取扱はとても重要です。今回の設定は「ARP」によるピンポイントだけではなくその他の機能で、侵入防止のシグネチャによって検知されている可能性が高くなるので侵入防止セキュリティの除外設定で今回のプロトコルをピンポイントで除外し、アラートを発生させないようにした方がよいです。

ARPとは

TCP/IPにおける「ARP(Address ResolutionProtocol。 アープ)」プロトコルとは、IPアドレスから物理層のネットワーク・アドレス(MACアドレス)を求めるために利用されるプロトコルのことである(TCP/IP以外でもARPという名称や同様の機能を持つプロトコルは広く使われている)

atmark.co.jpサイトより引用

1manit

日本橋で社内情報システムをひとりで運用管理しています。(通称:ひとり情シス)日々効率良くシステムを運用出来るような記事の情報共有できたらなと思いこのサイトを立ち上げました。また同じような立場のひとり情シスの方々と社内の課題、問題点なども情報交換出来たらなと思っております。 ひとり情シスの方々が、社内での存在価値を高めるために少しでも有益な情報を提供出来るよう日々向上心を持ってサイト運営していけたらと思います。

Recent Posts

ひとり情シスとしての業務

「ひとり情シス」とは、1人で情…

2年 ago

OneDriveの保存容量は実質無制限に出来る

オンラインストレージサービスを…

2年 ago

Listsのアクセス権を編集する:SharePoint

Listsのアクセス権限を編集…

3年 ago