作为安全性最佳做法,请确认 VMware 虚拟设备主机拒绝 IPv4 ICMP 重定向消息。

关于此任务

路由器使用 ICMP 重定向消息告知主机某个目标存在更直接的路由。恶意的 ICMP 重定向消息可为中间人攻击提供便利。这些消息未经身份验证,并且会修改主机的路由表。确保系统已配置为在不需要这些消息时忽略消息。

过程

  1. VMware 设备主机上运行 # grep [01] /proc/sys/net/ipv4/conf/*/accept_redirects|egrep "default|all" 命令,确认这些主机拒绝 IPv4 重定向消息。

    如果主机已配置为拒绝 IPv4 重定向,此命令将返回以下内容:

    /proc/sys/net/ipv4/conf/all/accept_reidrects:0

    /proc/sys/net/ipv4/conf/default/accept_redirects:0

  2. 如果需要将虚拟设备主机配置为拒绝 IPv4 重定向消息,请在文本编辑器中打开 /etc/sysctl.conf 文件。
  3. 检查以 net.ipv4.conf 开头的行的值。

    如果以下条目的值未设置为零或者不存在,请在文件中添加这些条目或相应地更新现有条目。

    net.ipv4.conf.all.accept_redirects=0
    net.ipv4.conf.default.accept_redirects=0
  4. 保存所做的更改并关闭文件。