Stellen Sie als Best Practice im Hinblick auf die Sicherheit sicher, dass die Hostmaschinen der virtuellen VMware-Appliance IPv4-ICMP-Umleitungsmeldungen ablehnen.

Warum und wann dieser Vorgang ausgeführt wird

Router verwenden ICMP-Umleitungsmeldungen, um Hosts mitzuteilen, dass für ein Ziel eine direktere Route vorhanden ist. Eine bösartige ICMP-Umleitungsmeldung kann einen Man-in-the-Middle-Angriff erleichtern. Diese Meldungen ändern die Routentabelle des Hosts und sind nicht authentifiziert. Stellen Sie sicher, dass das System so konfiguriert ist, dass diese ignoriert werden, wenn sie ansonsten nicht benötigt werden.

Prozedur

  1. Führen Sie den Befehl # grep [01] /proc/sys/net/ipv4/conf/*/accept_redirects|egrep "default|all" auf den Hostmaschinen der VMware-Appliance aus, um zu bestätigen, dass sie IPv4-Umleitungsmeldungen verweigern.

    Dieser Befehl gibt Folgendes zurück, wenn die Hostmaschinen für die Verweigerung von IPv4-Umleitungsmeldungen konfiguriert sind:

    /proc/sys/net/ipv4/conf/all/accept_reidrects:0

    /proc/sys/net/ipv4/conf/default/accept_redirects:0

  2. Wenn Sie eine Hostmaschine der virtuellen Appliance für die Verweigerung von IPv4-Umleitungsmeldungen konfigurieren müssen, öffnen Sie die Datei /etc/sysctl.conf in einem Texteditor.
  3. Überprüfen Sie die Werte der Zeilen, die mit net.ipv4.conf beginnen.

    Wenn die Werte für die folgenden Einträge nicht auf Null gesetzt sind oder wenn die Einträge nicht vorhanden sind, fügen Sie sie zur Datei hinzu oder aktualisieren Sie die vorhandenen Einträge entsprechend.

    net.ipv4.conf.all.accept_redirects=0
    net.ipv4.conf.default.accept_redirects=0
  4. Speichern Sie die von Ihnen vorgenommenen Änderungen und schließen Sie die Datei.