Stellen Sie als Best Practice für Sicherheit sicher, dass die Hostmaschinen Ihrer virtuellen VMware-Appliance IPv6-ICMP-Umleitungsmeldungen verweigern.

Warum und wann dieser Vorgang ausgeführt wird

Router verwenden ICMP-Umleitungsmeldungen, um Hosts mitzuteilen, dass für ein Ziel eine direktere Route vorhanden ist. Eine bösartige ICMP-Umleitungsmeldung kann einen Man-in-the-Middle-Angriff erleichtern. Diese Meldungen ändern die Routentabelle des Hosts und sind nicht authentifiziert. Stellen Sie sicher, dass Ihr System so konfiguriert ist, dass diese Meldungen ignoriert werden (falls nicht anderweitig erforderlich).

Prozedur

  1. Führen Sie den Befehl # grep [01] /proc/sys/net/ipv6/conf/*/accept_redirects|egrep "default|all" auf den Hostmaschinen der virtuellen VMware-Appliance aus, um zu bestätigen, dass IPv6-Umleitungsmeldungen verweigert werden.

    Wenn die Hostmaschinen für die Verweigerung von IPv6-Umleitungsmeldungen konfiguriert sind, gibt dieser Befehl Folgendes zurück:

    /proc/sys/net/ipv6/conf/all/accept_redirects:0

    /proc/sys/net/ipv6/conf/default/accept_redirects:0

  2. Um eine Hostmaschine der virtuellen Appliance zum Verweigern von IPv4-Umleitungsmeldungen zu konfigurieren, öffnen Sie die Datei /etc/sysctl.conf in einem Texteditor.
  3. Überprüfen Sie die Werte der Zeilen, die mit net.ipv6.conf beginnen.

    Wenn die Werte für die folgenden Einträge nicht auf Null gesetzt oder die Einträge nicht vorhanden sind, fügen Sie sie zur Datei hinzu oder aktualisieren Sie die vorhandenen Einträge entsprechend.

    net.ipv6.conf.all.accept_redirects=0
    net.ipv6.conf.default.accept_redirects=0
  4. Speichern Sie die Änderungen und schließen Sie die Datei.