Stellen Sie als Best Practice im Hinblick auf die Sicherheit sicher, dass die VMware-Appliance-Hostsysteme die IPv6-Weiterleitung verweigern.

Warum und wann dieser Vorgang ausgeführt wird

Wenn das System für die IP-Weiterleitung konfiguriert ist und kein designierter Router ist, könnten Angreifer es nutzen, um die Netzwerksicherheit zu umgehen, indem sie einen Pfad für die Kommunikation, die nicht von Netzwerkgeräten gefiltert wird, bereitstellen. Konfigurieren Sie die Hostmaschinen der virtuellen Appliance für die Verweigerung der IPv6-Weiterleitung, um dieses Risiko zu vermeiden.

Prozedur

  1. Führen Sie den Befehl # grep [01] /proc/sys/net/ipv6/conf/*/forwarding|egrep "default|all" auf den Hostmaschinen der VMware-Appliance aus, um sicherzustellen, dass sie die IPv6-Weiterleitung ablehnen.

    Wenn die Hostmaschinen für die Verweigerung der IPv6-Weiterleitung konfiguriert sind, gibt dieser Befehl Folgendes zurück:

    /proc/sys/net/ipv6/conf/all/forwarding:0
    /proc/sys/net/ipv6/conf/default/forwarding:0

    Wenn die Hostmaschinen ordnungsgemäß konfiguriert sind, ist keine weitere Aktion erforderlich.

  2. Wenn Sie eine Hostmaschine für die Verweigerung der IPv6-Weiterleitung konfigurieren müssen, öffnen Sie die Datei /etc/sysctl.conf in einem Texteditor.
  3. Überprüfen Sie die Werte der Zeilen, die mit net.ipv6.conf beginnen.

    Wenn die Werte für die folgenden Einträge nicht auf Null gesetzt sind oder wenn die Einträge nicht vorhanden sind, fügen Sie die Einträge hinzu oder aktualisieren Sie die vorhandenen Einträge entsprechend.

    				net.ipv6.conf.all.accept_redirects=0
    net.ipv6.conf.default.accept_redirects=0
  4. Speichern Sie alle von Ihnen vorgenommenen Änderungen und schließen Sie die Datei.