Prüfen Sie als Best Practice für die Sicherheit, ob das Host-System IPv6 Internet Control Message Protocol (ICMP) Redirect-Meldungen ignoriert. Durch eine schadhafte ICMP Redirect-Meldung kann ein Man-in-the-Middle-Angriff durchgeführt werden. Router verwenden ICMP Redirect-Meldungen, um Hosts mitzuteilen, dass für ein Ziel eine direktere Weiterleitung vorhanden ist. Diese Meldungen passen die Weiterleitungstabelle des Hosts an und sind nicht authentifiziert.

Prozedur

  1. Führen Sie den Befehl # grep [01] /proc/sys/net/ipv6/conf/*/accept_redirects|egrep "default|all" auf dem Host-System aus und prüfen Sie, ob es IPv6 Redirect-Meldungen ignoriert.
  2. Konfigurieren Sie das Host-System so, dass es IPv6 ICMP Redirect-Meldungen ignoriert.
    1. Öffnen Sie die Datei /etc/sysctl.conf, um das Host-System so zu konfigurieren, dass es die IPv6 Redirect-Meldungen ignoriert.
    2. Wenn die Werte nicht auf 0 festgelegt sind, fügen Sie die folgenden Einträge zur Datei hinzu, oder aktualisieren Sie die vorhandenen Einträge entsprechend. Legen Sie den Wert auf 0 fest.
      net.ipv6.conf.all.accept_redirects=0
      net.ipv6.conf.default.accept_redirects=0 
      
    3. Speichern Sie die Änderungen, und schließen Sie die Datei.
    4. Führen Sie # sysctl -p aus, um die Konfiguration zu übernehmen.