Prüfen Sie als Best Practice für die Sicherheit, ob das Host-System die Annahme von Router-Advertisements und Internet Control Message Protocol-Umleitungen (ICMP-Umleitungen) ablehnt, sofern diese nicht erforderlich sind. Eine Funktion von IPv6 ist, wie Systeme ihre Netzwerkgeräte durch automatische Verwendung von Informationen aus dem Netzwerk konfigurieren können. Aus Sicherheitsgründen sollten wichtige Konfigurationsinformationen vorzugsweise manuell festgelegt werden, anstatt sie nicht authentifiziert aus dem Netzwerk anzunehmen.
Prozedur
- Führen Sie den Befehl # grep [01] /proc/sys/net/ipv6/conf/*/accept_ra|egrep "default|all" auf dem Host-System aus, um zu prüfen, ob das System Router-Advertisements und ICMP-Umleitungen ablehnt, sofern diese nicht erforderlich sind.
- Konfigurieren Sie das Host-System so, dass IPv6 Router-Advertisements abgelehnt werden.
- Öffnen Sie die Datei /etc/sysctl.conf.
- Wenn die Werte nicht auf
0
festgelegt sind, fügen Sie die folgenden Einträge zur Datei hinzu, oder aktualisieren Sie die vorhandenen Einträge entsprechend. Legen Sie den Wert auf0
fest.net.ipv6.conf.all.accept_ra=0 net.ipv6.conf.default.accept_ra=0
- Speichern Sie die Änderungen, und schließen Sie die Datei.
- Führen Sie
# sysctl -p
aus, um die Konfiguration zu übernehmen.