Como procedimiento de seguridad recomendado, compruebe que el sistema host deniega la aceptación de anuncios de enrutador y mensajes de redirección del protocolo de mensajes de control de Internet (ICMP), salvo que sean necesarios. Una función actual de IPv6 es que los sistemas pueden configurar sus dispositivos en red mediante el uso automático de información procedente de la red. Desde el punto de vista de la seguridad, es preferible ajustar manualmente la información de configuración importante en lugar de aceptarla de la red de una forma no autenticada.
Procedimiento
- Ejecute el comando # grep [01] /proc/sys/net/ipv6/conf/*/accept_ra|egrep "default|all" en el sistema host para comprobar si el sistema deniega la aceptación de anuncios de enrutador y mensajes de redirección del protocolo de mensajes de control de Internet (ICMP), salvo que sean necesarios.
- Configure el sistema host para que deniegue los anuncios de enrutador IPv6.
- Abra el archivo /etc/sysctl.conf.
- Si los valores no se encuentran fijados en
0
, añada las siguientes entradas al archivo o actualice las entradas existentes según corresponda. Fije el valor en0
.net.ipv6.conf.all.accept_ra=0 net.ipv6.conf.default.accept_ra=0
- Guarde los cambios y cierre el archivo.
- Ejecute
# sysctl -p
para aplicar la configuración.