En matière de sécurité, la meilleure pratique consiste à vérifier que le système hôte refuse les transferts IPv4. Si le système est configuré pour les transferts IP et qu'il n'est pas désigné comme routeur, il peut être utilisé pour contourner la sécurité du réseau en fournissant une voie de communication non filtrée par les périphériques réseau.
Procédure
- Exécutez la commande # cat /proc/sys/net/ipv4/ip_forward pour vérifier si l'hôte refuse les transferts IPv4.
- Configurez le système hôte pour refuser les transferts IPv4.
- Ouvrez le fichier /etc/sysctl.conf pour configurer le système hôte.
- Si la valeur n'est pas définie sur
0
, ajoutez l'entrée suivante au fichier ou mettez à jour l'entrée existante en conséquence. Définissez la valeur sur0
.net.ipv4.ip_forward=0 - Enregistrez les modifications et fermez le fichier.
- Exécutez
# sysctl -p
pour appliquer la configuration.