En matière de sécurité, la meilleure pratique consiste à vérifier que le système hôte refuse les transferts IPv6. Si le système est configuré pour les transferts IP et qu'il n'est pas désigné comme routeur, il peut être utilisé pour contourner la sécurité du réseau en fournissant une voie de communication non filtrée par les périphériques réseau.
Procédure
- Exécutez la commande # grep [01] /proc/sys/net/ipv6/conf/*/forwarding|egrep "default|all" pour vérifier que l'hôte refuse les transferts IPv6.
- Configurez le système hôte pour refuser les transferts IPv6.
- Ouvrez le fichier /etc/sysctl.conf pour configurer le système hôte.
- Si les valeurs ne sont pas définies sur
0
, ajoutez les entrées suivantes au fichier ou mettez à jour les entrées existantes en conséquence. Définissez la valeur sur0
.net.ipv6.conf.all.forwarding=0 net.ipv6.conf.default.forwarding=0 - Enregistrez les modifications et fermez le fichier.
- Exécutez
# sysctl -p
pour appliquer la configuration.