En matière de sécurité, la meilleure pratique consiste à vérifier que le système hôte ignore les messages de redirection ICMP (Internet Control Message Protocol) IPv6. Un message de redirection ICMP malveillant peut provoquer une attaque de type « intercepteur ». Les routeurs utilisent des messages de redirection ICMP pour informer les hôtes qu'un itinéraire plus direct existe pour une destination. Ces messages modifient le tableau de routage de l'hôte et ne sont pas authentifiés.

Procédure

  1. Exécutez la commande # grep [01] /proc/sys/net/ipv6/conf/*/accept_redirects|egrep "default|all" sur le système hôte et vérifiez si ce dernier ignore les messages de redirection IPv6.
  2. Configurez le système hôte pour ignorer les messages de redirection ICMP IPv6.
    1. Ouvrez le fichier /etc/sysctl.conf pour configurer le système hôte de manière à ignorer les messages de redirection IPv6.
    2. Si les valeurs ne sont pas définies sur 0, ajoutez les entrées suivantes au fichier ou mettez à jour les entrées existantes en conséquence. Définissez la valeur sur 0.
      net.ipv6.conf.all.accept_redirects=0
      net.ipv6.conf.default.accept_redirects=0 
      
    3. Enregistrez les modifications et fermez le fichier.
    4. Exécutez # sysctl -p pour appliquer la configuration.