En matière de sécurité, la meilleure pratique consiste à vérifier que le système hôte refuse l'acceptation des annonces de routeur ainsi que les redirections ICMP (Internet Control Message Protocol), à moins que cela ne soit nécessaire. Avec IPv6, les systèmes peuvent configurer les périphériques réseau en utilisant automatiquement les informations du réseau. Du point de vue de la sécurité, il est préférable de configurer les informations importantes manuellement plutôt que d'accepter celles provenant du réseau de manière non authentifiée.
Procédure
- Exécutez la commande # grep [01] /proc/sys/net/ipv6/conf/*/accept_ra|egrep "default|all" sur le système hôte afin de vérifier si le système refuse l'acceptation des annonces de routeur et les redirections ICMP, à moins que cela ne soit nécessaire.
- Configurez le système hôte pour refuser les annonces du routeur IPv6.
- Ouvrez le fichier /etc/sysctl.conf.
- Si les valeurs ne sont pas définies sur
0
, ajoutez les entrées suivantes au fichier ou mettez à jour les entrées existantes en conséquence. Définissez la valeur sur0
.net.ipv6.conf.all.accept_ra=0 net.ipv6.conf.default.accept_ra=0
- Enregistrez les modifications et fermez le fichier.
- Exécutez
# sysctl -p
pour appliquer la configuration.