Come procedura consigliata di sicurezza, verificare che le macchine host dell'appliance virtuale VMware neghino i messaggi di reindirizzamento IPv6 ICMP.

Informazioni su questa attività

I router utilizzano i messaggi di reindirizzamento ICMP per comunicare agli host che per una determinata destinazione esiste una route più diretta. Un messaggio di reindirizzamento ICMP dannoso può favorire un attacco di tipo man-in-the-middle. Questi messaggi modificano la tabella di routing dell'host e non sono autenticati. Verificare che il sistema sia configurato in modo da ignorarli a meno che non siano necessari.

Procedura

  1. Eseguire il comando # grep [01] /proc/sys/net/ipv6/conf/*/accept_redirects|egrep "default|all" nelle macchine host dell'appliance virtuale VMwareper verificare che siano configurate in modo da negare i messaggi di reindirizzamento IPv6.

    Se le macchine host sono configurate per negare i reindirizzamenti IPv6, questo comando restituisce i seguenti valori:

    /proc/sys/net/ipv6/conf/all/accept_redirects:0

    /proc/sys/net/ipv6/conf/default/accept_redirects:0

  2. Per configurare una macchina host dell'appliance virtuale in modo che neghi i messaggi di reindirizzamento IPv4, aprire il file /etc/sysctl.conf in un editor di testo.
  3. Controllare i valori delle righe che iniziano con net.ipv6.conf.

    Se i valori delle voci elencate di seguito non sono impostati su 0 o se le voci non esistono, aggiungerle al file o aggiornare le voci esistenti nel modo appropriato.

    net.ipv6.conf.all.accept_redirects=0
    net.ipv6.conf.default.accept_redirects=0
  4. Salvare le modifiche e chiudere il file.