Come procedura consigliata di sicurezza, verificare che i sistemi host dell'appliance VMware neghino l'inoltro IPv6.

Informazioni su questa attività

Se il sistema è configurato in modo da eseguire l'inoltro IP e non è un router designato, gli autori degli attacchi potrebbero utilizzarlo per aggirare la sicurezza della rete fornendo un percorso per le comunicazioni non filtrate dai dispositivi di rete. Per evitare questo rischio, configurare le macchine host dell'appliance virtuale in modo che neghino l'inoltro IPv6.

Procedura

  1. Eseguire il comando # grep [01] /proc/sys/net/ipv6/conf/*/forwarding|egrep "default|all" nelle macchine host dell'appliance VMware per verificare che siano configurate in modo da negare l'inoltro IPv6.

    Se le macchine host sono configurate per negare l'inoltro IPv6, questo comando restituisce i seguenti valori:

    /proc/sys/net/ipv6/conf/all/forwarding:0
    /proc/sys/net/ipv6/conf/default/forwarding:0

    Se le macchine host sono configurate correttamente, non è necessario eseguire ulteriori operazioni.

  2. Se è necessario configurare una macchina host in modo che neghi l'inoltro IPv6, aprire il file /etc/sysctl.conf in un editor di testo.
  3. Controllare i valori delle righe che iniziano con net.ipv6.conf.

    Se i valori delle voci elencate di seguito non sono impostati su 0 o se le voci non esistono, aggiungerle o aggiornare le voci esistenti nel modo appropriato.

    				net.ipv6.conf.all.accept_redirects=0
    net.ipv6.conf.default.accept_redirects=0
  4. Salvare le modifiche apportate e chiudere il file.