Verificare che le macchine host dell'appliance VMware neghino l'inoltro IPv4.

Se il sistema è configurato in modo da eseguire l'inoltro IP e non è un router designato, gli autori degli attacchi potrebbero utilizzarlo per aggirare la sicurezza della rete fornendo un percorso per le comunicazioni non filtrate dai dispositivi di rete. Per evitare questo rischio, configurare le macchine host dell'appliance virtuale in modo che neghino l'inoltro IPv4.

Procedura

  1. Eseguire il comando # cat /proc/sys/net/ipv4/ip_forward nelle macchine host dell'appliance VMware per verificare che siano configurate in modo da negare l'inoltro IPv4.

    Se le macchine host sono configurate per negare l'inoltro IPv4, questo comando restituirà il valore 0 per /proc/sys/net/ipv4/ip_forward. Se le macchine virtuali sono configurate correttamente, non è necessario eseguire ulteriori operazioni.

  2. Per configurare una macchina host dell'appliance virtuale in modo che neghi l'inoltro IPv4, aprire il file /etc/sysctl.conf in un editor di testo.
  3. Individuare la voce net.ipv4.ip_forward=0. Se il valore di questa voce non è impostato su 0 o se la voce non esiste, aggiungerla o aggiornare la voce esistente nel modo appropriato.
  4. Salvare le modifiche e chiudere il file.