セキュリティのベスト プラクティスとして、VMware 仮想アプライアンス ホスト マシンが IPv6 ICMP リダイレクト メッセージを拒否することを確認します。

このタスクについて

ルーターでは、ICMP リダイレクト メッセージを使用して、ターゲットに対するより直接的なルートがあることをホストに通知します。悪意のある ICMP リダイレクト メッセージによって、中間者攻撃が行われる恐れがあります。これらのメッセージは、ホストのルート テーブルを変更することで、認証されない状態になります。必要な場合を除き、これらを無視するようにシステムが構成されていることを確認します。

手順

  1. IPv6 リダイレクト メッセージを拒否することを確認するために、VMware 仮想アプライアンス ホスト マシンで # grep [01] /proc/sys/net/ipv6/conf/*/accept_redirects|egrep "default|all" コマンドを実行します。

    ホスト マシンが IPv6 リダイレクトを拒否するように構成されている場合、このコマンドは次を返します。

    /proc/sys/net/ipv6/conf/all/accept_redirects:0

    /proc/sys/net/ipv6/conf/default/accept_redirects:0

  2. IPv4 リダイレクト メッセージを拒否するように仮想アプライアンス ホスト マシンを構成するには、テキスト エディタで /etc/sysctl.conf ファイルを開きます。
  3. net.ipv6.conf で始まる行の値を確認します。

    次のエントリの値がゼロに設定されていない場合、またはこれらのエントリがない場合は、ファイルに追加するか既存のエントリを更新します。

    net.ipv6.conf.all.accept_redirects=0
    net.ipv6.conf.default.accept_redirects=0
  4. 変更内容を保存し、ファイルを閉じます。