セキュリティのベスト プラクティスとして、VMware アプライアンスのホスト システムが IPv6 転送を拒否することを確認します。

このタスクについて

システムが IP 転送向けに構成されていて、指定されたルーターではない場合、攻撃者は、このシステムを利用して、ネットワーク デバイスでフィルタされていない通信のパスを提供することでネットワーク セキュリティをバイパスする可能性があります。このリスクを回避するために、IPv6 転送を拒否するように仮想アプライアンス ホスト マシンを構成します。

手順

  1. IPv6 転送を拒否することを確認するために、VMware アプライアンス ホスト マシンで # grep [01] /proc/sys/net/ipv6/conf/*/forwarding|egrep "default|all" コマンドを実行します。

    IPv6 転送を拒否するようにホスト マシンが構成されている場合、このコマンドは次のように応答します。

    /proc/sys/net/ipv6/conf/all/forwarding:0
    /proc/sys/net/ipv6/conf/default/forwarding:0

    ホスト マシンが正しく構成されている場合は、これ以上の操作は必要ありません。

  2. IPv6 転送を拒否するようにホスト マシンを構成する必要がある場合は、/etc/sysctl.conf ファイルをテキスト エディタで開きます。
  3. net.ipv6.conf で始まる行の値を確認します。

    次のエントリの値がゼロに設定されていない場合、またはこれらのエントリがない場合は、エントリを追加するか既存のエントリを更新します。

    				net.ipv6.conf.all.accept_redirects=0
    net.ipv6.conf.default.accept_redirects=0
  4. 変更内容を保存し、ファイルを閉じます。