セキュリティ上のベスト プラクティスとして、ホスト システムで、必要でない限りルータ通知とインターネット制御メッセージ プロトコル (ICMP) リダイレクトの受け入れが拒否されることを確認します。IPv6 を使用すると、システムがネットワークからの情報を自動的に使用してネットワーク デバイスを構成できます。セキュリティ上の観点から、重要な構成情報は認証されていない方法でネットワークから受け入れるよりもむしろ、手動で設定することをお勧めします。

手順

  1. ホスト システム上で # grep [01] /proc/sys/net/ipv6/conf/*/accept_ra|egrep "default|all" を実行して、システムで、必要でない限りルータ通知とインターネット制御メッセージ プロトコル (ICMP) リダイレクトの受け入れが拒否されることを確認します。
  2. IPv6 ルータ通知を拒否するようにホスト システムを構成します。
    1. /etc/sysctl.conf ファイルを開きます。
    2. 値が 0 に設定されていない場合は、次のエントリをファイルに追加するか、それに合わせて既存のエントリを更新します。値を 0 に設定します。 
      net.ipv6.conf.all.accept_ra=0 
net.ipv6.conf.default.accept_ra=0
    3. 変更内容を保存し、ファイルを閉じます。
    4. # sysctl -p を実行して、構成を適用します。