セキュリティ上のベスト プラクティスとして、ホスト システムで IPv6 インターネット制御メッセージ プロトコル (ICMP) リダイレクト メッセージが無視されることを確認します。悪意のある ICMP リダイレクト メッセージが使用されると、中間者攻撃が発生する可能性があります。ルータは、ICMP リダイレクト メッセージを使用して、特定の転送先へのより直接的なルートが存在することをホストに知らせます。これらのメッセージは、ホストのルート テーブルを変更しますが、認証を受けません。

手順

  1. ホスト システム上で # grep [01] /proc/sys/net/ipv6/conf/*/accept_redirects|egrep "default|all" コマンドを実行し、IPv6 リダイレクト メッセージが無視されるかどうかをチェックします。
  2. IPv6 ICMP リダイレクト メッセージを無視するようにホスト システムを構成します。
    1. /etc/sysctl.conf を開いて、IPv6 リダイレクト メッセージを無視するようにホスト システムを構成します。
    2. 値が 0 に設定されていない場合は、次のエントリをファイルに追加するか、それに合わせて既存のエントリを更新します。値を 0 に設定します。 
      net.ipv6.conf.all.accept_redirects=0
net.ipv6.conf.default.accept_redirects=0
    3. 変更内容を保存し、ファイルを閉じます。
    4. # sysctl -p を実行して、構成を適用します。