보안 모범 사례로 VMware 가상 장치 호스트 시스템이 IPv6 ICMP redirect 메시지를 거부하는지 확인합니다.

이 태스크 정보

라우터는 ICMP Redirect 메시지를 사용하여 대상에 보다 직접적인 경로가 있다는 사실을 호스트에 알려줍니다. 악성 ICMP Redirect 메시지는 메시지 가로채기 공격을 용이하게 만들 수 있습니다. 이러한 메시지는 호스트의 경로 테이블을 수정하며 인증되지 않습니다. 필요한 경우가 아니면 이러한 메시지를 무시하도록 시스템이 구성되었는지 확인합니다.

프로시저

  1. VMware 가상 장치 호스트 시스템에서 # grep [01] /proc/sys/net/ipv6/conf/*/accept_redirects|egrep "default|all" 명령을 실행하여 시스템에서 IPv6 리디렉션 메시지를 거부하는지 확인합니다.

    IPv6 리디렉션을 거부하도록 호스트 시스템이 구성되어 있으면 이 명령이 다음을 반환합니다.

    /proc/sys/net/ipv6/conf/all/accept_redirects:0

    /proc/sys/net/ipv6/conf/default/accept_redirects:0

  2. IPv4 리디렉션 메시지를 거부하도록 가상 장치 호스트 시스템을 구성하려면 /etc/sysctl.conf 파일을 텍스트 편집기에서 엽니다.
  3. net.ipv6.conf로 시작하는 줄의 값을 확인합니다.

    파일에서 다음 항목의 값이 0으로 설정되지 않았거나 항목 자체가 없으면 파일에 해당 항목을 추가하거나, 기존 항목을 적절하게 업데이트합니다.

    net.ipv6.conf.all.accept_redirects=0
    net.ipv6.conf.default.accept_redirects=0
  4. 변경 사항을 저장하고 파일을 닫습니다.