보안 모범 사례로 VMware 장치 호스트 시스템이 IPv6 전달을 거부하는지 확인합니다.

이 태스크 정보

시스템이 IP 전달을 위해 구성되어 있지만 지정된 라우터가 아닌 경우, 공격자는 이 시스템을 사용하여 네트워크 디바이스에서 필터링되지 않은 통신 경로를 제공하여 네트워크 보안을 무시할 수 있습니다. 이러한 위험을 방지하기 위해 가상 장치 호스트 시스템이 IPv6 전달을 거부하도록 구성하십시오.

프로시저

  1. VMware 장치 호스트 시스템에서 # grep [01] /proc/sys/net/ipv6/conf/*/forwarding|egrep "default|all" 명령을 실행하여 시스템이 IPv6 전달을 거부하는지 확인합니다.

    호스트 시스템이 IPv6 전달을 거부하도록 구성되어 있는 경우, 이 명령은 다음을 반환합니다.

    /proc/sys/net/ipv6/conf/all/forwarding:0
    /proc/sys/net/ipv6/conf/default/forwarding:0

    호스트 시스템이 제대로 구성된 경우에는 추가 작업이 필요하지 않습니다.

  2. 호스트 시스템이 IPv6 전달을 거부하도록 구성하려면 /etc/sysctl.conf 파일을 텍스트 편집기에서 엽니다.
  3. net.ipv6.conf로 시작하는 줄의 값을 확인합니다.

    다음 항목의 값이 0으로 설정되어 있지 않거나 해당 항목이 없는 경우 항목을 추가하거나 기존 항목을 이에 맞게 업데이트합니다.

    				net.ipv6.conf.all.accept_redirects=0
    net.ipv6.conf.default.accept_redirects=0
  4. 변경한 사항이 있으면 저장하고 파일을 닫습니다.