De aanbevolen beveiligingsprocedure is te verifiëren dat de virtuele VMware-toepassing van uw hostmachine IPv6 ICMP-omleidingsaanvragen weigert.

Routers maken gebruik van ICMP-omleidingsberichten om hosts te vertellen dat er een kortere route bestaat naar een bestemming. Een kwaadwillend ICMP-omleidingsbericht kan een man-in-the-middle-aanval mogelijk maken. Dergelijke berichten wijzigen de routeertabel van de host en zijn niet-geverifieerd. Zorg dat uw systeem zo is geconfigureerd dat dergelijke berichten worden genegeerd als zij niet op een andere manier nodig zijn.

Procedure

  1. Voer de opdracht # grep [01] /proc/sys/net/ipv6/conf/*/accept_redirects|egrep "default|all" uit op de hostmachines van de virtuele VMware-toepassing om te bevestigen dat zij IPv6-omleidingsberichten weigeren.
    Als de hostmachines zijn geconfigureerd om IPv6-omleidingen te weigeren, retourneert deze opdracht het volgende.

    /proc/sys/net/ipv6/conf/all/accept_redirects:0

    /proc/sys/net/ipv6/conf/default/accept_redirects:0

  2. Als u een hostmachine voor een virtual appliance moet configureren om IPv4-omleidingsberichten te weigeren, opent u het bestand /etc/sysctl.conf in een teksteditor.
  3. Controleer de waarden van de regels die beginnen met net.ipv6.conf.
    Als de waarden voor de volgende vermeldingen niet zijn ingesteld op nul of als ze niet bestaan, voeg ze dan toe of werk de bestaande vermeldingen bij. 
    net.ipv6.conf.all.accept_redirects=0
net.ipv6.conf.default.accept_redirects=0
  4. Sla de wijzigingen op en sluit het bestand.