De aanbevolen beveiligingsprocedure is te verifiëren dat de virtuele VMware-toepassing van uw hostmachine IPv6 ICMP-omleidingsaanvragen weigert.
Routers maken gebruik van ICMP-omleidingsberichten om hosts te vertellen dat er een kortere route bestaat naar een bestemming. Een kwaadwillend ICMP-omleidingsbericht kan een man-in-the-middle-aanval mogelijk maken. Dergelijke berichten wijzigen de routeertabel van de host en zijn niet-geverifieerd. Zorg dat uw systeem zo is geconfigureerd dat dergelijke berichten worden genegeerd als zij niet op een andere manier nodig zijn.
Procedure
- Voer de opdracht
# grep [01] /proc/sys/net/ipv6/conf/*/accept_redirects|egrep "default|all"
uit op de hostmachines van de virtuele VMware-toepassing om te bevestigen dat zij IPv6-omleidingsberichten weigeren.
Als de hostmachines zijn geconfigureerd om IPv6-omleidingen te weigeren, retourneert deze opdracht het volgende.
/proc/sys/net/ipv6/conf/all/accept_redirects:0
/proc/sys/net/ipv6/conf/default/accept_redirects:0
- Als u een hostmachine voor een virtual appliance moet configureren om IPv4-omleidingsberichten te weigeren, opent u het bestand /etc/sysctl.conf in een teksteditor.
- Controleer de waarden van de regels die beginnen met
net.ipv6.conf
.
Als de waarden voor de volgende vermeldingen niet zijn ingesteld op nul of als ze niet bestaan, voeg ze dan toe of werk de bestaande vermeldingen bij.
net.ipv6.conf.all.accept_redirects=0
net.ipv6.conf.default.accept_redirects=0
- Sla de wijzigingen op en sluit het bestand.