Pytanie:
Jak wyłączenie IPv6 zwiększyłoby bezpieczeństwo serwera?
vakus
2018-03-21 01:02:01 UTC
view on stackexchange narkive permalink

Czytałem ten artykuł o zwiększaniu bezpieczeństwa na serwerach Linux, aw punkcie 23, artykuł mówi:

# 23: Wyłącz IPv6

Protokół internetowy w wersji 6 (IPv6) zapewnia nową warstwę internetową zestawu protokołów TCP / IP, który zastępuje protokół internetowy w wersji 4 (IPv4) i zapewnia wiele korzyści. Jeśli NIE używasz IPv6, wyłącz go:

Następnie artykuł zawiera linki do różnych stron internetowych, które informują, jak wyłączyć IPv6. Jednak ani artykuł, ani żaden z linków nie wydają się wyjaśniać, dlaczego protokół IPv6 powinien być wyłączony, jeśli nie jest używany.

Ponieważ artykuł dotyczył zwiększania bezpieczeństwa na serwerach Linux, w jaki sposób wyłączenie IPv6 zwiększyłoby bezpieczeństwo serwera?

* „Jeśli NIE używasz protokołu IPv6, wyłącz go” * - Ogólnie: im więcej zainstalujesz oprogramowania i im więcej funkcji włączyłeś, tym większa jest powierzchnia ataku systemu.Dlatego nie instaluj oprogramowania, którego tak naprawdę nie potrzebujesz i nie włączaj funkcji, których nie potrzebujesz.
@SteffenUllrich Ogólnie rozumiem, że mniej oprogramowania / funkcji jest lepsze, jednak nie widzę, w jaki sposób wyłączenie IPv6 zwiększyłoby bezpieczeństwo systemu, nie oznacza to jednak, że nie zgadzam się, że wyłączenie IPv6 czyni system bezpieczniejszym
Zgaduję, że wiele witryn internetowych, do których odwołuje się OP, jest również przestarzałych.Przez długi czas funkcji bezpieczeństwa IPv6 w wielu produktach „brakowało” w porównaniu z IPv4.Ogólnie rzecz biorąc, nie jest to już prawdą.IPv6 jest obecnie wymagane, jeśli chcesz komunikować się z niektórymi hostami internetowymi bez uciekania się do jakiegoś pośredniego tunelu / bramy 6to4.Ponadto protokół IPv4 jest obecnie często obsługiwany przez CGN / LSN przez wielu operatorów, podczas gdy protokół IPv6 nie.Wyłączenie IPv6 dzisiaj jest prawdopodobnie złym pomysłem, chyba że naprawdę masz taką potrzebę.
Jeśli możesz wystarczająco dobrze komunikować się przez IPv6, aby zostać zaatakowanym zdalnie, to z definicji „używasz protokołu IPv6”.
@vakus Kod implementujący IPv6 nie jest tym samym, co ten, który implementuje IPv4.Dlatego możliwe jest, że w pierwszym przypadku istnieje luka, której nie ma w drugim.Wyłączenie czegoś, co może wprowadzić dodatkową lukę, zwiększa bezpieczeństwo systemu.Alternatywnie, odwróć to.Czy po wyłączeniu poprawia / obniża poziom bezpieczeństwa, aby go włączyć? Bruce Schneier wyjaśnił kiedyś, dlaczego jego urządzenia zabezpieczające wykluczyły powłokę „bash” zgodnie z prostą zasadą: Jeśli czegoś nie _potrzebujemy_, nie _ chcemy_ udostępnić go do wykorzystania przez atakującego.
Oszczędza czas - np.nie musisz pisać żadnych reguł `ip6tables`, jeśli wiesz, że nie dostarczasz przypadkowo żadnych usług IPv6.
Ostatecznie wszyscy musimy znać ipv6 :( IPv4 było o wiele łatwiejsze, ale rozumiem potrzebę ipv6
Jeśli masz dwoje drzwi, ale nigdy nie korzystasz z jednych, zamknij je.
Jeśli korzystasz z NAT: https://security.stackexchange.com/questions/7821/is-ipv6-with-nat-less-secure-than-ipv4/7831#7831
Moją pierwszą myślą, gdy zobaczyłem to pytanie, było: „Dlaczego nadal używasz IPv4?”Każdy dostawca usług internetowych, z którym łączyłem się w ciągu ostatnich kilku lat, ma adresowanie IPv6.Wydaje mi się, że ważniejsze pytanie brzmi: „Czy zdecydowana większość użytkowników w ogóle potrzebuje już IPv4?”
@FreeSoftwareServers Co w tym prostszego?Czy to tylko krótsze adresy?
@immibis, ponieważ jest krótszy i nie jest alfanumeryczny, tylko numeryczny.Jest wyraźnie łatwiejszy do zapamiętania, co jest miłe.
Jest rok 2018. Dlaczego w artykułach dotyczących bezpieczeństwa nie jest napisane „Wyłącz IPv4”?
@GreenstoneWalker, ponieważ IPv6 jest nadal opcjonalny, a IPv4 nadal nie jest.
Vakus, aby odnieść się do twojego komentarza, pytając, dlaczego wyłączenie go jest bezpieczniejsze w odniesieniu do komentarza @SteffenUllrich dotyczącego zmniejszenia powierzchni ataku: Zmniejszenie powierzchni ataku nie polega wyłącznie na zmniejszeniu * znanego * ryzyka.To tyle samo lub więcej, jeśli chodzi o zmniejszenie * nieznanych * zagrożeń.Innymi słowy, nawet jeśli nie * wiesz *, że coś wiąże się ze szczególnym ryzykiem, zakłada się, że wyłączenie tego (jeśli nie jest używane) zmniejszy Twój profil ryzyka, ponieważ eliminujesz * szansę *, że stwarza to ryzyko dla Ciebie ”nie są świadomi.Ryzyko całkowite to suma znanego ryzyka plus zakładane oszacowanie nieznanego ryzyka
Idąc dalej analogią @Martijn - przypuśćmy, że twój wróg nie wie, jak otwierać drzwi.Nie ma żadnego znanego ryzyka!Jednak nadal warto zamknąć nieużywane drzwi, aby uchronić się przed ryzykiem, że jutro wróg nauczy się otwierać drzwi.
@immibis Źle.[RFC 6540] (https://tools.ietf.org/html/rfc6540) sprawia, że protokół IPv6 jest obowiązkowy.Wielu uważa jednak, że stare IP są opcjonalne.
Istotne dla wszystkich hejterów IPv6: https://ipv6bingo.com/
Ponieważ wyłączenie IPv6 sprawia, że IPv4 jest jedynym stosem, który pozostał, a IPv6 jest znany z tego, że jest używany jako ukryty kanał i obejście ochrony stosu.
@MartinSchröder I tutaj widzimy różnicę między standardami a światem rzeczywistym.
@TracyCramer Nigdy nie miałem adresu IPv6 poza EC2.Mój prywatny dostawca usług internetowych nie oferuje protokołu IPv6 (być może na żądanie, powinienem zapytać).Moje biuro nie ma IPv6.Mój telefon komórkowy nie otrzymuje adresu IPv6.Wygląda na to, że cały kraj Nowej Zelandii wspólnie chowa głowę w piasek, chociaż zakładam, że podstawowa infrastruktura została ulepszona, aby ją obsługiwać.Tylko nowi dostawcy usług internetowych, którzy nie mogą uzyskać adresów IPv4 na początek, używają protokołu IPv6.A NZ nie jest krajem najbardziej zacofanym technologicznie na świecie (choć prawdopodobnie plasuje się pośrodku).
Dziesięć odpowiedzi:
Jeroen
2018-03-21 01:52:16 UTC
view on stackexchange narkive permalink

Z punktu widzenia zapory ważne jest, aby zdać sobie sprawę, że zarówno IPv4, jak i IPv6 (jeśli są włączone) są skonfigurowane w systemie i nie zawsze tak jest.

Z mojego doświadczenia wynika, że ​​udało mi się obejście (wewnętrzne) zapory. W jednym scenariuszu na komputerze z systemem Linux skonfigurowano iptables, jednak nie było ip6tables, co ujawniło (podatne na ataki) usługi, które nie były dostępne przez IPv4.

Ponieważ większość usług wiąże się z 0.0.0.0 i [:: ]: [port] (każdy interfejs), te usługi są również dostępne przez IPv6.

Tak, tak, ważne jest, aby rozważyć wyłączenie IPv6, jeśli go nie używasz. Jeśli go używasz, Ty lub administratorzy powinniście być świadomi, że (przynajmniej na serwerach Linux) wymagana jest dodatkowa konfiguracja zapory.

A zanim zaczniesz, administratorzy powinni być tego świadomi, jesteś całkowicie poprawne. Jednak z doświadczenia wynika, że ​​administratorzy systemów nie mają dużej wiedzy na temat protokołu IPv6.

Zwróć uwagę, że powiązanie z 0.0.0.0 nie wystarczy do nasłuchiwania na IPv6.Aplikacja musi jawnie skonfigurować ją do używania gniazd IPv6.
@multithr3at3d: Z pewnością jest to zależne od platformy, a nawet wtedy jest prawdziwe tylko z punktu widzenia jądra.Wiele bibliotek sieciowych wykona pracę polegającą na włączeniu IPv6 bez konieczności wyraźnego działania ze strony programisty aplikacji.
@multithr3at3d: Masz rację, zaktualizowałem mój post.
„ip6tables”, a nie „iptables6”
@BenVoigt: Myślę, że zazwyczaj jest odwrotnie: gniazda IPv6 (AF_INET6) powiązane z `[::]` mogą akceptować połączenia IPv4, ale ** nie ** na odwrót._ (Jeśli gniazdo IPv4 zaakceptowało połączenie IPv6, w jaki sposób system operacyjny przechowałby adres IPv6 peera w polu 4-bajtowym?) _
@grawity: Mówię, że biblioteka prawdopodobnie zapewniła wystarczająco duże pole dla adresów AF_ANY, nawet bez konieczności proszenia aplikacji o obsługę IPv6.
Czy bezpieczniejsze byłoby wyłączenie IPv4 i prawidłowe skonfigurowanie IPv6 niż poprawne skonfigurowanie IPv4 i wyłączenie IPv6?
@Tracy tego nie można powiedzieć na pewno, ale z pewnością może zmniejszyć narażenie na skanery internetowe i ataki
Zdecydowanie nie ma sposobu, aby gniazdo związane z ipv4 mogło akceptować połączenia ipv6 bez jakiegoś brzydkiego rodzaju DNAT, ponieważ API po prostu nie ma możliwości reprezentowania adresu źródłowego ipv6.Nie sądzę, aby można było twierdzić, że powiązanie gniazda `AF_INET` z wersją 0.0.0.0 naraża Cię na potencjalnie niechciane połączenia IPv6.Aby było to możliwe, musiałbyś naprawdę wyjść z drogi z zaawansowanymi funkcjami iptables / routingu.
flex
2018-03-21 02:04:45 UTC
view on stackexchange narkive permalink

Wyłączenie protokołu IPv6 nie ma szczególnych zalet. W szczególności IPv6 nie jest bardziej podatny na ataki niż IPv4, raczej powiedziałbym, że jest bezpieczniejszy (np .: IPv6 sugeruje obsługę IPSec).

Chodzi o to, że podczas wzmacniania systemu operacyjnego ogólna filozofia zaleca usunięcie wszystkich nieużywanych usług / narzędzi. Pozwala to na lepszą kontrolę systemu operacyjnego, poprawia wydajność (w ogólny sposób) i zmniejsza prawdopodobieństwo, że osoby atakujące mogą wykorzystać możliwe błędy oprogramowania lub błędne konfiguracje i uzyskać (częściową) kontrolę / dostęp do / do systemu. Dlatego usunięcie nieużywanego protokołu IPv6 jest tylko ogólnie zalecanym działaniem w celu zakończenia hartowania.

Podobnie jak w przypadku drugiej odpowiedzi, szczególną zaletą wyłączenia IPv6 jest to, że podczas konfigurowania systemu można zapomnieć o jednej rzeczy.Nie jest bardziej podatny na ataki niż IPv4, ale jest to kolejny punkt wejścia, który należy odpowiednio skonfigurować.Jeśli go nie używasz, prawdopodobnie również nie konfigurujesz go poprawnie, więc wyłączenie go jest dobrym pomysłem w takim przypadku ...
+1 za powtórzenie, że IPv6 jest w rzeczywistości BARDZIEJ bezpieczne, co ma sens, ale wątpię, by wiele osób potrzebowało IPv6 poza dostawcami usług internetowych
Oprócz oczywistych możliwości braku reguł firewalla i exploitów obecnych w niezależnym kodzie, istnieje również fakt, że IPv6 ma około 40 lat mniej testów beta i testów penetracyjnych na wolności niż IPv4.Ze względu na jego długi czas życia praktycznie nie istnieją nieznane problemy z IPv4.Nieznane problemy z IPv6 są nie tylko możliwe, ale wręcz prawdopodobne.
Michael Hampton
2018-03-21 05:36:44 UTC
view on stackexchange narkive permalink

Porada ma dobre intencje, ale jest przestarzała.

Protokół IPv6 został specjalnie zaprojektowany, aby był bardzo łatwy w konfiguracji i administrowaniu, znacznie łatwiejszy niż IPv4. Ma wiele funkcji, których celem jest automatyczne konfigurowanie hostów i całych sieci lub łatwą konfigurację centralną. W wielu przypadkach możliwe jest, że całe sieci nagle uzyskają łączność IPv6 z Internetem, gdy tylko zostaną przeniesione na brzeg sieci, co może niektórych zaskoczyć.

Ta rada miała historycznie chronić administratorów przed sobą. - ponieważ mogą nie być zaznajomieni z funkcjami IPv6 - i przed złośliwymi podmiotami - ponieważ kiedy w końcu uzyskają łączność IPv6 z Internetem, urządzenia będą próbować autokonfigurować i czasami się to udaje. Co więcej, niektóre wersje systemu Windows próbują po wyjęciu z pudełka ustanowić tunele IPv6 do Internetu, co ponownie zaskakuje niektórych użytkowników i administratorów. (Nawiasem mówiąc, wyłączenie tych tuneli jest prawie zawsze dobrym pomysłem, chyba że są specjalnie pożądane.)

A jak wspominali inni, niektóre starożytne zapory ogniowe sprzed 5–10 lat lub więcej nie konfigurowały się prawidłowo do zapory sieciowej IPv6 oprócz IPv4. Nie jest to dziś tak duży problem, ponieważ takie starożytne urządzenia stają się coraz rzadsze z każdym dniem.

Obecnie większość ludzi faktycznie używa IPv6, nawet jeśli nie mają globalnej łączności IPv6. Windows 8 i nowsze używają protokołu IPv6 w sieciach domowych, a niektóre funkcje systemu Windows absolutnie wymagają protokołu IPv6.

Z punktu widzenia równoważenia funkcjonalności z bezpieczeństwem, lepiej byłoby doradzić ludziom, aby upewnij się, że IPv6 jest zaporą ogniową odpowiednio do IPv4, nawet jeśli nie mają globalnej łączności IPv6. Zachowałoby to funkcjonalność IPv6, która już istnieje, jednocześnie chroniąc użytkowników, gdy w końcu uzyskają globalną łączność IPv6.

To jest Security.SE;na pewno IPv6 ma więcej funkcji automatycznych niż IPv4, ale z punktu widzenia bezpieczeństwa byłby to koszmar.Znam wielu pracowników operacyjnych na pół etatu, którzy konfigurują tu i ówdzie sieci, które nigdy nie miałyby żadnego kontaktu ze światem IPv6;i wolałbym, aby jedyną rzeczą, jaką robią z IPv6, było wyłączenie go, zamiast pozostawiania otwartego z dowolnymi domyślnymi ustawieniami, które może mieć - na niektórych urządzeniach może to być po prostu otwarte drzwi do stodoły z ustawieniami domyślnymi.Oczywiście preferowane byłoby poprawne skonfigurowanie / zapora ogniowa, ale nie pozostawienie domyślnych ustawień.
@AnoE To dobra uwaga.Jeśli nie znasz technologii, z punktu widzenia bezpieczeństwa nie powinieneś jej włączać, dopóki nie jesteś wystarczająco zaznajomiony z nią.Oczywiście wyłączenie protokołu IP utrudnia korzystanie z Internetu, aw przyszłości wyłączenie protokołu IPv6 może utrudnić wykonanie wielu czynności.Moglibyśmy wrócić do bezpiecznego komputera zakopanego w betonie ...
Ani trochę.Nie mówię o wyłączaniu „nieaktywnego” komponentu, ale o wyłączaniu komponentu, który może być (w bardzo możliwych przypadkach) szeroko otwartą domyślną konfiguracją.To jest IMO na tym samym poziomie co domyślne hasło „admin” w popularnych routerach.Nigdy nie powiedziałem, żebym wyłączał IP.Jeśli IPv6 stanie się wymagane, administrator * oczywiście * to zauważy i skupi się na prawidłowej konfiguracji IPv6.
`Jeśli wymagany będzie protokół IPv6, administrator oczywiście to zauważy, a następnie skupi się na prawidłowej konfiguracji IPv6. 'To raczej hojne założenie.Przypuszczam, że niewiele się to zmienia w odniesieniu do tego pytania / odpowiedzi, ale znacznie bardziej prawdopodobnym scenariuszem jest to, że administrator (który jest również "programistą" i dyrektorem IT Wordpress) po prostu włącza go, zostaje zhakowany i mówi wszystkim kolegom z PHBo tym, dlaczego IPv6 jest tak niepewne.
@HopelessN00b Myślę, że dajesz administratorowi zbyt dużo kredytu.Myślę, że kiedy IPv6 stanie się wymagany, większość administratorów nie zauważy tego i nie będzie kontynuować swojej działalności.
allo
2018-03-21 14:18:59 UTC
view on stackexchange narkive permalink

Krótka odpowiedź: Tak, ale dla najlepszego efektu powinieneś wyłączyć również IPv4.

Poważna odpowiedź: Jeśli nie używasz aktywnie protokołu, ale akceptujesz pakiety, zwiększasz ryzyko. Najbardziej oczywistą rzeczą jest stos sieciowy, ponieważ musi on przetwarzać pakiety, nawet jeśli nic nie jest używane przy użyciu protokołu IPv6.

Ale rzeczywiste ryzyko jest takie, że faktycznie używasz protokołu IPv6, ale nie aktywnie. Możesz nie używać IPv6, ale niektóre z twoich programów otwierają gniazda nasłuchujące na IPv6 (a także IPv4) i przetwarzają nadchodzące pakiety. Znowu masz dodatkową złożoność (czy obsługują one pakiety v6 tak samo ostrożnie jak v4?) I możesz masz dobrą zaporę sieciową IPv4, ale zapomniałeś odpowiednich reguł dla wersji 6, ponieważ myślałeś, że i tak jej nie używasz.

I jeszcze jedno „Czy na pewno jej nie używasz”: Nie możesz jej aktywnie używać , ale programy takie jak Twoja przeglądarka będą go używać, jeśli będą dostępne. Kiedy na przykład zablokowałeś teraz niektóre śledzące strony internetowe na poziomie IP, mogą one zostać załadowane z ich adresu IPv6, a Twoja zapora sieciowa nie ochroni Cię przed tym, dopóki nie dodasz odpowiednich reguł v6.

to powiedziawszy, nie powinieneś wyłączać IPv6. Coraz więcej Internetu korzysta z niego, a wyłączenie go najpierw spowolni twoją sieć i prędzej czy później uniemożliwi dostęp do niektórych usług. Po prostu upewnij się, że podczas dodawania reguł dla IPv4 dostosowałeś swoją zaporę sieciową również do IPv6.

Krótki komentarz: Wyłączenie protokołu IPv6, zwłaszcza przejście do przodu, sprawi, że system będzie bardziej bezpieczny w taki sam sposób, jak odłączenie go od Internetu: Technicznie, ale prawdopodobnie nie za rozsądną cenę w większości zastosowań.
Dobra uwaga, nie wiedząc, że używasz IPv6, niektóre programy używają go bez Twojej wiedzy i wymagają tego, przychodzi mi na myśl Xbox Live dla Windows
Sander Steffann
2018-03-21 05:05:02 UTC
view on stackexchange narkive permalink

Wiele aplikacji wymaga obsługi protokołu IPv6, nawet jeśli go nie używają. Na przykład używają gniazd IPv6. Całkowite wyłączenie IPv6 poprzez usunięcie modułu jądra ipv6 zepsuje wszystko.

O wiele lepiej jest upewnić się, że IPv6 jest odpowiednio zaporą ogniową, biorąc pod uwagę, że IPv6 jest zawsze obecny w lokalnym łączu, nawet jeśli nie ma innego IPv6 adresy są skonfigurowane. Najnowsze dystrybucje Linuksa mają domyślnie włączoną przyzwoitą zaporę ogniową (zwykle ufw lub firewalld), która będzie filtrować zarówno IPv4, jak i IPv6.

Krótko mówiąc: lepiej jest potwierdzić obecność IPv6 i zarządzać nim / filtrować, niż próbować go zignorować lub się go pozbyć i spowodować inne problemy.

Nie jestem pewien, czy „łamanie” usług koniecznie zwiększa ich bezpieczeństwo.Czy możesz uzasadnić to twierdzenie?(A może faktycznie odpowiadasz na inne pytanie niż to, które zostało zadane?)
Mówię, że tak: wyłączenie nieużywanego protokołu może zwiększyć bezpieczeństwo, ale kosztem zepsucia innych rzeczy.Dlatego wyłączenie może nie być dobrym pomysłem ...
Właśnie zdałem sobie sprawę, że pytanie w tytule różni się od tego w ostatniej linijce pytania - odpowiedziałeś na inne pytanie niż ja przeczytałem.Naprawdę chciałbym, żeby pytający tego nie robili ...
Nie wiem, czy mówić o „wielu” aplikacjach, jest ich coraz więcej, ale nie ma tak wielu bankomatów.Również kiedy konfiguruję serwery, są one zwykle przeznaczone do określonego celu, więc moje 2 centy byłyby wyłączone i przetestować funkcje serwerów i włączyć je ponownie, jeśli masz problemy.
DoubleD
2018-03-22 22:11:49 UTC
view on stackexchange narkive permalink

Jeśli nie masz uzasadnionej potrzeby, protokół IPv6 będzie służył jedynie jako kolejny kanał dla exploitów przedostających się do Twojej sieci i niewykrytych eksfiltracji danych. Ogólna zasada dotycząca bezpieczeństwa polega na wyłączaniu wszystkiego, czego nie potrzebujesz.

Nawet jeśli zablokujesz to przy zaporze granicznej, osoba atakująca może przejąć kontrolę nad jednym hostem (np. strefą DMZ?) przez IPv4 i rozprzestrzenianie się przez IPv6 od wewnątrz.

Większość zapór ogniowych i produktów IDS ma teraz przyzwoitą obsługę IPv6, więc pierwotne obawy dotyczące słabego monitorowania IPv6 są w większości nieaktualne.

Niezależnie od tego jest lepiej odmówić przeciwnikowi szansy, wyłączając ją. Jeśli nie można go wyłączyć, ogranicz IPv6 na lokalnej zaporze sieciowej, aby zezwalał tylko na komunikację lokalną / zwrotną w przypadku aplikacji, które wymagają gniazd IPv6.

firstlastsabbatical
2018-03-25 22:40:50 UTC
view on stackexchange narkive permalink

Ogólną zasadą zabezpieczeń jest wyłączenie wszelkich nieużywanych funkcji. Weź również pod uwagę, że IPv6 ma wbudowany IPSec i domyślnie może być lepszą opcją niż IPv4.

thomasrutter
2018-03-26 09:27:53 UTC
view on stackexchange narkive permalink

Zasadniczo jest to to samo, co zostało powiedziane, ale powiedzmy to w ten sposób:

Opcja 1 : użyj protokołu IPv6 i włóż ten sam wysiłek w jego konfigurację i zabezpieczenie tak jak IPv4.

Opcja 2 : nie używaj jej i wyłącz ją.

Obie całkowicie rozsądne i znacznie lepsze stanowisko, które należy przyjąć niż Opcja 3: nie używaj protokołu IPv6, ale zignoruj ​​go w regułach zapory sieciowej i konfiguracji usług i pozostaw to całkowicie otwarte.

Innymi słowy, rada jest dobra i jest tak naprawdę nie odradzam używania IPv6, jeśli chcesz go używać, ale raczej ostrzega ludzi, którzy go nie używają, przed pułapką ignorowania go i nie poddawania go takiej samej analizie, jak w przypadku konfiguracji IPv4. Tym ludziom byłoby lepiej, gdyby to wyłączyli.

SecurityDoctor
2018-03-21 17:55:16 UTC
view on stackexchange narkive permalink

Z punktu widzenia bezpieczeństwa mniej znaczy lepiej, jeśli chodzi o oprogramowanie i aplikacje. Protokół IPV6 powinien być wyłączony, chyba że obecnie wdrażasz sieć IPv6. Należy pamiętać, że zgodnie z moim zrozumieniem wszystkie adresy IPv4 zostały rozdane, a IPv6 pojawia się na scenie, a inni radzą pozostawić włączony protokół IPv6. Nie zgadzam się! Kiedy potrzebujesz protokołu, włącz go. To samo dotyczy aplikacji i portów.

Świat zmierza w kierunku IPv6, choć powoli.Myślę, że znacznie lepszą strategią jest prawidłowe wdrożenie IPv6 niż wyłączenie go.Wyłączenie IPv6 jest równoznaczne z wyłączeniem LTE w telefonie, aby złośliwe oprogramowanie ładowało się wolniej :)
Dziękuję za komentarz, ale jednocześnie muszę się z Tobą zgodzić i nie.Prawdą jest, że światowa infrastruktura technologiczna ostatecznie wymaga migracji i wdrożenia protokołów iPv6.Jednak twój przykład jest błędny.Widzę sytuację bardziej w kategoriach drzwi.IPv4 to front, a IPv6 to rzadziej używane tylne drzwi.Najbardziej sensowne jest zablokowanie ich obu.
Dokładnie.Poprawnie wdróż IPv6, nie wyłączaj go.Wkrótce będzie potrzebny.
Nadal twierdzę, że aktywuj protokoły, których POTRZEBUJESZ TERAZ i nic więcej.Kiedy wdrażam nową instalację serwera, tylko te aplikacje, których aktualnie potrzebuję, są aktywne, IPv6 jeszcze nie jest tutaj.Wielu dostawców usług internetowych nawet nie oferuje obsługi protokołu.Po co dawać atakującemu przewagę, pozostawiając aktywny protokół, który nie jest potrzebny.
Jeśli możesz przeprowadzić testy i mieć 100% pewności, że coś się nie powiedzie, gdy łączność IPv6 stanie się potrzebna, ale nie będzie obecna, to należy przedstawić argument.Ale ... potrzebna jest pewność.
Dziękuję za ożywioną dyskusję!Całe ścieżki kariery rozwijają się w związku z migracją IPv6.To prawda, nie mamy pewności co do sektorów ataku i poprawek wymaganych do naprawy luk w tym protokole.Po prostu żyję zgodnie z mantrą, że mniej znaczy lepiej.
fuzzKitty
2018-03-25 16:50:52 UTC
view on stackexchange narkive permalink

Są różne strony tego.

Po pierwsze, z czysto statystycznego punktu widzenia, im więcej punktów dostępu / drzwi otwierasz, tym bardziej narażony jest twój system. Dotyczy to jednak większości usług.

Dokładniej jednak, IPv6 nie został jeszcze wdrożony na wystarczająco dużą skalę, aby móc w pełni zrozumieć jego luki i załatać je. Nawet najlepsi eksperci w dziedzinie własności intelektualnej nie mają praktycznie żadnego konkretnego doświadczenia w terenie, jeśli chodzi o IPv6.

Poza tym IPv6 obsługuje pewne operacje w radykalnie inny sposób niż IPv4, co stworzyło nowe możliwości dla atakujących ... Bardzo dobrze Znana luka w zabezpieczeniach, na przykład, pochodzi z innego sposobu, w jaki router wysyła reklamy IPv6, co sprawia, że ​​sieć LAN jest bardzo łatwym celem IPv6 DOS, patrz Reklama routera IPv6 DOS.

Całość zestawy narzędzi przeznaczone do wykorzystywania luk w zabezpieczeniach protokołu IPv6 są łatwo dostępne w całym Internecie.

Zawsze upewniam się, że protokół IPv6 jest wyłączony na wszystkich moich urządzeniach. Po co podejmować niepotrzebne ryzyko w przypadku czegoś, czego w zasadzie nikt jeszcze nie używa / nie obsługuje?



To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...