In che modo la disattivazione di IPv6 rende un server più sicuro?

Dal punto di vista del firewall è importante rendersi conto che sia IPv4 che IPv6 (se abilitato) sono configurati su un sistema e questo non è sempre il caso.

Nella mia esperienza, sono stato in grado di ignorare i firewall (interni). In uno scenario, su una macchina Linux, iptables era configurato, tuttavia, ip6tables non lo era, che esponeva servizi (vulnerabili) che non erano disponibili su IPv4.

Poiché la maggior parte dei servizi si collega a 0.0.0.0 e [::]: [port] (ogni interfaccia), questi servizi sono disponibili anche su IPv6.

Quindi, sì, è importante considerare di disabilitare IPv6 se non lo si usa. Se lo usi, tu o gli amministratori in generale dovresti sapere che (almeno sui server Linux) è necessaria una configurazione aggiuntiva del firewall.

E prima di iniziare che gli amministratori dovrebbero essere consapevoli di questo, sei completamente corretto. Tuttavia, dall'esperienza mancano molte conoscenze di IPv6 tra gli amministratori di sistema.

Non c'è un vantaggio specifico nella disabilitazione di IPv6. In particolare, IPv6 non è più vulnerabile di IPv4, anzi direi che è più sicuro (es .: IPv6 suggerisce di supportare IPSec).

Il punto è che mentre indurisci il tuo sistema operativo la filosofia generale raccomanda di rimuovere tutti i servizi / strumenti inutilizzati. Ciò consente un controllo migliore sui tuoi O.S., migliora le prestazioni (in modo generico) e riduce la probabilità che gli aggressori possano sfruttare possibili bug o errate configurazioni del software e ottenere il controllo / accesso (parziale) / al sistema. Pertanto, la rimozione di un IPv6 inutilizzato è solo un'azione genericamente consigliata per finalizzare l'indurimento.

Il consiglio è ben intenzionato ma datato.

IPv6 è progettato specificamente per essere molto facile da configurare e amministrare, molto più semplice di IPv4. Ha molte caratteristiche che fanno sì che host e intere reti siano autoconfigurate o facilmente configurabili centralmente. In molti casi è possibile che tutte le reti ottengano improvvisamente la connettività IPv6 su Internet non appena viene portata al limite della rete, il che potrebbe sorprendere alcune persone.

Questo consiglio era storicamente inteso a proteggere gli amministratori da se stessi - poiché potrebbero non avere familiarità con le funzionalità IPv6 - e dagli attori malintenzionati - come quando finalmente ottengono la connettività IPv6 su Internet, i dispositivi tenteranno di autoconfigurarsi e talvolta riuscire . Inoltre, alcune versioni di Windows tentano di stabilire immediatamente i tunnel IPv6 su Internet, sorprendendo di nuovo utenti e amministratori. (Per inciso, disabilitare questi tunnel è quasi sempre una buona idea a meno che non siano specificamente desiderati.)

E come altri hanno già detto, alcuni firewall antichi di 5-10 anni fa o più non si configuravano correttamente con il firewall IPv6 oltre a IPv4. Questo non è un grosso problema oggi, poiché tali dispositivi antichi diventano più rari ogni giorno che passa.

Oggigiorno, la maggior parte delle persone utilizza IPv6 anche se non ha una connettività IPv6 globale. Windows 8 e versioni successive utilizzano ampiamente IPv6 sulle reti domestiche e alcune funzioni di Windows richiedono assolutamente IPv6.

Dal punto di vista del bilanciamento della funzionalità con la sicurezza, sarebbe meglio consigliare alle persone di garantire che IPv6 sia firewallato in modo corrispondente a IPv4, anche se non dispongono di connettività IPv6 globale. Ciò preserverebbe la funzionalità IPv6 già esistente proteggendo gli utenti quando finalmente ottengono la connettività IPv6 globale.

Risposta breve: Sì, ma per l'effetto migliore dovresti disabilitare anche IPv4.

Risposta seria: se non si utilizza attivamente un protocollo ma si accettano pacchetti, si aumenta il rischio. La cosa più ovvia è lo stack di rete, poiché deve elaborare i pacchetti anche se non c'è nulla che usi IPv6.

Ma il vero rischio è che tu stia effettivamente usando IPv6, ma non attivamente. Non puoi usare IPv6, ma alcuni dei tuoi programmi aprono anche i socket di ascolto su IPv6 (e IPv4) e processano i pacchetti in arrivo. Di nuovo hai una complessità aggiuntiva (gestiscono i pacchetti v6 con la stessa cautela di quelli v4?) E potresti avere un buon firewall IPv4 ma ha dimenticato le regole appropriate per la v6 come pensavi di non usare comunque.

E un altro "Sei sicuro di non usarlo": potresti non utilizzarlo attivamente, ma programmi come il tuo browser lo useranno se è disponibile. Quando, ad esempio, hai bloccato alcuni siti Web di monitoraggio a livello IP, potrebbero essere caricati dal loro indirizzo IPv6 e il tuo firewall non ti proteggerà da questo finché non aggiungi le corrispondenti regole v6.

Detto questo, non dovresti disabilitare IPv6. Sempre più Internet la stanno usando e la disattivazione renderà la rete più lenta e prima o poi renderà impossibile raggiungere determinati servizi. Assicurati di adattare il firewall anche a IPv6 quando aggiungi le regole per IPv4.

Molte applicazioni dipendono dal supporto IPv6 anche se non la usano. Ad esempio usano socket IPv6. Spegnere completamente IPv6 rimuovendo il modulo del kernel ipv6 si rompono le cose.

È molto meglio assicurarsi che IPv6 sia correttamente firewallato, tenendo conto che IPv6 è sempre presente sul collegamento locale anche quando non sono configurati altri indirizzi IPv6. Le distribuzioni Linux più recenti hanno un firewall decente (solitamente ufw o firewalld) abilitato di default che filtrerà sia IPv4 che IPv6.

In breve: è meglio riconoscere la presenza di IPv6 e gestirlo / filtrarlo piuttosto che cercare di ignorarlo o eliminarlo e causare altri problemi.

Se non ne hai il legittimo bisogno, IPv6 fungerà da altro canale per gli exploit per entrare nella tua rete e per far sì che i tuoi dati non vengano rilevati. La regola generale per la sicurezza è disabilitare tutto ciò che non è necessario.

Anche se lo blocchi al firewall perimetrale, un utente malintenzionato potrebbe compromettere un host (forse DMZ?) su IPv4 e diffonderlo tramite IPv6 dall'interno.

La maggior parte dei prodotti firewall e IDS ha ora un supporto IPv6 decente, quindi le preoccupazioni iniziali sul monitoraggio IPv6 sono per lo più obsolete.

Indipendentemente da ciò, è meglio negare ad un avversario l'opportunità disabilitandola. Se non può essere disattivato, limita IPv6 sul firewall locale in modo che consenta solo le comunicazioni locali / loopback per le applicazioni che richiedono socket IPv6.

È un principio di sicurezza generale per disabilitare qualsiasi funzionalità che non viene utilizzata. Inoltre, considera che IPv6 ha IPSec integrato e potrebbe essere un'opzione migliore di IPv4 per impostazione predefinita.

Questo è fondamentalmente lo stesso di quello che è stato detto, ma diciamo così:

Opzione 1 : usa IPv6 e metti gli stessi sforzi nella configurazione e nella sicurezza come fai con IPv4.

Opzione 2 : non utilizzarlo e disabilitalo.

Entrambe sono del tutto ragionevoli e rappresentano una posizione migliore rispetto all'opzione 3: non utilizzare IPv6, ma ignorarlo nelle regole del firewall e nella configurazione del servizio e lasciarlo completamente aperto.

In altre parole, il consiglio è buono, e in realtà non lo si consiglia di usare IPv6 se lo si vuole usare in modo specifico, ma piuttosto avvisare le persone che non lo usano contro il rischio di ignorarlo, e non dandogli lo stesso scrutinio che fai con la tua configurazione IPv4. Quelle persone farebbero meglio a disabilitarlo.

Dal punto di vista della sicurezza, meno è meglio quando si tratta di software e applicazioni. IPV6 dovrebbe essere disabilitato a meno che non si stia attualmente distribuendo una rete IPv6. Tieni presente che, a quanto mi risulta, tutti gli indirizzi IPv4 sono stati distribuiti e IPv6 è entrato in scena e altri consigliano di lasciare abilitato il protocollo IPv6. Non sono d'accordo! Quando hai bisogno del protocollo abilitalo. Lo stesso vale per le applicazioni e le porte.

Ci sono lati diversi da questo.

Innanzi tutto, da un punto di vista puramente statistico, più punti di accesso / porte apri, più diventa vulnerabile il tuo sistema. Questo è vero per la maggior parte dei servizi però.

Più specificamente, tuttavia, IPv6 non è ancora stato implementato su una scala abbastanza grande per essere ancora in grado di comprendere pienamente le sue vulnerabilità e di correggerle. Anche i migliori esperti di IP non hanno praticamente esperienza concreta sul campo quando si tratta di IPv6.

Inoltre, IPv6 gestisce alcune operazioni in modo radicalmente diverso rispetto a IPv4 e questo ha creato nuove opportunità per gli aggressori ... Una vulnerabilità molto nota, ad esempio, deriva dal modo diverso in cui un router invia IPv6 pubblicità, che rende una LAN un obiettivo DOS IPv6 molto facile, vedi DOS pubblicitario router IPv6 .

Intere suite di strumenti, pensate per sfruttare le vulnerabilità di IPv6, sono facilmente disponibili su Internet.

Mi assicuro sempre che IPv6 sia disabilitato su tutti i miei dispositivi. Perché correre rischi inutili, per qualcosa che in pratica nessuno usa / supporta ancora?