Verringert das Deaktivieren von IPv6 meine Angriffsfläche und erhöht es die Leistung?

7

Ich habe einen Kollegen, der sich mit dem Deaktivieren von IPv6 befasst, während IPv4 auf jedem neuen Computer verbleibt , der vor der Bereitstellung in unserer Umgebung eingeht. Er nimmt seine persönlichen anekdotischen Beweise und behauptet, dass das Deaktivieren von IPv6 bei der Netzwerkleistung hilft, da weniger "Werbe- / Anforderungs" -Pakete das Backbone und die Knoten verarbeiten müssen. Er fügt dann schnell hinzu, dass dadurch auch weniger Fläche geschaffen wird, in der Angreifer möglicherweise versuchen könnten, anzugreifen.

Während diese Argumente auf dem Papier gut klingen, stelle ich die anekdotischen Beweise und die Sicherheitsvorkehrungen in Frage, die das Deaktivieren von IPv6 bieten kann. Heck, ich habe sogar diesen Beitrag gefunden, in dem auf einem der Poster erwähnt wird, dass IPv6 sogar eine geringfügige Verbesserung bewirken könnte. Abgesehen von den Unterschieden in den Netzwerken, halten diese Behauptungen Wasser?

Chad Harrison
quelle
1
+1 für Superuser / Skeptiker-Frage. Macht mich neugierig auf das vorgeschlagene Thema.
Diogo

Antworten:

5

Er hat 100% Recht mit zusätzlichem Overhead, da jedes Gerät / jeder PC Werbung macht und einen ARP-Cache für IPv6 und IPv4 erstellt. Die tatsächlich erzeugte Verkehrsmenge ist jedoch recht gering (die typische ARP-Paketgröße beträgt 28 Byte ).

Es sollte keine Rolle spielen. ABER wenn Sie so etwas wie ein NMS-System haben, das WMI-Abfragen, SNMP-Polling (Traps erzeugen nicht viel Verkehr) oder Netflow / Jflow-Export in einer Umgebung verwendet, die latenz- / qualitätsabhängig ist, ist es sinnvoll, so viel Hintergrund zu entfernen Lärm wie möglich. Insbesondere IPv6 ... Gibt es eine Möglichkeit, dass Sie IPv6 jemals intern benötigen werden? Zweifelhaft, da die privaten Blöcke in IPv4 selbst den größten Unternehmen viele Adressen bieten. Wenn Sie in Ihrer Umgebung keinen besonderen Bedarf an IPv6 haben, ist die bessere Frage, warum Sie IPv6 aktiviert lassen. Ich weiß, dass wir in meiner Umgebung darauf verzichten, nur weil es sich um eine zusätzliche Ebene handelt, die bei der Fehlerbehebung Probleme verursachen kann.

Denken Sie daran, auch wenn ein Netzwerkgerät oder ein PC nicht aktiv verwendet wird, reagiert es immer noch und wirbt für NetBIOS / ARP. Daher wird immer noch ein gewisser, wenn auch geringer Datenverkehr generiert.

Ich sollte hinzufügen, dass "weniger Fläche entsteht, in der Angreifer möglicherweise versuchen könnten, anzugreifen". Es ist völlig Unsinn ... Es ist nicht so, dass Sie eine zusätzliche Firewall oder ein zusätzliches WAN für den IPv6-Verkehr hinzufügen müssen. Es gibt immer noch dasselbe Edge-Gerät, das NAT ausführt, unabhängig davon, ob IPv6 aktiviert ist oder nicht.

Supercereal
quelle
1
Außerdem habe ich bei meiner Arbeit den IPV6-Verkehr mit Wireshark durcheinander gebracht und viele DHCPV6- und ICMPV6-Pakete aus vielen Quellen gesehen.
Diogo
10

Von Microsoft

Es ist bedauerlich, dass einige Organisationen IPv6 auf ihren Computern unter Windows Vista oder Windows Server 2008 deaktivieren, auf denen es standardmäßig installiert und aktiviert ist. Viele deaktivieren IPv6 basierend auf der Annahme, dass sie keine Anwendungen oder Dienste ausführen, die es verwenden. Andere deaktivieren es möglicherweise aufgrund einer falschen Wahrnehmung, dass die Aktivierung von IPv4 und IPv6 den DNS- und Webverkehr effektiv verdoppelt. Das ist nicht wahr.

Aus Sicht von Microsoft ist IPv6 ein obligatorischer Bestandteil des Windows-Betriebssystems und wird während des Betriebssystementwicklungsprozesses aktiviert und in Standardtests für Windows-Dienste und -Anwendungen einbezogen. Da Windows speziell für IPv6 entwickelt wurde, führt Microsoft keine Tests durch, um die Auswirkungen der Deaktivierung von IPv6 zu ermitteln. Wenn IPv6 unter Windows Vista, Windows Server 2008 oder höheren Versionen deaktiviert ist, funktionieren einige Komponenten nicht. Darüber hinaus können Anwendungen sein, von denen Sie möglicherweise nicht glauben, dass sie IPv6 verwenden, z. B. Remoteunterstützung, HomeGroup, DirectAccess und Windows Mail.

Daher empfiehlt Microsoft, dass Sie IPv6 aktiviert lassen, auch wenn Sie kein natives oder getunneltes IPv6-fähiges Netzwerk haben. Wenn Sie IPv6 aktiviert lassen, deaktivieren Sie nur IPv6-Anwendungen und -Dienste nicht (z. B. HomeGroup in Windows 7 und DirectAccess in Windows 7 und Windows Server 2008 R2 sind nur IPv6-fähig), und Ihre Hosts können die IPv6-erweiterte Konnektivität nutzen.

Moab
quelle
Um fair zu sein, muss jeder, der Computer bereitstellt, wirklich wissen, ob sein Betriebssystem IPv6 verwendet. Daher können "Anwendungen, von denen Sie vielleicht nicht glauben, dass sie IPv6 verwenden" und "Microsoft führt keine Tests durch, um die Auswirkungen der Deaktivierung von IPv6 zu ermitteln" ein bisschen riskant sein. In einem gerouteten Unternehmensnetzwerk ohne IPv6 auf den Routern bedeutet dies, dass diese Funktionen ordnungsgemäß funktionieren oder nicht.
EightBitTony
@EightBitTony - Mit der Zeit werden diese Router ersetzt. Zu diesem Zeitpunkt unterstützen sie IPv6, wenn sie es noch nicht unterstützen. Ich kann die Gründe verstehen, warum Microsoft beschließen würde, keine Tests mit deaktiviertem IPv6 durchzuführen. Die Zukunft ist, dass IPv6 von allen zukünftigen Geräten unterstützt wird. Es wäre, als würde man testen, ob IPv4 deaktiviert ist, während IPv6 aktiviert ist.
Ramhound
@Ramhound Ja, sie werden auf kontrollierte Weise ersetzt. Zu diesem Zeitpunkt kann die Organisation entscheiden, ob einige IPv6-Dienste aktiviert werden sollen oder nicht, aber IT-Organisationen hassen ungeplante, unerwartete Änderungen. Das Hinzufügen eines neuen Routers sollte nicht plötzlich Verkehr zulassen, den Sie nicht erwartet hatten.
EightBitTony
@EightBitTony: Ich glaube, Microsoft verwendet Teredo, um IPv6 über UDP abzurufen, wenn keine funktionierende IPv6-Route vorhanden ist.
Zan Lynx
2

Ich denke, die allgemeine Theorie in der Computersicherheit, dass Sie jeden Dienst deaktivieren sollten, den Sie nicht verwenden, hält ziemlich gut. Wenn Sie es nicht benötigen, schalten Sie es aus. Dies war lange Zeit ein erster Standardschritt in der Computersicherheit, und ich verstehe nicht, warum es nicht auch für Netzwerke gelten sollte.

EightBitTony
quelle
3
Dies führt nur dazu, dass eine ganze Branche den Wechsel von IPv4 zu IPv6 um weitere 5 Jahre verzögert, sodass ein Problem, das durch den Wechsel hätte gelöst werden müssen (alle IPv4-Blöcke werden zugewiesen), tatsächlich zu einem Problem wird. Aus diesem Grund wird mir 2012 von meinem ISP noch keine IPv6-Adresse zugewiesen.
Ramhound
1
Entschuldigung, aber völlig anderer Meinung. Wir sprechen hier nicht über Internetdienste, sondern über interne Netzwerke. Schalten Sie die gewünschten Dienste ein, schalten Sie unnötige Dienste ein. Wenn Sie IPv6 möchten, schalten Sie es ein, wenn Sie IPv4 nicht benötigen, schalten Sie es aus.
EightBitTony
0

Hier ist eine Anekdote für dich.

Bei einem meiner früheren Arbeitgeber (einem Fortune 500-Unternehmen) hat der Netzwerkadministrator einen Fehler bei der Definition der IPv6-Firewall-Regeln gemacht.

Das Ergebnis? Alle unsere internen IPv6-fähigen Netzwerke waren dem Internet ausgesetzt . Bis ich ihn darauf hinwies und er es sofort reparierte.

Dieser Typ war auch kein Idiot. Es ist nur so, dass die No-NAT-Natur von IPv6 dies aus Versehen um einiges einfacher macht. Also ... Zunahme der Angriffsfläche? Auf jedenfall.

Nun ist die Wahrscheinlichkeit, dass jemand diese Sicherheitslücke entdeckt, eher gering. Es ist nicht einfach, einen Block von IPv6-Hosts zu portieren. Wenn Sie jedoch Datenverkehr aus dem scheinbar internen Netzwerk einer Person bemerken, können Sie jederzeit mit dem Host sprechen, den Sie gerade gesehen haben.

mpontillo
quelle
" Alle unsere internen IPv6-fähigen Netzwerke waren dem Internet ausgesetzt. " Die eigentliche Frage hier: Warum war dies ein so ernstes Problem? Ich kenne Leute, die aufgegeben haben (ich mache das nicht nach, sie haben mir ausdrücklich gesagt, dass sie aufgegeben haben), weil sie wissen, 1) was installiert ist 2) was auf eine Steckdose hört 3) was eine potenzielle Sicherheitslücke ist, und ich denke, es ist schrecklich. Tiefenverteidigung in einer Sache, aber Sie müssen wissen, welche Prozesse Abhörsockel und potenzielle Vulns haben, oder Würmer könnten sich innerhalb der Grenzfirewall (oder des NAT-Geräts) ausbreiten .
neugieriger Kerl