Ich habe einen Kollegen, der sich mit dem Deaktivieren von IPv6 befasst, während IPv4 auf jedem neuen Computer verbleibt , der vor der Bereitstellung in unserer Umgebung eingeht. Er nimmt seine persönlichen anekdotischen Beweise und behauptet, dass das Deaktivieren von IPv6 bei der Netzwerkleistung hilft, da weniger "Werbe- / Anforderungs" -Pakete das Backbone und die Knoten verarbeiten müssen. Er fügt dann schnell hinzu, dass dadurch auch weniger Fläche geschaffen wird, in der Angreifer möglicherweise versuchen könnten, anzugreifen.
Während diese Argumente auf dem Papier gut klingen, stelle ich die anekdotischen Beweise und die Sicherheitsvorkehrungen in Frage, die das Deaktivieren von IPv6 bieten kann. Heck, ich habe sogar diesen Beitrag gefunden, in dem auf einem der Poster erwähnt wird, dass IPv6 sogar eine geringfügige Verbesserung bewirken könnte. Abgesehen von den Unterschieden in den Netzwerken, halten diese Behauptungen Wasser?
Antworten:
Er hat 100% Recht mit zusätzlichem Overhead, da jedes Gerät / jeder PC Werbung macht und einen ARP-Cache für IPv6 und IPv4 erstellt. Die tatsächlich erzeugte Verkehrsmenge ist jedoch recht gering (die typische ARP-Paketgröße beträgt 28 Byte ).
Es sollte keine Rolle spielen. ABER wenn Sie so etwas wie ein NMS-System haben, das WMI-Abfragen, SNMP-Polling (Traps erzeugen nicht viel Verkehr) oder Netflow / Jflow-Export in einer Umgebung verwendet, die latenz- / qualitätsabhängig ist, ist es sinnvoll, so viel Hintergrund zu entfernen Lärm wie möglich. Insbesondere IPv6 ... Gibt es eine Möglichkeit, dass Sie IPv6 jemals intern benötigen werden? Zweifelhaft, da die privaten Blöcke in IPv4 selbst den größten Unternehmen viele Adressen bieten. Wenn Sie in Ihrer Umgebung keinen besonderen Bedarf an IPv6 haben, ist die bessere Frage, warum Sie IPv6 aktiviert lassen. Ich weiß, dass wir in meiner Umgebung darauf verzichten, nur weil es sich um eine zusätzliche Ebene handelt, die bei der Fehlerbehebung Probleme verursachen kann.
Denken Sie daran, auch wenn ein Netzwerkgerät oder ein PC nicht aktiv verwendet wird, reagiert es immer noch und wirbt für NetBIOS / ARP. Daher wird immer noch ein gewisser, wenn auch geringer Datenverkehr generiert.
Ich sollte hinzufügen, dass "weniger Fläche entsteht, in der Angreifer möglicherweise versuchen könnten, anzugreifen". Es ist völlig Unsinn ... Es ist nicht so, dass Sie eine zusätzliche Firewall oder ein zusätzliches WAN für den IPv6-Verkehr hinzufügen müssen. Es gibt immer noch dasselbe Edge-Gerät, das NAT ausführt, unabhängig davon, ob IPv6 aktiviert ist oder nicht.
quelle
Von Microsoft
quelle
Ich denke, die allgemeine Theorie in der Computersicherheit, dass Sie jeden Dienst deaktivieren sollten, den Sie nicht verwenden, hält ziemlich gut. Wenn Sie es nicht benötigen, schalten Sie es aus. Dies war lange Zeit ein erster Standardschritt in der Computersicherheit, und ich verstehe nicht, warum es nicht auch für Netzwerke gelten sollte.
quelle
Hier ist eine Anekdote für dich.
Bei einem meiner früheren Arbeitgeber (einem Fortune 500-Unternehmen) hat der Netzwerkadministrator einen Fehler bei der Definition der IPv6-Firewall-Regeln gemacht.
Das Ergebnis? Alle unsere internen IPv6-fähigen Netzwerke waren dem Internet ausgesetzt . Bis ich ihn darauf hinwies und er es sofort reparierte.
Dieser Typ war auch kein Idiot. Es ist nur so, dass die No-NAT-Natur von IPv6 dies aus Versehen um einiges einfacher macht. Also ... Zunahme der Angriffsfläche? Auf jedenfall.
Nun ist die Wahrscheinlichkeit, dass jemand diese Sicherheitslücke entdeckt, eher gering. Es ist nicht einfach, einen Block von IPv6-Hosts zu portieren. Wenn Sie jedoch Datenverkehr aus dem scheinbar internen Netzwerk einer Person bemerken, können Sie jederzeit mit dem Host sprechen, den Sie gerade gesehen haben.
quelle