Verringert das Deaktivieren von IPv6 meine Angriffsfläche und erhöht es die Leistung?

Ich habe einen Kollegen, der sich mit dem Deaktivieren von IPv6 befasst, während IPv4 auf jedem neuen Computer verbleibt , der vor der Bereitstellung in unserer Umgebung eingeht. Er nimmt seine persönlichen anekdotischen Beweise und behauptet, dass das Deaktivieren von IPv6 bei der Netzwerkleistung hilft, da weniger "Werbe- / Anforderungs" -Pakete das Backbone und die Knoten verarbeiten müssen. Er fügt dann schnell hinzu, dass dadurch auch weniger Fläche geschaffen wird, in der Angreifer möglicherweise versuchen könnten, anzugreifen.

Während diese Argumente auf dem Papier gut klingen, stelle ich die anekdotischen Beweise und die Sicherheitsvorkehrungen in Frage, die das Deaktivieren von IPv6 bieten kann. Heck, ich habe sogar diesen Beitrag gefunden, in dem auf einem der Poster erwähnt wird, dass IPv6 sogar eine geringfügige Verbesserung bewirken könnte. Abgesehen von den Unterschieden in den Netzwerken, halten diese Behauptungen Wasser?

Er hat 100% Recht mit zusätzlichem Overhead, da jedes Gerät / jeder PC Werbung macht und einen ARP-Cache für IPv6 und IPv4 erstellt. Die tatsächlich erzeugte Verkehrsmenge ist jedoch recht gering (die typische ARP-Paketgröße beträgt 28 Byte ).

Es sollte keine Rolle spielen. ABER wenn Sie so etwas wie ein NMS-System haben, das WMI-Abfragen, SNMP-Polling (Traps erzeugen nicht viel Verkehr) oder Netflow / Jflow-Export in einer Umgebung verwendet, die latenz- / qualitätsabhängig ist, ist es sinnvoll, so viel Hintergrund zu entfernen Lärm wie möglich. Insbesondere IPv6 ... Gibt es eine Möglichkeit, dass Sie IPv6 jemals intern benötigen werden? Zweifelhaft, da die privaten Blöcke in IPv4 selbst den größten Unternehmen viele Adressen bieten. Wenn Sie in Ihrer Umgebung keinen besonderen Bedarf an IPv6 haben, ist die bessere Frage, warum Sie IPv6 aktiviert lassen. Ich weiß, dass wir in meiner Umgebung darauf verzichten, nur weil es sich um eine zusätzliche Ebene handelt, die bei der Fehlerbehebung Probleme verursachen kann.

Denken Sie daran, auch wenn ein Netzwerkgerät oder ein PC nicht aktiv verwendet wird, reagiert es immer noch und wirbt für NetBIOS / ARP. Daher wird immer noch ein gewisser, wenn auch geringer Datenverkehr generiert.

Ich sollte hinzufügen, dass "weniger Fläche entsteht, in der Angreifer möglicherweise versuchen könnten, anzugreifen". Es ist völlig Unsinn ... Es ist nicht so, dass Sie eine zusätzliche Firewall oder ein zusätzliches WAN für den IPv6-Verkehr hinzufügen müssen. Es gibt immer noch dasselbe Edge-Gerät, das NAT ausführt, unabhängig davon, ob IPv6 aktiviert ist oder nicht.

Von Microsoft

Es ist bedauerlich, dass einige Organisationen IPv6 auf ihren Computern unter Windows Vista oder Windows Server 2008 deaktivieren, auf denen es standardmäßig installiert und aktiviert ist. Viele deaktivieren IPv6 basierend auf der Annahme, dass sie keine Anwendungen oder Dienste ausführen, die es verwenden. Andere deaktivieren es möglicherweise aufgrund einer falschen Wahrnehmung, dass die Aktivierung von IPv4 und IPv6 den DNS- und Webverkehr effektiv verdoppelt. Das ist nicht wahr.

Aus Sicht von Microsoft ist IPv6 ein obligatorischer Bestandteil des Windows-Betriebssystems und wird während des Betriebssystementwicklungsprozesses aktiviert und in Standardtests für Windows-Dienste und -Anwendungen einbezogen. Da Windows speziell für IPv6 entwickelt wurde, führt Microsoft keine Tests durch, um die Auswirkungen der Deaktivierung von IPv6 zu ermitteln. Wenn IPv6 unter Windows Vista, Windows Server 2008 oder höheren Versionen deaktiviert ist, funktionieren einige Komponenten nicht. Darüber hinaus können Anwendungen sein, von denen Sie möglicherweise nicht glauben, dass sie IPv6 verwenden, z. B. Remoteunterstützung, HomeGroup, DirectAccess und Windows Mail.

Daher empfiehlt Microsoft, dass Sie IPv6 aktiviert lassen, auch wenn Sie kein natives oder getunneltes IPv6-fähiges Netzwerk haben. Wenn Sie IPv6 aktiviert lassen, deaktivieren Sie nur IPv6-Anwendungen und -Dienste nicht (z. B. HomeGroup in Windows 7 und DirectAccess in Windows 7 und Windows Server 2008 R2 sind nur IPv6-fähig), und Ihre Hosts können die IPv6-erweiterte Konnektivität nutzen.

Ich denke, die allgemeine Theorie in der Computersicherheit, dass Sie jeden Dienst deaktivieren sollten, den Sie nicht verwenden, hält ziemlich gut. Wenn Sie es nicht benötigen, schalten Sie es aus. Dies war lange Zeit ein erster Standardschritt in der Computersicherheit, und ich verstehe nicht, warum es nicht auch für Netzwerke gelten sollte.

Hier ist eine Anekdote für dich.

Bei einem meiner früheren Arbeitgeber (einem Fortune 500-Unternehmen) hat der Netzwerkadministrator einen Fehler bei der Definition der IPv6-Firewall-Regeln gemacht.

Das Ergebnis? Alle unsere internen IPv6-fähigen Netzwerke waren dem Internet ausgesetzt . Bis ich ihn darauf hinwies und er es sofort reparierte.

Dieser Typ war auch kein Idiot. Es ist nur so, dass die No-NAT-Natur von IPv6 dies aus Versehen um einiges einfacher macht. Also ... Zunahme der Angriffsfläche? Auf jedenfall.

Nun ist die Wahrscheinlichkeit, dass jemand diese Sicherheitslücke entdeckt, eher gering. Es ist nicht einfach, einen Block von IPv6-Hosts zu portieren. Wenn Sie jedoch Datenverkehr aus dem scheinbar internen Netzwerk einer Person bemerken, können Sie jederzeit mit dem Host sprechen, den Sie gerade gesehen haben.