7

У меня есть коллега, который все время отключает IPv6, оставляя IPv4 на каждой новой машине, которая появляется перед развертыванием в нашей среде. Он берет свои личные неподтвержденные данные и утверждает, что отключение IPv6 помогает с производительностью сети, потому что магистраль и узлы должны обрабатывать меньше пакетов «реклама / запрос». Затем он быстро добавляет, что это также создает меньшую площадь поверхности, на которой злоумышленники могут попытаться атаковать.

Хотя эти аргументы звучат хорошо на бумаге, я подвергаю сомнению предоставленные неподтвержденные доказательства и "меры предосторожности" безопасности, которые может обеспечить отключение IPv6. Черт возьми, я даже нашел этот пост, где один из авторов упоминает, что IPv6 может даже обеспечить незначительное улучшение. Помимо различий в сетях, эти претензии держат воду?

4 ответа4

10

От Microsoft

К сожалению, некоторые организации отключают IPv6 на своих компьютерах под управлением Windows Vista или Windows Server 2008, где он установлен и включен по умолчанию. Многие отключают IPv6 на основе предположения, что на них не запущены какие-либо приложения или службы, которые его используют. Другие могут отключить его из-за неправильного восприятия того, что включение IPv4 и IPv6 эффективно удваивает их DNS и веб-трафик. Это неправда.

С точки зрения Microsoft, IPv6 является обязательной частью операционной системы Windows, и он включен и включен в стандартную службу Windows и тестирование приложений в процессе разработки операционной системы. Поскольку Windows была разработана специально с использованием IPv6, Microsoft не проводит никакого тестирования для определения последствий отключения IPv6. Если IPv6 отключен в Windows Vista, Windows Server 2008 или более поздних версиях, некоторые компоненты не будут работать. Более того, приложения, которые вы, возможно, не думаете, использующие IPv6, такие как Remote Assistance, HomeGroup, DirectAccess и Windows Mail, могут быть.

Поэтому Microsoft рекомендует оставить IPv6 включенным, даже если у вас нет сети с поддержкой IPv6, как собственной, так и туннельной. Оставляя IPv6 включенным, вы не отключаете приложения и службы, поддерживающие только IPv6 (например, HomeGroup в Windows 7 и DirectAccess в Windows 7 и Windows Server 2008 R2 только для IPv6), и ваши хосты могут использовать преимущества подключения с поддержкой IPv6.

5

Он на 100% прав насчет дополнительных издержек, поскольку каждое устройство / ПК будет рекламировать и создавать кэш ARP для IPv6 и IPv4. Однако фактический объем генерируемого трафика довольно мал (типичный размер пакета ARP составляет 28 байтов).

Это должно быть несущественным. НО, если у вас есть что-то вроде системы NMS, которая использует запросы WMI, опрос SNMP (ловушки не создают большого трафика) или выполняет экспорт netflow/Jflow в среде, чувствительной к задержке / качеству, имеет смысл удалить столько фона шум по возможности. Особенно IPv6 ... Есть ли вероятность того, что вам когда-нибудь понадобится IPv6 для внутреннего использования? Сомнительно, поскольку частные блоки в IPv4 предоставляют множество адресов даже для самых крупных предприятий. Если у вас нет особой потребности в IPv6 в вашей среде, лучшим вопросом будет, почему оставить его включенным? Я знаю, что в моей среде мы отключаем его только потому, что это дополнительный уровень, который может вызывать проблемы при устранении неполадок.

Помните, что даже если сетевое устройство или ПК не используются активно, они все еще отвечают и рекламируют NetBIOS/ARP, поэтому по-прежнему генерируется некоторый, хотя и небольшой, трафик.

Я должен добавить, что «создает меньше поверхности, на которой злоумышленники могут попытаться атаковать». Это полная чушь ... Вам не нужно добавлять дополнительный брандмауэр или WAN для трафика IPv6. Существует еще одно пограничное устройство, формирующее NAT независимо от того, включен IPv6 или нет.

2

Я думаю, что общая теория в области компьютерной безопасности, согласно которой вы должны отключить любой неиспользуемый сервис, вполне прилична. Если вам это не нужно, выключите его, это уже давно стало стандартным первым шагом в компьютерной безопасности, и я не понимаю, почему это не должно распространяться и на сетевые технологии.

0

Вот анекдот для вас.

У одного из моих предыдущих работодателей (компания из списка Fortune 500) сетевой администратор допустил ошибку при определении правил брандмауэра IPv6.

Результат? Все наши внутренние сети с поддержкой IPv6 были подключены к Интернету. Пока я не указал ему, и он быстро исправил это.

Этот парень тоже не был идиотом. Просто природа IPv6 без NAT делает эту задачу намного проще по ошибке. Итак ... увеличение поверхности атаки? Да, черт возьми.

Теперь, конечно, вероятность того, что кто-то обнаружит эту дыру в безопасности, довольно мала. Нелегко портировать сканирование блока узлов IPv6. Но если вы заметили трафик из того, что кажется чьей-то внутренней сетью, вы всегда можете поговорить с хостом, с которым вы только что разговаривали.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .