GNU/Linux >> Linux Esercitazione >  >> Linux

In che modo la disabilitazione di IPv6 renderebbe un server più sicuro?

Dal punto di vista del firewall è importante rendersi conto che sia IPv4 che IPv6 (se abilitati) sono configurati su un sistema e non è sempre così.

Nella mia esperienza, sono stato in grado di aggirare i firewall (interni). In uno scenario, su una macchina Linux, iptables era configurato, ma ip6tables no, esponendo servizi (vulnerabili) che non erano disponibili su IPv4.

Poiché la maggior parte dei servizi si lega a 0.0.0.0 e [::]:[port] (ogni interfaccia), questi servizi sono disponibili anche su IPv6.

Quindi, sì, è importante considerare di disabilitare IPv6 se non lo usi. Se lo usi, tu o gli amministratori in generale dovreste essere consapevoli del fatto che (almeno sui server Linux) è necessaria una configurazione aggiuntiva del firewall.

E prima di iniziare a dire che gli amministratori dovrebbero esserne consapevoli, hai perfettamente ragione. Tuttavia, per esperienza, manca molta conoscenza di IPv6 tra gli amministratori di sistema.


Non vi è alcun vantaggio specifico nella disabilitazione di IPv6. In particolare, IPv6 non è più vulnerabile di IPv4, anzi direi che è più sicuro (ad esempio:IPv6 suggerisce di supportare IPSec).

Il punto è che durante il rafforzamento del sistema operativo la filosofia generale consiglia di rimuovere tutti i servizi/strumenti inutilizzati. Ciò consente un migliore controllo sul proprio sistema operativo, migliora le prestazioni (in modo generico) e riduce la probabilità che gli aggressori possano sfruttare eventuali bug o configurazioni errate del software e ottenere il controllo/accesso (parziale) del/al sistema. Pertanto, la rimozione di un IPv6 inutilizzato è solo un'azione genericamente consigliata per finalizzare l'hardening.


Il consiglio è ben intenzionato ma datato.

IPv6 è specificamente progettato per essere molto facile da configurare e amministrare, molto più semplice di IPv4. Ha molte funzionalità pensate per far sì che host e intere reti vengano configurati automaticamente o facilmente configurati centralmente. In molti casi è possibile che intere reti ottengano improvvisamente la connettività IPv6 a Internet non appena viene portata al limite della rete, il che potrebbe sorprendere alcune persone.

Questo consiglio era storicamente inteso a proteggere gli amministratori sia da se stessi, poiché potrebbero non avere familiarità con le funzionalità IPv6, sia da attori malintenzionati, poiché quando finalmente ottengono la connettività IPv6 a Internet, i dispositivi tenteranno di autoconfigurarsi e talvolta ci riusciranno. Inoltre, alcune versioni di Windows tentano di stabilire tunnel IPv6 a Internet fuori dagli schemi, sorprendendo ancora una volta alcuni utenti e amministratori. (Per inciso, disabilitare questi tunnel è quasi sempre una buona idea a meno che non siano specificatamente desiderati.)

E come altri hanno già detto, alcuni antichi firewall di 5-10 anni fa o più non si configuravano correttamente sul firewall IPv6 oltre a IPv4. Questo non è un grosso problema oggi, poiché tali dispositivi antichi diventano sempre più rari ogni giorno che passa.

In questi giorni, la maggior parte delle persone utilizza effettivamente IPv6 anche se non dispone di connettività IPv6 globale. Windows 8 e versioni successive utilizzano ampiamente IPv6 sulle reti domestiche e alcune funzionalità di Windows richiedono assolutamente IPv6.

Dal punto di vista del bilanciamento tra funzionalità e sicurezza, sarebbe meglio consigliare alle persone di garantire che IPv6 sia protetto da firewall in modo corrispondente a IPv4, anche se non dispongono di connettività IPv6 globale. Ciò conserverebbe la funzionalità IPv6 già esistente proteggendo gli utenti quando finalmente otterranno la connettività IPv6 globale.


Linux
  1. Come assegnare IPv6 sul server Ubuntu

  2. In che modo le API rendono i dati più preziosi

  3. Come proteggere PostgreSQL Server

  4. Come proteggere il tuo server Ubuntu con CSF Firewall

  5. Come ordinare ls per estensione di file e quindi per nome?

Come SSH stabilisce una comunicazione sicura

Come forzare Wget a utilizzare la connessione IPv4 o IPv6

Procedura:disabilitare l'offload TCP in Windows Server 2012

Come proteggere SSH con Fail2Ban

Come trovare il tuo indirizzo IP (IPv4 e IPv6) su Rocky Linux

Come creare un server Minecraft su distribuzioni Linux