vakus
2018-03-21 01:02:01 UTC
我正在閱讀有關加強Linux服務器上的安全性的這篇文章,並且在第23點中,文章說:
#23:關閉IPv6 Internet協議版本6(IPv6)提供了TCP / IP協議套件的新Internet層,它替代了Internet協議版本4(IPv4)並提供了許多好處。如果您不使用IPv6,請禁用它:
然後,本文提供了指向不同網站的鏈接,這些鏈接告訴您如何禁用IPv6。但是,無論是本文還是任何鏈接,似乎都沒有告訴我們為什麼如果不使用IPv6,應該將其禁用。
由於本文涉及的是加強Linux服務器上的安全性,因此禁用IPv6如何使服務器更安全?
*“如果不使用IPv6,請禁用它” *-通常:安裝的軟件越多,啟用的功能越多,系統的受攻擊面就越大。因此,不要安裝不需要的軟件,也不要啟用不需要的功能。
@SteffenUllrich我總體了解,軟件/功能越少越好,但是我看不到禁用IPv6如何使系統更安全,但這並不意味著我不同意禁用IPv6會使系統更安全。
我猜想,OP引用的許多網站也是過時的。長期以來,與IPv4相比,許多產品中的IPv6安全功能“不足”。一般來說,這不再是正確的。如果要與某些Internet主機進行通信而不使用某種中間6to4隧道/網關,則今天需要IPv6。此外,許多運營商現在經常通過CGN / LSN運行IPv4,而IPv6卻沒有。除非您確實有必要,否則今天禁用IPv6可能不是一個好主意。
如果您可以通過IPv6進行足夠好的通信以受到遠程攻擊,那麼根據定義,您正在“使用IPv6”。
@vakus實現IPv6的代碼與實現IPv4的代碼不同。因此,前者中有可能不存在後者中的漏洞。禁用有可能引入額外漏洞的功能會使系統更加安全。或者,將其翻轉。禁用後,是否可以增強/降低安全性以啟用它?
布魯斯·施耐爾(Bruce Schneier)曾經解釋過為什麼他的安全性安全設備根據簡單規則排除了“ bash”外殼:
如果我們不需要某些東西,我們就不會想要它被攻擊者使用。
這樣可以節省您的時間-例如如果您知道自己並非偶然提供任何IPv6服務,則不必編寫任何“ ip6tables”規則。
最終,我們都需要了解ipv6 :(,ipv4非常容易,但是我了解ipv6的必要性
如果您有兩扇門,但從不使用其中一扇,請鎖定該門。
如果您使用的是NAT:https://security.stackexchange.com/questions/7821/is-ipv6-with-nat-less-secure-than-ipv4/7831#7831
當我看到問題時,我的第一個念頭是:“為什麼您仍在使用IPv4?”最近幾年我連接的每個ISP都有IPv6尋址。我認為,更為緊迫的問題是:“絕大多數用戶甚至不再需要IPv4嗎?”
@FreeSoftwareServers哪個更簡單?是短地址嗎?
@immibis因為它更短而不是字母數字,而只是數字。它顯然更容易記住,這很好。
現在是2018年。為什麼安全文章沒有說“禁用IPv4”?
@GreenstoneWalker,因為IPv6仍然是可選的,而IPv4仍然不是。
Vakus,請提出您的評論,詢問為什麼相對於@SteffenUllrich減少攻擊面的評論更安全地禁用它:減少攻擊面並不完全是要減少*已知*風險。減少*未知*的風險有很多,甚至更多。換句話說,即使您不“知道”某件事物具有特定風險,也可以將其禁用(如果未使用)以降低風險,因為您要刪除“某事”具有某風險的“機會”,不知道。總風險是已知風險加上假定的未知風險估計的總和
為了進一步推論@Martijn所做的類比-假設您的敵人不知道如何打開門。沒有已知的風險!但是,您仍應鎖定未使用的門,以防明天敵人學習如何打開門的風險。
@immibis錯誤。[RFC 6540](https://tools.ietf.org/html/rfc6540)使IPv6成為必需。但是,許多人認為老式IP是可選的。
與所有IPv6仇恨者相關:https://ipv6bingo.com/
因為關閉IPv6使IPv4成為剩下的唯一堆棧,並且眾所周知IPv6用作隱蔽通道和堆棧防禦旁路。
@MartinSchröder在這裡,我們看到了標準與現實世界之間的區別。
@TracyCramer除了通過EC2,我從來沒有IPv6地址。我的住宅ISP不提供IPv6(也許應要求,我應該問一下)。我的辦公室沒有IPv6。我的手機沒有IPv6地址。儘管我認為核心基礎設施已升級以支持新西蘭,但整個新西蘭似乎都在全力以赴。只有無法獲取IPv4地址的新啟動ISP才使用IPv6。新西蘭不是世界上技術落後的國家(儘管它可能排在中間)。