Soru:
IPv6'yı devre dışı bırakmak bir sunucuyu nasıl daha güvenli hale getirir?
vakus
2018-03-21 01:02:01 UTC
view on stackexchange narkive permalink

Linux sunucularında güvenliğin güçlendirilmesiyle ilgili bu makaleyi okuyordum ve 23. maddede şu yazıyor:

# 23: IPv6'yı Kapat

İnternet Protokolü sürüm 6 (IPv6), İnternet Protokolü sürüm 4'ün (IPv4) yerini alan ve birçok fayda sağlayan TCP / IP protokol paketinin yeni bir İnternet katmanı sağlar. IPv6 KULLANMIYORSANIZ, devre dışı bırakın:

Makale daha sonra IPv6'nın nasıl devre dışı bırakılacağını anlatan farklı web sitelerine bağlantılar verir. Bununla birlikte, ne makale ne de bağlantılardan herhangi biri, kullanılmaması durumunda IPv6'nın neden devre dışı bırakılması gerektiğini söylemiyor gibi görünüyor.

Makale, Linux sunucularında güvenliği güçlendirme üzerine olduğundan > IPv6'yı devre dışı bırakmak bir sunucuyu nasıl daha güvenli hale getirir?

* "IPv6 KULLANMIYORSANIZ devre dışı bırakın" * - Genel olarak: ne kadar çok yazılım yüklerseniz ve ne kadar çok özelliği etkinleştirirseniz, sisteminizin saldırı yüzeyi o kadar büyük olur.Bu nedenle, gerçekten ihtiyacınız olmayan yazılımı yüklemeyin ve ihtiyacınız olmayan özellikleri etkinleştirmeyin.
@SteffenUllrich Genel olarak daha az yazılımın / özelliğin daha iyi olduğunu anlıyorum, ancak IPv6'yı devre dışı bırakmanın sistemi nasıl daha güvenli hale getireceğini göremiyorum, ancak bu IPv6'yı devre dışı bırakmanın sistemi daha güvenli hale getirdiğini kabul etmediğim anlamına gelmez
OP tarafından atıfta bulunulan web sitelerinin çoğunun da tarihli olduğunu tahmin edeceğim.Uzun bir süre boyunca, birçok üründeki IPv6 güvenlik özellikleri, IPv4'e kıyasla "eksikti".Bu genellikle artık doğru değil.IPv6 bugün, bazı İnternet ana bilgisayarlarıyla bir tür ara 6to4 tünel / ağ geçidine başvurmadan iletişim kurmak istiyorsanız gereklidir.Ek olarak, IPv4 artık çoğu taşıyıcı tarafından CGN / LSN üzerinden çalıştırılırken, IPv6 değil.IPv6'yı bugün devre dışı bırakmak, gerçekten ihtiyacınız olmadıkça muhtemelen kötü bir fikirdir.
Uzaktan saldırıya uğramak için IPv6 üzerinden yeterince iyi iletişim kurabiliyorsanız, tanım gereği "IPv6 kullanıyorsunuz" demektir.
@vakus IPv6'yı uygulayan kod, IPv4'ü uygulayan kodla aynı değildir.Bu nedenle, ikincisinde olmayan bir güvenlik açığı olması mümkündür.Ekstra güvenlik açığı oluşturma potansiyeli olan bir şeyi devre dışı bırakmak, sistemi daha güvenli hale getirir.Alternatif olarak, ters çevirin.Devre dışı bırakıldığında, etkinleştirmek için güvenliği geliştirir / düşürür mü? Bruce Schneier bir keresinde güvenlik güvenlik cihazlarının neden basit bir kural altında "bash" kabuğunu hariç tuttuğunu açıkladı: Bir şeye ihtiyacımız yoksa, bunun bir saldırgan tarafından kullanılmasını istemeyiz.
Size zaman kazandırır - ör.Yanlışlıkla herhangi bir IPv6 hizmeti sağlamadığınızı biliyorsanız, herhangi bir "ip6tables" kuralı yazmanız gerekmez.
Sonunda hepimizin ipv6'yı bilmemiz gerekiyor :(, ipv4 çok daha kolaydı ama ipv6 ihtiyacını anlıyorum
İki kapınız varsa ama hiçbirini kullanmıyorsanız, o kapıyı kilitleyin.
NAT kullanıyorsanız: https://security.stackexchange.com/questions/7821/is-ipv6-with-nat-less-secure-than-ipv4/7831#7831
Soruyu gördüğümde ilk aklıma "Neden hala IPv4 kullanıyorsunuz?"Son birkaç yılda bağlandığım her ISP'de IPv6 adresleme var.Bence daha acil soru, "Kullanıcıların büyük çoğunluğunun artık IPv4'e ihtiyacı var mı?"
@FreeSoftwareServers Bunun nesi daha kolay?Sadece daha kısa adresler mi?
@immibis çünkü daha kısadır ve alfa sayısal değildir, sadece sayısaldır.Hangisinin güzel olduğunu hatırlaması açıkça daha kolay.
Yıl 2018. Güvenlik makaleleri neden "IPv4'ü Devre Dışı Bırak" demiyor?
@GreenstoneWalker çünkü IPv6 hala isteğe bağlı ve IPv4 hala değil.
Vakus, @SteffenUllrich'nin saldırı yüzeyinin azaltılmasıyla ilgili olarak neden devre dışı bırakmanın daha güvenli olduğunu soran yorumunuzu ele almak için: Saldırı yüzeyini azaltmak, yalnızca * bilinen * riski azaltmakla ilgili değildir.* Bilinmeyen * riskleri azaltmak kadar ya da daha fazlası.Diğer bir deyişle, bir şeyin belirli bir riski olduğunu * bilmeseniz bile, onu devre dışı bırakmanın (kullanılmıyorsa) risk profilinizi azalttığı varsayılır çünkü sizin bir riske sahip olma * şansını * ortadan kaldırmış olursunuz.farkında değilsiniz.Toplam risk, bilinen riskin toplamı artı bilinmeyen riskin varsayılan tahminidir.
@Martijn tarafından yapılan benzetmeyi ilerletmek için - farz edin ki düşmanınız kapıları nasıl açacağını bilmiyor.Bilinen bir risk yok!Ancak, yarın düşmanınızın kapıları nasıl açacağını öğrenmesi riskine karşı korunmak için kullanılmayan kapıyı yine de kilitlemelisiniz.
@immibis Yanlış.[RFC 6540] (https://tools.ietf.org/html/rfc6540) IPv6'yı zorunlu kılar.Yine de çoğu, eski IP'yi isteğe bağlı olarak kabul eder.
Tüm IPv6'dan nefret edenler için geçerlidir: https://ipv6bingo.com/
IPv6'nın kapatılması, IPv4'ü kalan tek yığın haline getirdiğinden ve IPv6, gizli bir kanal ve yığın savunma baypası olarak kullanılmasıyla ünlüdür.
@MartinSchröder Ve burada standartlar ile gerçek dünya arasındaki farkı görüyoruz.
@TracyCramer EC2 haricinde hiç IPv6 adresim olmadı.Konut ISS'm IPv6 sunmuyor (belki talep üzerine sormalıyım).Ofisimde IPv6 yok.Cep telefonum IPv6 adresi almıyor.Yeni Zelanda'nın tüm ülkesi toplu olarak kafamızı kuma batırıyor gibi görünüyor, ancak temel altyapının onu desteklemek için yükseltildiğini varsayıyorum.Yalnızca IPv4 adreslerini alamayan yeni başlangıç ISS'leri IPv6 kullanıyor.Ve NZ, dünyanın teknolojik olarak en geri ülkesi değil (muhtemelen ortada yer alsa da).
On yanıtlar:
Jeroen
2018-03-21 01:52:16 UTC
view on stackexchange narkive permalink

Güvenlik duvarı açısından, hem IPv4 hem de IPv6'nın (etkinleştirilmişse) bir sistem üzerinde yapılandırıldığını ve bu her zaman böyle olmadığını anlamak önemlidir.

Deneyimlerime göre, yapabildim (dahili) güvenlik duvarlarını atlama. Bir senaryoda, bir Linux makinesinde iptables yapılandırıldı, ancak IPv4 üzerinden kullanılamayan (savunmasız) hizmetleri açığa çıkaran ip6tables yapılandırılmadı.

Çoğu hizmet 0.0.0.0 ve [:: ]: [port] (her arayüz), bu hizmetler IPv6 üzerinden de mevcuttur.

Bu nedenle, kullanmıyorsanız, evet, IPv6'yı devre dışı bırakmayı düşünmeniz önemlidir. Bunu kullanırsanız, siz veya genel olarak yöneticilere (en azından Linux sunucularında) fazladan güvenlik duvarı yapılandırmasının gerekli olduğu konusunda bilgi verilmelidir.

Başlamadan önce yöneticilerin bunun farkında olması gerekir, tamamen doğru. Bununla birlikte, deneyimlerden sistem yöneticileri arasında çok fazla IPv6 bilgisi eksiktir.

IPv6'da dinlemek için 0.0.0.0'a bağlanmanın yeterli olmadığını unutmayın.Uygulama, IPv6 soketlerini kullanacak şekilde açıkça ayarlamalıdır.
@multithr3at3d: Bu kesinlikle platforma bağlıdır ve o zaman bile, yalnızca çekirdek açısından doğrudur.Birçok ağ kitaplığı, uygulama programcısı tarafından açık bir işlem yapılmasına gerek kalmadan IPv6'yı etkinleştirme işini yapar.
@multithr3at3d: Haklısınız, yazımı güncellediniz.
"iptables6" değil "ip6tables"
@BenVoigt: Bunun genellikle tersi olduğuna inanıyorum: "[::]" 'ye bağlı IPv6 (AF_INET6) soketleri IPv4 bağlantılarını kabul edebilir, ancak tam tersi ** değil **._ (Bir IPv4 soketi bir IPv6 bağlantısını kabul ederse, işletim sistemi eşin IPv6 adresini 4 baytlık bir alanda nasıl depolar?) _
@grawity: Demek istediğim, uygulamanın IPv6 desteği istemesine rağmen, kütüphanenin muhtemelen AF_ANY adresleri için yeterince büyük bir alan sağlamasıdır.
IPv4'ü devre dışı bırakmak ve IPv6'yı doğru şekilde yapılandırmak, IPv4'ü doğru şekilde yapılandırmak ve IPv6'yı devre dışı bırakmaktan daha mı güvenli olur?
Kesin olarak söylenemeyen @Tracy, ancak internet tarayıcılarından ve saldırılardan maruz kalmayı kesinlikle azaltabilir.
API'nin bir ipv6 kaynak adresini temsil etme yolu olmadığından, ipv4'ün ipv6 bağlantılarını çirkin bir DNAT türü olmadan kabul etmesi kesinlikle mümkün değildir.Bir "AF_INET" soketini 0.0.0.0'a bağlamanın sizi potansiyel olarak istenmeyen ipv6 bağlantılarına maruz bıraktığını iddia etmenin makul olduğunu sanmıyorum.Bunu mümkün kılmak için gelişmiş iptables / yönlendirme öğeleriyle gerçekten yolunuzdan çekilmeniz gerekir.
flex
2018-03-21 02:04:45 UTC
view on stackexchange narkive permalink

IPv6'yı devre dışı bırakmanın belirli bir avantajı yoktur. Özellikle IPv6, IPv4'ten daha savunmasız değildir, bunun yerine daha güvenli olduğunu söyleyebilirim (örneğin: IPv6, IPSec'i desteklemeyi önerir).

Asıl nokta, işletim sisteminizi güçlendirirken genel felsefe kullanılmayan tüm hizmetlerin / araçların kaldırılmasını önerir. Bu, OS'niz üzerinde daha iyi bir kontrol sağlar, performansı iyileştirir (genel bir şekilde) ve saldırganların olası yazılım hatalarından veya yanlış yapılandırmalardan yararlanma ve sisteme (kısmi) kontrol / erişim elde etme olasılığını azaltır. Bu nedenle, kullanılmayan bir IPv6'nın kaldırılması, sağlamlaştırmayı tamamlamak için genel olarak önerilen bir işlemdir.

Diğer cevapta olduğu gibi, IPv6'yı devre dışı bırakmanın özel avantajı, sisteminizi yapılandırırken unutmanın daha az önemli olmasıdır.IPv4'ten daha savunmasız değildir, ancak doğru şekilde yapılandırılması gereken başka bir giriş noktasıdır.Kullanmıyorsanız, muhtemelen doğru şekilde yapılandırmıyorsunuzdur, bu yüzden devre dışı bırakmak bu durumda iyi bir fikirdir ...
İpv6'nın aslında DAHA güvenli olduğunu yineleyen +1, bu mantıklı ama birçok insanın ISS'lerin ötesinde ipv6'ya ihtiyaç duyduğundan şüpheliyim
Bağımsız kodda bulunan güvenlik duvarı kuralları ve açıklardan yararlanmanın açık olasılıklarına ek olarak, IPv6'nın IPv4'e göre vahşi ortamda yaklaşık 40 yıl daha az beta ve sızma testine sahip olduğu gerçeği de vardır.IPv4 ile ilgili bilinmeyen sorunların, uzun ömrü göz önüne alındığında var olmayacağı neredeyse kesin.IPv6 ile ilgili bilinmeyen sorunlar sadece olası değil, aynı zamanda olasıdır.
Michael Hampton
2018-03-21 05:36:44 UTC
view on stackexchange narkive permalink

Bu tavsiye iyi niyetli ancak eskimiş.

IPv6, özellikle IPv4'ten çok daha kolay, kurulumu ve yönetimi çok kolay olacak şekilde tasarlanmıştır. Ana bilgisayarların ve tüm ağların otomatik olarak yapılandırılmasına veya kolayca merkezi olarak yapılandırılmasına neden olan birçok özelliğe sahiptir. Çoğu durumda, tüm ağların, ağ ucuna getirilir getirilmez aniden İnternet'e IPv6 bağlantısı kazanması mümkündür ve bu da bazı insanları şaşırtabilir.

Bu tavsiye, geçmişte yöneticileri hem kendilerinden korumaktı. - IPv6 özelliklerine aşina olmayabileceklerinden - ve kötü niyetli kişilerden - nihayet İnternet'e IPv6 bağlantısı kazandıklarında, cihazlar otomatik olarak yapılandırmaya çalışacak ve bazen başarılı olacaktır. Ayrıca, Windows'un belirli sürümleri, kutudan çıkar çıkmaz İnternet'e IPv6 tünelleri kurmaya çalışır ve bu da bazı kullanıcıları ve yöneticileri şaşırttı. (Bir kenara, özellikle istenmedikçe bu tünellerin devre dışı bırakılması neredeyse her zaman iyi bir fikirdir.)

Diğerlerinin de belirttiği gibi, 5-10 yıl öncesinden kalma bazı eski güvenlik duvarları veya daha eski güvenlik duvarları doğru şekilde yapılandırılmamıştı. IPv4'e ek olarak IPv6 güvenlik duvarı için kendilerini. Bu tür eski cihazlar her geçen gün daha nadir hale geldiğinden, bu bugün o kadar büyük bir sorun değil.

Bugünlerde çoğu insan, küresel IPv6 bağlantısına sahip olmasa bile aslında IPv6 kullanıyor. Windows 8 ve sonraki sürümler, ev ağlarında yaygın olarak IPv6 kullanır ve bazı Windows özellikleri kesinlikle IPv6 gerektirir.

İşlevselliği güvenlikle dengeleme açısından, insanlara şunları tavsiye etmek daha iyi olacaktır. Global IPv6 bağlantılarına sahip olmasalar bile, IPv6'nın IPv4'e uygun şekilde güvenlik duvarına tabi tutulduğundan emin olun. Bu, nihayet küresel IPv6 bağlantısı kazandıklarında kullanıcıları korurken zaten var olan IPv6 işlevselliğini koruyacaktır.

Bu Security.SE;Elbette IPv6, IPv4'ten daha fazla otomatik özelliklere sahiptir, ancak güvenlik açısından bu bir kabus olur.IPv6 dünyasıyla hiçbir zaman hiçbir bağlantısı olmayacak, burada burada bazı ağlar yapılandıran birçok yarı zamanlı operasyon görevlisi tanıyorum;ve IPv6 ile yaptıkları tek şeyin, sahip olabileceği varsayılan ayarlarla açık bırakmak yerine onu devre dışı bırakmak olmasını tercih ederim - bazı cihazlarda bu, varsayılan ayarlarla ahır kapısı açık olabilir ..Açıkçası, doğru şekilde yapılandırmak / güvenlik duvarı oluşturmak tercih edilir, ancak varsayılan ayarlarda bırakılmaması tercih edilir.
@AnoE Bu iyi bir noktadır.Bir teknolojiye aşina değilseniz, o zaman güvenlik açısından, yeterince aşina olana kadar onu etkinleştirmemelisiniz.Elbette, IP'yi etkinleştirmemek İnternet'i kullanmayı zorlaştırır ve gelecekte IPv6'nın etkinleştirilmemesi pek çok şeyi yapmayı zorlaştırabilir.Betona gömülü güvenli bilgisayara geri dönebiliriz ...
Bir şey değil."Etkin olmayan" bir bileşeni devre dışı bırakmaktan değil, (çok akla gelebilecek durumlarda) geniş bir açık varsayılan yapılandırma olabilecek bir bileşeni devre dışı bırakmaktan bahsediyorum.Bu, IMO, popüler yönlendiricilerdeki varsayılan şifreler "admin" ile aynı seviyededir.IP'yi devre dışı bırak demedim hiç.IPv6 gerekli hale gelirse, yönetici bunu * açıkça * fark edecek ve ardından IPv6'yı doğru şekilde yapılandırmaya karar verecektir.
`IPv6 gerekli hale gelirse, yönetici bunu açıkça fark edecek ve aklını IPv6'yı doğru şekilde yapılandırmaya koyacaktır. 'Bu oldukça cömert bir varsayım.Sanırım bu soru / cevap açısından çok az değişiklik var, ancak çok daha muhtemel senaryo, yöneticinin (aynı zamanda Wordpress "geliştiricisi" ve BT direktörüdür) onu açması, saldırıya uğraması ve tüm bu PHB meslektaşlarına söylemesi.IPv6'nın nasıl bu kadar güvensiz olduğu hakkında.
@HopelessN00b Yöneticiye çok fazla itibar ettiğinizi düşünüyorum.IPv6 gerekli olduğunda, çoğu yöneticinin her zamanki gibi işi fark etmeyeceğini ve devam etmeyeceğini düşünüyorum.
allo
2018-03-21 14:18:59 UTC
view on stackexchange narkive permalink

Kısa yanıt: Evet, ancak en iyi etki için IPv4'ü de devre dışı bırakmalısınız.

Ciddi yanıt: Bir protokolü aktif olarak kullanmaz ancak paketleri kabul ederseniz, riski artırırsınız. En bariz şey, IPv6 kullanan hiçbir şey olmasa bile paketleri işlemesi gerektiğinden ağ yığınıdır.

Ancak asıl risk, aslında IPv6 kullanıyorsunuz, aktif olarak kullanmıyorsunuz. IPv6 kullanmayabilirsiniz, ancak bazı programlarınız IPv6'da (ve IPv4'te) dinleme soketleri açar ve gelen paketleri işler. Yine ek karmaşıklığa sahipsiniz (v6 paketlerini v4 paketler kadar dikkatli işlerler mi?) Ve siz de iyi bir IPv4 güvenlik duvarınız var ancak yine de kullanmadığınızı düşündüğünüz için v6 için uygun kuralları unuttunuz.

Ve başka bir "Kullanmadığınızdan emin misiniz?": Aktif olarak kullanamayabilirsiniz , ancak tarayıcınız gibi programlar varsa onu kullanır. Örneğin şimdi IP düzeyinde bazı izleme web sitelerini engellediğinizde, bunlar IPv6 adreslerinden yüklenebilir ve güvenlik duvarınız siz karşılık gelen v6 kurallarını ekleyene kadar sizi buna karşı korumaz.

Sahip olmak bu, IPv6'yı devre dışı bırakmamanız gerektiğini söyledi. İnternetin giderek daha fazla kullanılması onu kullanıyor ve devre dışı bırakmak, önce ağınızı yavaşlatacak ve er ya da geç, belirli hizmetlere erişmenizi imkansız hale getirecektir. IPv4 için kurallar eklerken güvenlik duvarınızı IPv6 için de ayarladığınızdan emin olun.

Kısa yorum: IPv6'yı devre dışı bırakmak, özellikle ileriye doğru gitmek, sisteminizi internetten ayırmanın yapacağı gibi daha güvenli hale getirecektir: Teknik olarak, ancak çoğu amaç için muhtemelen makul bir maliyetle değil.
IPv6 kullandığınızı bilmemenizin iyi bir noktası, bazı programlar bunu bilginiz olmadan kullanıyor ve gerektiriyor, xbox live for windows akla geliyor
Sander Steffann
2018-03-21 05:05:02 UTC
view on stackexchange narkive permalink

Çoğu uygulama, kullanmasalar bile IPv6 desteğine bağlıdır. Örneğin IPv6 soketlerini kullanırlar. IPv6 çekirdek modülünü kaldırarak IPv6'yı tamamen kapatmak işleri bozacaktır.

IPv6'nın başka bir IPv6 olmasa bile yerel bağlantıda her zaman mevcut olduğunu göz önünde bulundurarak, IPv6'nın düzgün bir şekilde güvenlik duvarına sahip olduğundan emin olmak çok daha iyidir. adresler yapılandırılır. En yeni Linux dağıtımlarının, hem IPv4 hem de IPv6'yı filtreleyecek, varsayılan olarak etkinleştirilmiş iyi bir güvenlik duvarı (genellikle ufw veya güvenlik duvarı) vardır.

Kısaca: IPv6'nın varlığını kabul edip yönetmek / filtrelemek, onu görmezden gelmeye veya ondan kurtulmaya ve başka sorunlara neden olmaya çalışmaktan daha iyidir.

Hizmetleri "kırmanın" onları daha güvenli hale getireceğinden emin değilim.Bu iddiayı haklı çıkarabilir misin?(Yoksa gerçekten sorulandan farklı bir soruyu yanıtlıyor musunuz?)
Evet diyorum: Kullanılmayan bir protokolü devre dışı bırakmak güvenliği artırabilir, ancak diğer şeyleri bozmak pahasına.Bu nedenle devre dışı bırakmak iyi bir fikir olmayabilir ...
Başlıktaki sorunun, sorunun son satırındakinden farklı olduğunu yeni fark ettim - okuduğumdan farklı bir soruyu yanıtladınız.Gerçekten soranların bunu yapmamasını dilerdim ...
"Çok" uygulama demeyi bilmiyorum, artan bir miktar var ama o kadar ATM yok.Ayrıca sunucuları kurduğumda bunlar genellikle belirli bir amaç içindir, bu nedenle 2 sentim onu devre dışı bırakacak ve sunucu işlevlerini test edecek ve sorun yaşarsanız yeniden etkinleştirilebilir.
DoubleD
2018-03-22 22:11:49 UTC
view on stackexchange narkive permalink

Buna meşru bir ihtiyacınız yoksa, IPv6, yalnızca kötüye kullanımların ağınıza girmesi ve verilerinizin tespit edilmeden dışarı sızması için başka bir kanal görevi görür. Genel güvenlik kuralı, ihtiyaç duymadığınız her şeyi devre dışı bırakmaktır.

Güvenlik duvarını çevreleyen güvenlik duvarında engelleseniz bile, bir saldırgan bir ana bilgisayarın güvenliğini ihlal edebilir (belki DMZ?) IPv4 üzerinden ve IPv6 aracılığıyla içeriden yayıldı.

Çoğu güvenlik duvarı ve IDS ürünü şu anda yeterli IPv6 desteğine sahip, bu nedenle zayıf IPv6 izlemesiyle ilgili ilk endişeler çoğunlukla geçerliliğini yitirmiş durumda.

Ne olursa olsun, düşmanı devre dışı bırakarak bu fırsatı reddetmek daha iyidir. Devre dışı bırakılamıyorsa, yerel güvenlik duvarında IPv6'yı kısıtlayın, böylece yalnızca IPv6 soketleri gerektiren uygulamalar için yerel / geri döngü iletişimine izin verir.

firstlastsabbatical
2018-03-25 22:40:50 UTC
view on stackexchange narkive permalink

Kullanılmayan herhangi bir işlevi devre dışı bırakmak genel bir güvenlik ilkesidir. Ayrıca, IPv6'nın yerleşik IPSec'e sahip olduğunu ve varsayılan olarak IPv4'ten daha iyi bir seçenek olabileceğini göz önünde bulundurun.

thomasrutter
2018-03-26 09:27:53 UTC
view on stackexchange narkive permalink

Bu, söylenenlerle temelde aynıdır, ancak şu şekilde ifade edelim:

Seçenek 1 : IPv6 kullanın ve onu yapılandırmak ve güvenli hale getirmek için aynı çabayı gösterin tıpkı IPv4'ü yaptığınız gibi.

2. Seçenek : Kullanmayın ve devre dışı bırakın.

Her ikisi de tamamen makul ve çok daha iyi Seçenek 3'e göre alınacak konum: IPv6 kullanmayın, ancak güvenlik duvarı kurallarınızda ve hizmet yapılandırmanızda göz ardı edin ve tamamen açık bırakın.

Diğer bir deyişle, tavsiye iyidir ve Özellikle kullanmak istiyorsanız, IPv6'yı kullanmamanızı tavsiye etmiyoruz, ancak onu kullanmayan insanları görmezden gelme tuzağına karşı uyarıyor ve IPv4 yapılandırmanızla aynı incelemeyi yapmıyorsunuz. Bu kişilerin onu devre dışı bırakması daha iyi olur.

SecurityDoctor
2018-03-21 17:55:16 UTC
view on stackexchange narkive permalink

Güvenlik açısından bakıldığında, konu yazılım ve uygulamalar olduğunda daha azı iyidir. Şu anda bir IPv6 ağı dağıtmıyorsanız, IPV6 devre dışı bırakılmalıdır. Anladığım kadarıyla, tüm IPv4 adreslerinin dağıtıldığını ve olay yerine IPv6'nın geldiğini ve diğerlerinin IPv6 protokolünü etkin bırakmanızı tavsiye ettiğini unutmayın. Katılmıyorum! Protokole ihtiyacınız olduğunda etkinleştirin. Aynısı uygulamalar ve bağlantı noktaları için de geçerlidir.

Dünya yavaş da olsa IPv6'ya doğru ilerliyor.IPv6'yı kapatmaktan çok doğru bir şekilde dağıtmak çok daha iyi bir strateji olduğunu düşünüyorum.IPv6'yı devre dışı bırakmak, kötü amaçlı yazılımın daha yavaş yüklenmesi için telefonunuzdaki LTE'yi kapatmakla aynı şeydir :)
Yorumunuz için teşekkür ederim ama aynı anda hem sizinle hemfikir olmalı hem de katılmıyorum.Sonunda iPv6 protokollerini taşımaya ve dağıtmaya ihtiyaç duyan dünyanın teknoloji altyapısının olduğu doğrudur.Ancak, örneğiniz kusurlu.Durumu daha çok kapılar açısından görüyorum.IPv4 ön taraftır ve IPv6 daha az kullanılan arka kapıdır.İkisini de kilitlemek çok mantıklı.
Tam.IPv6'yı doğru şekilde dağıtın, devre dışı bırakmayın.Yakında ihtiyaç duyulacak.
Hâlâ ŞİMDİ İHTİYACINIZ OLDUĞUNUZ protokolleri etkinleştirin ve başka hiçbir şey yapmayın diyorum.Yeni bir sunucu kurulumunu kurduğumda sadece şu anda ihtiyacım olan uygulamalar aktif, IPv6 henüz burada değil.Çoğu ISS, protokol için destek bile sunmuyor.Neden ihtiyaç duyulmayan bir protokolü etkin bırakarak saldırgana avantaj sağlayın.
Test yapabilir ve IPv6 bağlantısına ihtiyaç duyulduğunda ancak mevcut olmadığında işlerin sorunsuz bir şekilde başarısız olacağından% 100 emin olursanız, yapılması gereken bir argüman vardır.Ama ... kesinlik gerekiyor.
Canlı tartışma için teşekkürler!IPv6 geçişi nedeniyle tüm kariyer yolları gelişiyor.Doğrudur, bu protokoldeki güvenlik açıklarını gidermek için gereken saldırı sektörlerinden ve yamalardan emin değiliz.Daha azının daha iyi olduğu mantrasına göre yaşıyorum.
fuzzKitty
2018-03-25 16:50:52 UTC
view on stackexchange narkive permalink

Bunun farklı yönleri var.

Öncelikle, tamamen istatistiksel bir bakış açısıyla, ne kadar çok erişim noktası / kapı açarsanız, sisteminiz o kadar savunmasız hale gelir. Yine de çoğu hizmet için bu doğrudur.

Daha spesifik olarak, IPv6 henüz güvenlik açıklarını tam olarak anlayabilecek ve bunları düzeltebilecek kadar geniş bir ölçekte uygulanmamıştır. En iyi IP uzmanları bile IPv6 söz konusu olduğunda neredeyse hiç somut alan deneyimine sahip değilsiniz.

Bunun da ötesinde, IPv6 belirli işlemleri IPv4'ün yaptığından tamamen farklı bir şekilde yönetiyor ve bu, saldırganlar için yeni fırsatlar yarattı ... bilinen güvenlik açığı, örneğin, bir yönlendiricinin bir LAN'ı çok kolay bir IPv6 DOS hedefi haline getiren IPv6 reklamlarını göndermesinin farklı bir yolundan kaynaklanır, bkz. IPv6 Yönlendirici Bildirimi DOS.

Tümü IPv6'nın güvenlik açıklarından yararlanma amaçlı araç takımları İnternet'in her yerinde kolayca kullanılabilir.

IPv6'nın tüm cihazlarımda devre dışı bırakıldığından her zaman emin oluyorum. Henüz kimsenin kullanmadığı / desteklemediği bir şey için neden gereksiz risk alasınız?



Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 3.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...