¿Cómo deshabilitar IPv6 hace que un servidor sea más seguro?

Desde una perspectiva de cortafuegos, es importante darse cuenta de que tanto IPv4 como IPv6 (si están habilitados) están configurados en un sistema y esto no siempre es así.

En mi experiencia, he podido eludir los firewalls (internos). En un escenario, en una máquina Linux, se configuró iptables, pero no fue ip6tables, lo que expuso los servicios (vulnerables) que no estaban disponibles a través de IPv4.

Dado que la mayoría de los servicios se unen a 0.0.0.0 y [::]: [puerto] (todas las interfaces), estos servicios también están disponibles a través de IPv6.

Entonces, sí, es importante considerar la desactivación de IPv6 si no lo usas. Si lo usa, usted o los administradores en general deben saber que (al menos en los servidores Linux) se requiere una configuración adicional de firewall.

Y antes de que empieces que los administradores deben estar conscientes de esto, tienes toda la razón. Sin embargo, por experiencia, falta mucha información de IPv6 entre los administradores de sistemas.

No hay una ventaja específica en deshabilitar IPv6. En particular, IPv6 no es más vulnerable que IPv4, más bien diría que es más seguro (por ejemplo, IPv6 sugiere que sea compatible con IPSec).

El punto es que al reforzar su sistema operativo, la filosofía general recomienda eliminar todos los servicios / herramientas no utilizados. Esto permite un mejor control de su O.S., mejora el rendimiento (de manera genérica) y reduce la probabilidad de que los atacantes puedan explotar posibles errores de software o configuraciones erróneas y obtener control / acceso (parcial) de / al sistema. Por lo tanto, eliminar un IPv6 no utilizado es solo una acción genéricamente recomendada para finalizar el endurecimiento.

El consejo es bien intencionado pero está fechado.

IPv6 está diseñado específicamente para que sea muy fácil de configurar y administrar, mucho más fácil que IPv4. Tiene muchas características destinadas a hacer que los hosts y las redes completas se configuren automáticamente o se configuren de manera central. En muchos casos, es posible que redes enteras obtengan la conectividad de IPv6 a Internet de manera repentina tan pronto como se lleva a la red, lo que puede sorprender a algunas personas.

Este consejo tenía la intención histórica de proteger a los administradores de ellos mismos, ya que pueden no estar familiarizados con las características de IPv6, y de los actores maliciosos, ya que cuando finalmente obtienen la conectividad de IPv6 a Internet, los dispositivos intentarán autoconfigurar y, en ocasiones, tener éxito . Además, ciertas versiones de Windows intentan establecer túneles de IPv6 en Internet desde el primer momento, sorprendiendo a algunos usuarios y administradores. (Aparte de eso, deshabilitar estos túneles es casi siempre una buena idea, a menos que se deseen específicamente).

Y como han mencionado otros, algunos firewalls antiguos de hace 5-10 años o más no se configuraron correctamente para el firewall IPv6 además de IPv4. Este no es un problema tan grande hoy en día, ya que estos dispositivos antiguos se vuelven más raros con cada día que pasa.

En estos días, la mayoría de las personas realmente utilizan IPv6, incluso si no tienen conectividad IPv6 global. Windows 8 y versiones posteriores usan IPv6 ampliamente en redes domésticas, y algunas características de Windows requieren absolutamente IPv6.

Desde el punto de vista de la funcionalidad de equilibrio con la seguridad, sería mejor recomendar a las personas que se aseguren de que IPv6 tenga un cortafuegos correspondiente a IPv4, incluso si no tienen conectividad IPv6 global. Esto preservaría la funcionalidad de IPv6 que ya existe al tiempo que protege a los usuarios cuando finalmente obtengan la conectividad global de IPv6.

Respuesta corta: sí, pero para el mejor efecto, también debe desactivar IPv4.

Respuesta seria: si no usa un protocolo activamente pero acepta paquetes, aumenta el riesgo. Lo más obvio es la pila de redes, ya que debe procesar los paquetes incluso si no hay nada que use IPv6.

Pero el riesgo real es que, de hecho, está utilizando IPv6, pero no de forma activa. Es posible que no use IPv6, pero algunos de sus programas abren sockets de escucha en IPv6 (y también en IPv4) y procesarán los paquetes que ingresan. De nuevo, tiene complejidad adicional (¿manejan los paquetes v6 con tanto cuidado como los de v4?) Y puede tenga un buen cortafuegos IPv4 pero olvidó las reglas apropiadas para v6 ya que pensó que no lo está utilizando de todos modos.

Y otro "¿Estás seguro de que no lo estás utilizando?": es posible que no lo uses activamente, pero los programas como tu navegador lo usarán si está disponible. Cuando ahora, por ejemplo, bloqueó algunos sitios web de seguimiento en el nivel de IP, pueden cargarse desde su dirección IPv6 y su firewall no lo protegerá contra esto hasta que agregue las reglas v6 correspondientes.

Habiendo dicho esto, no debes desactivar IPv6. Más y más de Internet lo está utilizando y desactivarlo hará que su red sea más lenta y, tarde o temprano, le será imposible llegar a ciertos servicios. Solo asegúrese de ajustar su firewall para IPv6 también cuando agregue reglas para IPv4.

Muchas aplicaciones dependen del soporte de IPv6 incluso si no lo usan. Usan sockets IPv6 por ejemplo. Si se desactiva IPv6 completamente al eliminar el módulo del kernel ipv6, se romperán las cosas.

Es mucho mejor asegurarse de que IPv6 tenga el firewall correctamente, teniendo en cuenta que IPv6 siempre está presente en el enlace local, incluso cuando no hay otras direcciones IPv6 configuradas. Las distribuciones más recientes de Linux tienen un firewall decente (usualmente ufw o firewalld) habilitado de forma predeterminada que filtrará tanto IPv4 como IPv6.

En resumen: es mejor reconocer la presencia de IPv6 y administrarlo / filtrarlo que intentar ignorarlo o deshacerse de él y causar otros problemas.

Si no tiene una necesidad legítima de hacerlo, IPv6 solo servirá como otro canal para que las vulnerabilidades ingresen a su red y para que sus datos se filtren sin ser detectados. La regla general para la seguridad es deshabilitar cualquier cosa que no requieras.

Incluso si lo bloquea en el firewall del perímetro, un atacante podría comprometer un host (¿quizás DMZ?) a través de IPv4 y propagarse a través de IPv6 desde dentro.

La mayoría de los productos de firewall e IDS tienen un soporte decente para IPv6 ahora, por lo que las preocupaciones originales sobre el monitoreo pobre de IPv6 están en su mayoría obsoletas.

En cualquier caso, es mejor negar la oportunidad a un adversario al desactivarlo. Si no se puede desactivar, restrinja IPv6 en el firewall local para que solo permita la comunicación local / en bucle de retorno para las aplicaciones que requieran sockets IPv6.

Es un principio de seguridad general deshabilitar cualquier funcionalidad que no se esté utilizando. Además, tenga en cuenta que IPv6 tiene IPSec integrado y puede ser una opción mejor que IPv4 de forma predeterminada.

Esto es básicamente lo mismo que se ha dicho, pero digámoslo de esta manera:

Opción 1 : use IPv6 y haga el mismo esfuerzo para configurarlo y protegerlo al igual que lo hace con IPv4.

Opción 2 : no lo uses y desactívalo.

Ambos son completamente razonables y están en una posición mucho mejor que la Opción 3: no use IPv6, pero ignórelo en las reglas de su firewall y en la configuración del servicio, y déjelo completamente abierto.

En otras palabras, el consejo es bueno, y realmente no está recomendando el uso de IPv6 si lo desea específicamente, sino que está advirtiendo a las personas que no lo utilizan contra el peligro de ignorarlo, y no dándole el mismo escrutinio que a su configuración de IPv4. Es mejor que esas personas lo deshabiliten.

Desde una perspectiva de seguridad, menos es mejor cuando se trata de software y aplicaciones. IPV6 debe estar deshabilitado a menos que actualmente esté implementando una red IPv6. Tenga en cuenta que, a mi entender, todas las direcciones IPv4 se han entregado e IPv6 al entrar en escena y otras personas están aconsejando que deje el protocolo IPv6 habilitado. ¡Estoy en desacuerdo! Cuando necesites el protocolo habilítalo. Lo mismo ocurre con las aplicaciones y los puertos.

Hay un lado diferente a esto.

En primer lugar, desde un punto de vista puramente estadístico, cuantos más puntos / puertas de acceso abra, más vulnerable se volverá su sistema. Sin embargo, esto es cierto para la mayoría de los servicios.

Más específicamente, sin embargo, IPv6 no se ha implementado en una escala lo suficientemente grande como para ser capaz de comprender completamente sus vulnerabilidades y parchearlas, aún. Incluso los mejores expertos en IP prácticamente no tienen experiencia de campo concreta cuando se trata de IPv6.

Además de eso, IPv6 maneja ciertas operaciones de una manera radicalmente diferente a como lo hace IPv4 y esto ha creado nuevas oportunidades para los atacantes ... Una vulnerabilidad muy conocida, por ejemplo, proviene de la diferente manera en que un enrutador envía IPv6 los anuncios, que hacen que una LAN sea un objetivo de IPv6 DOS muy fácil, vea IPv6 Router Advertisement DOS .

Conjuntos completos de herramientas, diseñadas para explotar las vulnerabilidades de IPv6, están fácilmente disponibles en Internet.

Siempre me aseguro de que IPv6 esté deshabilitado en todos mis dispositivos. ¿Por qué correr riesgos innecesarios, por algo que básicamente nadie usa / apoya todavía?