GNU/Linux >> Znalost Linux >  >> Linux

Jak by deaktivace IPv6 učinila server bezpečnější?

Z pohledu firewallu je důležité si uvědomit, že jak IPv4, tak IPv6 (pokud je povoleno) jsou nakonfigurovány v systému a není tomu tak vždy.

Podle mých zkušeností se mi podařilo obejít (interní) firewally. V jednom scénáři na počítači s Linuxem byly iptables nakonfigurovány, ale ip6tables nikoli, což odhalilo (zranitelné) služby, které nebyly dostupné přes IPv4.

Protože se většina služeb váže na 0.0.0.0 a [::]:[port] (každé rozhraní), jsou tyto služby dostupné také přes IPv6.

Takže ano, je důležité zvážit deaktivaci IPv6, pokud jej nepoužíváte. Pokud jej používáte, měli byste vy nebo správci obecně vědět, že (alespoň na serverech Linux) je vyžadována další konfigurace brány firewall.

A než začnete, že by si toho měli být vědomi administrátoři, máte naprostou pravdu. Ze zkušeností však vyplývá, že mezi správci systému chybí velká znalost IPv6.


Zakázání IPv6 nemá žádnou konkrétní výhodu. Zejména IPv6 není zranitelnější než IPv4, spíše bych řekl, že je bezpečnější (např.:IPv6 navrhuje podporovat IPSec).

Jde o to, že při posilování operačního systému obecná filozofie doporučuje odstranit všechny nepoužívané služby/nástroje. To umožňuje lepší kontrolu nad vaším operačním systémem, zlepšuje výkon (obecným způsobem) a snižuje pravděpodobnost, že útočníci mohou zneužít případné softwarové chyby nebo nesprávné konfigurace a získat (částečnou) kontrolu/přístup/do systému. Odstranění nepoužívaného IPv6 je tedy pouze obecně doporučovanou akcí k dokončení zpevnění.


Rada je dobře míněná, ale zastaralá.

IPv6 je speciálně navržen tak, aby se dal velmi snadno nastavit a spravovat, mnohem snadněji než IPv4. Má mnoho funkcí určených k tomu, aby hostitelé a celé sítě byly automaticky konfigurovány nebo snadno centrálně konfigurovány. V mnoha případech je možné, že celé sítě náhle získají konektivitu IPv6 k internetu, jakmile se dostane na okraj sítě, což může některé lidi překvapit.

Tato rada byla historicky určena k ochraně správců jak před nimi samými – protože nemusí být obeznámeni s funkcemi IPv6 – tak před zlomyslnými aktéry – protože když konečně získají připojení IPv6 k internetu, zařízení se pokusí o automatickou konfiguraci a někdy uspějí. Některé verze systému Windows se dále pokoušejí vytvořit tunely IPv6 na internet hned po vybalení, což opět překvapilo některé uživatele a administrátory. (Ostatně, deaktivace těchto tunelů je téměř vždy dobrý nápad, pokud nejsou výslovně požadovány.)

A jak již uvedli jiní, některé staré firewally z doby před 5-10 lety nebo více se správně nenakonfigurovaly na firewall IPv6 kromě IPv4. To dnes není tak velký problém, protože taková starověká zařízení jsou každým dnem vzácnější.

V dnešní době většina lidí skutečně používá IPv6, i když nemají globální připojení IPv6. Windows 8 a novější používají IPv6 ve velké míře v domácích sítích a některé funkce Windows absolutně vyžadují IPv6.

Z hlediska vyvážení funkčnosti a bezpečnosti by bylo lepší poradit lidem, aby zajistili, že IPv6 bude chráněn firewallem odpovídajícím IPv4, i když nemají globální konektivitu IPv6. Tím by se zachovala funkce IPv6, která již existuje, a zároveň by byli chráněni uživatelé, když konečně získají globální připojení IPv6.


Linux
  1. Jak přiřadit IPv6 na serveru Ubuntu

  2. Jak zabezpečit PostgreSQL Server

  3. Jak provést třídění ls podle přípony souboru a poté názvu?

  1. Jak rozhraní API zvyšují hodnotu dat

  2. Jak zabezpečit službu SSH pomocí funkce Port Knocking

  3. Jak nainstalovat a zabezpečit PostgreSQL Server na RockyLinux 8

  1. Jak zabezpečit server Ubuntu pomocí brány firewall CSF

  2. Jak zprovoznit TFTP server na CentOS 6.2

  3. Jak svázat MySQL server s více než jednou IP adresou?