Desabilitar o IPv6 diminui minha área de superfície e aumenta o desempenho?

7

Tenho colegas que estão entusiasmados com desativando o IPv6 enquanto deixam o IPv4 em cada nova máquina que entra antes de implantar em nosso ambiente. Ele leva sua evidência pessoal e afirma que desabilitar o IPv6 ajuda no desempenho da rede porque há menos pacotes de "publicidade / solicitação" que o backbone e os nós precisam processar. Ele então acrescenta rapidamente que também cria menos de uma área de superfície na qual os invasores poderiam tentar atacar.

Embora esses argumentos pareçam bons no papel, questiono a evidência fornecida e a "precaução" de segurança que a desabilitação do IPv6 pode fornecer. Heck, eu até encontrei este post onde um dos cartazes menciona que o IPv6 poderia até mesmo fornecer uma melhoria marginal. Diferenças nas redes à parte, essas alegações mantêm a água?

    
por Chad Harrison 14.05.2012 / 18:32

4 respostas

5

Ele está 100% correto em sobrecarga adicional, pois cada dispositivo / PC estará anunciando e criando um cache de ARP para IPv6 e IPv4. No entanto, a quantidade real de tráfego sendo gerada é bastante pequena (o tamanho típico do pacote ARP é de 28 bytes ).

Deve ser irrelevante. MAS se você tem algo como um sistema NMS que usa consultas WMI, pesquisa SNMP (traps não criam muito tráfego) ou a exportação netflow / Jflow em um ambiente que é latência / qualidade sensível, faria sentido remover o máximo de background ruído quanto possível. Particularmente IPv6 ... Existe a possibilidade de você precisar do IPv6 internamente? Duvidoso, já que os blocos privados no IPv4 fornecem muitos endereços até para os maiores negócios. A menos que você tenha uma necessidade específica de IPv6 em seu ambiente, a melhor pergunta seria por que deixá-lo ligado? Eu sei que no meu ambiente estamos deixando de fora apenas porque é uma camada adicional que pode estar causando problemas na solução de problemas.

Lembre-se de que, mesmo que um dispositivo de rede ou PC não esteja sendo usado ativamente, ele ainda está respondendo e anunciando NetBIOS / ARP, então ainda há alguns, embora pequeno tráfego sendo gerado.

Devo acrescentar que "cria menos área de superfície na qual os invasores poderiam tentar atacar". É completamente absurdo ... Não é como se você precisasse adicionar um firewall adicional ou WAN para o tráfego IPv6. Ainda existe o mesmo dispositivo de borda que pré-forma o NAT, esteja o IPv6 ativado ou não.

    
por 14.05.2012 / 18:50
10

da Microsoft

It is unfortunate that some organizations disable IPv6 on their computers running Windows Vista or Windows Server 2008, where it is installed and enabled by default. Many disable IPv6-based on the assumption that they are not running any applications or services that use it. Others might disable it because of a misperception that having both IPv4 and IPv6 enabled effectively doubles their DNS and Web traffic. This is not true.

From Microsoft’s perspective, IPv6 is a mandatory part of the Windows operating system and it is enabled and included in standard Windows service and application testing during the operating system development process. Because Windows was designed specifically with IPv6 present, Microsoft does not perform any testing to determine the effects of disabling IPv6. If IPv6 is disabled on Windows Vista, Windows Server 2008, or later versions, some components will not function. Moreover, applications that you might not think are using IPv6—such as Remote Assistance, HomeGroup, DirectAccess, and Windows Mail—could be.

Therefore, Microsoft recommends that you leave IPv6 enabled, even if you do not have an IPv6-enabled network, either native or tunneled. By leaving IPv6 enabled, you do not disable IPv6-only applications and services (for example, HomeGroup in Windows 7 and DirectAccess in Windows 7 and Windows Server 2008 R2 are IPv6-only) and your hosts can take advantage of IPv6-enhanced connectivity.

    
por 14.05.2012 / 18:57
2

Eu acho que a teoria geral em segurança de computadores que você deve desabilitar qualquer serviço que você não usa se sustenta muito bem. Se você não precisar dele, desligue-o, há muito tempo é um primeiro passo padrão na segurança do computador e não vejo por que ele não deveria se aplicar também à rede.

    
por 14.05.2012 / 18:54
0

Aqui está uma anedota para você.

Em um de meus antigos empregadores (uma empresa da Fortune 500), o administrador da rede cometeu um erro ao definir as regras de firewall IPv6.

O resultado? Todas as nossas redes internas ativadas para IPv6 foram expostas à internet . Até que eu indiquei para ele, e ele prontamente consertou isso.

Esse cara não era um idiota também. É apenas que a natureza não-NAT do IPv6 torna isso muito mais fácil de fazer por engano. Então ... aumento na superfície de ataque? Inferno sim.

Agora, garantido, a probabilidade de alguém descobrir essa falha de segurança é muito pequena. Não é fácil portar um bloco de hosts IPv6. Mas se você perceber o tráfego do que parece ser a rede interna de alguém, pode sempre falar com o host que acabou de falar.

    
por 11.03.2014 / 07:42