我有一个同事正在禁用 IPv6 并保留 IPv4在部署到我们的环境中之前,每台新机器都会有 IPv6。他引用了自己的轶事证据,声称禁用 IPv6 有助于提高网络性能,因为主干和节点需要处理的“广告/请求”数据包更少。然后他很快补充说,这还会减少攻击者可能尝试攻击的表面积。
虽然这些论点在纸面上听起来不错,但我对所提供的传闻证据以及禁用 IPv6 可能提供的安全“预防措施”表示怀疑。哎呀,我甚至发现了这个邮政其中一位发帖者提到 IPv6 甚至可以提供微小的改进。抛开网络的差异,这些说法站得住脚吗?
答案1
他关于额外开销的说法完全正确,因为每台设备/PC 都会为 IPv6 和 IPv4 广播和构建 ARP 缓存。然而,实际产生的流量相当小(典型的 ARP 数据包大小为28 字节)。
这应该是无关紧要的。但是,如果您有类似 NMS 系统的东西,使用 WMI 查询、SNMP 轮询(陷阱不会产生太多流量),或者在对延迟/质量敏感的环境中进行 netflow/Jflow 导出,那么尽可能多地消除背景噪音是有意义的。特别是 IPv6... 您是否有可能在内部需要 IPv6?值得怀疑,因为 IPv4 中的私有块为即使是最大的企业也提供了大量地址。除非您的环境中对 IPv6 有特定需求,否则更好的问题是为什么要将其保留?我知道在我的环境中我们将其保留下来只是因为它是一个额外的层,可能会在故障排除时引起问题。
请记住,即使网络设备或 PC 没有被主动使用,它仍然会响应并广播网络基本输入输出系统/ARP,因此仍然会产生一些尽管很小的流量。
我应该补充一点,“减少了攻击者可能尝试攻击的表面积。”这完全是胡说八道……你不需要为 IPv6 流量添加额外的防火墙或 WAN。无论是否启用 IPv6,仍然有相同的边缘设备执行 NAT。
答案2
不幸的是,一些组织在运行 Windows Vista 或 Windows Server 2008 的计算机上禁用了 IPv6,而这些计算机默认安装并启用了 IPv6。许多组织禁用 IPv6 是因为他们认为自己没有运行任何使用 IPv6 的应用程序或服务。其他组织可能因为误以为同时启用 IPv4 和 IPv6 会使 DNS 和 Web 流量翻倍而禁用 IPv6。事实并非如此。
从 Microsoft 的角度来看,IPv6 是 Windows 操作系统的强制性组成部分,在操作系统开发过程中,它已启用并包含在标准 Windows 服务和应用程序测试中。由于 Windows 是专门为 IPv6 设计的,因此 Microsoft 不会进行任何测试来确定禁用 IPv6 的影响。如果在 Windows Vista、Windows Server 2008 或更高版本上禁用 IPv6,某些组件将无法运行。此外,您可能认为没有使用 IPv6 的应用程序(例如远程协助、HomeGroup、DirectAccess 和 Windows Mail)可能会使用 IPv6。
因此,Microsoft 建议您启用 IPv6,即使您没有启用 IPv6 的网络(无论是本机网络还是隧道网络)。通过启用 IPv6,您不会禁用仅支持 IPv6 的应用程序和服务(例如,Windows 7 中的 HomeGroup 以及 Windows 7 和 Windows Server 2008 R2 中的 DirectAccess 仅支持 IPv6),并且您的主机可以利用 IPv6 增强的连接。
答案3
我认为计算机安全领域的一般理论是,你应该禁用你不使用的任何服务,这一理论非常站得住脚。如果你不需要它,就把它关掉,这一直是计算机安全领域的标准第一步,我认为它为什么不适用于网络。