Cha*_*son 7 security ipv6 ipv4
我有一位同事正在禁用 IPv6,同时将 IPv4 留在每台新机器上,然后再部署到我们的环境中。他根据个人轶事证据声称禁用 IPv6 有助于提高网络性能,因为主干和节点必须处理的“广告/请求”数据包较少。然后他很快补充说,它也减少了攻击者可能试图攻击的表面积。
虽然这些论点在纸面上听起来不错,但我质疑所提供的轶事证据以及禁用 IPv6 可能提供的安全“预防措施”。哎呀,我什至发现了这篇文章,其中一位海报提到 IPv6 甚至可以提供微不足道的改进。撇开网络的差异不谈,这些说法站得住脚吗?
Moa*_*oab 10
不幸的是,一些组织在其运行 Windows Vista 或 Windows Server 2008 的计算机上禁用 IPv6,默认情况下已安装并启用 IPv6。许多禁用基于 IPv6 的假设他们没有运行任何使用它的应用程序或服务。其他人可能会因为一种误解而禁用它,即同时启用 IPv4 和 IPv6 会使他们的 DNS 和 Web 流量增加一倍。这不是真的。
从微软的角度来看,IPv6 是 Windows 操作系统的强制性部分,它在操作系统开发过程中启用并包含在标准的 Windows 服务和应用程序测试中。由于 Windows 是专门为存在 IPv6 设计的,因此 Microsoft 不会执行任何测试来确定禁用 IPv6 的影响。如果在 Windows Vista、Windows Server 2008 或更高版本上禁用 IPv6,某些组件将无法运行。此外,您可能认为不会使用 IPv6 的应用程序(例如远程协助、家庭组、DirectAccess 和 Windows Mail)可能会使用。
因此,Microsoft 建议您启用 IPv6,即使您没有启用 IPv6 的网络,无论是本机网络还是隧道网络。通过启用 IPv6,您不会禁用纯 IPv6 应用程序和服务(例如,Windows 7 中的家庭组和 Windows 7 和 Windows Server 2008 R2 中的 DirectAccess 是纯 IPv6),并且您的主机可以利用 IPv6 增强连接。
他对额外开销的看法 100% 正确,因为每个设备/PC 都会为 IPv6 和 IPv4 做广告和构建 ARP 缓存。然而,实际生成的流量非常小(典型的 ARP 数据包大小为28 字节)。
它应该是无关紧要的。但是,如果您有使用 WMI 查询、SNMP 轮询(陷阱不会产生大量流量)的 NMS 系统,或者在延迟/质量敏感的环境中进行 netflow/Jflow 导出,那么删除尽可能多的背景是有意义的噪音尽可能。特别是 IPv6 ......您是否有可能在内部需要 IPv6?令人怀疑,因为 IPv4 中的私有块甚至为最大的企业提供了大量地址。除非您的环境中特别需要 IPv6,否则更好的问题是为什么要保留它?我知道在我的环境中,我们之所以不使用它,只是因为它是一个额外的层,在故障排除时可能会导致问题。
请记住,即使网络设备或 PC 没有被积极使用,它仍在响应和通告NetBIOS /ARP,因此仍然会产生一些尽管很小的流量。
我应该补充一点,“减少了攻击者可能试图攻击的表面积。” 这完全是胡说八道……您不需要为 IPv6 流量添加额外的防火墙或 WAN。无论 IPv6 是否开启,仍然有相同的边缘设备在执行 NAT。