Question:
Comment la désactivation d'IPv6 rendrait-elle un serveur plus sécurisé?
vakus
2018-03-21 01:02:01 UTC
view on stackexchange narkive permalink

Je lisais cet article sur le renforcement de la sécurité sur les serveurs Linux, et au point 23, l’article dit:

# 23: Désactiver IPv6

Le protocole Internet version 6 (IPv6) fournit une nouvelle couche Internet de la suite de protocoles TCP / IP qui remplace le protocole Internet version 4 (IPv4) et offre de nombreux avantages. Si vous n'utilisez PAS IPv6, désactivez-le:

L'article donne ensuite des liens vers différents sites Web qui expliquent comment désactiver IPv6. Cependant, ni l'article ni aucun des liens ne semblent indiquer pourquoi IPv6 devrait être désactivé s'il n'est pas utilisé.

Étant donné que l'article portait sur le renforcement de la sécurité sur les serveurs Linux, comment la désactivation d'IPv6 rendrait-elle un serveur plus sécurisé?

* "Si vous n'utilisez PAS IPv6, désactivez-le" * - En général: plus vous avez installé de logiciels et plus vous avez activé de fonctionnalités, plus la surface d'attaque de votre système est grande.Ainsi, n'installez pas de logiciels dont vous n'avez pas vraiment besoin et n'activez pas les fonctionnalités dont vous n'avez pas besoin.
@SteffenUllrich Je comprends globalement que moins de logiciels / fonctionnalités sont meilleurs, mais je ne vois pas comment la désactivation d'IPv6 rendrait le système plus sécurisé, cela ne signifie cependant pas que je ne suis pas d'accord pour dire que la désactivation d'IPv6 rend le système plus sécurisé
Je suppose que bon nombre des sites Web référencés par le PO sont également datés.Pendant longtemps, les fonctionnalités de sécurité IPv6 de nombreux produits "faisaient défaut" par rapport à IPv4.Ce n'est généralement plus vrai.IPv6 est requis aujourd'hui si vous souhaitez communiquer avec certains hôtes Internet sans recourir à une sorte de tunnel / passerelle 6to4 intermédiaire.De plus, IPv4 est maintenant souvent utilisé via CGN / LSN par de nombreux opérateurs, contrairement à IPv6.Désactiver IPv6 aujourd'hui est probablement une mauvaise idée, sauf si vous avez vraiment besoin de le faire.
Si vous pouvez communiquer suffisamment bien sur IPv6 pour être attaqué à distance, alors, par définition, vous «utilisez IPv6».
@vakus Le code qui implémente IPv6 n'est pas le même que celui qui implémente IPv4.Il est donc possible qu'il y ait une vulnérabilité dans le premier qui n'existe pas dans le second.La désactivation de quelque chose susceptible d'introduire une vulnérabilité supplémentaire rend le système plus sécurisé.Sinon, retournez-le.Une fois désactivé, améliore-t-il / dégrade-t-il la sécurité pour l'activer? Bruce Schneier a un jour expliqué pourquoi ses appliances de sécurité de sécurité excluaient le shell `bash` selon la règle simple: Si nous n'avons pas besoin de quelque chose, nous ne voulons pas qu'il soit disponible pour être utilisé par un attaquant.
Cela vous fait gagner du temps - par ex.vous n'avez pas à écrire de règles `ip6tables` si vous savez que vous ne fournissez pas accidentellement de services IPv6.
Finalement, nous avons tous besoin de connaître ipv6 :(, ipv4 était tellement plus facile mais je comprends le besoin d'ipv6
Si vous avez deux portes, mais que vous n'en utilisez jamais, verrouillez cette porte.
Si vous utilisez NAT: https://security.stackexchange.com/questions/7821/is-ipv6-with-nat-less-secure-than-ipv4/7831#7831
Ma première pensée quand j'ai vu la question a été: "Pourquoi utilisez-vous toujours IPv4?"Chaque FAI auquel je me suis connecté au cours des deux dernières années dispose d'un adressage IPv6.La question la plus urgente, je pense, est "La grande majorité des utilisateurs a-t-elle même plus besoin d'IPv4?"
@FreeSoftwareServers Qu'y a-t-il de plus simple?S'agit-il simplement d'adresses plus courtes?
@immibis parce que c'est plus court et non alphanumérique, juste numérique.Il est clairement plus facile de se souvenir de ce qui est agréable.
Nous sommes en 2018. Pourquoi les articles sur la sécurité ne disent-ils pas «Désactiver IPv4»?
@GreenstoneWalker car IPv6 est toujours facultatif et IPv4 ne l'est toujours pas.
Vakus, pour répondre à votre commentaire demandant pourquoi sa désactivation est plus sécurisée par rapport au commentaire d'@SteffenUllrich concernant la réduction de la surface d'attaque: Réduire la surface d'attaque ne consiste pas strictement à réduire le risque * connu *.Il s'agit autant, voire plus, de réduire les risques * inconnus *.En d'autres termes, même si vous ne * savez * pas que quelque chose comporte un risque spécifique, le désactiver (s'il n'est pas utilisé) est supposé réduire votre profil de risque puisque vous supprimez la * chance * qu'il comporte un risque pour vous »vous n'êtes pas au courant.Le risque total est la somme du risque connu plus une estimation présumée du risque inconnu
Pour approfondir l'analogie faite par @Martijn - supposons que votre ennemi ne sache pas comment ouvrir les portes.Il n'y a pas de risque connu!Cependant, vous devez toujours verrouiller la porte inutilisée, pour vous protéger du risque que demain, votre ennemi apprenne à ouvrir les portes.
@immibis Faux.[RFC 6540] (https://tools.ietf.org/html/rfc6540) rend IPv6 obligatoire.Cependant, beaucoup considèrent l'IP vintage comme facultative.
Pertinent pour tous les haters IPv6: https://ipv6bingo.com/
Parce que la désactivation d'IPv6 fait d'IPv4 la seule pile restante et qu'IPv6 est connu pour être utilisé comme canal secret et contournement des défenses de pile.
@MartinSchröder Et ici, nous voyons la différence entre les normes et le monde réel.
@TracyCramer Je n'ai jamais eu d'adresse IPv6 sauf via EC2.Mon FAI résidentiel n'offre pas IPv6 (peut-être sur demande, devrais-je demander).Mon bureau n'a pas IPv6.Mon téléphone portable n'obtient pas d'adresse IPv6.Il semble que tout le pays de la Nouvelle-Zélande nous colle collectivement la tête dans le sable, même si je suppose que l'infrastructure de base a été mise à niveau pour la soutenir.Seuls les nouveaux FAI de démarrage, qui ne peuvent pas obtenir d'adresses IPv4 pour commencer, utilisent IPv6.Et la Nouvelle-Zélande n'est pas le pays le plus arriéré au monde sur le plan technologique (même s'il se classe probablement au milieu).
Dix réponses:
Jeroen
2018-03-21 01:52:16 UTC
view on stackexchange narkive permalink

Du point de vue du pare-feu, il est important de réaliser que IPv4 et IPv6 (si activé) sont configurés sur un système et ce n'est pas toujours le cas.

D'après mon expérience, j'ai pu contourner les pare-feu (internes). Dans un scénario, sur une machine Linux, iptables était configuré cependant, ip6tables ne l'était pas, ce qui exposait des services (vulnérables) qui n'étaient pas disponibles sur IPv4.

Étant donné que la plupart des services se lient à 0.0.0.0 et [:: ]: [port] (chaque interface), ces services sont également disponibles sur IPv6.

Donc, oui, il est important d'envisager de désactiver IPv6 si vous ne l'utilisez pas. Si vous l'utilisez, vous ou les administrateurs en général devez savoir que (au moins sur les serveurs Linux) une configuration supplémentaire du pare-feu est nécessaire.

Et avant de commencer que les administrateurs doivent en être conscients, vous êtes tout à fait correct. Cependant, par expérience, il manque beaucoup de connaissances IPv6 parmi les administrateurs système.

Notez que la liaison à 0.0.0.0 n'est pas tout ce qu'il faut pour écouter sur IPv6.L'application doit la configurer explicitement pour utiliser les sockets IPv6.
@multithr3at3d: Cela dépend certainement de la plate-forme, et même alors, seulement vrai du point de vue du noyau.De nombreuses bibliothèques réseau effectueront le travail d'activation d'IPv6 sans nécessiter d'action explicite de la part du programmeur d'application.
@multithr3at3d: Vous avez raison, mis à jour mon message.
`ip6tables`, pas` iptables6`
@BenVoigt: Je crois que c'est généralement le contraire: les sockets IPv6 (AF_INET6) liés à `[::]` peuvent accepter les connexions IPv4, mais ** pas ** l'inverse._ (Si un socket IPv4 acceptait une connexion IPv6, comment le système d'exploitation stockerait-il l'adresse IPv6 de l'homologue dans un champ de 4 octets?) _
@grawity: Ce que je dis, c'est que la bibliothèque a probablement fourni un champ assez grand pour les adresses AF_ANY, même sans que l'application n'ait à demander le support IPv6.
Serait-il plus sûr de désactiver IPv4 et de configurer correctement IPv6 que de configurer correctement IPv4 et de désactiver IPv6?
@Tracy qui ne peut pas être dit avec certitude, mais cela pourrait certainement réduire l'exposition des scanners Internet et des attaques
Il n'y a certainement aucun moyen qu'un socket lié comme ipv4 puisse accepter des connexions ipv6 sans une sorte de DNAT laid, puisque l'API n'a tout simplement aucun moyen de représenter une adresse source ipv6.Je ne pense pas qu'il soit plausible de prétendre que la liaison d'une socket `AF_INET` à 0.0.0.0 vous expose à des connexions ipv6 potentiellement indésirables.Vous devrez vraiment faire tout votre possible avec des iptables / routages avancés pour rendre cela possible.
flex
2018-03-21 02:04:45 UTC
view on stackexchange narkive permalink

Il n'y a pas d'avantage spécifique à désactiver IPv6. En particulier, IPv6 n'est pas plus vulnérable que IPv4, je dirais plutôt qu'il est plus sécurisé (par exemple: IPv6 suggère de prendre en charge IPSec).

Le fait est que tout en renforçant votre système d'exploitation, la philosophie générale recommande de supprimer tous les services / outils inutilisés. Cela permet un meilleur contrôle de votre O.S., d'améliorer les performances (de manière générique) et de réduire la probabilité que les attaquants puissent exploiter d'éventuels bogues ou erreurs de configuration du logiciel et obtenir un contrôle / accès (partiel) du / au système. Ainsi, la suppression d'un IPv6 inutilisé n'est qu'une action générique recommandée pour finaliser le durcissement.

Comme dans l'autre réponse, l'avantage spécifique de la désactivation d'IPv6 est que c'est une chose de moins à oublier lors de la configuration de votre système.Ce n'est pas plus vulnérable que IPv4, mais c'est un autre point d'entrée qui doit être correctement configuré.Si vous ne l'utilisez pas, vous ne le configurez probablement pas correctement non plus, donc le désactiver est une bonne idée dans ce cas ...
+1 pour avoir réitéré que l'ipv6 est en fait PLUS sécurisé, ce qui est logique, mais je doute que beaucoup de gens aient besoin d'ipv6 au-delà des FAI
En plus des possibilités évidentes de l'absence de règles de pare-feu et des exploits présents dans un code indépendant, il y a aussi le fait qu'IPv6 a environ 40 ans de moins de tests de bêta et de pénétration dans la nature que IPv4.Il est pratiquement garanti que les problèmes inconnus avec IPv4 n'existeront pas compte tenu de sa longue durée de vie.Les problèmes inconnus avec IPv6 sont non seulement possibles mais probables.
Michael Hampton
2018-03-21 05:36:44 UTC
view on stackexchange narkive permalink

Le conseil est bien intentionné mais daté.

IPv6 est spécifiquement conçu pour être très facile à configurer et à administrer, beaucoup plus facile que IPv4. Il possède de nombreuses fonctionnalités destinées à permettre aux hôtes et à des réseaux entiers d'être configurés automatiquement ou facilement configurés de manière centralisée. Dans de nombreux cas, il est possible que des réseaux entiers obtiennent soudainement une connectivité IPv6 à Internet dès qu'il est amené à la périphérie du réseau, ce qui peut surprendre certaines personnes.

Ce conseil visait historiquement à protéger les administrateurs à la fois d'eux-mêmes - comme ils peuvent ne pas être familiers avec les fonctionnalités IPv6 - et des acteurs malveillants - comme quand ils obtiennent enfin la connectivité IPv6 à Internet, les appareils tenteront de se configurer automatiquement et réussiront parfois. De plus, certaines versions de Windows tentent d’établir des tunnels IPv6 vers Internet hors de la boîte, surprenant encore une fois certains utilisateurs et administrateurs. (En passant, la désactivation de ces tunnels est presque toujours une bonne idée à moins qu'ils ne soient spécifiquement souhaités.)

Et comme d'autres l'ont mentionné, certains anciens pare-feu d'il y a 5 à 10 ans ou plus ne se configuraient pas correctement eux-mêmes au pare-feu IPv6 en plus de IPv4. Ce n'est pas un problème aussi grave aujourd'hui, car ces anciens appareils deviennent de plus en plus rares chaque jour qui passe.

De nos jours, la plupart des gens utilisent réellement IPv6 même s'ils n'ont pas de connectivité IPv6 globale. Windows 8 et les versions ultérieures utilisent largement IPv6 sur les réseaux domestiques, et certaines fonctionnalités de Windows nécessitent absolument IPv6.

Du point de vue de l'équilibre entre fonctionnalité et sécurité, il serait préférable de conseiller aux utilisateurs de assurez-vous qu'IPv6 est pare-feu en fonction de IPv4, même s'ils n'ont pas de connectivité IPv6 globale. Cela préserverait la fonctionnalité IPv6 qui existe déjà tout en protégeant les utilisateurs lorsqu'ils obtiendront enfin une connectivité IPv6 globale.

C'est Security.SE;bien sûr, IPv6 a plus de fonctionnalités automatiques que IPv4, mais du point de vue de la sécurité, ce serait un cauchemar.Je connais beaucoup d'opérateurs à temps partiel qui configurent des réseaux ici et là qui n'auraient jamais aucun contact avec le monde IPv6;et je préfère que la seule chose qu'ils font avec IPv6 soit de le désactiver, au lieu de le laisser ouvert avec les paramètres par défaut qu'il peut avoir - sur certains appareils, cela peut simplement être ouvert avec les paramètres par défaut.Évidemment, le configurer / le pare-feu correctement serait préférable, mais ne pas le laisser aux paramètres par défaut.
@AnoE C'est un bon point.Si vous n'êtes pas familier avec une technologie, du point de vue de la sécurité, vous ne devriez pas l'activer tant que vous n'êtes pas suffisamment familiarisé avec elle.Bien sûr, ne pas activer IP rend l'utilisation d'Internet difficile et, à l'avenir, ne pas activer IPv6 peut rendre difficile toute action.Nous pourrions remonter jusqu'à l'ordinateur sécurisé enfoui dans le béton ...
Pas du tout.Je ne parle pas de désactiver un composant "inactif", mais de désactiver un composant qui peut être (dans des cas très imaginables) une configuration par défaut largement ouverte.C'est, IMO, au même niveau que les mots de passe par défaut "admin" dans les routeurs populaires.Je n'ai jamais dit de désactiver IP.Si IPv6 devient nécessaire, l'administrateur le remarquera * évidemment * et se concentrera ensuite sur la configuration correcte d'IPv6.
`Si IPv6 devient nécessaire, l'administrateur le remarquera évidemment et se concentrera ensuite sur la configuration correcte d'IPv6." C'est une hypothèse plutôt généreuse.Je suppose que cela change peu en ce qui concerne cette question / réponse, mais le scénario beaucoup plus probable est que l'administrateur (qui est également le "développeur" de Wordpress et le directeur informatique) l'allume, se fait pirater et dit à tous ces collègues PHBsur la façon dont IPv6 est si peu sûr.
@HopelessN00b Je pense que vous accordez trop de crédit à l'administrateur.Quand IPv6 devient nécessaire, je pense que la plupart des administrateurs ne le remarqueront pas et continueront à fonctionner comme d'habitude.
allo
2018-03-21 14:18:59 UTC
view on stackexchange narkive permalink

Réponse courte: Oui, mais pour le meilleur effet, vous devez également désactiver IPv4.

Réponse sérieuse: Si vous n'utilisez pas un protocole activement mais acceptez les paquets, vous augmentez le risque. La chose la plus évidente est la pile réseau, car elle doit traiter les paquets même si rien n'utilise IPv6.

Mais le risque réel est que vous utilisiez effectivement IPv6, mais pas activement. Vous n'utilisez peut-être pas IPv6, mais certains de vos programmes ouvrent des sockets d'écoute sur IPv6 (et IPv4 également) et traiteront les paquets entrants. Encore une fois, vous avez une complexité supplémentaire (traitent-ils les paquets v6 aussi prudemment que ceux v4?) Et vous pouvez avoir un bon pare-feu IPv4 mais j'ai oublié les règles appropriées pour la v6 car vous pensiez ne pas l'utiliser de toute façon.

Et un autre "Êtes-vous sûr de ne pas l'utiliser": vous ne pouvez pas l'utiliser activement , mais des programmes comme votre navigateur l'utiliseront s'il est disponible. Lorsque vous bloquez maintenant, par exemple, certains sites Web de suivi au niveau IP, ils peuvent être chargés à partir de leur adresse IPv6 et votre pare-feu ne vous protège pas contre cela jusqu'à ce que vous ajoutiez les règles v6 correspondantes.

Avoir ceci dit, vous ne devez pas désactiver IPv6. De plus en plus d'Internet l'utilise et sa désactivation ralentira d'abord votre réseau et vous empêchera tôt ou tard d'accéder à certains services. Assurez-vous simplement d'ajuster également votre pare-feu pour IPv6 lorsque vous ajoutez des règles pour IPv4.

Commentaire court: La désactivation d'IPv6, en particulier à l'avenir, rendra votre système plus sécurisé de la même manière que le déconnecter d'Internet: Techniquement, mais probablement pas à un coût raisonnable dans la plupart des cas.
Bon point de ne pas savoir que vous utilisez IPv6, certains programmes l'utilisent à votre insu et en ont besoin, xbox live pour Windows vient à l'esprit
Sander Steffann
2018-03-21 05:05:02 UTC
view on stackexchange narkive permalink

De nombreuses applications dépendent du support IPv6 même si elles ne l'utilisent pas. Ils utilisent par exemple des sockets IPv6. La désactivation complète d'IPv6 en supprimant le module du noyau ipv6 cassera des choses.

Il est préférable de s'assurer qu'IPv6 est correctement protégé par un pare-feu, en tenant compte du fait qu'IPv6 est toujours présent sur la liaison locale même si aucun autre IPv6 les adresses sont configurées. Les distributions Linux les plus récentes ont un pare-feu décent (généralement ufw ou firewalld) activé par défaut qui filtrera à la fois IPv4 et IPv6.

En bref: il vaut mieux reconnaître la présence d'IPv6 et le gérer / le filtrer que d'essayer de l'ignorer ou de s'en débarrasser et de causer d'autres problèmes.

Je ne suis pas sûr que «casser» les services les rend nécessairement plus sûrs.Pouvez-vous justifier cette affirmation?(Ou répondez-vous réellement à une question différente de celle qui a été posée?)
Je dis que oui: la désactivation d'un protocole inutilisé peut augmenter la sécurité, mais au prix de casser d'autres choses.Par conséquent, la désactivation n'est peut-être pas une bonne idée ...
Je viens de réaliser que la question dans le titre est différente de celle de la dernière ligne de la question - vous avez répondu à une question différente de celle que j'ai lue.J'aimerais vraiment que les demandeurs ne fassent pas ça ...
Je ne sais pas pour dire "beaucoup" d'applications, il y en a un nombre croissant mais ce n'est pas beaucoup de guichets automatiques.De plus, lorsque j'installe des serveurs, ils sont généralement destinés à un but spécifique, donc mes 2 cents seraient de le désactiver et de tester les fonctions des serveurs et de les réactiver si vous avez des problèmes.
DoubleD
2018-03-22 22:11:49 UTC
view on stackexchange narkive permalink

Si vous n'en avez pas besoin légitimement, IPv6 ne servira que de canal supplémentaire pour que les exploits pénètrent dans votre réseau et que vos données s'exfiltrent sans être détectées. La règle générale de sécurité est de désactiver tout ce dont vous n'avez pas besoin.

Même si vous le bloquez au niveau du pare-feu de périmètre, un attaquant pourrait compromettre un hôte (peut-être DMZ?) sur IPv4 et se propage via IPv6 de l'intérieur.

La plupart des pare-feu et des produits IDS ont maintenant un support IPv6 décent, donc les préoccupations initiales concernant une mauvaise surveillance IPv6 sont pour la plupart dépassées.

Quoi qu'il en soit, c'est mieux vaut refuser à un adversaire l'opportunité en la désactivant. S'il ne peut pas être désactivé, limitez IPv6 sur le pare-feu local afin qu'il n'autorise la communication locale / en boucle que pour les applications qui nécessitent des sockets IPv6.

firstlastsabbatical
2018-03-25 22:40:50 UTC
view on stackexchange narkive permalink

C'est un principe de sécurité général pour désactiver toute fonctionnalité qui n'est pas utilisée. Considérez également qu'IPv6 a IPSec intégré et peut être une meilleure option que IPv4 par défaut.

thomasrutter
2018-03-26 09:27:53 UTC
view on stackexchange narkive permalink

C'est fondamentalement la même chose que ce qui a été dit, mais disons les choses de cette façon:

Option 1 : utilisez IPv6, et faites le même effort pour le configurer et le sécuriser comme vous le faites IPv4.

Option 2 : ne l'utilisez pas et désactivez-la.

Les deux sont tout à fait raisonnables et sont bien meilleurs position à prendre que l'option 3: n'utilisez pas IPv6, mais ignorez-le dans vos règles de pare-feu et dans la configuration de votre service, et laissez-le complètement ouvert.

En d'autres termes, le conseil est bon, et c'est ne recommande pas vraiment d'utiliser IPv6 si vous souhaitez spécifiquement l'utiliser, mais il met plutôt en garde les personnes qui ne l'utilisent pas contre le piège de l'ignorer, et de ne pas lui donner le même examen que vous faites votre configuration IPv4. Ces personnes feraient mieux de la désactiver.

SecurityDoctor
2018-03-21 17:55:16 UTC
view on stackexchange narkive permalink

Du point de vue de la sécurité, moins c'est mieux quand il s'agit de logiciels et d'applications. IPV6 doit être désactivé sauf si vous déployez actuellement un réseau IPv6. Gardez à l'esprit que si je comprends bien, toutes les adresses IPv4 ont été distribuées et IPv6 arrive sur les lieux et d'autres vous conseillent de laisser le protocole IPv6 activé. Je ne suis pas d'accord! Lorsque vous avez besoin du protocole, activez-le. Il en va de même pour les applications et les ports.

Le monde évolue vers IPv6, quoique lentement.Je pense qu'une bien meilleure stratégie est de déployer correctement IPv6 que de l'éteindre.Désactiver IPv6 revient à désactiver le LTE sur votre téléphone afin que les logiciels malveillants se chargent plus lentement :)
Merci pour votre commentaire mais je dois à la fois être d'accord et en désaccord avec vous.Il est vrai que l'infrastructure technologique mondiale doit éventuellement migrer et déployer des protocoles iPv6.Cependant, votre exemple est imparfait.Je vois la situation davantage en termes de portes.IPv4 est la porte avant et IPv6 est la porte arrière moins utilisée.Les verrouiller tous les deux est le plus logique.
Précisément.Déployez correctement IPv6, ne le désactivez pas.Cela sera bientôt nécessaire.
Je dis toujours activer les protocoles dont vous avez BESOIN MAINTENANT et rien d'autre.Lorsque je déploie une nouvelle installation de serveur, seules les applications dont j'ai actuellement besoin sont actives, IPv6 n'est pas encore là.De nombreux FAI n'offrent même pas de support pour le protocole.Pourquoi donner un avantage à un attaquant en laissant un protocole actif qui n'est pas nécessaire.
Si vous pouvez faire des tests et être sûr à 100% que les choses échoueront correctement lorsque la connectivité IPv6 devient nécessaire mais n'est pas présente, alors il y a un argument à faire.Mais ... la certitude est requise.
Merci pour la discussion animée!Des pistes de carrière entières se développent en raison de la migration IPv6.C'est vrai, nous ne sommes pas sûrs des secteurs d'attaque et des correctifs nécessaires pour corriger les vulnérabilités de ce protocole.Je vis simplement le mantra que moins c'est mieux.
fuzzKitty
2018-03-25 16:50:52 UTC
view on stackexchange narkive permalink

Il y a des côtés différents à cela.

Tout d'abord, d'un point de vue purement statistique, plus vous ouvrez de points d'accès / portes, plus votre système devient vulnérable. Cependant, cela est vrai pour la plupart des services.

Plus spécifiquement, cependant, IPv6 n'a pas encore été implémenté à une échelle suffisamment grande pour pouvoir comprendre pleinement ses vulnérabilités et les corriger, même les meilleurs experts en IP. n'ont pratiquement aucune expérience concrète sur le terrain en matière d'IPv6.

En plus de cela, IPv6 gère certaines opérations d'une manière radicalement différente de celle d'IPv4 et cela a créé de nouvelles opportunités pour les attaquants ... Un très bien La vulnérabilité connue, par exemple, provient de la manière différente dont un routeur envoie des publicités IPv6, ce qui fait d'un LAN une cible DOS IPv6 très facile, voir IPv6 Router Advertisement DOS.

Entier des suites d'outils, destinées à exploiter les vulnérabilités d'IPv6, sont facilement disponibles partout sur Internet.

Je m'assure toujours qu'IPv6 est désactivé sur tous mes appareils. Pourquoi prendre des risques inutiles, pour quelque chose que personne n'utilise / ne supporte pas encore?



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...