Je lisais cet article sur le renforcement de la sécurité sur les serveurs Linux , et au point # 23, l'article dit:
# 23: Désactivez IPv6
Le protocole Internet version 6 (IPv6) fournit une nouvelle couche Internet de la suite de protocoles TCP/IP qui remplace le protocole Internet version 4 (IPv4) et offre de nombreux avantages. Si vous n'utilisez PAS IPv6, désactivez-le:
L'article donne ensuite des liens vers différents sites Web qui expliquent comment désactiver IPv6. Cependant, ni l'article ni aucun des liens ne semblent indiquer pourquoi IPv6 doit être désactivé s'il n'est pas utilisé.
Étant donné que l'article portait sur le renforcement de la sécurité sur les serveurs Linux, comment la désactivation d'IPv6 rendrait-elle un serveur plus sûr?
Du point de vue du pare-feu, il est important de réaliser que IPv4 et IPv6 (si activé) sont configurés sur un système et ce n'est pas toujours le cas.
D'après mon expérience, j'ai pu contourner les pare-feu (internes). Dans un scénario, sur une machine Linux, iptables était configuré mais pas ip6tables, ce qui exposait des services (vulnérables) qui n'étaient pas disponibles sur IPv4.
Étant donné que la plupart des services se lient à 0.0.0.0 et [::]: [port] (chaque interface), ces services sont également disponibles sur IPv6.
Donc, oui, il est important d'envisager de désactiver IPv6 si vous ne l'utilisez pas. Si vous l'utilisez, vous ou les administrateurs en général devez être conscients que (au moins sur les serveurs Linux) une configuration de pare-feu supplémentaire est requise.
Et avant de commencer que les administrateurs doivent être conscients de cela, vous avez tout à fait raison. Cependant, par expérience, il manque beaucoup de connaissances IPv6 parmi les administrateurs système.
Il n'y a pas d'avantage spécifique à désactiver IPv6. En particulier, IPv6 n'est pas plus vulnérable que IPv4, je dirais plutôt qu'il est plus sécurisé (par exemple: IPv6 suggère de prendre en charge IPSec).
Le fait est que tout en renforçant votre système d'exploitation, la philosophie générale recommande de supprimer tous les services/outils inutilisés. Cela permet un meilleur contrôle sur votre O.S., améliore les performances (de manière générique) et réduit la probabilité que les attaquants puissent exploiter les éventuels bogues logiciels ou les mauvaises configurations et obtenir un contrôle/accès (partiel) du/sur le système. Ainsi, la suppression d'un IPv6 inutilisé n'est qu'une action génériquement recommandée pour finaliser le durcissement.
Le conseil est bien intentionné mais daté.
IPv6 est spécialement conçu pour être très facile à configurer et à administrer, beaucoup plus facile que IPv4. Il possède de nombreuses fonctionnalités destinées à entraîner la configuration automatique des hôtes et des réseaux entiers ou leur configuration centrale. Dans de nombreux cas, il est possible que des réseaux entiers obtiennent soudainement une connectivité IPv6 à Internet dès qu'il est connecté au réseau Edge, ce qui peut surprendre certaines personnes.
Historiquement, ces conseils visaient à protéger les administrateurs d'eux-mêmes - car ils ne sont peut-être pas familiers avec les fonctionnalités IPv6 - et des acteurs malveillants - car lorsqu'ils obtiennent enfin la connectivité IPv6 à Internet, les appareils tentent de se configurer automatiquement et réussissent parfois. De plus, certaines versions de Windows tentent d'établir IPv6 tunnels sur Internet dès la sortie de la boîte, surprenant à nouveau certains utilisateurs et administrateurs. (En passant, la désactivation de ces tunnels est presque toujours une bonne idée, sauf si elles sont spécifiquement souhaitées.)
Et comme d'autres l'ont mentionné, certains pare-feu anciens d'il y a 5 à 10 ans ou plus ne se configuraient pas correctement en pare-feu IPv6 en plus d'IPv4. Ce n'est pas un problème aussi important aujourd'hui, car de tels appareils anciens deviennent plus rares chaque jour qui passe.
De nos jours, la plupart des gens utilisent IPv6 même s'ils n'ont pas de connectivité IPv6 globale. Windows 8 et versions ultérieures utilisent largement IPv6 sur les réseaux domestiques, et certaines fonctionnalités de Windows nécessitent absolument IPv6.
Du point de vue de l'équilibre entre la fonctionnalité et la sécurité, il serait préférable de conseiller aux gens de s'assurer que IPv6 est pare-feu de manière correspondante à IPv4, même s'ils n'ont pas de connectivité IPv6 globale. Cela préserverait la fonctionnalité IPv6 qui existe déjà tout en protégeant les utilisateurs lorsqu'ils obtiennent enfin une connectivité IPv6 globale.
Réponse courte: Oui, mais pour le meilleur effet, vous devez également désactiver IPv4.
Réponse sérieuse: si vous n'utilisez pas activement un protocole mais acceptez des paquets, vous augmentez le risque. La chose la plus évidente est la pile de mise en réseau, car elle doit traiter les paquets même s'il n'y a rien en utilisant IPv6.
Mais le risque réel est que vous utilisez bien IPv6, mais pas activement. Vous ne pouvez pas utiliser IPv6, mais certains de vos programmes ouvrent des sockets d'écoute sur IPv6 (et IPv4 également) et traiteront les paquets entrants. Encore une fois, vous avez une complexité supplémentaire (gèrent-ils les paquets v6 avec autant de prudence que les v4?) Et vous pouvez avoir un bon pare-feu IPv4 mais oublié les règles appropriées pour la v6 car vous pensiez que vous ne l'utilisiez pas de toute façon.
Et un autre "Êtes-vous sûr de ne pas l'utiliser": vous ne pouvez pas l'utiliser activement, mais des programmes comme votre navigateur l'utiliseront s'il est disponible. Lorsque vous avez par exemple bloqué certains sites Web de suivi au niveau IP, ils peuvent être chargés à partir de leur adresse IPv6 et votre pare-feu ne vous protège pas contre cela jusqu'à ce que vous ajoutiez les règles v6 correspondantes.
Cela dit, vous ne devez pas désactiver IPv6. De plus en plus d'Internet l'utilise et le désactiver rendra d'abord votre réseau plus lent et tôt ou tard, il vous sera impossible d'accéder à certains services. Assurez-vous simplement de ajustez également votre pare-feu pour IPv6 lorsque vous ajoutez des règles pour IPv4.
De nombreuses applications dépendent du support IPv6 même si elles ne l'utilisent pas. Ils utilisent des sockets IPv6 par exemple. Désactiver complètement IPv6 en supprimant le module du noyau ipv6 interrompt les choses.
Il est préférable de s'assurer que IPv6 est correctement protégé par un pare-feu, en tenant compte du fait qu'IPv6 est toujours présent sur la liaison locale même lorsqu'aucune autre adresse IPv6 n'est configurée. La plupart des distributions Linux récentes ont un pare-feu décent (généralement ufw ou firewalld) activé par défaut qui filtrera IPv4 et IPv6.
En bref: il vaut mieux reconnaître la présence d'IPv6 et le gérer/filtrer que d'essayer de l'ignorer ou de s'en débarrasser et de causer d'autres problèmes.
Si vous n'en avez aucun besoin légitime, IPv6 ne servira que de canal supplémentaire pour que les exploits pénètrent dans votre réseau et que vos données s'exfiltrent sans être détectées. La règle générale de sécurité est de désactiver tout ce dont vous n'avez pas besoin.
Même si vous le bloquez au niveau du pare-feu de périmètre, un attaquant pourrait compromettre un hôte (peut-être DMZ?) Sur IPv4 et se propager via IPv6 de l'intérieur.
La plupart des pare-feu et des produits IDS ont désormais une prise en charge IPv6 décente, de sorte que les préoccupations initiales concernant une mauvaise surveillance IPv6 sont pour la plupart dépassées.
Quoi qu'il en soit, il vaut mieux refuser l'opportunité à un adversaire en la désactivant. S'il ne peut pas être désactivé, limitez IPv6 sur le pare-feu local afin qu'il autorise uniquement la communication locale/en boucle pour les applications qui nécessitent des sockets IPv6.
Il s'agit d'un principe de sécurité général pour désactiver toute fonctionnalité qui n'est pas utilisée. En outre, considérez que IPv6 a IPSec intégré et peut être une meilleure option que IPv4 par défaut.
C'est essentiellement la même chose que ce qui a été dit, mais disons-le de cette façon:
Option 1: utilisez IPv6, et faites le même effort pour le configurer et le sécuriser que pour IPv4.
Option 2: ne l'utilisez pas et désactivez-le.
Les deux sont tout à fait raisonnables et constituent une bien meilleure position que l'option 3: n'utilisez pas IPv6, mais ignorez-le dans vos règles de pare-feu et votre configuration de service, et laissez-le complètement ouvert.
En d'autres termes, le conseil est bon, et il n'est pas vraiment déconseillé d'utiliser IPv6 si vous voulez spécifiquement l'utiliser, mais il avertit plutôt les personnes qui ne l'utilisent pas contre l'écueil de l'ignorer et de ne pas lui donner le même contrôle que vous faites votre configuration IPv4. Ces gens feraient mieux de le désactiver.
Du point de vue de la sécurité, moins c'est mieux quand il s'agit de logiciels et d'applications. IPV6 doit être désactivé, sauf si vous déployez actuellement un réseau IPv6. Gardez à l'esprit, à ma connaissance, toutes les adresses IPv4 ont été distribuées et IPv6 est entré en scène et d'autres vous conseillent de laisser le protocole IPv6 activé. Je ne suis pas d'accord! Lorsque vous avez besoin du protocole, activez-le. Il en va de même pour les applications et les ports.
Il y a un côté différent à cela.
Tout d'abord, d'un point de vue purement statistique, plus vous ouvrez de points/portes d'accès, plus votre système devient vulnérable. Cela est cependant vrai pour la plupart des services.
Plus précisément, cependant, IPv6 n'a pas encore été implémenté à une échelle suffisamment grande pour être en mesure de comprendre pleinement ses vulnérabilités et de les corriger. Même les meilleurs experts IP n'ont pratiquement aucune expérience concrète sur le terrain en matière d'IPv6.
En plus de cela, IPv6 gère certaines opérations d'une manière radicalement différente de celle d'IPv4 et cela a créé de nouvelles opportunités pour les attaquants ... Une vulnérabilité très bien connue, par exemple, vient de la manière différente dont un routeur envoie des publicités IPv6, qui fait d'un LAN une cible DOS IPv6 très facile, voir IPv6 Router Advertisement DOS .
Des suites complètes d'outils, destinés à exploiter les vulnérabilités d'IPv6, sont facilement disponibles sur Internet.
Je m'assure toujours que IPv6 est désactivé sur tous mes appareils. Pourquoi prendre des risques inutiles, pour quelque chose que personne n'utilise/supporte encore?