disable ipv6 aus Sicherheitsgründen

Da wir in unserem Wohnheims-Netz eh kein IPv6 bekommen werden, habe ich kurzerhand entschlossen alle Server von der Automatischen Beziehung von IPv6 Adressen, aus Sicherheitsgründen, auszuschließen.

Das Problem was dabei entsteht ist das IPv6 Verbindungen grundsätzlich priorisiert werden. Wenn jetzt jemand „sagt“ hier hast du eine IPv6 Address und eine Route ins Internet. Dann wird der IPv6 Traffig über diesen Gateway transportiert. So hat ein Angreifer eine wunderbare „man in the middle“ Position.

Eine schlechte Idee ist es IPv6 im Kernel ganz auszuschalten, das führt unter aktuellen Systemen dazu das einige Dienste die mit ::1 kommunizieren nicht mehr funktionieren. (ein Beispiel dafür ist ssh -X)

echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6
echo "net.ipv6.conf.all.disable_ipv6 = 1" > /etc/sysctl.d/01-disable-ipv6.conf

Was man aber machen will ist die reine autoconf (der dhcp Ersatz) Funktion abzuschalten. Das geht mit:

echo "net.ipv6.conf.all.autoconf=0" > /etc/sysctl.d/01-disable-ipv6-autoconf.conf
echo "net.ipv6.conf.all.accept_ra=0" >> /etc/sysctl.d/01-disable-ipv6-autoconf.conf

Tags: