Почему не нужно отключать IPv6 и Windows Firewall

Почему не нужно отключать IPv6 и Windows Firewall

i

Есть две проблемы, которые меня давно очень сильно заботят- это отключение IPv6 и Windows Firewall во многих организациях. Для тех, кто привык поступать подобным образом, у меня две новости, и обе плохие. Новость номер один- это очень не рекомендуемый сценарий. И новость номер два: не все знают, что до кучи ещё и неподдерживаемый.

Часто администратор, как существо чрезвычайно ленивое, отключает встроенный брандмауэр, в надежде, что:

  • все  сразу залетает по сетке!
  • не надо будет создавать несколько правил для ПО, используемого в организации (обычно не более 5-7  дополнительных правил, которые можно легко распространить, задокументировать и быстро изменить с помощью одного объекта групповой политики)
  • он не нужен, потому, что у нас есть здоровский корпоративный антивирус!
  • что-то пинг до сервера не работает, надо скорее выключить файервол!

И недалек тот день, когда рабочие станции и даже серверы, оставшись без защиты, подвергаются весьма закономерному интересу со стороны  нехороших программ, которые просканировав сеть, увидят, что ворота в нее приоткрыты, а ключ вставлен прямо в замок. Видя это, невольно вспоминается  давняя история про MSBlast, которая начиналась примерно также…

Помните, что отключив из-за капли лени брандмауэр, вы осознанно подвергаете Вашу сеть риску.

Помните также, что отключая IPv6, никаких ощутимых плюсов в работе Вы не получите. Минусов будет предостаточно, и это большая тема для отдельного разговора. Updated: Пару примеров все же хотелось привести: может отвалиться DFS, WSUS , или, скажем, WinRM, который так любим Exchange и многими другими приложениями. Не все понимают, что практически любая роль при установке создает ряд исключений в брандмауэре....

Поверьте, потом очень неприятно такое траблшутить и исправлять. Лучше просто не отключатьIPv6, если последствия не понятны.

Как рекомендацию, могу посоветовать в данной ситуации отключить технологии перехода, если уж очень хочется что-то отключить.

Благодаря двойному стеку в современных ОС, Вы сможете с пользой для себя отключить следующие настройки (если Вы, конечно, не используете их):

Конфигурация компьютера-Административные шаблоны-Сеть-Параметры TCP/IP-Технологии туннелирования IPv6.

Здесь можно смело выключить 6to4, Isatap, Teredo и IP-HTTPS.

Причем рекомендую сделать это как на рабочих машинах, так и на домашних компьютерах.

Ощутимый профит от данной операции: при неиспользовании вышеперечисленных сетевых технологий, вы облегчаете функционал системы, а также кристально визуализируете вывод ipconfig /all, ограничив его только нужными Вам параметрами.

Также напомню, что для фэнов черных и синих окон можно делать вот так:

netsh interface ipv6 6to4 show state

Get-Net6to4Configuration

netsh interface ipv6 set teredo disable

netsh interface ipv6 6to4 set state disable

netsh interface ipv6 Isatap set state disable

Вот что по поводу вопроса, который мы рассмотрели сегодня пишут в библиотеке тенет:

It is unfortunate that some organizations disable IPv6 on their computers running Windows 7, Windows Vista, Windows Server 2008 R2, or Windows Server 2008, where it is installed and enabled by default. Many disable IPv6-based on the assumption that they are not running any applications or services that use it. Others might disable it because of a misperception that having both IPv4 and IPv6 enabled effectively doubles their DNS and Web traffic. This is not true.

From Microsoft’s perspective, IPv6 is a mandatory part of the Windows operating system and it is enabled and included in standard Windows service and application testing during the operating system development process. Because Windows was designed specifically with IPv6 present, Microsoft does not perform any testing to determine the effects of disabling IPv6. If IPv6 is disabled on Windows 7, Windows Vista, Windows Server 2008 R2, or Windows Server 2008, or later versions, some components will not function. Moreover, applications that you might not think are using IPv6—such as Remote Assistance, HomeGroup, DirectAccess, and Windows Mail—could be.

Therefore, Microsoft recommends that you leave IPv6 enabled, even if you do not have an IPv6-enabled network, either native or tunneled. By leaving IPv6 enabled, you do not disable IPv6-only applications and services (for example, HomeGroup in Windows 7 and DirectAccess in Windows 7 and Windows Server 2008 R2 are IPv6-only) and your hosts can take advantage of IPv6-enhanced connectivity.

http://technet.microsoft.com/en-us/network/cc987595.aspx

Do not disable Windows Firewall by stopping the service. Instead, use one of the preceding procedures (or an equivalent Group Policy setting) to turn the firewall off. If you turn off the Windows Firewall with Advanced Security service, you lose other benefits provided by the service, such as the ability to use Internet Protocol security (IPsec) connection security rules, Windows Service Hardening, and network protection from attacks that employ network fingerprinting. For more information about Windows Service Hardening, see http://go.microsoft.com/fwlink/?linkid=104976. Non-Microsoft firewall software that is compatible with Windows Vista and Windows Server 2008 can programmatically disable only the parts of Windows Firewall with Advanced Security that need to be disabled for compatibility. You should not disable the firewall yourself for this purpose. Stopping the service associated with Windows Firewall with Advanced Security is not supported by Microsoft.

http://technet.microsoft.com/en-us/library/cc766337%28v=ws.10%29.aspx

http://support.microsoft.com/kb/929852

http://blogs.technet.com/b/netro/archive/2010/11/24/arguments-against-disabling-ipv6.aspx

Сортировать по: Дата публикации | Последние | Самый полезный
Комментарии
  • +++

  • Отличная статья, спасибо.

  • А есть пруфлинк по настройкам в "Конфигурация компьютера-Административные шаблоны-Сеть-Параметры TCP/IP-Технологии туннелирования IPv6"?

  • Да, но если в организации используется DirectAccess вы не можете отключить некоторые из приведенных выше протоколов. Основной сценарий DirectAccess как правило заключается в использовании протокола IP-HTTPS, единственный протокол из трех, который способен работать с nat. Все остальные требуют наличия реального IP адреса. Касаемо Isatap, опять же если вы используете DA для управления клиентами находящимися за периметром вам он просто необходим.

    https://blog.eaglenn.ru

Страница 1 из 1 (элементов: 4)