ファイアウォールの観点からは、システム上で IPv4 と IPv6 (有効な場合) の両方が構成されていることを認識することが重要であり、常にそうであるとは限りません。
私の経験では、(内部) ファイアウォールをバイパスできました。あるシナリオでは、Linux マシンで iptables が構成されていましたが、ip6tables は構成されていなかったため、IPv4 では利用できない (脆弱な) サービスが公開されました。
ほとんどのサービスは 0.0.0.0 および [::]:[ポート] (すべてのインターフェース) にバインドされるため、これらのサービスは IPv6 でも利用できます。
したがって、IPv6 を使用しない場合は、IPv6 を無効にすることを検討することが重要です。使用する場合は、(少なくとも Linux サーバーでは) 追加のファイアウォール構成が必要であることを、ユーザーまたは一般的な管理者に通知する必要があります。
そして、管理者がこれを認識する必要があることを開始する前に、あなたは完全に正しいです.しかし、経験上、システム管理者には IPv6 に関する知識が不足しています。
IPv6 を無効にする利点は特にありません。特に、IPv6 は IPv4 よりも脆弱というわけではなく、より安全であると言えます (例:IPv6 は IPSec のサポートを提案しています)。
重要なのは、オペレーティング システムを強化している間、一般的な哲学では、未使用のサービスやツールをすべて削除することを推奨しているということです。これにより、OS をより適切に制御し、パフォーマンスを (一般的な方法で) 向上させ、攻撃者がソフトウェアのバグや構成ミスを悪用して、システムの (部分的な) 制御/アクセス/システムへのアクセスを取得する可能性を減らします。したがって、未使用の IPv6 を削除することは、強化を完了するために一般的に推奨されるアクションです。
アドバイスは意味のあるものですが、時代遅れです。
IPv6 は、設定と管理が非常に簡単になるように特別に設計されており、IPv4 よりもはるかに簡単です。ホストとネットワーク全体を自動構成したり、簡単に一元的に構成したりするための多くの機能があります。多くの場合、ネットワークがネットワーク エッジに到達するとすぐに、ネットワーク全体がインターネットへの IPv6 接続を突然取得する可能性があります。これは、一部の人々を驚かせるかもしれません。
このアドバイスは、歴史的に、IPv6 機能に慣れていない可能性がある管理者自身と、最終的にインターネットへの IPv6 接続を取得したときにデバイスが自動構成を試み、場合によっては成功する悪意のある攻撃者から、管理者を保護することを目的としていました。さらに、Windows の特定のバージョンでは、IPv6 トンネル を確立しようとします。 これは、一部のユーザーや管理者を驚かせました。 (余談ですが、これらのトンネルを特に必要としない限り、ほとんどの場合、これらのトンネルを無効にすることをお勧めします。)
また、他の人が言及しているように、5 ~ 10 年以上前の一部の古いファイアウォールは、IPv4 に加えてファイアウォール IPv6 に適切に構成されていませんでした。このような古代のデバイスは日を追うごとに珍しくなっているため、これは今日ではそれほど大きな問題ではありません.
最近では、グローバルな IPv6 接続がなくても、ほとんどの人が実際に IPv6 を使用しています。 Windows 8 以降では、ホーム ネットワークで IPv6 が広く使用されており、一部の Windows 機能では 絶対に必要 IPv6.
機能とセキュリティのバランスを取るという観点から、グローバルな IPv6 接続がない場合でも、IPv6 が IPv4 に対応するようにファイアウォールで保護されていることを確認するよう人々にアドバイスすることをお勧めします。これにより、ユーザーが最終的にグローバルな IPv6 接続を取得したときにユーザーを保護しながら、既存の IPv6 機能を維持できます。