Aus Firewall-Perspektive ist es wichtig zu wissen, dass sowohl IPv4 als auch IPv6 (falls aktiviert) auf einem System konfiguriert sind und dies nicht immer der Fall ist.
Meiner Erfahrung nach konnte ich (interne) Firewalls umgehen. In einem Szenario wurde auf einem Linux-Rechner iptables konfiguriert, ip6tables jedoch nicht, wodurch (verwundbare) Dienste offengelegt wurden, die nicht über IPv4 verfügbar waren.
Da die meisten Dienste an 0.0.0.0 und [::]:[port] (jede Schnittstelle) gebunden sind, sind diese Dienste auch über IPv6 verfügbar.
Ja, es ist also wichtig, IPv6 zu deaktivieren, wenn Sie es nicht verwenden. Wenn Sie es verwenden, sollten Sie oder Administratoren im Allgemeinen darauf aufmerksam gemacht werden, dass (zumindest auf Linux-Servern) eine zusätzliche Firewall-Konfiguration erforderlich ist.
Und bevor Sie anfangen, dass Administratoren sich dessen bewusst sein sollten, Sie haben völlig recht. Erfahrungsgemäß mangelt es den Systemadministratoren jedoch an IPv6-Wissen.
Es gibt keinen besonderen Vorteil beim Deaktivieren von IPv6. Insbesondere ist IPv6 nicht anfälliger als IPv4, eher würde ich sagen, dass es sicherer ist (Beispiel:IPv6 schlägt vor, IPSec zu unterstützen).
Der Punkt ist, dass beim Härten Ihres Betriebssystems die allgemeine Philosophie empfiehlt, alle nicht verwendeten Dienste/Tools zu entfernen. Dies ermöglicht eine bessere Kontrolle über Ihr Betriebssystem, verbessert die Leistung (auf allgemeine Weise) und verringert die Wahrscheinlichkeit, dass Angreifer mögliche Softwarefehler oder Fehlkonfigurationen ausnutzen und (teilweise) Kontrolle über/Zugriff auf das System erlangen können. Daher ist das Entfernen einer unbenutzten IPv6 nur eine allgemein empfohlene Maßnahme, um die Härtung abzuschließen.
Der Ratschlag ist gut gemeint, aber veraltet.
IPv6 wurde speziell entwickelt, um sehr einfach einzurichten und zu verwalten, viel einfacher als IPv4. Es verfügt über viele Funktionen, mit denen Hosts und ganze Netzwerke automatisch oder einfach zentral konfiguriert werden können. In vielen Fällen ist es möglich, dass ganze Netzwerke plötzlich IPv6-Konnektivität zum Internet erhalten, sobald es an den Netzwerkrand gebracht wird, was einige Leute überraschen mag.
Dieser Ratschlag war ursprünglich dazu gedacht, Administratoren sowohl vor sich selbst zu schützen – da sie möglicherweise nicht mit IPv6-Funktionen vertraut sind – als auch vor böswilligen Akteuren – denn wenn sie endlich eine IPv6-Verbindung zum Internet herstellen, versuchen Geräte, sich automatisch zu konfigurieren, was manchmal erfolgreich ist. Außerdem versuchen bestimmte Windows-Versionen, IPv6-Tunnel aufzubauen sofort ins Internet, was wiederum einige Benutzer und Administratoren überrascht. (Nebenbei gesagt, das Deaktivieren dieser Tunnel ist fast immer eine gute Idee, es sei denn, sie sind ausdrücklich erwünscht.)
Und wie andere bereits erwähnt haben, haben sich einige alte Firewalls von vor 5 bis 10 Jahren oder mehr nicht richtig für die Firewall von IPv6 zusätzlich zu IPv4 konfiguriert. Dies ist heute kein so großes Problem, da solche alten Geräte mit jedem Tag seltener werden.
Heutzutage verwenden die meisten Menschen tatsächlich IPv6, auch wenn sie keine globale IPv6-Konnektivität haben. Windows 8 und höher verwenden IPv6 in großem Umfang in Heimnetzwerken, und einige Windows-Funktionen sind absolut erforderlich IPv6.
Unter dem Gesichtspunkt der Abwägung von Funktionalität und Sicherheit wäre es besser, den Leuten zu raten, sicherzustellen, dass IPv6 entsprechend der IPv4-Firewall geschützt ist, auch wenn sie keine globale IPv6-Konnektivität haben. Dies würde die bereits vorhandene IPv6-Funktionalität bewahren und gleichzeitig die Benutzer schützen, wenn sie endlich eine globale IPv6-Konnektivität erlangen.