Dari perspektif firewall, penting untuk menyadari bahwa IPv4 dan IPv6 (jika diaktifkan) dikonfigurasikan pada sistem dan tidak selalu demikian.
Dalam pengalaman saya, saya dapat mem-bypass firewall (internal). Dalam satu skenario, pada mesin Linux, iptables telah dikonfigurasi, namun ip6tables tidak, yang mengekspos layanan (rentan) yang tidak tersedia melalui IPv4.
Karena sebagian besar layanan mengikat ke 0.0.0.0 dan [::]:[port] (setiap antarmuka), layanan ini juga tersedia melalui IPv6.
Jadi, penting untuk mempertimbangkan menonaktifkan IPv6 jika Anda tidak menggunakannya. Jika Anda menggunakannya, Anda atau administrator pada umumnya harus diberi tahu bahwa (setidaknya di server Linux) diperlukan konfigurasi firewall tambahan.
Dan sebelum Anda mulai bahwa administrator harus mengetahui hal ini, Anda sepenuhnya benar. Namun, dari pengalaman ada banyak kekurangan pengetahuan IPv6 di antara administrator sistem.
Tidak ada keuntungan khusus dalam menonaktifkan IPv6. Secara khusus, IPv6 tidak lebih rentan daripada IPv4, tetapi menurut saya IPv6 lebih aman (mis.:IPv6 menyarankan untuk mendukung IPSec).
Intinya adalah saat memperkuat sistem operasi Anda, filosofi umum merekomendasikan untuk menghapus semua layanan/alat yang tidak digunakan. Ini memungkinkan kontrol yang lebih baik pada OS Anda, meningkatkan kinerja (dengan cara umum), dan mengurangi kemungkinan penyerang dapat mengeksploitasi kemungkinan bug perangkat lunak atau kesalahan konfigurasi dan mendapatkan kontrol/akses (sebagian) dari/ke sistem. Oleh karena itu, menghapus IPv6 yang tidak digunakan hanyalah tindakan yang disarankan secara umum untuk menyelesaikan pengerasan.
Nasihatnya bermaksud baik tetapi kuno.
IPv6 dirancang khusus agar sangat mudah diatur dan dikelola, jauh lebih mudah daripada IPv4. Ini memiliki banyak fitur yang dimaksudkan untuk menyebabkan host dan seluruh jaringan dikonfigurasi secara otomatis atau dikonfigurasi dengan mudah secara terpusat. Dalam banyak kasus, seluruh jaringan mungkin tiba-tiba mendapatkan konektivitas IPv6 ke Internet segera setelah dibawa ke tepi jaringan, yang mungkin mengejutkan sebagian orang.
Nasihat ini secara historis dimaksudkan untuk melindungi administrator baik dari diri mereka sendiri - karena mereka mungkin tidak terbiasa dengan fitur IPv6 - dan dari aktor jahat - karena ketika mereka akhirnya mendapatkan konektivitas IPv6 ke Internet, perangkat akan mencoba melakukan konfigurasi otomatis dan terkadang berhasil. Selanjutnya, versi Windows tertentu mencoba membuat terowongan IPv6 ke Internet di luar kotak, sekali lagi mengejutkan beberapa pengguna dan administrator. (Selain itu, menonaktifkan terowongan ini hampir selalu merupakan ide yang bagus kecuali memang diinginkan secara khusus.)
Dan seperti yang telah disebutkan orang lain, beberapa firewall kuno dari 5-10 tahun yang lalu atau lebih tidak mengonfigurasi dirinya dengan benar ke firewall IPv6 selain IPv4. Ini bukan masalah besar hari ini, karena perangkat kuno seperti itu menjadi semakin langka setiap hari.
Saat ini, kebanyakan orang benar-benar menggunakan IPv6 meskipun mereka tidak memiliki konektivitas IPv6 global. Windows 8 dan yang lebih baru menggunakan IPv6 secara ekstensif di jaringan rumah, dan beberapa fitur Windows sangat diperlukan IPv6.
Dari sudut pandang menyeimbangkan fungsionalitas dengan keamanan, akan lebih baik untuk menyarankan orang-orang untuk memastikan bahwa IPv6 di-firewall sesuai dengan IPv4, bahkan jika mereka tidak memiliki konektivitas IPv6 global. Ini akan mempertahankan fungsionalitas IPv6 yang sudah ada sekaligus melindungi pengguna saat mereka akhirnya mendapatkan konektivitas IPv6 global.