Onderwerp: IPv6 Uitschakelen / Disable lukt niet?

Beste WHT-ers,

De vorige keer dat ik een beveiliging probleem had was ik hier perfect geholpen en heb daar nog steeds profijt van!

Ik heb ene klein probleem.. Ik wil IPv6 uitschakelen, maar na tig manieren te proberen zoals het beschreven staat op 100 verschillende forms.. wil het mij nog thans niet lukken!

Ik heb CentOS 5.4 - Directadmin met ConfigServer Security & Firewall
In CSF kan je de server checken op risico's: Check Server Security

Hier heb ik al een hoop potentiële risico's verholpen.. Alleen bij één blijf ik haken:
Check for IPv6 WARNING IPv6 appears to be enabled [ifconfig: MIJNIPv6 Scope:Link, ::1/128 Scope:Host]. If you do not actively use IPv6 then this could pose a security risk as this firewall does not currently filter IPv6 traffic. Having IPv6 enabled can also cause network performance degredation when not used. See the this link on how to disable IPv6 on RedHat/CentOS


Ik heb de volgende manieren geprobeerd.. (maar blijf constant deze melding houden)

Methode 1: (lukte NIET)
Edit /etc/sysconfig/network and set "NETWORKING_IPV6" to "no"
(moet ik ook IPV6_DEFAULTGW=mijnipv6 weg halen?)

Add the following to /etc/modprobe.conf :
(volgens mij bestond dit bestand ook nog niet op mijn server maar omdat ik even niet opletten.. via: vi /etc/modprobe.conf was helemaal leeg)

alias ipv6 off
alias net-pf-10 off

Run chkconfig ip6tables off to disable the IPv6 firewall

chkconfig ip6tables off
---->DIT WERKTE NIET.. HELP? dus ik heb helemaal geen ip6tables? Dus kan zo via ipv6 gehacked worden..?

Reboot the system


Methode 2: (lukte NIET)
Edit /etc/sysconfig/network and set "NETWORKING_IPV6" to "no"
(moet ik ook IPV6_DEFAULTGW=mijnipv6 weg halen?)


Add the following to /etc/modprobe.conf :

alias ipv6 off
alias net-pf-10 off
(volgens mij bestond dit bestand ook nog niet op mijn server maar omdat ik even niet opletten.. via: vi /etc/modprobe.conf was helemaal leeg)

Run /sbin/chkconfig ip6tables off to disable the IPv6 firewall
---->DIT WERKTE NIET.. HELP? dus ik heb helemaal geen ip6tables? Dus kan zo via ipv6 gehacked worden..?


Reboot the system


Methode 3: (lukte ook NIET)

Alternative (which might be easier and works on any release with /etc/modprobe.d):

# touch /etc/modprobe.d/disable-ipv6
# echo "install ipv6 /bin/true" >> /etc/modprobe.d/disable-ipv6

With the 5.4 update symbol/ipv6 module dependency capabilities have been introduced; therefore, if IPv6 has been previously disabled as above an upgrade to the bonding driver in 5.4 will result in the bonding kernel module failing to load. For the module to load properly use instead:

# touch /etc/modprobe.d/disable-ipv6
# echo "options ipv6 disable=1" >> /etc/modprobe.d/disable-ipv6

(ik heb in mijn /etc/modprobe.d/disable-ipv6 dit staan: options ipv6 disable=1)



Doe ik iets fout? ik hoop dat iemand mij kan helpen..? Ik gebruik nog geen ipv6.. aangezien het een risico is zet ik hem dan liever uit..

Controleer even met cat /etc/sysconfig/network-scripts/ifcfg-eth0 of je IPv6init ook op NO staat (ipv6init=no)

Heb je de server ook een reboot gegeven of een service network restart gedaan?

En je ipv6 gw kun je ook verwijderen idd.

is er onder centos een /etc/modprobe.d/blacklist (oid) dan kan je daar IPv6 in zetten.

Maar je moet het niet uitzetten je moet het juist configgen! Er mee aan de gang gaan!

Oorspronkelijk geplaatst door Japje

is er onder centos een /etc/modprobe.d/blacklist (oid) dan kan je daar IPv6 in zetten.

Maar je moet het niet uitzetten je moet het juist configgen! Er mee aan de gang gaan!

Daar geef ik je wel gelijk.. heb ik over na zitten denken, maar mijn firewall zegt:
If you do not actively use IPv6 then this could pose a security risk as this firewall does not currently filter IPv6 traffic.

Ja.. ik wil mijn server wel safe hebben. Misschien dat ik hem later inschakel als ik alles goed heb staan..

Oorspronkelijk geplaatst door ichosting

Controleer even met cat /etc/sysconfig/network-scripts/ifcfg-eth0 of je IPv6init ook op NO staat (ipv6init=no)

Heb je de server ook een reboot gegeven of een service network restart gedaan?

En je ipv6 gw kun je ook verwijderen idd.

cat /etc/sysconfig/network-scripts/ifcfg-eth0 staat op yes idd.. zal ik nu veranderen!

Ik heb alleen mijn server gereboot wat is een service netwerk restart?
(ben hier nieuw in..)

vi /etc/sysconfig/network-scripts/ifcfg-eth0

is read-only ... hoe kan ik die dan opslaan?

:wq werkt dan niet (is dat dan wel goed)

Daarmee start je je netwerkkaarten opnieuw.
Wees daar wel voorzichtig mee, want als je een foutje hebt gemaakt. sluit je jezelf buiten Alhoewel dat bij een reboot ook zo kan zijn

Oorspronkelijk geplaatst door janton

wat is een service netwerk restart?
(ben hier nieuw in..)

bijna goed; service network restart

Dat herstart je netwerkonderdelen, scheelt een reboot

Oorspronkelijk geplaatst door janton

vi /etc/sysconfig/network-scripts/ifcfg-eth0

is read-only ... hoe kan ik die dan opslaan?

:wq werkt dan niet (is dat dan wel goed)

met een uitroepteken geprobeerd?

:wq!

Waarom IPv6 uitzetten? Dit heeft al jaren zo gedraaid en omdat CSF nu iets aangeeft raak je in paniek? Ik kan je zoveel andere zaken noemen die veel belangrijker zijn en CSF niet aangeeft. Uiteindelijk - en dat komt snel - ontkom je niet aan IPv6. Laat het gewoon lekker draaien. Sloop nu geen modules weg die je straks nodig hebt. Zeur bij je provider om een IPv6-adres en gebruik het of gebruik ip6tables en firewall gewoon alle poorten.

Oorspronkelijk geplaatst door pierce

met een uitroepteken geprobeerd?

:wq!

Met uitroepteken negeer je de wijzigingen

Ben het eens met Randy feitelijk. IPv6 kun je beter gewoon laten draaien en configureren. Heb je veel meer aan. Zo gevaarlijk is het nu ook weer niet als ze voordoen.

Oorspronkelijk geplaatst door Randy

Waarom IPv6 uitzetten? Dit heeft al jaren zo gedraaid en omdat CSF nu iets aangeeft raak je in paniek? Ik kan je zoveel andere zaken noemen die veel belangrijker zijn en CSF niet aangeeft. Uiteindelijk - en dat komt snel - ontkom je niet aan IPv6. Laat het gewoon lekker draaien. Sloop nu geen modules weg die je straks nodig hebt. Zeur bij je provider om een IPv6-adres en gebruik het of gebruik ip6tables en firewall gewoon alle poorten.

Goed ik ga kijken of ik ip6tables kan installeren.. want ik heb immers een ipv6 adres.. dan zal ik kijken of ik hem gewoon overal dicht kan zetten..

Waar moet ik nog meer opletten wat belangrijk is.. /tmp heb ik reeds beveiligd

ik snap het alleen niet helemaal.. ik heb iptables op mijn vps staan.. maar ip6tables dus niet.. terwijl ik hier en daar lees dat die met iptables mee wordt geïnstalleerd..

Umh.. even zoeken hoe ik dat moet installeren..

Oke.. na een uur zoeken..

ip6tables heet dus eigelijk iptables-ipv6

op mijn vps heb ik hem kunnen installeren via:

yum install iptables-ipv6



Nu moet ik nog 4 uur verder zoeken hoe ik dat dan allemaal dichttimmer..

Probeer firewall builder eens om je iptables te maken, http://www.fwbuilder.org/

Verder is er genoeg aan documentatie te vinden http://www.google.nl/search?q=ipv6+iptables&hl=nl&sa=2