Desde la perspectiva del firewall, es importante darse cuenta de que tanto IPv4 como IPv6 (si están habilitados) están configurados en un sistema y no siempre es así.
En mi experiencia, he podido eludir los cortafuegos (internos). En un escenario, en una máquina Linux, se configuró iptables, pero no ip6tables, lo que expuso servicios (vulnerables) que no estaban disponibles a través de IPv4.
Dado que la mayoría de los servicios se vinculan a 0.0.0.0 y [::]:[puerto] (todas las interfaces), estos servicios también están disponibles a través de IPv6.
Entonces, sí, es importante considerar deshabilitar IPv6 si no lo usa. Si lo usa, usted o los administradores en general deben saber que (al menos en los servidores Linux) se requiere una configuración de firewall adicional.
Y antes de empezar que los administradores deben ser conscientes de esto, tienes toda la razón. Sin embargo, por experiencia, falta mucho conocimiento de IPv6 entre los administradores de sistemas.
No hay una ventaja específica en deshabilitar IPv6. En particular, IPv6 no es más vulnerable que IPv4, más bien diría que es más seguro (por ejemplo:IPv6 sugiere admitir IPSec).
El punto es que mientras se fortalece su sistema operativo, la filosofía general recomienda eliminar todos los servicios/herramientas no utilizados. Esto permite un mejor control de su S.O., mejora el rendimiento (de forma genérica) y reduce la probabilidad de que los atacantes puedan explotar posibles errores de software o configuraciones incorrectas y obtener control/acceso (parcial) al sistema. Por lo tanto, eliminar un IPv6 no utilizado es solo una acción genéricamente recomendada para finalizar el endurecimiento.
El consejo tiene buenas intenciones pero está anticuado.
IPv6 está específicamente diseñado para ser muy fácil de configurar y administrar, mucho más fácil que IPv4. Tiene muchas funciones destinadas a hacer que los hosts y las redes enteras se configuren automáticamente o se configuren fácilmente de forma centralizada. En muchos casos, es posible que redes enteras obtengan repentinamente conectividad IPv6 a Internet tan pronto como se lleva al borde de la red, lo que puede sorprender a algunas personas.
Históricamente, este consejo estaba destinado a proteger a los administradores tanto de ellos mismos, ya que es posible que no estén familiarizados con las características de IPv6, como de los actores malintencionados, ya que cuando finalmente obtienen conectividad IPv6 a Internet, los dispositivos intentarán configurarse automáticamente y, a veces, lo lograrán. Además, ciertas versiones de Windows intentan establecer túneles IPv6 a Internet fuera de la caja, sorprendiendo nuevamente a algunos usuarios y administradores. (Aparte, deshabilitar estos túneles casi siempre es una buena idea, a menos que se deseen específicamente).
Y como otros han mencionado, algunos firewalls antiguos de hace 5 a 10 años o más no se configuraron correctamente para firewall IPv6 además de IPv4. Este no es un problema tan grande hoy en día, ya que estos dispositivos antiguos se vuelven más raros con cada día que pasa.
En estos días, la mayoría de las personas en realidad usan IPv6 incluso si no tienen conectividad IPv6 global. Windows 8 y versiones posteriores usan IPv6 ampliamente en redes domésticas, y algunas funciones de Windows lo requieren absolutamente IPv6.
Desde el punto de vista de equilibrar la funcionalidad con la seguridad, sería mejor aconsejar a las personas que se aseguren de que IPv6 tenga un cortafuegos correspondiente a IPv4, incluso si no tienen conectividad IPv6 global. Esto preservaría la funcionalidad de IPv6 que ya existe y protegería a los usuarios cuando finalmente obtengan conectividad IPv6 global.