Porque não desabilitar o IPv6 no Windows (e na sua rede)

  • Article

IPv6-IPv4 by Abode of Chaos - DDC_5855

Alguns consultores recomendam desabilitar o IPv6 nos sistemas operacionais por acreditar em mitos que escutam por aí. Além disso, as pessoas não sabem ou ignoram que os endereços IPv4 públicos vão acabar e perdem a oportunidade de amadurecer o uso do IPv6 em suas empresas e equipes.

O efeito colateral caso o IPv6 não seja amplamente adotado é o compartilhamento do endereço IPv4 público, por meio do Carrier-grade NAT (CGNAT) como já ocorre em alguns países. O CGNAT, dentre várias outras desvantagens, dificulta muito a rastreabilidade de uma pessoa na Internet, facilitando assim a vida dos criminosos na grande rede.

Voltando aos mitos que fazem as pessoas a pensarem em desabilitar o IPv6, a grande maioria é relacionada à segurança, justamente o ponto em que a manutenção do IPv4 vai fragilizar ainda mais.

Por padrão o Windows Vista e Windows Server 2008 e seus sucessores tem o IPv6 habilitado. Estes atribuem endereços IPv6 link local (não-roteáveis) para cada placa de rede. Esses endereços só são utilizados para comunicação em um mesmo segmento de rede e não são registrados no DNS, não causando nenhum tipo de problema de segurança ou trafego na rede.

O IPv6 não é um backdoor. É uma tecnologia com mais de 10 anos e que usa praticamente os mesmos métodos de acesso, regras e limitações do IPv4 em relação a camada 2. No caso de controle de acesso Internet, tanto de entrada com saída, pode-se usar firewall e/ou roteadores com capacidade de filtro de endereços IPv6. O Windows já vem com um firewall embutido que permite fazer essa filtragem. É possível também desabilitar as tecnologias de transição de forma a limitar a capacidade de conectividade do IPv6.

Curiosamente, a capacidade de conexão fim-a-fim do IPv6 e o fim do NAT faz com que alguns “especialistas” o considerem mais inseguro. O NAT nasceu para dar uma sobrevida ao IPv4, e não para se obter maior segurança. O IPv6 tem muitas vantagens ao IPv4, incluindo IPSec nativo. A Microsoft usa esse conceito na sua solução de DirectAccess.

Para os mais “paranoicos” maiores informações sobre recomendações de segurança no artigo IPv6 Security Considerations and Recommendations.

Outro ponto importante é que a maioria dos produtos da Microsoft são testados com o protocolo IPv6, logo, por parte do produto não existe um motivo real para desabilitar o IPv6. Maiores detalhes podem ser encontrados no link: IPv6 for Microsoft Windows: Frequently Asked Questions.

Além dos pontos colocados acima, o comitê gestor da Internet no Brasil (NIC.br) soltou uma nota em 18 de maio de 2012 recomendando a adoção do IPv6 pelas empresas e operadoras. A resolução pode ser conferida no link: https://ipv6.br/recomendacao/.

Então, você ainda pensa em desabilitar o IPv6?!