Já é realidade o suporte a IPv6 nos Sistemas Operacionais Windows e Linux além de Smartphones, console de jogos, roteadores, câmeras, entre outros, e a necessidade de convivermos com esse protocolo se torna cada vez mais evidente no nosso dia a dia.
O uso da pilha dupla de protocolos IPv4/IPv6 assim chamado tem avançado devido a alguns provedores de Banda Larga estarem fornecendo para o usuário final o trânsito de dados na versão 6 (IPv6) e ao mesmo tempo, várias empresas oferecendo serviços acessíveis via IPv6 como por exemplo: Netflix, Youtube, Google, Microsoft, Linkedin, UOL, Facebook.
Mesmo não tendo conectividade IPv6 com meu provedor de Internet, ao digitar o comando ipconfig em qualquer Windows aparece um endereço v6 na interface de rede como por exemplo: 2002:55F3:9E94:1:213:C3FF:FE37:6F96
Esse endereço IPv6 é recebido através de uma técnica de túneis automáticos 6to4 ou Teredo criado como padrão nos Sistemas Operacionais Windows. Através de um servidor público é criado um túnel e entregue um endereço v6 real com o objetivo de fomentar o uso em pilha dupla para o usuário final.
Configurado na interface de rede esse endereço passa despercebido na maioria das vezes para o usuário pois o protocolo IPv6 vem ativo na interface de rede como padrão. Desabilitar o protocolo IPv6 não seria uma boa ideia, pois processos internos do sistema operacional estão passando a utilizá-lo. Mas podemos sim desativar os túneis tanto o 6to4 como o Teredo da Microsoft.
Em 2014 a Microsoft desativou seu servidor de relay público do Teredo e felizmente não precisamos mais nos preocupar com esse túnel que tem como prefixo o 2001:0::/32. Agora o túnel 6to4, prefixo 2002::/16, ainda está ativo por enquanto e é esse que nós devemos nos preocupar.
Por que desativá-lo?
Os motivos que nos levam a desativar esses túneis são:
- Firewalls e outras medidas de segurança podem estar sendo contornadas inadvertidamente, pois parte do tráfego pode estar escapando da sua rede por outro caminho.
- Os pacotes podem estar seguindo caminhos mais longos trazendo uma experiência ruim para o usuário em termos de navegação do que se estivesse utilizando apenas IPv4.
- Os servidores relay público estão fora do Brasil, causando um tempo de resposta maior, podendo acessar alguns sites de forma lenta e instável.
Como desativá-los?
Existem basicamente duas formas práticas de desativar os túneis. A primeira e mais rápida seria através da manipulação dos registros no Windows. Para isso devemos acessar o registro e fazer a alteração na chave DisabledComponents para o valor 0xA conforme mostra a Figura 1:
Figura 1
Outra maneira de desativar os túneis é através da política de grupo (Group Policy) em redes Windows que utilizam o Active Directory (AD). Devemos primeiramente baixar um template do protocolo IPv6 para ser utilizado nos Modelos Administrativos. Esse template pode ser encontrado no site da Microsoft Technet .
Ao editá-lo podemos ver uma lista de opções a serem configuradas. Devemos então desabilitar a opção: Disable Teredo and 6to4 conforme mostra a Figura 2:
Figura 2
Para forçar a distribuição da nova política podemos executar o seguinte comando no servidor onde se encontrar o controlador do Active Directory:
C:\gpupdate /force
Outra forma diferente de não desabilitar mas sim de bloquear esses túneis automáticos é fazendo o seu controle diretamente no firewall. Normalmente esse procedimento é realizado quando se trata de uma empresa ou universidade que não possua uma rede Windows através do AD ou que não queira interagir com o registro do Windows em cada máquina. O trânsito de dados tunelados 6to4 são identificados através do protocolo 41. Então podemos aplicar uma regra no firewall fazendo uma filtragem desse protocolo ou também negando o tráfego de saída ao servidor de relay público 192.88.99.0/24.
Com esse pensamento podemos manter o protocolo IPv6 ativo mas com os túneis desativados ou bloqueados, oferecendo uma maior segurança e desempenho no tráfego das informações que circulam em nossa rede.
Referências:
EQUIPE IPV6.BR Laboratório de IPv6: Aprenda na prática usando um emulador de redes. São Paulo: Novatec Editora, 2015. p. 35.
INTERNET SOCIETY World IPv6 Launch. 2012. Disponível em: http://www.worldipv6launch.org. Acesso em: 12/11/2015
IPV6-TEST.COM. IPv6 Test. 2014. Disponível em: http://ipv6-test.com/. Acesso em: 12/11/2015
LACNIC Esgotamento IPv4. 2014. Disponível em: http://www.lacnic.net/web/lacnic/agotamiento-ipv4. Acesso em: 12/11/2015
MICROSOFT TECHNET How to Disable IPv6 through Group Policy. 2011. Disponível em: http://social.technet.microsoft.com/wiki/contents/articles/5927.how-to-disable-ipv6-through-group-policy.aspx. Acesso em: 12/11/2015
NIC.BR Núcleo de Informação e Coordenação do Ponto BR. Endereçamento e Transição. 2012. Disponível em: http://www.ipv6.br/. Acesso em: 12/11/2015