Disable the ipv6 protocol – or not ?

29 באוגוסט 2012

מקובל לחשוב בעולם ה IT "אם אתה לא משתמש בזה – בטל את זה". הרבה מיתוסים התפתחו על בסיס זה. "זה טוב לאבטחה", "זה משפר ביצועים", "יהיה קל יותר לתמוך בזה" וכ'ו. האמת היא שברוב המקרים הגדרות ברירת המחדל הם הטובות ביותר, וכל שינוי שסותר אותן צריך להעשות במחשבה תחילה ובשיקול דעת.

 
מה הוא ipv6 ?
פרוטקול ה ipv6 אושר כתקן בשנת 1998 והגיח לחיינו המיקרסופטים כבר ב Windows xp sp2 והפך לחלק אינטגרלי ממערכת ההפעלה ב Windows Vista. הפרוטקול מתוכנן כך שיחליף בהדרגה ה Ipv4 ומיועד להקנות לרשתות ייכולות שונות – כדוגמת ייכולת גידול, מנגנוני הזדהות והצפנה אינטגרליים, ייכולות לניצול יעיל של משאבי הרשת ועוד.  בעולם עוסקים רבים בקידום של הטמעת הפרוטוקול  (מחלקת ההגנה האמריקנית קבעה את 2012 כשנה שבה כל הרשתות הצבאיות שלה ייתמכו ipv6) ובארץ, יש מספר ספקיות אנטרנט שהריצו ומריצות פיילוטים לקישורי ipv6. ויידוע לי על חברות בודדות שכבר ממשות באופן מלא ipv6 בתוך הרשתות הארגוניות.
 
 
 
 
 
אז – האם ניתן לבטל את ה Ipv6 על מערכות Windows ?

רבים מאיתנו פגשו בוודאי את Ipv6 בכל מני פינות במחשב שלהם, בפקודת ipconfig /all, בממשק הרשת (Ncpa.cpl), אולי בהרצת סניפר, או אפילו בפינג המחשבה אולי לבטל אותו עוברת בראשם של רבים בסיטואציות הללו – ו ה V בחלון ה Bindings  בוודאי קורץ לכולם. אז האמת היא: שזה בלתי אפשרי באמת לבטל את Ipv6 במחשבי ווינדוס Vista ומעלה.  הסיבה לכך היא שהפרוטוקול הוא חלק אינטגרלי ממערכת ההפעלה – ביטול של ה Bind (ה V על כרטיס הרשת) למעשה רק ייבטל את ה ipv6 מהממשק הפיזי – בעוד כל שאר חלקי מערכת ההפעלה בטוחים שהוא פעיל ומנסים להשתמש בו.

 
קיימים ערכי Registry לביטול של חלקים מה ipv6, אך הם אינם מבטלים אותו באופן מוחלט  (נסו לתת פינג ל  1::) . יש מספר תוכנות במערכת ההפעלה שאינן ייכולות לפעול ללא ipv6 למשל DirectAccess, Remote Assistance, HomeGroup. בנוסף – צפו לצרות עם outlook, sbs servers, exchange server, dns server, ועוד. הנקודה האחרונה היא התמיכה, כל מוצרי מייקרוסופט נתמכים רק תחת הקריטריונים של CEC בהם נכלל גם ipv6. זאת אומרת שדברים לא נבדקו בתצורה הזו – ואיש לא ייודע כיצד הם יתנהגו, וגם לא ייתמוך בכך. – לסיכום – התשובה היא לא – לא ניתן, ולא מומלץ לנסות – לבטל את ipv6
 
בכל זאת, "חייב להייות משהוא הגיוני בכל המיתוסים" – אז זהוא – שלא,  חשוב להבין איך הפרוטוקול עובד:
 
האם זה פחות מאובטח?
לא, פרוטוקול ה ipv6 מכיל בתוכו מנגנוני הזדהות והצפנה, בניגוד ל ipv4 (משנת 74, זוכרים?), הוא מתוכנן להייות מאובטח ונכון להיום לא יידוע על פגיעויות חדשות שאפשריות ב Ipv6 שלא היו קיימות ב ipv4.
 
האם זה יפגע בביצועי הגלישה?
לא, המחשב שלכם למד לדבר שפה חדשה ipv6 אבל הוא לא משתמש בה בכל הזדמנות. שרתי DNS ימשיכו להחזיר רשומות A עבור אתרי האינטרנט, ולכן גם המחשב שלכם ייפנה לאתרים באמצעות IPV4 נוסף על כך, שלרובנו נכון להיום אין ניתוב ipv6 כלפי העולם  ולכן גם לא נוכל להשתמש בו לתקשורת שכזו.
 
אבל כן יש מנגנונים של 4to6 האם הם עלולים לפעול פתאום ?
מנגנונים שכאלו כדוגמת ה  Teredo tunneling עובדים רק אם למחשב שלכם יש כתובת IP בסגמנט הפומבי (לא כתובות 10.0.0.0 \ 192.168.0.0 וכ'ו) ובכל מקרה, אינם צפויים לגרום כל נזק.
 
בתוך הרשת ה ipv6 משתולל ואין לי שליטה עליו
הפרוטוקול עובד בתוך הרשת שלכם רק ב lan, כל עוד לא הוגדר ניתוב ל ipv6 הוא לא יצא ממנו. הוא לא עוקף Firewalls (זוכרים?, הוא ב LAN) והוא לא יטריד את הציוד שלכם בבקשות מוזרות. כתובת הipv6 שניתנת למחשב (Link-local) היא בדומה ל apipa לא מנותבת לשום מקום – ומשמשת רק את המחשבים ברשת הפנימית לשיחות בינם לבין עצמם.

 
 
 
 

About the blog owner:

Gidon Marcus served in the Israeli air force as a system administrator and a team leader of the Sys-Desk department at a large air force base in the south of Israel. For the past two years worked Gidon for the Israeli police as a deployment & Windows client expert. Today Gidon learns for B.A in social science at the Open University. And works as senior Windows Client consultant at a major company in the Israeli financial sector on behalf of Hewlett-Packard (HP). Gidon is active in some Israeli and world-wide professional Forums & communities, And blogs about anything related to Microsoft and technology that’s beneficial to others.

Visit Gidon Marcus profile on LinkedIn:

View Gidi Marcus's profile on LinkedIn

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *