Вы отключаете IPv6? Может быть, вам стоит остановиться — и вот почему
Недавнее обновление Windows 10 показало, сколько людей отключают IPv6 в рамках своего обычного процесса. Должны ли вы делать это? Возможно нет.
Но обо всем по порядку. Поскольку так много людей отключают IPv6, многие читатели, вероятно, уже устали от перспективы разрешить IPv6 в своей сети. Я утверждаю, что в большинстве случаев нет необходимости или желания отключать IPv6, и даже желательно этого не делать. Но прежде чем мы перейдем к этому, если вы просто не можете это переварить или у вас есть серьезные устаревшие приложения или оборудование, вот официальная рекомендация Microsoft: оставьте IPv6 включенным, но издайте политику, в которой говорится, что предпочтение отдается IPv4. (Тем временем, для тех, кто хочет перейти с IPv4 на IPv6, ознакомьтесь с этой статьей.)
Чтобы настроить IPv6, измените следующее значение реестра на основе этой таблицы.
Расположение: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip6Parameters
Название: Дисабледкомпонентс
Тип: REG_DWORD
Минимальное значение: 0x00
Максимальное значение: 0xFF (IPv6 отключен)
| Функциональность IPv6 | Значение реестра | Комментарии |
| Предпочитайте IPv4 вместо IPv6 | 32 декабря Шестнадцатеричный 0x20 Корзина xx1x xxxx | Рекомендуется вместо отключения |
Двигаясь прямо
Теперь, когда мы разобрались с этим, давайте посмотрим, как Windows использует IPv6, даже если ваш DHCP-сервер предоставляет ему адрес IPv4, а ваш интернет-маршрутизатор его не поддерживает.
Мы все знаем, что в мире заканчиваются адреса IPv4. Я не собираюсь повторять это здесь, кроме как сказать, что это не имеет значения для вашей внутренней сети. Ваш внутренний DHCP по-прежнему может использовать IPv4 из соображений совместимости, но в конечном итоге вы будете использовать IPv6 для доступа в Интернет. Но это еще не значит, что вы хотите отключить IPv6. Вы на самом деле хотите использовать оба. Вы можете использовать IPv4 для удобства чтения. Но пусть Windows предпочитает IPv6 по причинам, которые я собираюсь обсудить сейчас. Я думаю, что это лучший вариант.
IPv6 является ядром операционной системы Windows, и Microsoft не проводит никаких тестов с отключенным IPv6, поэтому они не могут гарантировать, что что-либо будет работать должным образом без IPv6. Конечно, многие вещи работают, но за кулисами Windows приходится много работать и возвращаться к старым протоколам после того, как обнаруживает, что IPv6 недоступен. Это ожидание сбоя действительно можно почувствовать на ПК, когда вы отключите IPv6. Еще во времена Windows 7 существовало условие, при котором возникала задержка при подключении к Интернету, когда был включен IPv6, а ваш маршрутизатор его не поддерживал. Но начиная с Windows 8 и Server 2012, Windows определяет отсутствие маршрута в интернет в IPv6, запоминает это, а затем предпочитает IPv4 для этого типа трафика. Не требуется настройка или отключение.
Что делает IPv6 для сетевого трафика?
Сегодня IPv4 — одна из самых долгоживущих технологий в наших компьютерах. Когда он был построен, количество компьютеров было намного меньше, и не было реальной необходимости в безопасности. На самом деле в IPv4 нет встроенной защиты. Боже, как все изменилось! В IPv6 безопасность является главным приоритетом. IPSec по умолчанию. Вот несколько преимуществ IPv6.
- NAT не нужен. У каждого компьютера может быть адрес, который позволяет ему выходить в Интернет, используя тот же IP-адрес, который разрешает ему доступ к внутренним ресурсам. Нам больше не нужно пытаться разделить эти две сети с помощью IP-адресации. VOIP QoS более надежен, поскольку возможны прямые подключения к ПК.
- IPv6 переносит обработку фрагментации на устройство, а не на маршрутизатор. Это делает все быстрее, потому что нет обработки контрольной суммы.
- IPv6 использует многоадресную рассылку, а не широковещательную передачу, поэтому хосты, которым все равно, что вы делаете, не должны обрабатывать пакеты.
- IPSec больше не является надстройкой. Он встроен, что означает, что информация в заголовке и пакетах защищена по умолчанию.
Существует устойчивый миф о IPv6, который заключается в том, что если вы отключите его, вы уменьшите поверхность атаки. Правда в том, что ваш трафик IPv6 не выйдет, если ваш маршрутизатор его не поддерживает, а если он поддерживает IPv6, то он защитит внутренний трафик. Поскольку информация заголовка IPv6 зашифрована, ваша внутренняя сеть на самом деле безопаснее.
Дополнительные преимущества, которые могут показаться пугающими
В наши дни это перевернутый мир. Помните, когда ИТ-отделы использовали групповую политику для управления ПК? Помните, когда нам приходилось обслуживать DHCP-серверы? Помните, когда ваши устройства использовали немаршрутизируемую адресацию и должны были использовать NAT для доступа в Интернет? Помните времена, когда все сотрудники работали в офисе? Помните, когда у нас не было VOIP-телефонов? Помните, когда у вас вообще не было устройств IoT?
IPv6 не нуждается в DHCP-сервере, поскольку не использует NAT. Отдельное устройство способно присваивать себе адрес. Он запрашивает у сети префикс, а остальные автоматически назначает. Что в этом такого страшного? Это потеря контроля. Больше нет графического интерфейса, чтобы посмотреть, какие машины используют какие адреса. Вам придется запросить эту информацию. Но если компьютеры самоназначаются и гарантируют отсутствие дубликатов автоматически, то почему нам действительно нужно заботиться? Страшной частью является отказ от прошлых практик, а не сама технология.
Отказ от NAT, вероятно, является самой страшной частью для многих ИТ-администраторов. NAT дает вам иллюзию безопасности вашей сети. И все же каждый день миллионом способов каждое устройство подключается к Интернету, и трафик напрямую направляется к нему из Интернета. Если устройство хочет разрешить входящее соединение, оно либо делает первоначальный вызов, либо открывает порт в своем локальном брандмауэре. Угадай, что? То же самое происходит, когда вы используете IPv6, за исключением того, что маршрутизатору не нужно выполнять все эти вычисления NAT. NAT никогда не был связан с безопасностью.
Хотя серверы групповой политики и DHCP еще не могут быть удалены из вашей сети, в конечном итоге они будут удалены. Хотя в некоторых компаниях все еще есть телефоны с цифровыми ключами, и все их сотрудники работают в офисе, они уже не составляют большинства. Осмелюсь сказать, что на данный момент нет ни одного предприятия, в сети которого не было бы той или иной формы IoT. Даже камеры видеонаблюдения и часы, подключенные к сети, считаются IoT, и многие предприятия имеют гораздо больше разнообразных устройств IoT, чем это. Дело в том, что само определение сети изменилось, как и само определение «края».
Вы, наверное, читали, что «грань» — это учетные данные пользователя. Это так. Теперь, когда пользователи имеют доступ к корпоративным данным с мобильных телефонов, настольных телефонов, программных телефонов, ноутбуков, планшетов и многого другого в дороге и в офисе, периферия становится довольно прозрачной. Я имею в виду, когда вы можете взять настольный телефон со стола, подключить его к домашнему Интернету и позвонить без дополнительной настройки? Мир сетей изменился. Не ваш DNS, DHCP, ваша схема NAT или ваш брандмауэр защищают сеть. Важны учетные данные на этом телефоне. Это наше преимущество, и именно здесь мы должны сосредоточиться на безопасности.
Забудьте о воображаемых ловушках IPv6. Он маленький, более шустрый, зашифрованный и безопасный. Нам нужно сосредоточить наши усилия на модернизации, чтобы убедиться, что мы не наносим вред нашим сетям, цепляясь за устаревшие сетевые технологии. Самый простой способ внедрить IPv6 — просто перестать его отключать.