Myter om IPv6

IPv6 är säkrare än IPv4

Helt fel, det finns en utbredd missuppfattning att IPv6 automatiskt är säkrare eftersom att IPSEC är (var) obligatoriskt i OS/IPv6-stack. Det är (var) obligatoriskt men det är inte aktiverat default och det är precis lika krångligt/struligt att få fart på en IPSEC-tunnel i IPv6 som i IPv4.

Automatiska tunnlarna i Windows är livsfarliga

I Windows har vi ISATAP, Teredo 6to4 som alltid är automatiskt aktiverade i en Windows Vista/7 dator. Det finns myter om att de här tunnlarna exponerat hela kontor och fått default gateway ut via tunneln.
Allt detta är helt fel men däremot fins det andra goda anledningar till att disabla de här tunnlarna men det har inte med säkerhet utan stabilitet att göra.
Och om tunnlarna är aktiva kommer Windows NRPT ( Name resolution protocoll table ) att prioritera IPv4 före tunnlad IPv6 så det är bara IPv6-only resurser som operativet väljer IPv6 före. Gemensamt för tunnlarna är också att inga applikationer binder på de tunnlade IPv6-adresserna. Ex IIS-servern öppnar inte port 80 på 6to4-interfacets adress.

ISATAP

En för företaget/organisationen intern tunnelmetod för att snabbt och enkelt kunna köra igång IPv6 internt. Fungerar inte genom NAT och det finns mig veterligen ingen Internetoperatör som gjort misstaget att aktivera det. För att ISATAP ska aktiveras krävs att datorn får svar på ett namnuppslag på namnet isatap.fqdn och att en ISATAP-router svarar på den IPv4-adressen och tillammans generear de sedan en IPv6-adress.

Teredo

Aktiteveras automatiskt om du sitter bakom en brandvägg/router och datorn lyckas förhandla till sig en tunnel med teredoservrar/reläna. Default använder Windows  hostnamnet  teredo.ipv6.microsoft.com som server/relä för att etablera tunneln.Tunneln är statefull och tas ner om kontakten med endpunkten bryts.  Windows gör aldrig DNS-uppslag över Teredo tunneln om inte applikationen begär det så i praktiken är det bara Torrentprogramvaror som använder Teredo-tunneln. Läs mer på http://en.wikipedia.org/wiki/Teredo_tunneling

6to4

Om din Windows Vista/7 sitter ute på Internet utan brandvägg och får en så kallad “publik IPv4-adress” kommer den alltid att automatisk att generera en 6to4 adress. Den här tunneln är stateless och datorn kontrollerar/vet inte om den fungerar eller inte.
6to4 kan inte adressöversättas och kan inte aktiveras bakom en brandvägg med RFC1918 adresser på det interna nätet.