Parece muy fácil habilitar la versión 6 del Protocolo de Internet (IPv6) en Microsoft Windows, y lo es, si no le importa tener interfaces vulnerables instaladas de forma predeterminada. Si te importa, sigue leyendo.
Estos siete temas describen la habilitación de IPv6 en versiones heredadas de Microsoft Windows:
- Habilitar IPv6 en Windows 7 y Server 2008 R2
- Volver a habilitar IPv6 en Windows 7 y Server 2008 R2
- Habilitar IPv6 en Windows Vista y Server 2008
- Volver a habilitar IPv6 en Windows Vista y Server 2008
- Habilitar IPv6 en Windows XP con SP2 o SP3 y Server 2003
- Habilitar IPv6 en Windows XP con SP1 o sin Service Pack instalado (no recomendado)
- Habilitar IPv6 en Windows 2000 (no recomendado)
Habilitar IPv6 en Windows 7 y Server 2008 R2
Windows 7 y Server 2008 R2 tenían habilitado IPv6 predeterminada. No se requiere ninguna acción para habilitar IPv6. El uso compartido de conexión a Internet (ICS) está deshabilitado de forma predeterminada y debe deshabilitarse si se encuentra habilitado en cualquier interfaz de red como se describe aquí. También tenían un cliente DHCPv6 habilitado de forma predeterminada. Esto puede o no considerarse aceptable. La desactivación del cliente DHCPv6 en las versiones de servidor se describe en la Parte 3: Direccionamiento estático IPv6 y DNSv6 en el artículo Habilitar IPv6 en Servidores de aplicaciones de Microsoft Windows en la sección Infraestructura.
Las siguientes líneas de comandos deshabilitarán algunas interfaces IPv6 vulnerables que están habilitadas de forma predeterminada. Su uso no es obligatorio, pero se recomienda para una mejor seguridad. También es posible deshabilitar estas interfaces vulnerables mediante Objetos de directiva de grupo (GPO) como se describe en este artículo. (El .admx y .los archivos adml disponibles allí no deshabilitan las interfaces basadas en IP-HTTPS, pero por lo demás son actuales.)
netsh interface ipv6 set global randomizeidentifiers=disabled store=persistent
netsh interface ipv6 set privacy state=disabled store=persistent
netsh interface 6to4 set state state=disabled undoonstop=disabled
netsh interface isatap set state disabled
netsh interface teredo set state type=disabled
(No se recomienda que deje habilitado el protocolo Teredo, pero si por alguna razón lo desea, omita esa última línea. Es probable que también desee configurar su propio servidor Teredo, ya que los antiguos servidores Teredo predeterminados configurados con un comando como
netsh interface ipv6 set teredo client teredo.ipv6.microsoft.com
ya no son compatibles con Microsoft. Si el equipo que está configurando forma parte de un dominio de Windows, también es necesario el comando
netsh interface ipv6 set teredo enterpriseclient
. No se recomienda habilitar Teredo cuando se conecta a un dominio de Windows.)
Las dos primeras líneas de comando eliminan una dirección IPv6 global generada aleatoriamente temporal que Windows crea (pero que no es útil ni deseable cuando se tiene una dirección IPv6 global real). Tenga en cuenta que esta dirección no se eliminará hasta el siguiente reinicio. Siempre que un sistema móvil se mueva a una red diferente, o cuando se renumere la red a la que está conectado el sistema, estos comandos deben volver a entrar.
Las interfaces deshabilitadas seguirán mostrándose en la línea de comandos «ipconfig /all», pero su estado está deshabilitado. Para verificar esto, ejecute los comandos
netsh interface ipv6 show global
netsh interface ipv6 show privacy
netsh interface ipv6 6to4 show state
netsh interface ipv6 isatap show state
netsh interface ipv6 show teredo
Volver a habilitar IPv6 en Windows 7 y Server 2008 R2
Si desea volver a habilitar IPv6 en Windows 7 o Server 2008 R2, Microsoft proporcionó los dos métodos siguientes. Estos también están documentados en el sitio web de Microsoft (consulte el artículo de Microsoft knowledge base KB 929852 para obtener más detalles). También se recomienda encarecidamente comprobar el estado del ICS y desactivarlo donde esté habilitado, siguiendo las directrices proporcionadas por la Universidad de Delaware aquí.
Es posible volver a habilitar IPv6 después de que se haya deshabilitado utilizando cualquiera de los dos métodos siguientes (dependiendo de cómo se deshabilitó):
- En la carpeta Conexiones de red, obtenga propiedades en todas sus conexiones y adaptadores y active la casilla junto al componente Protocolo de Internet versión 6 (TCP/IPv6) en la lista de Esta conexión utiliza los siguientes elementos. Este método habilita IPv6 en sus interfaces y conexiones LAN, pero no habilita IPv6 en interfaces de túnel ni la interfaz de bucle invertido IPv6. Ejecute los comandos netsh que se muestran al final del 1. Habilitar IPv6 en el tema Windows 7 y Server 2008 R2 para verificar que las interfaces vulnerables estén deshabilitadas.
-
Establezca el siguiente valor de registro (tipo DWORD) en 0×8F:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\
Parameters\DisabledComponentsEste método habilita IPv6 en todas sus interfaces y conexiones LAN, al tiempo que deshabilita las interfaces de túnel IPv6. Debe reiniciar el equipo para que este valor de registro surta efecto. DisabledComponents está establecido en 0 de forma predeterminada. El método 1 anterior se puede usar para habilitar / deshabilitar selectivamente IPv6 en conexiones y adaptadores individuales.
El valor del registro DisabledComponents es una máscara de bits que controla la siguiente serie de indicadores, comenzando con el bit de orden bajo (Bit 0):
- Bit 0 Establecido en 1 para deshabilitar todas las interfaces de túnel IPv6, incluidos los túneles ISATAP, 6to4 y Teredo. El valor predeterminado es 0.
- Bit 1 Establecido en 1 para deshabilitar todas las interfaces basadas en 6to4. El valor predeterminado es 0.
- Bit 2 Establecido en 1 para deshabilitar todas las interfaces basadas en ISATAP. El valor predeterminado es 0.
- Bit 3 Establecido en 1 para deshabilitar todas las interfaces basadas en Teredo. El valor predeterminado es 0.
- Bit 4 Establecido en 1 para deshabilitar IPv6 en todas las interfaces que no sean de túnel, incluidas las interfaces LAN y las interfaces basadas en Protocolo Punto a punto (PPP). El valor predeterminado es 0.
- Bit 5 Establecido en 1 para modificar la tabla de directivas de prefijos predeterminados para preferir IPv4 a IPv6 al intentar conexiones. El valor predeterminado es 0.
- Bit 6 Este bit está reservado para uso futuro en Windows Server 2019 y versiones posteriores. El valor predeterminado es 0.
- Bit 7 Establecido en 1 para deshabilitar todas las interfaces basadas en IP-HTTPS. El valor predeterminado es 0.
Para determinar el valor de los componentes desactivados para un conjunto específico de bits, construya un número binario que conste de los bits y sus valores en su posición correcta y convierta el número resultante a hexadecimal. Por ejemplo, si desea deshabilitar las interfaces 6to4, deshabilitar las interfaces Teredo y prefiere IPv4 a IPv6, construirá el siguiente número binario: 00101010. Cuando se convierte a hexadecimal, el valor de DisabledComponents es 0x2A.
Habilitar IPv6 en Windows Vista y Server 2008
Windows Vista y Server 2008 tenían IPv6 habilitado de forma predeterminada. No se requiere ninguna acción para habilitar IPv6. También tenían el DHCPv6 activado por defecto. Esto puede o no considerarse aceptable. Las recomendaciones dadas en el 1. Se aplica el tema Habilitar IPv6 en Windows 7 y Server 2008 R2.
Volver a habilitar IPv6 en Windows Vista y Server 2008
Los métodos para volver a habilitar IPv6 son los mismos que se muestran en el 2. Volver a habilitar IPv6 en Windows 7 y Server 2008 R2 tema anterior.
Nota: Cuando se utiliza el método 2 en el 2. Volver a habilitar IPv6 en el tema Windows 7 y Server 2008 R2, los bits 7 y 8 están reservados para uso futuro. El valor predeterminado es 0.
Habilitando IPv6 en Windows XP SP2 o SP3 y Server 2003
En XP SP2 o SP3, IPv4 debe estar instalado para que IPv6 funcione.
En Windows.NET Server 2003 Enterprise, Enterprise x64, Centro de datos, Centro de datos x64, Estándar, Estándar x64, Edición Web, Edición de clúster de Cómputo R1 / R2: todas las versiones. La línea de instalación de ipv6 que se muestra a continuación no es necesaria, pero si se usa, habilitará IPv6 en todas las interfaces de red instaladas. La línea de comandos
dnscmd /config /EnableIPv6 1
será totalmente compatible con IPv6 en DNS. NOTA: Aunque IPv6 está instalado de forma predeterminada en Server 2003, debe habilitarse explícitamente en cada interfaz de red. Esto crea la posibilidad de vulnerabilidades no deseadas en sitios que no están habilitados para IPv6.
Las líneas de comandos que se muestran a continuación habilitarán IPv6 y deshabilitarán algunas interfaces IPv6 vulnerables habilitadas por la instalación predeterminada. Antes de ingresar a estas líneas de comandos, ejecute la línea de comandos de desinstalación de ipv6 y luego reinicie para asegurarse de que tiene una buena configuración inicial conocida. También se recomienda encarecidamente comprobar el estado del ICS y desactivarlo donde esté habilitado, siguiendo las directrices proporcionadas por la Universidad de Delaware aquí. NOTA: Los archivos de ayuda de Microsoft XP son en su mayoría sobrantes de XP SP1 y no son una gran ayuda para netsh (la forma preferida de hacer cambios de configuración de red en SP2 y SP3) y aún hablan del comando ipv6 (NO preferido con SP2 o SP3).
ipv6 install
netsh interface ipv6 set privacy state=disabled store=persistent
netsh interface ipv6 6to4 set state state=disabled undoonstop=disabled
netsh interface ipv6 isatap set state disabled
netsh interface ipv6 set state 6over4=disabled v4compat=disabled
netsh interface ipv6 set teredo disabled
(No se recomienda que deje habilitado el protocolo Teredo, pero si por alguna razón lo desea, omita esa última línea. Es probable que también desee configurar su propio servidor Teredo, ya que el antiguo servidor Teredo predeterminado configurado con el comando
netsh interface ipv6 set teredo client teredo.ipv6.microsoft.com
ya no es compatible con Microsoft. Si el equipo que está configurando forma parte de un dominio de Windows, también es necesario el comando
netsh interface ipv6 set teredo enterpriseclient
. No se recomienda habilitar Teredo cuando se conecta a un dominio de Windows.)
La segunda línea de comandos elimina una dirección IPv6 global generada aleatoriamente temporal que Windows XP crea (pero que no es útil ni deseable cuando se tiene una dirección IPv6 global real). Tenga en cuenta que esta dirección no se eliminará hasta el siguiente reinicio. Siempre que un sistema móvil se mueva a una red diferente, o cuando se renumere la red a la que está conectado el sistema, este comando debe volver a entrar.
Las interfaces deshabilitadas seguirán mostrándose en la línea de comandos «ipconfig /all», pero su estado está deshabilitado. Para verificar esto, ejecute los comandos
netsh interface ipv6 show privacy
netsh interface ipv6 6to4 show state
netsh interface ipv6 isatap show state
netsh interface ipv6 show state
netsh interface ipv6 show teredo
Habilitar IPv6 en Windows XP SP1 o sin Service Pack instalado
No se recomienda el uso de IPv6. IPv6 casi funcionaba en Windows XP con SP1, pero el Firewall de conexión a Internet (ICF) que venía con SP1 no protegía IPv6, sin mucho trabajo e incluso entonces la protección tenía agujeros. Casi funcionó en Windows XP sin Paquete de servicio instalado.
Habilitar IPv6 en Windows 2000
No se recomienda el uso de IPv6. Windows 2000 con SP4 tenía una vista previa de tecnología que se podía instalar, pero estaba incompleta y era difícil de instalar.