Num momento que tem sido encarado pela maioria das empresas como o de adiar a sua implantação, é necessário que se tenha ciência de vulnerabilidades escondidas no protocolo “IPv6”.
A maior e mais iminente ameaça à segurança está no fato de que as redes das empresas já tem toneladas de dispositivos habilitados para “IPv6”, incluindo dispositivos com o Windows Vista ou Windows 7, Mac OS / X e dispositivos Linux e BSD.
Importante se destacar o fato de que, ao contrário de seu antecessor, o “DHCP” do “IPv4”, o “DHCP” do “IPv6” não necessita de configuração manual.
Esta característica de auto-configuração significa que com o “IPv6” habilitado dispositivos estarão apenas esperando por um anúncio único de um roteador para se identificar na rede.
Também é importante se destacar que numa rede apenas com “IPv4” roteadores e switches não reconhecem ou respondem a anúncios de dispositivo “IPv6”, mas um roteador “IPv6” não autorizado pode enviar e interpretar este tráfego.
Pela característica da auto-configuração, o “IPv6” permite que qualquer dispositivo esteja habilitado para se comunicar com outros dispositivos de rede “IPv6” e serviços na mesma LAN.
Para fazer isso, o dispositivo anuncia sua presença e é localizado através do “IPv6 Neighbor Discovery Protocol” (NDP).
O problema é que não gerenciar adequadamente o protocolo NDP pode trazer uma série de problemas, especialmente o de por e expor dispositivos para que atacantes possam colher informações sobre o que está acontecendo dentro da rede, ou até mesmo permitindo que o próprio dispositivo possa ser capturado e transformado em um “zumbi”.
Pesquisadores do mundo todo tem observado que os “bots” estão intensificando o uso do “IPv6” como um canal secreto para se comunicar com seus “botmaster”.
Entre os seus muitos disfarces, malwares habilitados para o “IPv6” podem assumir a forma de uma carga maliciosa encapsulada em uma ou mais mensagens “IPv4”.
Sem medidas de segurança específicas para “IPv6”, tais como inspeção profunda de pacotes, este tipo de carga pode passar pelo perímetro “IPv4” e defesas “DMZ” sem ser detectada.
Uma solução para problemas “IPv6” na camada 2 pode ser o uso do “SEND” (Secure Neighbor Discovery) o que permitiria lidar com ameaças como “RA e NDP spoofing”, equivalentes a ameaças no protocolo “IPv4” do tipo “DHCP spoofing” e “ARP spoofing”.
Alguns fornecedores de sistemas operacionais tem dado seu apoio ao uso do “SEND”, enquanto outros, principalmente a Microsoft e a Apple, não.
Entidades como a empresa “Cisco” e o “IETF” (sigla em inglês de Internet Engineering Task Force) estão em processo de implementação de mecanismos de segurança para “IPv6” que atualmente são utilizados para proteger “IPv4” contra essas ameaças.
O “IETF” está trabalhando num grupo de trabalho denominado SAVI (Source Address Validation), enquanto a “Cisco” está implantando um plano de três fases iniciado em 2010 para atualizar seus sistemas operacionais e que será totalmente adotado em algum momento em 2012, dependendo do tipo de “switch” que deverá ser atualizado.
Também tem sido destacado por pesquisadores que alguns dos riscos de segurança do “IPv6” podem ser acidentalmente criados por dispositivos de rede de usuários final, sendo que uma configuração adequada e medidas de segurança “IPv6” eliminariam muitos desses riscos.
A resposta a este tipo de problema é implantar segurança “IPv6” nativa para proteger o tráfego “IPv6” no mesmo nível e contra os mesmos tipos de ameaças que já são defendidos no “IPv4″.
Também existe uma falsa percepção de que o “IPv6” é nativamente mais seguro do que o “IPv4”, haja vista que o suporte “IPSec” é obrigatório no IPv6.
Além dos desafios práticos associados à implantação em larga escala de “IPSec”, o conteúdo do tráfego “IPSec” encapsulado se torna invisível para dispositivos (roteadores / switches / firewalls), interferindo com suas funções de segurança.
Por esta razão, um grupo de trabalho do “IETF” está considerando uma mudança que faria o suporte “IPSec” apenas “recomendado” e não “necessário” em implementações “IPv6”.
Já a possibilidade de desabilitar o “IPv6” é uma má ideia por duas razões: primeiro porque a Microsoft afirma não ser possível dar suporte a desativação do “IPv6” em seus sistemas operacionais, como ocorre por exemplo no Windows 2008, e segundo porque se trata de uma estratégia no mínimo tola, uma vez que, com ou sem o “IPv6”, dispositivos habilitados vão continuar a aparecer na rede.
Mas ameaças à segurança a parte, existe uma situação de negócios em que a implantação do “IPv6” está cada vez mais difícil de ser ignorada: Bancos e Corretoras que atuam “on-line” já enfrentam o desafio de perder a comunicação com clientes internacionais cujas redes já não suportam o “IPv4”.
Empresas como a “Telefônica” e a “T-Mobile” estão abraçando o “IPv6” intensamente, especialmente em suas bases europeias.
Além disso, o governo dos Estados Unidos tem migrado suas redes para o “IPv6”, e solicitado que provedores e fornecedores ofereçam mais produtos e serviços “IPv6”.
Empresas que se coloquem numa posição de não pode interagir com seus clientes estão fadadas a fracassarem em suas estratégias, muito embora neste momento possa ser observada uma migração gradual para o “IPv6”.
Atualizar por atacado redes na internet para o “IPv6”, não é algo prático e nem eficaz de ser feito, pois as empresas necessitam de uma abordagem muito mais equilibrada.
Provedores de serviço, que consomem endereços mais rápido do que qualquer outro, são os primeiros na fila para upgrades “IPv6”, seguido por provedores de conteúdo e finalmente, os usuários finais, em cuja residência roteadores são ainda 99% baseados no “IPv4”.
Quando for necessário atualizar para “IPv6”, deve ser levado em conta o balanceamento da carga da rede e a transição dos serviços existentes, além de se preservar a conectividade “IPv4” na rede interna.
Ao se construir o próximo conjunto de serviços, a demanda deverá ser “dual-stack”, com plena capacidade para lidar com arquiteturas “IPv4” mais antigas, o que irá permitir a construção de negócios com melhor retorno sobre o investimento.
Além do mais, importante se levar em consideração que qualquer transição deve ser projetada para ser transparente para o usuário final.
A empresa “Juniper Networks” informou que até agora a maioria dos seus clientes solicitando serviços “IPv6” são do setor de educação e governo, especificamente laboratórios de pesquisa universitários e unidades governamentais, uma vez que os mesmos devem atender a demanda por formação de mão de obra para lidar com o “IPv6”.
Enquanto não há uma maneira de se prever com certeza exatamente quanto tempo vai demorar até que todos os endereços “IPv4” estejam esgotados, estatísticas diárias são frequentemente citadas como uma fonte confiável.
O “Modelo de Huston” (Huston’s Dynamic Equilibrium Model), baseado em fontes públicas de dados obtidos a partir de informações divulgadas pela “I.A.N.A.” e por escritórios regionais de registro de internet, prevê o esgotamento completo de todos os endereços “IPv4” ainda não alocados em 2014.
No entanto, é importante notar que o “Modelo de Huston” não é considerado nos endereços que possam ser alocados por organizações privadas para uso futuro ou venda, podendo ser dado como exemplo a aquisição recente de mais de 600.000 endereços “IPv4” pela Microsoft numa compra de ativos da falência da Nortel.
Embora possa ser seguro assumir que endereços “IPv4” suficientes estarão disponíveis no curto prazo, muitos preveem um aumento de custos com a diminuição da oferta.
Sem terem sido estabelecidas as melhores práticas para o “IPv6”, muitos administradores de redes têm relutado em agir.
Porém, com as crescentes ameaças de segurança e preocupações sobre a perda de comunicação com clientes que já estão migrando seus sistemas para o “IPv6”, esperar que os outros mudem primeiro sem fazer nada não é uma posição neutra como pode parecer.
A fase de planejamento é o melhor momento para estabelecer-se ou reestabelecerem-se laços com fornecedores de rede da sua confiança e que possam oferecer arquitetura de segurança e orientação, junto com soluções escaláveis para uma ampla gama de opções de migração.
http://www.networkworld.com/news/2011/112811-hackers-ipv6-253408.html
