sábado, 26 de outubro de 2013

Extensões de Privacidade do IPv6 no Linux

Olá Pessoal.

No artigo anterior, intitulado "Endereço IPv6 e Função EUI-64 no Microsoft Windows", foi explicado ao leitor como habilitar a função EUI-64 no Windows para que o sufixo dos endereços IPv6 seja gerado a partir do endereço MAC das interfaces de rede. Essa configuração é necessária porque o comportamento padrão dos sistemas operacionais da Microsoft® consiste em gerar aleatoriamente os sufixos dos endereços IPv6, prática documentada na RFC 4941.

A Microsoft® optou por adotar essa prática das "extensões de privacidade" porque entende que utilizar o endereço MAC das interfaces de rede no próprio endereço IPv6 é um risco de segurança que atinge à privacidade dos usuários, uma vez que fica mais fácil rastrear a máquina do usuário independente da rede em que ele esteja conectado.

Enquanto que sistemas Microsoft utilizam as "extensões de privacidade" por padrão, as diversas distribuições do sistema operacional Linux utilizam por padrão a função de expansão EUI-64 para gerar o sufixo dos endereços IPv6 a partir do endereço MAC das interfaces de rede, conforme pode ser observado na figura abaixo em relação ao endereço de link-local (fe80) da interface wlan0.


Da mesma forma que no artigo anterior o leitor aprendeu a configurar o Windows para mudar seu comportamento padrão, esse artigo mostra como configurar o Linux para mudar seu comportamento padrão, ou seja, habilitar as "extensões de privacidade" para que os sufixos dos endereços IPv6 sejam gerados aleatoriamente. Para fazê-lo no Linux (em distribuições baseadas no Debian) é necessário ter privilégio de root e digitar as seguintes linhas de comando:

echo "2" > /proc/sys/net/ipv6/conf/all/use_tempaddr
/etc/init.d/networking restart

O resultado dessa configuração pode ser observado na figura abaixo que traz a saída do comando ifconfig na interface eth0. Reparem que com essas configurações, a partir do prefixo da rede (2001:db8:cafe::/64), o Linux autoconfigura dois endereços IPv6 com sufixos diferentes, sendo um originalmente gerado através da função EUI-64 (vermelho) e outro temporário gerado aleatoriamente (amarelo). Dessa forma os endereços com sufixo aleatório/temporário serão preferíveis aos endereços com sufixo EUI-64.


Essa configuração pode ser desfeita a qualquer momento alterando o valor do arquivo "use_tempaddr". Os possíveis valores do arquivo de configuração "use_tempaddr" localizado em "/proc/sys/net/ipv6/conf/all" são:

  • <= 0 : Desativa a Privacidade (Padrão)
  • == 1 : Ativa a Privacidade c/ Preferência por EUI-64
  • >= 2 : Ativa a Privacidade c/ Preferência por Sufixos Aleatórios/Temporários

Façam seus testes...

Abraço.

Samuel.

domingo, 20 de outubro de 2013

Endereço IPv6 e Função EUI-64 no Microsoft Windows

Olá Pessoal.

Em outro artigo que escrevi, intitulado "Autoconfiguração de Endereços IPv6 (SLAAC)", expliquei ao leitor como funciona o processo de autoconfiguração de endereços no IPv6. De maneira bem resumida, apenas para relembrar, os roteadores são responsáveis por fazer o anúncio do(s) prefixo(s) através de mensagens ICMPv6 Tipo 134 (RA), enquanto que o sufixo identificador do host é automaticamente gerado a partir do endereço MAC da interface de rede.

Depois de aprendido o prefixo da rede, fica faltando apenas determinar o sufixo que será utilizado nos últimos 64 bits do Host-ID (sufixo de host). O sufixo de host é automaticamente gerado a partir do endereço físico (MAC) da interface de rede. O detalhe é que o MAC tem apenas 48 bis, por isso é aplicada uma função de expansão denominada IEEE EUI-64 (Extended Unique Identifier) no endereço físico que preenche os demais 16 bits através de um algoritmo padronizado, processo que pode ser relembrado na figura abaixo.


Esse é o comportamento padrão da maioria dos sistemas operacionais que seguem a RFC 2373, como acontece no Linux e no MacOS. No entanto, o Microsoft® Windows não utiliza a função de expansão EUI-64 para gerar o Host-ID a partir do MAC das interfaces. A Microsoft® optou por gerá-los aleatoriamente porque entende que é um risco de segurança incorporar os endereços físicos das interfaces de rede no próprio IPv6, o que é uma prática de privacidade proposta na RFC 4941 intitulada "Privacy Extensions for SLAAC in IPv6". Para exemplificar esse processo "padrão", a figura abaixo traz uma exibição das configurações de rede no Windows.


Reparem na imagem anterior que o endereço MAC da interface de rede é 00-22-5F-D1-BA-BD e o sufixo utilizado no endereço IPv6 é a5c9:9415:9239:e855 (anexado ao prefixo link-local fe80), ou seja, não existe nenhuma relação entre o sufixo gerado aleatoriamente e o endereço físico da interface de rede. Cabe destacar que o %X utilizado ao final dos endereços IPv6 no Windows é apenas um índice numérico utilizado para referenciar cada uma das interfaces instaladas no sistema e, portanto, não faz parte do endereço v6.

Apesar de gerar o sufixo aleatoriamente ser o comportamento padrão do Microsoft® Windows, isso pode trazer mais problemas de gestão do que benefícios. Esse processo pode tornar mais difícil o processo de monitoramento das máquinas e também requer sucessivas atualizações de DNS a cada vez que o endereço IPv6 do host é alterado em cada boot. O administrador pode optar por utilizar o método EUI-64 para gerar o sufixo de host em todas as interfaces do sistema, desativando as extensões de privacidade. Para fazê-lo, é necessário entrar no prompt de comandos com elevação de administrador e entrar com os seguintes comandos:.

netsh interface ipv6 set privacy state=disabled store=active
netsh interface ipv6 set privacy state=disabled store=persistent
netsh interface ipv6 set global randomizeidentifiers=disabled store=active
netsh interface ipv6 set global randomizeidentifiers=disabled store=persistent

Depois de feito isso, basta exibir novamente as configurações de rede no Windows para observar que a função EUI-64 já está em operação, conforme saída da figura abaixo. Caso o leitor queira reativar as extensões de privacidade e, portanto, desativar o EUI-64, basta repetir esse procedimento substituindo o parâmetro state=disabled por state=enabled


Reparem na figura acima que agora o sufixo utilizado no endereço IPv6 é 0222:5fff:fed1:babd (anexado ao prefixo fe80), ou seja, ele foi gerado a partir do MAC 00-22-5F-D1-BA-BD. Para que esse processo fique ainda mais claro, vamos aplicar a função EUI-64 passo-a-passo:

Os 48 bits do MAC são separados em dois blocos de 24 bits, ou seja, <00225F> e <D1BABD>. Feito isso, são inseridos os algarismos hexadecimais FFFE entre eles, ficando 00225FFFFED1BABD. Por fim, o sétimo bit tem seu valor invertido, o que faz com que o segundo algarismo 0 seja transformado em 2. Dessa forma chega-se ao resultado 02225FFFFED1BABD. O resultado é o sufixo 0222:5fff:fed1:babd utilizado no endereço IPv6. Façam seus testes...

Abraço.

Samuel.

terça-feira, 15 de outubro de 2013

Aniversário de 1 Ano do Blog LabCisco

Olá Pessoal.

Parabéns para nós, nesta data querida, muitas felicidades, muitos anos de vida...
(Eu aposto que você cantou esse trecho!) ;-)

Há exatamente 1 ano atrás o Blog LabCisco, muito discretamente, passou a compor a Internet com o propósito inicial de compilar os arquivos digitais dos laboratórios do livro "Laboratórios de Tecnologias Cisco em Infraestrutura de Redes", lançado em 2012 pela Editora Novatec. 

Ao perceber o potencial de disseminação da informação e as possibilidades de interação com os leitores, passei a utilizar esse espaço também para escrever e publicar novos artigos técnicos que pudessem servir como material de apoio para meus alunos de graduação e pós-graduação. O resultado dessa ação ultrapassou as expectativas porque o blog rapidamente "caiu na graça" de toda a comunidade técnica interessada em redes/telecom.




É verdade que o blog começou bem discreto com sua proposta inicial restrita aos leitores do livro de laboratórios, mas em pouco tempo o conteúdo aqui publicado acabou alcançando muita gente e nesse pequeno espaço de tempo (apenas 1 ano) tenho alguns números bem interessantes para compartilhar com vocês leitores, que permitem acompanhar o crescimento do blog:

  • Em 2013 o Blog LabCisco foi referendado pelo IPv6 Forum internacionalmente;
  • Em 2013 o Blog LabCisco foi referendado pela Cisco do Brasil e Cisco NetAcad;
  • Escrevi aproximadamente 100 artigos que foram publicados por aqui;
  • Desse total de artigos, 36 foram práticos em formato de laboratório;
  • Escrita de um livro compilando laboratórios baseados em tecnologias Cisco;
  • Escrita de um livro sobre IPv6 que é oficial em países de língua portuguesa;
  • Recebemos mais de 108.000 visitas de todo o mundo;
  • Temos 185 membros cadastrados na comunidade local do blog;
  • Temos 1184 CURTIR na fanpage do Facebook, onde são feitos sorteios;
  • Foram disponibilizados vídeos de palestras e programas de TV;
  • Foi produzido 1 curso online totalmente baseado no livro de laboratórios;
  • Foi gravado 1 webinar de 2 dias sobre IPv6 em parceria com a Cisco (NetAcad).

Considerando que a temática do blog é uma área específica da computação ("redes/telecom") e que no escopo dessa área do saber o foco principal do blog são tecnologias Cisco, ou seja, temos um público-alvo bastante específico, acho que posso considerar esses números satisfatórios para o primeiro ano. Caros leitores, esses números refletem o NOSSO sucesso!

No entanto ainda estamos trabalhando na construção da nossa comunidade técnica e cada um de vocês que acompanha o blog é importante não apenas como leitor, mas também como elemento disseminador desse espaço. Acredito que vocês devem imaginar o trabalho necessário para manter esse espaço operacional e atualizado... Continuem compartilhando com seus amigos e colegas da área todo o conteúdo aqui produzido, falem com eles sobre o blog e vamos continuar crescendo!!! 

Em pleno dia do professor aproveito a oportunidade da data para resgistrar meus sinceros cumprimentos aos colegas professores que acompanham o blog e utilizam os materiais aqui disponibilizados em suas aulas.

Um grande abraço para todos vocês leitores (e amigos)!

Samuel.

domingo, 6 de outubro de 2013

Gravação do Webinar IPv6 da Cisco NetAcad

Olá Pessoal.

Mais uma vez vocês pediram e foram atendidos. Os parceiros da Cisco (NetAcad) permitiram que as gravações dos dois dias de apresentações do webinar sobre IPv6 para instrutores fossem publicamente disponibilizadas para os leitores do meu blog. Outra boa notícia é que, provavelmente em novembro, haverá mais 2 sessões (partes 3 e 4) com mais tópicos sobre IPv6 que passam a ser cobrados no novo exame 200-120 do CCNA R&S. Acompanhem o blog e aguardem por novidades... 


Abaixo vocês encontram os links com os respectivos tópicos abordados e suas gravações:


A abertura do evento foi realizada pelo Flávio Provedel e Rodrigo Floriano, ambos da Cisco (NetAcad). Os tópicos "Introdução", "Notação do Endereço", "OSPFv3" e "ACL" foram apresentados por mim. Os tópicos "Estrutura do Endereço", "Cálculo de Sub-Rede" e "Roteamento Estático" foram apresentados pelo Gerson Castro. O tópico "Descoberta de Vizinhança" foi apresentado pelo Edson Soares. Infelizmente a qualidade do áudio da "Introdução" não ficou boa...

Bons Estudos!

Samuel.