O sexto capítulo do meu livro intitulado "IPv6 - O Novo Protocolo da Internet" é dedicado aos aspectos de segurança do protocolo IPv6. Logo no início desse capítulo explico ao leitor que existe uma "promessa folclórica" de que o IPv6 é um protocolo mais seguro do que o seu antecessor IPv4, porque ele foi projetado na década de 1990, período em que muitas deficiências e vulnerabilidades do IPv4 eram amplamente conhecidas pela comunidade técnica. Por ser mais recente, realmente o IPv6 teve a oportunidade de corrigir várias dessas vulnerabilidades, no entanto, eu diria que ainda é equivocado afirmar categoricamente que o IPv6 é mais seguro do que o IPv4. Eu prefiro pensar que o IPv6 tem potencial para ser mais seguro do que o IPv4.
No entanto, não podemos ser passionais e ignorar o fato de que o IPv6 é um protocolo apenas recente operacionalmente, o que torna sua adoção ainda pouco representativa atualmente. Isso quer dizer que o IPv6, por ser "novo", traz consigo várias funcionalidades nebulosas em relação ao seu modo de operação e, à medida que sua adoção crescer nas empresas e na Internet, fatalmente surgirão novas modalidades de ataques e novas vulnerabilidades que sequer existiam no IPv4.
Do ponto de vista arquitetural, o IPv6 é realmente mais robusto do que o IPv4, afinal, não podemos esquecer que segurança não era um requisito de projeto na concepção do IPv4, ao contrário do processo de concepção do IPv6 em que segurança foi um dos critérios mais relevantes na escolha da proposta que daria origem ao chamado IPng, ou IP de próxima geração, que posteriormente foi denominado IPv6. Tanto é que o protocolo IPSec foi criado para o IPv6 e somente depois foi aproveitado para operar sobre o IPv4.
Essa afirmação "folclórica" de que o IPv6 é um protocolo mais seguro vem do fato de ele possuir suporte nativo ao IPSec. Por isso, muitas pessoas pensam que todo o tráfego v6 sempre é criptografado automaticamente sem nenhuma intervenção ou configuração do administrador - o que NÃO é verdade! O fato de IPSec estar embutido nos dispositivos (suporte nativo) não quer dizer que a solução de segurança seja autoconfigurada. Ao contrário, as principais soluções de segurança, a exemplo de autenticação e criptografia, deverão ser manualmente configuradas pelo administrador, de maneira bastante similar ao que já é feito atualmente com o IPv4.
No decorrer do livro essa discussão é aprofundada, oportunidade em que apresento um tópico delicado e muitas vezes polêmicos: o fim do NAT no IPv6! ;-) Além dessa discussão, no livro apresento ao leitor os principais ataques conhecidos, bem como os respectivos mecanismos de defesa recomendados para mitigar esses ataques. Os links abaixo direcionam vocês para outros artigos que escrevi no blog e que trazem vários exemplos de configurações de segurança para IPv6 em roteadores e também em sistemas operacionais:
- VPN Site-to-Site Baseada em IPv6
- Listas de Controle de Acesso em Redes IPv6
- Endereço IPv6 e Função EUI-64 no Microsoft Windows
- Extensões de Privacidade do IPv6 no Linux
- Autenticação IPSec/OSPFv3 no Roteamento IPv6
Por fim, aproveito a oportunidade para compartilhar um vídeo recém produzido pelos colegas do NIC.br, em que essa discussão é abordada em apenas 10 minutos! Vale a pena conferir...
Samuel.
Nenhum comentário:
Postar um comentário